Fórum Root.cz

Hlavní témata => Distribuce => Téma založeno: veskotskujehnusne 24. 04. 2021, 19:07:14

Název: Ubuntu: nefunkční integrace s Active Directory
Přispěvatel: veskotskujehnusne 24. 04. 2021, 19:07:14
Zdravím,

tak jsem si šel otestovat to slavné group policy v Ubuntu 21.04. Určitě nejsem jediný, kdo na to byl zvědavý. Mám testovací Zential, tak jsem to připojil k němu.

Login neprojde, ačkoli připojení k doméně prošlo bez problému. V sssd logu je sigterm, killing children a přihlášení se jen vrátí do promptu pro heslo, jako by bylo prostě špatně. Uživatele to ale z DC vytáhne, po zadání loginu zůstane v účtech k přihlášení jméno a příjmení daného uživatele. Je jedno, v jakých skupinách ten uživatel je.

Byl někdo úspěšnější?
Název: Re:Ubuntu AD
Přispěvatel: veskotskujehnusne 24. 04. 2021, 19:19:34
Tak už to funguje, je potřeba do sssd configu přidat:
Kód: [Vybrat]
ad_gpo_access_control = permissive
Tak nevím, jak moc to testovali. :) Dokonce jsem to dvakrát přeinstaloval, zdá se, že to fakt dělají všechny instalace.
Název: Re:Ubuntu: nefunkční integrace s Active Directory
Přispěvatel: veskotskujehnusne 24. 04. 2021, 20:15:52
Navíc se mi nedaří nějak vysloveně snadno přidat sudoery, tak zatím mě ta použitelnost nějak nenadchla. A to jsem se na to vážně těšil.
Název: Re:Ubuntu: nefunkční integrace s Active Directory
Přispěvatel: ja. 25. 04. 2021, 12:26:14
Ja mám Ubuntu 20.04 pripojené k AD bežiacej na Synology (t.j. Samba pod kapotou). Keďže je to 20.04, tak je ešte bez adsys.

Pripojenie do domény bolo robené cez realm join, v sssd.conf boli len kozmetické dolaďovačky:

Kód: [Vybrat]
fallback_homedir = /home/%u
use_fully_qualified_names = False
ldap_user_gecos = displayName

Active Directory bežne sudoers nerieši vôbec, to je jeden z rozdielov, čo FreeIPA rieši a AD nie. Takže sudoers som dopĺňal ručne, ako aj adminov pre PolKit (to sú tie GUI dialógy pre autentifikáciu admina, napr. v Gnome Software alebo v Gnome Disks).

Funguje mi to už asi rok, bolo treba trochu doladiť (napr. mkhomedir v 20.04 na ZFS nevytvára subvolume pre home dirs userov, to opravili až v 20.10, browsery by default nepoužívajú spnego a treba ho povoliť), jediný zostávajúci problém je bug v gvfsd (https://bugs.launchpad.net/ubuntu/+source/gvfs/+bug/1779890), ktorý je spúšťaný pri logine príliš skoro, ešte neexistuje KRB5CCNAME a potom nevie o existencii kerberos ticketov.
Název: Re:Ubuntu: nefunkční integrace s Active Directory
Přispěvatel: ja. 25. 04. 2021, 12:40:49
Ešte jeden detail, ktorý môže/nemusí súvisieť so zamietnutým loginom: nestačí pripojiť počítač do domény, treba povoliť prihlasovanie doménovým používateľom. Robí sa to cez realm permit. Malo by fungovať realm permit --all pre všetkých, ale v 20.04 mi to nešlo, fungovalo mi realm permit username pre vymenovaných používateľov.