Подключение к AD.

ValMH

New member
Сообщения
1
#1
День добрый. Существует домен WINDOWS. Подключаюсь все нормально. Но после перезагрузки нет списка доменных пользователей. Как быть???
 

nmareev

New member
Сообщения
3
#2
У меня такая же проблема. Техподдержка ответила, что это невозможно, выбор входа в домен или в локальный компьютер должен появиться. ))
Ниже фрагмент переписки.
Вопросы:
1. У нас сейчас функционирует домен с Active Directory.
Отсюда вопрос: Как нам быть с новыми машинами - подключать их к домену Windows?
Или создавать новый ALD домен и включать в него все новые АРМ?

2. При подключении к домену Windows у меня не появляется окно выбора входа в домен или в локальный компьютер.
В документации я не нашел описания такой возможности.
Не хотелось бы заставлять пользователей каждый раз набирать: p-71\иванов-ии и тп.
Есть ли где-то подробное описание настройки для доменных пользователей Windows?
Чтобы пользователь мог в отдельном окне на начальном экране выбрать домен или локальный компьютер?
Либо, чтобы на начальном экране был сохранен его доменный логин, а ввести только пароль?

3. Как сочетаются группы домена Windows и группы Astra Linux? Где про это можно почитать? Да и вообще, про взаимодействие с доменом Windows?

Ответы:
  1. Идеальное решение поднять домен freeipa (аналог ad), он поддерживает работу в гетерогенной сети, т.е. поднимается домен на астре (freeipa) и дальше выстраиваются доверительные отношение между freeipa и ad, после происходит репликация данных.. freeipa поддерживает поддомены и многое другое
  2. Таких проблем нет, после ввода пк в домен над полем логина появится поле выбор домена (список)
  3. Решение домена freeipa, решение групповых политик связка foreman (выступает в роли графического управления через вэб) + puppet (у нас используется, посредством агентов) или ansible. система мониринга - zabbix.
 

Montfer

New member
Сообщения
2 328
#3
на чистом смоленске 1.6 (с последними обновлениями) выбор есть.
может быть у вас какие то параметры безопасности настроены?
один человек писал, что возможно, из за блокировки rpc, но так это или нет не знаю
 

astraNik

New member
Сообщения
7
#4
Исходные такие же (Астра, домен windows)
Я ввел в домен посредством sssd, графической утилитой.
Все в принципе заработало, виндовые папки на сервере (win server 2012) видны, доступ в них согласно доменным группам работает.
Доменных пользователей не в какие группы на астре не вносил.
Выбор входа в домен есть но по ощущениям он не на что не влияет, входит и так и так одинаково
Одна проблема вход нестабильный - может залогиниться сразу, может думать минуту, может написать вход неудачен
или выпасть в терминал
Это напрягает сильно но куда копать не придумал
 

nmareev

New member
Сообщения
3
#5
Пока остановился на таком решении:

https://forum.astralinux.ru/threads/1137/#post-10683

"Если в файле /etc/samba/smb.conf изменим опцию winbind use default domain на yes, то можно заходить в систему без указания домена, и при этом к названию группы не добавляется имя домена. соответственно если на винде сделать группу astra-admin то доменные пользователи из этой группы автоматом попадут в локальную группу astra-admin
НО! есть проблема - при запуске например синаптика нужно вводить пароль юзера uid=1000 а не собственный пароль %(
пока не поборол....."


Проверил. У меня все именно так и работает. Для моих пользователей, думаю этого будет достаточно, чтобы входить и работать, а дальше будем выискивать, с какими проблемами они будут встречаться.

(Да, забыл написать. Я вводил в домен через fly-admin-ad-client )
 

Vanish

New member
Сообщения
2
#6
У меня такая же проблема. Техподдержка ответила, что это невозможно, выбор входа в домен или в локальный компьютер должен появиться. ))
Ниже фрагмент переписки.
Вопросы:
1. У нас сейчас функционирует домен с Active Directory.
Отсюда вопрос: Как нам быть с новыми машинами - подключать их к домену Windows?
Или создавать новый ALD домен и включать в него все новые АРМ?

2. При подключении к домену Windows у меня не появляется окно выбора входа в домен или в локальный компьютер.
В документации я не нашел описания такой возможности.
Не хотелось бы заставлять пользователей каждый раз набирать: p-71\иванов-ии и тп.
Есть ли где-то подробное описание настройки для доменных пользователей Windows?
Чтобы пользователь мог в отдельном окне на начальном экране выбрать домен или локальный компьютер?
Либо, чтобы на начальном экране был сохранен его доменный логин, а ввести только пароль?

3. Как сочетаются группы домена Windows и группы Astra Linux? Где про это можно почитать? Да и вообще, про взаимодействие с доменом Windows?

Ответы:
  1. Идеальное решение поднять домен freeipa (аналог ad), он поддерживает работу в гетерогенной сети, т.е. поднимается домен на астре (freeipa) и дальше выстраиваются доверительные отношение между freeipa и ad, после происходит репликация данных.. freeipa поддерживает поддомены и многое другое
  2. Таких проблем нет, после ввода пк в домен над полем логина появится поле выбор домена (список)
  3. Решение домена freeipa, решение групповых политик связка foreman (выступает в роли графического управления через вэб) + puppet (у нас используется, посредством агентов) или ansible. система мониринга - zabbix.
Сижу после обновления до 1.7.3 с абсолютно такой же проблемой, пропало поле выбора домена.
Это так задумано? До обновление поле было, точно было. Домен Windows через 3sd
Авторизация работает просто пишу в поле логин строку типа domain\username или просто domainusername.

"2 Таких проблем нет, после ввода пк в домен над полем логина появится поле выбор домена (список)"
Странный ответ
 
Последнее редактирование:

1u$t

New member
Сообщения
1
#7
Проверяю работоспособность функций монитора безопасности. Выбор домена AD пропадает при включении "Блокировка интерпретаторов" - "Включить блокировку интерпретаторов Bash для пользователей".