ПРИМЕЧАНИЕ

Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безо-

пасности системы High или Medium, то аутентификация в домене Windows будет не-

1 NTLM (NT LAN Manager) — протокол сетевой аутентификации, разработанный фирмой Microsoft

для ОС Windows NT. — Ред.

20

Глава 2

возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main |

System Settings или в режиме терминала командой redhat-config-securitylevel).

Протокол Kerberos будет работать только в том случае, если рассогласование вре-

мени между компьютером пользователя и контроллером домена составляет меньше

5 минут. Поэтому перед началом операций необходимо синхронизировать время на

компьютерах и проверить идентичность установленных часовых поясов.

Для подключения к домену нужно выполнить три шага:

1. Отредактировать конфигурацию клиента Kerberos и nsswitch;

2. Получить билет Kerberos для учетной записи администратора;

3. Выполнить команду подключения к домену.

Настройка конфигурации клиента Kerberos

Настройки Kerberos можно выполнить с помощью имеющихся в системе графиче-

ских утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации,

расположенный по следующему пути: /etc/krb5.conf. В этом файле достаточно от-

редактировать только параметры доменной области (realm) и центра выдачи клю-

чей (KDC)1 (Key Distribution Center — центр распределения ключей — служба

Kerberos):

[realms]

LOCAL.DOMAIN = {

kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88

admin_server = dc1.local.domain

default_domain = local.domain

}

[domain_realm]

.local.domain = LOCAL.DOMAIN

local.domain = LOCAL.DOMAIN

[kdc]

enable-kerberos4 = false

Рис. 2.4. Настройка параметров

Kerberos в графическом режиме

в Red Hat

1 В данном примере DNS-имя домена — local.domain, а контроллеры домена имеют имена dc1 и dc2.

Выбор оборудования и программного обеспечения

21

Назначения параметров видны по их названиям. Можно использовать также при-

мер, содержащийся в исходном файле krb5.conf.

ПРИМЕЧАНИЕ

Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена

только в верхнем регистре, именно так, как это сделано в данном примере.

Настройка nsswitch.conf

В файле /etc/nsswitch.conf определяется, какие источники будут использованы для

получения данных о пользователях. Иногда настройки по умолчанию ограничива-

ются только локальными параметрами (в строках упомянуто только files). Поэто-

му проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как

files, так и winbind. Например, так:

group: files winbind

hosts: files dns nis winbind

networks: files winbind

passwd: files winbind

shadow: files winbind

shells: files winbind

Получение билета Kerberos для учетной записи администратора

После того как вы отредактируете конфигурацию, необходимо получить билет

Kerberos на Linux-компьютере для учетной записи администратора домена. Для

этого выполните следующую команду:

kinit administrator@LOCAL.DOMAIN

Обратите внимание, что имя домена должно быть набрано прописными буквами, а

слева от знака "@" указана учетная запись администратора этого домена.

Команда должна отработать без ошибок. Самая распространенная ошибка возника-

ет в случае, если время системы Linux отличается от времени контроллера домена.

В этом случае синхронизируйте время и повторите команду.

Проверить полученный билет можно, выполнив команду:

klist

Эта команда должна показать параметры полученного билета (имя учетной записи,

срок действия билета).

Подключение к домену

Для включения компьютера с Linux в домен Windows по протоколу Kerberos необ-

ходимо выполнить следующую команду (подключение происходит к домену, ука-

занному в параметрах по умолчанию — конфигурации клиента Kerberos):

net ads join -U administrator%password

Обратите внимание, что используется ключ ads, говорящий о подключении к

службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя

22

Глава 2

administrator и пароль password на реальное имя пользователя, имеющего право

подключения компьютеров к домену (лучше всего, если это будет администратор

домена), и его пароль. В ответ вы должны получить сообщение об удачном выпол-

нении операции.

Проверка подключения

После подключения к домену в списке компьютеров-членов домена можно будет

увидеть Linux-систему.