forum.opennet.ru

Составление сообщения

Исходное сообщение

"Сложности с Debian 10 в качестве клиентской машины члена АД"
Отправлено dr.anatolij, 03-Авг-19 21:23

Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, потому нуждаюсь в ваших комментариях и помощи.
Что планировалось:
В качестве экономии ресурсов, как железа (память и ssd), так и финансов (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая шара, показалось не плохим вариантом вместо платной операционной системы, выбрать бесплатную.
Что получилось:
В качестве клиентских систем тестировались Mint, Lubuntu, Debian
По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным конечному пользователю интерфейсом KDE.
В домен ввел 4 строчками и незначительными правками krb5.conf
sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli
sudo realm discover dc.com
sudo realm --verbose join dc.com -U YourDomainAdmin
sudo pam-auth-update (тут выбрал создание папки пользователя при логине)
kinit, klist продемонстрировали, что все успешно. Так как основной целью использования AD была именно авторизация, я посчитал, что задача выполнена.
При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка формата admin1@dc.com я закинул ее в sudoers.conf и уже из под нее установил irc
Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен тем, что в "пользователях и группах" доменных пользователей не вижу. Но все же, как можно было бы избежать подобной некрасивости? Я разберусь с настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак не делали безобразий), разберусь с udev и всеми типа монтирования юсб и прочих устройств, но вот эта ситуация с "профилями" просто выбила из коллеи.
Если можно, подскажите, как подобного избежать.
Всем добра. Не судите строго, я только перехожу на сторону добра и света.
Спасибо!

Исходное сообщение
"Сложности с Debian 10 в качестве клиентской машины члена АД" Отправлено dr.anatolij, 03-Авг-19 21:23
Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, потому нуждаюсь в ваших комментариях и помощи. Что планировалось: В качестве экономии ресурсов, как железа (память и ssd), так и финансов (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая шара, показалось не плохим вариантом вместо платной операционной системы, выбрать бесплатную. Что получилось: В качестве клиентских систем тестировались Mint, Lubuntu, Debian По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным конечному пользователю интерфейсом KDE. В домен ввел 4 строчками и незначительными правками krb5.conf sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli sudo realm discover dc.com sudo realm --verbose join dc.com -U YourDomainAdmin sudo pam-auth-update (тут выбрал создание папки пользователя при логине) kinit, klist продемонстрировали, что все успешно. Так как основной целью использования AD была именно авторизация, я посчитал, что задача выполнена. При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка формата admin1@dc.com я закинул ее в sudoers.conf и уже из под нее установил irc Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен тем, что в "пользователях и группах" доменных пользователей не вижу. Но все же, как можно было бы избежать подобной некрасивости? Я разберусь с настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак не делали безобразий), разберусь с udev и всеми типа монтирования юсб и прочих устройств, но вот эта ситуация с "профилями" просто выбила из коллеи. Если можно, подскажите, как подобного избежать. Всем добра. Не судите строго, я только перехожу на сторону добра и света. Спасибо!

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, > потому нуждаюсь в ваших комментариях и помощи. > Что планировалось: > В качестве экономии ресурсов, как железа (память и ssd), так и финансов > (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь > как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая > шара, показалось не плохим вариантом вместо платной операционной системы, выбрать > бесплатную. > Что получилось: > В качестве клиентских систем тестировались Mint, Lubuntu, Debian > По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным > конечному пользователю интерфейсом KDE. > В домен ввел 4 строчками и незначительными правками krb5.conf > sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli > sudo realm discover dc.com > sudo realm --verbose join dc.com -U YourDomainAdmin > sudo pam-auth-update (тут выбрал создание папки пользователя при логине) > kinit, klist продемонстрировали, что все успешно. Так как основной целью использования > AD была именно авторизация, я посчитал, что задача выполнена. > При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка > формата admin1@dc.com я закинул ее в sudoers.conf и уже из под > нее установил irc > Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая > папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, > используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что > профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен > тем, что в "пользователях и группах" доменных пользователей не вижу. Но > все же, как можно было бы избежать подобной некрасивости? Я разберусь > с настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, > и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак > не делали безобразий), разберусь с udev и всеми типа монтирования юсб > и прочих устройств, но вот эта ситуация с "профилями" просто выбила > из коллеи. > Если можно, подскажите, как подобного избежать. > Всем добра. Не судите строго, я только перехожу на сторону добра и > света. > Спасибо!
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру