Ubuntu: nefunkční integrace s Active Directory

Ubuntu: nefunkční integrace s Active Directory
« kdy: 24. 04. 2021, 19:07:14 »
Zdravím,

tak jsem si šel otestovat to slavné group policy v Ubuntu 21.04. Určitě nejsem jediný, kdo na to byl zvědavý. Mám testovací Zential, tak jsem to připojil k němu.

Login neprojde, ačkoli připojení k doméně prošlo bez problému. V sssd logu je sigterm, killing children a přihlášení se jen vrátí do promptu pro heslo, jako by bylo prostě špatně. Uživatele to ale z DC vytáhne, po zadání loginu zůstane v účtech k přihlášení jméno a příjmení daného uživatele. Je jedno, v jakých skupinách ten uživatel je.

Byl někdo úspěšnější?
« Poslední změna: 24. 04. 2021, 19:49:52 od Petr Krčmář »


Re:Ubuntu AD
« Odpověď #1 kdy: 24. 04. 2021, 19:19:34 »
Tak už to funguje, je potřeba do sssd configu přidat:
Kód: [Vybrat]
ad_gpo_access_control = permissive
Tak nevím, jak moc to testovali. :) Dokonce jsem to dvakrát přeinstaloval, zdá se, že to fakt dělají všechny instalace.

Re:Ubuntu: nefunkční integrace s Active Directory
« Odpověď #2 kdy: 24. 04. 2021, 20:15:52 »
Navíc se mi nedaří nějak vysloveně snadno přidat sudoery, tak zatím mě ta použitelnost nějak nenadchla. A to jsem se na to vážně těšil.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:Ubuntu: nefunkční integrace s Active Directory
« Odpověď #3 kdy: 25. 04. 2021, 12:26:14 »
Ja mám Ubuntu 20.04 pripojené k AD bežiacej na Synology (t.j. Samba pod kapotou). Keďže je to 20.04, tak je ešte bez adsys.

Pripojenie do domény bolo robené cez realm join, v sssd.conf boli len kozmetické dolaďovačky:

Kód: [Vybrat]
fallback_homedir = /home/%u
use_fully_qualified_names = False
ldap_user_gecos = displayName

Active Directory bežne sudoers nerieši vôbec, to je jeden z rozdielov, čo FreeIPA rieši a AD nie. Takže sudoers som dopĺňal ručne, ako aj adminov pre PolKit (to sú tie GUI dialógy pre autentifikáciu admina, napr. v Gnome Software alebo v Gnome Disks).

Funguje mi to už asi rok, bolo treba trochu doladiť (napr. mkhomedir v 20.04 na ZFS nevytvára subvolume pre home dirs userov, to opravili až v 20.10, browsery by default nepoužívajú spnego a treba ho povoliť), jediný zostávajúci problém je bug v gvfsd, ktorý je spúšťaný pri logine príliš skoro, ešte neexistuje KRB5CCNAME a potom nevie o existencii kerberos ticketov.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:Ubuntu: nefunkční integrace s Active Directory
« Odpověď #4 kdy: 25. 04. 2021, 12:40:49 »
Ešte jeden detail, ktorý môže/nemusí súvisieť so zamietnutým loginom: nestačí pripojiť počítač do domény, treba povoliť prihlasovanie doménovým používateľom. Robí sa to cez realm permit. Malo by fungovať realm permit --all pre všetkých, ale v 20.04 mi to nešlo, fungovalo mi realm permit username pre vymenovaných používateľov.