По моим наблюдениям среди коллег с sys-admin.kz последнее время популярны технологии организации домена с помощью Zentyal 3.х и инсталляция+конфигурация стабильных серверов CentOS 6 и к ним возрастает интерес. Поэтому в этой теме я формирую инструкцию по интеграции между этими двумя технологиями, а именно: Интеграция рабочего места с CentOS с контроллером домена на Zentyal.
Версии
CentOS 6.5. Так как я описывал подъем серверов СУБД, серверов 1С на CentOS 6.5 в этом разделе (прикрепленные темы), будет разумным использовать эту версию для демонстрации способа подключения системы к домену.
Zentyal 3.3. По моим личным наблюдениям и соображениям. Так как 3.3 версия базируется на стабильном и успешном релизе Ubuntu Server 12.04, ее лучше всего использовать для эксплуатационных серверов. Работы над 3.3 завершены и мы применяем лишь обновления базовой подсистемы Ubuntu Server 12.04 для этой версии. Версия 3.4 в отличие от 3.3 базируется на Ubuntu Server 13.10 и поэтому я не использую ее в эксплуатационной инфраструктуре. Версия 3.5 еще не стабильна. Версии 3.0 - 3.2 в составе имеют отличную версию Samba. Поэтому я выбираю версию 3.3. Для меня лишь, но все же - дополнительная причина в использовании 3.3 заключается в том, что у меня уже есть настроенный эксплуатационный шлюз с контроллером домена.
Интеграция
Откройте терминал и вызовите силу жука получите привелегии суперпользователя.
$ su
# whoami
# pwd
Одной из особенностей данной заметки является использование PowerBroker Identity Service Open Edition в качестве вспомогательного инструмента интеграции. Мы преследуем не глубокое изучение особенностей конфигурации каждого инструмента доменной системы в CentOS 6.5, а быструю интеграцию - экономим время свое и коллег.
Коротко о комплекте инструментов PowerBroker создавался с целью кроссплатформенной интеграции с ActiveDirectory, а Samba + LDAP обеспечивают нам как раз возможности ActiveDirectory для всех компьютеров пользователей с Windows 7. Подробности на сайте разработчика: http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Идем в директорию для временных файлов, качаем инсталлятор с сайта разработчика PowerBroker, даем ему флаги исполняемого файла и выполняем установку.
# cd /tmp
# wget http://download.beyondtrust.com/PBISO/8.0.1/linux.rpm.i386/pbis-open-8.0.1.2029.linux.x86.rpm.sh
# chmod +x pbis-open-8.0.1.2029.linux.x86.rpm.sh
# ./pbis-open-8.0.1.2029.linux.x86.rpm.sh
Рассмотрим процесс установки. В процессе установки вам зададут два вопроса, на которые нужно ответить утвердительно: yes.
Первый вопрос: Would you like to install package for legacy links? (i.e. /opt/likewise/bin/lw-find-user-by-name -> /opt/pbis/bin/find-user-by-name) (yes/no) yes
Второй вопрос: Would you like to install now? (yes/no) yes
[root@hp620 ~]# ./pbis-open-8.0.1.2029.linux.x86.rpm.sh Creating directory pbis-open-8.0.1.2029.linux.x86.rpm Verifying archive integrity... All good. Uncompressing pbis-open-8.0.1.2029.linux.x86.rpm............ Would you like to install package for legacy links? (i.e. /opt/likewise/bin/lw-find-user-by-name -> /opt/pbis/bin/find-user-by-name) (yes/no) yes Would you like to install now? (yes/no) yes Installing packages and old packages will be removed Preparing... ########################################### [100%] 1:pbis-open-upgrade ########################################### [100%] Preparing... ########################################### [100%] 1:pbis-open ########################################### [100%] Setting up SELinux Policy ModuleImporting registry…
Preparing… ########################################### [100%]
1:pbis-open-gui ########################################### [100%]
Preparing… ########################################### [100%]
1:pbis-open-legacy ########################################### [100%]
Installing Packages was successfulNew libraries and configurations have been installed for PAM and NSS.
Please reboot so that all processes pick up the new versions.As root, run domainjoin-gui or domainjoin-cli to join a domain so you can log on
with Active Directory credentials. Example:
domainjoin-cli join MYDOMAIN.COM MyJoinAccount
[root@hp620 ~]#
Далее нужно подождать около минуты и после этого процесс установки завершится и выдаст пример консольной команды для ввода компьютера в домен. Нас так же попросят перезапуститься после всего этого, но мы пока не будем этого делать. После установки у нас будет два отличных инструмента: domainjoin-gui и domainjoin-cli - графическая утилита для управления состоянием системы в домене и консольная (нужна для серверов в эксплуатации, установленных по профилю Base Server или Minimal).
Пример консольного применения: # domainjoin-cli join MYDOMAIN.COM MyJoinAccount
Скриншоты графического способа (я затёр на них свой домен, в вашем случае везде будет фигурировать ваш домен):
http://storage6.static.itmages.ru/i/14/0530/h_1401435243_5441199_393a44b1da.png
Вопросов не возникнет. Имя компа, домен в форме FQDN (типа mail.ru), имя админской учетки, способной вводить машины в домен и пароль. После получаем сообщение о том, что это первая инициализация доменной подсистемы на этом компьютере и надо систему рестартнуть.
http://storage7.static.itmages.ru/i/14/0530/h_1401435295_8480353_a624f1441c.png
Следующее сообщние имеет важность для PAM пользователей, в нем сказано, что PAM модуль не может быть сконфигурирован для службы hddtemp. Можете выслать свой конфиг разработчикам инструмента для анализа и консультации. Это можно классифицировать как риск в области информационной безопасности для тех, кто использует PAM. У меня не используется PAM, поэтому я просто игнорирую замечание про конфиги. Позже отпишу как быть тем, кто использует PAM. Идем дальше.
PS: Ну не такая уж и большая жалость, что PAM не научили дружить с hddtemp. Это функционально не имеет значения, имеет лишь вопрос безопасности, но есть решение, о нем позже.
http://storage9.static.itmages.ru/i/14/0530/h_1401435326_6282442_f22ead429b.png
Это сообщение предупреждает о том (продолжение PAM темы), что несмотря на настройки, которые сделал конфигуратор, все равно конфигурация PAM не может считаться полностью завершенной. И рекомендации по данному вопросу.
http://storage7.static.itmages.ru/i/14/0530/h_1401435365_1397384_c3cfc829ce.png
Результат работы инструмента: Успешная интеграция с доменной системой.
http://storage6.static.itmages.ru/i/14/0530/h_1401435404_6235708_d9b81d8723.png
Это окно отображает состояние системы, в каком она домене находится и под каким именем.
http://storage5.static.itmages.ru/i/14/0530/h_1401435668_5902914_ecefda60bf.png
А это скриншот из веб-панели административного интерфейса Zentyal, который показывает нам, что компьютер зарегистрировался в доменной системе.
http://storage8.static.itmages.ru/i/14/0530/s_1401435953_7636281_f4257049bb.png
А на этом скрине мы видим интерфейс Apache Directory Studio - средства для администрирования домена, где мы просматриваем и/или/и_не редактируем учетную запись компьютера в доменной системе.
Примечание 1. Не забудьте включить в System->Administration->Authentication (Система->Администрирование->Авторизация) возможность входить в систему через Winbind, а не только локально. Иначе вы не войдете под доменной учетной записью.
http://storage9.static.itmages.ru/i/14/0530/s_1401443548_7049551_a18aaff32e.png
На последнем скриншоте я показываю результат настройки. Открыто Places->Networking (Места->Сетевое окружение) и там мы видим автоматически сгенерирован список точек монтирования общих сетевых расположений, к которым у пользователя есть какой-либо доступ.
Перезапуск системы необходим для вступления в силу массы новых системных настроек. Наслаждаемся.