Author Topic: Настроить AD в существующей сети( с другим сервером DNS)  (Read 1174 times)

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Добрый день, уважаемые.
Подскажите пожалуйста, накатил зенциал, активировал модули AD(и активировались DNS и Ntp) Ntp ещё мне не мешает, а вот DNS у меня уже есть, я хочу использовать существующий DNS.
Как указать что у меня уже есть DNS что бы все компьютеры из локальной сети начали отображаться в AD?

Заранее благодарен за проявленный интерес.

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
В настройках DNS как ни странно. Заходишь, указываешь в Forwarders адрес и всё.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
В настройках DNS как ни странно. Заходишь, указываешь в Forwarders адрес и всё.
Ok, сделал.
Теперь следующий этап:
Я пытаюсь добавить компьютер с windows в свой созданый домен на зенциале, при добавлении вылазит ошибка : "DNS-имя(моего домена) не существует".
Я так понимаю, мне надо на своем старом DNS-сервере добавить ААА запись с названием домена(домен на зенциале)?
Правильно? или как то по-другому?
Конечная цель - увидеть добавленный компьютер в https://мой_ип/Samba/Tree/Manage

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Ну да. Домен в том числе подразумевает корректно настроенную зону DNS. Поэтому по-нормальному сервер с АД является сервером DNS и ещё сервером времени т.к. +/- 5 минут и комп в домен уже не входит. Сервер майкрософт вроде даже варианта такого нет чтобы работал на левом DNS-е. Боюсь у вас много будет мороки по синхронизации.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Ну да. Домен в том числе подразумевает корректно настроенную зону DNS. Поэтому по-нормальному сервер с АД является сервером DNS и ещё сервером времени т.к. +/- 5 минут и комп в домен уже не входит. Сервер майкрософт вроде даже варианта такого нет чтобы работал на левом DNS-е. Боюсь у вас много будет мороки по синхронизации.
C этим вроде справился, остался ещё один вопрос:
я добавил в Active Directory(https://my_ip:8443/Samba/Tree/Manage) учетку: test с паролем test123 и в LDAP settings(https://my_ip:8443/Samba/Composite/Settings) поставил на всякий случай   Enable PAM(Make LDAP users have system account). После чего пробую залогинится в (https://my_ip:8443/) с test с паролем test123 мне выдает "Password incorrect"

А когда я в general (https://my_ip:8443/SysInfo/Composite/General#ManageAdmins) добавляю учетку test с паролем test123 то выдает: User "test" already exist in Active Directory

Вопрос, как сделать авторизацию здесь(https://192.168.0.223:8443/Login/Index) через учетку из AD???

Заранее благодарен за помощь!
« Last Edit: June 08, 2018, 04:37:15 pm by rut »

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Есть пользователи АД и они действуют только для сервисов АД, сюда админка зенчала не входит. Есть администраторы зенчала, являющиеся локальными учётками убунты, они не имеют отношения к АД. Если надо добавить администратора зенчала для доступа к вебморде то используйте соответствующий инструмент (https://my_ip:8443/SysInfo/Composite/General#ManageAdmins), но такой пользователь не будет иметь возможности логиниться в АД.

Если вам написало что "User "test" already exist in Active Directory" значит придумайте другое имя. Или вы хотите сознательно создать путаницу в среде учётных записей? Придумайте префиксы.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Есть пользователи АД и они действуют только для сервисов АД, сюда админка зенчала не входит. Есть администраторы зенчала, являющиеся локальными учётками убунты, они не имеют отношения к АД. Если надо добавить администратора зенчала для доступа к вебморде то используйте соответствующий инструмент (https://my_ip:8443/SysInfo/Composite/General#ManageAdmins), но такой пользователь не будет иметь возможности логиниться в АД.

Если вам написало что "User "test" already exist in Active Directory" значит придумайте другое имя. Или вы хотите сознательно создать путаницу в среде учётных записей? Придумайте префиксы.
Благодарю за внимание к посту.
Я хочу: что бы учетки AD могли авторизоваться как на тачках из AD(неважно Linux или Windows) так и в самих сервисах этих тачек(в данном конкретном случае: пользователь AD авторизуется на машине с zential со своим аккаунтом из AD и авторизируется в web-морде zential(соответственно)).
Поймите меня правильно, никакого хайоса я создавать не намерен, наоборот, хочу привести всё к общему знаменателю.

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Такой возможности нет и сделано это намеренно. Политика в том чтобы обеспечить максимальный уровень безопастности сервера. Не обязательно при этом физически логиниться на компьютере, достаточно по сети залогиниться через браузер как администратор в вебморде... с любой точки мира логинимся и админим.

К управлению службами сервера на зенчал имеет доступ только администратор сервера. Для администрации АД создаётся учётка в АД и вводится в группу администраторов АД. Это основные учётные записи для администрирования. АД можно админить с любого компа на виндоус доустановив панель администрирования и залогинившись как администратор АД.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Такой возможности нет и сделано это намеренно. Политика в том чтобы обеспечить максимальный уровень безопастности сервера. Не обязательно при этом физически логиниться на компьютере, достаточно по сети залогиниться через браузер как администратор в вебморде... с любой точки мира логинимся и админим.

К управлению службами сервера на зенчал имеет доступ только администратор сервера. Для администрации АД создаётся учётка в АД и вводится в группу администраторов АД. Это основные учётные записи для администрирования. АД можно админить с любого компа на виндоус доустановив панель администрирования и залогинившись как администратор АД.
Спасибо за ответ. Логика такого решения присутствует.
А как бы Вы посоветовали добавлять в AD машинки с Linux и чем лучше управлять AD-ешкой из под того же Linux, на Ваш взгляд,?
ps: sorry_4_little_offtop ;)

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Было время пробовали пересаживать людей на линукс, для убунты есть соответствующая приблуда. Она создаёт локального пользователя и окружение, заведует билетами кербероса, обеспечивает процедуру залогинивания и т.п.. На практике это создавало больше проблем чем решало задач. Локального пользователя можно и так создать, для доступа к ресурсам тоже есть методы в зависимости что именно надо. Короче оказалось что в среде линукс это лишнее. Где надо уже давно найдено решение, а где не надо там и не надо.

В большей степени зависит от глубины интеграции АД. Если достаточно глубоко, с политиками, скриптами, централизированным управлением... это всё поддерживают нормально только машины на винде и линукс не вклинится никак.

Из-под линукса АД управляется в консоли иснтрументарием самбы.
« Last Edit: June 12, 2018, 03:04:58 pm by luha »

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Было время пробовали пересаживать людей на линукс, для убунты есть соответствующая приблуда. Она создаёт локального пользователя и окружение, заведует билетами кербероса, обеспечивает процедуру залогинивания и т.п.. На практике это создавало больше проблем чем решало задач. Локального пользователя можно и так создать, для доступа к ресурсам тоже есть методы в зависимости что именно надо. Короче оказалось что в среде линукс это лишнее. Где надо уже давно найдено решение, а где не надо там и не надо.

В большей степени зависит от глубины интеграции АД. Если достаточно глубоко, с политиками, скриптами, централизированным управлением... это всё поддерживают нормально только машины на винде и линукс не вклинится никак.

Из-под линукса АД управляется в консоли иснтрументарием самбы.
У меня цель следующая: есть сервера на Linux, на которых вертяться разные сервисы(телефония,почта, прокся,.....) - я хочу создать пользователя в AD и что бы он имел доступ по ssh на эти сервера. А тах вот ходить на каждый сервер и создавать одинаковых пользователей это ересть.\сори за оффтоп: я конечно могу решить эту задачу с помощью knife(chef) но это будет отдельная песня от AD...
Вопрос по smb-tools: как Вы через нее добавляли тачку(Linux) в AD?

Заранее благодарен за ответы.

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Я и не говорил что компьютер с линукс добавлял в АД. Пользователь создаётся если новый логиниться и всё. Зачем вам добавлять линукс машину в АД я вообще не понял, вы хотите управлять политиками созданными для винды линуксом или что? Патчи ставить виндячие на линь удалённо? Актуализировать? Утрирую, конечно, но надеюсь посыл ясен - это разные экосистемы.

Для управления линукс серверами, разворачиванием и мониторинга существует куча совершенно разных решений и подходов. Выбирайте что вам больше по душе. Вовсе не обязательно на каждом сервере руками создавать одинаковых пользователей, но в любом случае пользователи на каждом сервере должны быть созданны если они там вообще хотят работать. Использовать АД майкрософт чтобы админить сервера под линукс?! Даже не знаю... попробуйте, вдруг получится.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Я и не говорил что компьютер с линукс добавлял в АД. Пользователь создаётся если новый логиниться и всё. Зачем вам добавлять линукс машину в АД я вообще не понял, вы хотите управлять политиками созданными для винды линуксом или что? Патчи ставить виндячие на линь удалённо? Актуализировать? Утрирую, конечно, но надеюсь посыл ясен - это разные экосистемы.

Для управления линукс серверами, разворачиванием и мониторинга существует куча совершенно разных решений и подходов. Выбирайте что вам больше по душе. Вовсе не обязательно на каждом сервере руками создавать одинаковых пользователей, но в любом случае пользователи на каждом сервере должны быть созданны если они там вообще хотят работать. Использовать АД майкрософт чтобы админить сервера под линукс?! Даже не знаю... попробуйте, вдруг получится.
Я хочу сделать AD единственной системой для авторизации как на серверах с Unix так и на рабочих станциях с Windows.
В идеале это выглядит так: Я создал учетку test в AD, отправил письмом нужно человеку данные для входа под этой учеткой, а он уже хочет на сервер под ней заходит а хочет на рабочую станцию.
Такое возможно?

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
В теории возможно. Как минимум так работает приблудина для убунты которую я тестировал - пользователь входит в систему линукс используя свой логин в АД, предварительно не надо в линуксе создавать руками пользователя, он создастся автоматом (кстати на виндовых машинах тоже так работает). Давно это было но думаю можно сделать (если надо) чтобы все новые пользователи были админами. Такой вариант использовался для рабочих станций, консольное подключение не проверял.

Не хочу вслепую вам подсказывать т.к. за прошедшее время многое могло измениться. Просто погуглите как линукс подружить с АД. Помню для себя находил несколько решений как реализовать, с приблудиной если попроще но и можно было с самбой сделать, но там надо много руками гребсти чтоб заработало.

rut

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Всё оказалось ещё проще чем было раньше, пару-минутное редактирование smb.conf + krb5.conf -> рестарт соответствующих служб и комп с Unix появляется в AD (ou) Computers и пользователь с логином из (ou) Users - логиниться на Unix-машинке.

Я пока что всё что нужно нашел и сделал, благодарю камрада за поддержку.