Вопрос или проблема
После того как Microsoft Recall был отменен, меня попросили разработать тестовую систему для замены настольных компьютеров Windows на Linux. Мне нужно знать, есть ли в настоящее время доступное программное обеспечение, которое может управлять пользователями Linux-систем при этом используя Microsoft Active Directory.
Мне нужно предоставить сетевым пользователям доступ к компьютеру под управлением Linux, не устанавливая их на компьютере заранее. Он должен подключаться к существующей среде AD и проходить аутентификацию.
Системы Debian и Ubuntu уже некоторое время могут интегрироваться с AD для целей входа в систему, используя SSSD и другие утилиты.
Начиная с версии 22.04, у них есть интеграция с рабочим столом и они могут использоваться для аутентификации пользователей. Групповая политика и другие принуждения требуют подписок на Ubuntu Pro на каждое устройство для использования ADSys.
Поскольку эта документация изменяется с релиза на релиз вместе с обновлениями, я рекомендую вам обратиться к официальной документации Ubuntu по реализации SSSD и его настройке. Вам потребуется провести некоторую предварительную работу на каждой системе, чтобы настроить SSSD, но затем ваш графический интерфейс будет иметь интеграцию.
Ответ или решение
Для успешной замены рабочих станций Windows на Linux с использованием существующей среды Active Directory (AD), вы можете воспользоваться несколькими методами управления пользователями, которые позволяют интегрировать системы Linux с AD для аутентификации пользователей без необходимости предварительной настройки пользователей на каждом рабочем компьютере.
Наиболее распространенными решениями являются:
-
SSSD (System Security Services Daemon): Это демон, который предоставляет доступ к различным службам безопасности, включая LDAP и Kerberos. SSSD позволяет Linux-системам аутентифицировать пользователей с помощью Active Directory. Обычно у вас будет возможность настроить аутентификацию как для обычных пользователей, так и для групп, используя конфигурацию SSSD.
-
Realmd: Это инструмент, который позволяет быстро и просто настраивать интеграцию Linux с AD. Он автоматически настраивает SSSD для использования при аутентификации. Команда
realm joinпозволяет присоединиться к существующему домену Windows без необходимости ручной настройки. -
Winbind: Часть пакета Samba, Winbind также можно использовать для интеграции с Active Directory. Он позволяет Linux-системам использовать учетные записи Windows, а также гарантирует, что пользователи могут аутентифицироваться без необходимости создания локальных учетных записей.
Шаги для интеграции Ubuntu или Debian с Active Directory:
-
Установка необходимых пакетов:
sudo apt update sudo apt install realmd sssd sssd-tools samba-common-bin -
Использование Realm для объединения с AD:
sudo realm join --user=администратор ваш.домен -
Настройка SSSD:
После успешного соединения вы можете настроить файл/etc/sssd/sssd.conf, чтобы указать, как должны обрабатываться учетные записи пользователей и группы. -
Обновление PAM:
Убедитесь, что модуль PAM для использования SSSD включен. Это обеспечит, чтобы аутентификация пользователя происходила через SSSD. -
Перезагрузка служб:
После настроек перезапустите службы SSSD и PAM:sudo systemctl restart sssd
Интерфейс рабочего стола: Начиная с Ubuntu 22.04, интеграция с рабочим столом стала более удобной. Вы можете получать доступ к ресурсам AD через графический интерфейс, а также использовать GUI для управления настройками.
Важно отметить, что использование групповых политик и других функций AD на Linux может потребовать использования подписки Ubuntu Pro для поддержки ADSys.
Рекомендуется всегда обращаться к официальной документации Ubuntu для получения самой актуальной информации и инструкций по интеграции:
Официальная документация Ubuntu по SSSD с Active Directory
Таким образом, с правильной настройкой вы сможете обеспечить безопасный и удобный доступ пользователей Active Directory к системам Linux без необходимости создания локальных учетных записей.