Имеем Ubuntu 18.04 и домен Windows AD
Задаем hostname компьютеру командой:
hostnamectl set-hostname <hostname>
где, <hostname> имя компьютера, которое должно быть уникальным
устанавливаем пакеты
apt install sssd heimdal-clients msktutil realmd packagekit adcli
проверяем доступность контролера
nslookup dc1.demo.ru
ping dc1.demo.ru
при необходимости редактируем файл /etc/hosts, указываем FQDN для данного хоста
127.0.0.1 localhost
127.0.1.1 <hostname>.demo.ru <hostname>
пробуем найти доступные домены:
realm discover demo.ru
demo.ru
type: kerberos
realm-name: DEMO.RU
domain-name: demo.ru
configured: no
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
вводим в домен:
realm join -U AD_admin dc1.demo.ru
где AD_admin - имя пользователя домена с правами администратора
правим файл /etc/sssd/sssd.conf
Изменяем параметр use_fully_qualified_names для возможности ввода имени пользователя без указания домена
use_fully_qualified_names = False
Задаем путь домашней директории пользователя
fallback_homedir = /home/%u
включаем и перезапускаем сервис
systemctl enable sssd.service
systemctl restart sssd.service
запускаем pam-auth-update и отметчаем там все галочки для того чтобы при первом логине создавалась домашняя директория.
чтобы получить информацию о домене запускаем
realm list
также некоторою информацию можно получить с помощью утилиты adsli.
adcli info demo.ru
добавляем правило в /etc/sudoers, чтобы доменный пользователь входящий в группу Domain Admins мог получать права администратора локального компьютера:
visudo
и добавляем туда строку:
%Domain\ Admins ALL=(ALL) ALL
После чего можем авторизоваться с помощью учетной записи пользователя AD.
ssh domain_user@<hostname>
Теперь убедитесь, что членство в группе разрешается правильно:
id
uid=588405340(domain_user) gid=588400618(domain users) groups=588400618(domain users),588400715(domain admins),588400134(denied rodc password replication group),588402352(rd gateway connection (users))
Вы должны увидеть членство в группе из управляемого домена.
PS: Ссылка на скрипт: join_ad.sh
еще ссылки: habr
Подключаемся к Active Directory с помощью realmd