|
|
#!/usr/bin/bash
|
|
|
export LANG=C.UTF-8
|
|
|
|
|
|
f_version() {
|
|
|
echo -e '
|
|
|
Сценарий ввода РЕД ОС в домен Windows/SAMBA, FreeIPA
|
|
|
Версия: 0.6.7
|
|
|
Последнее обновление: 14.03.2024
|
|
|
|
|
|
(c) РЕД СОФТ
|
|
|
'
|
|
|
}
|
|
|
join_check=`/bin/mktemp /tmp/join_check.XXXXXX`
|
|
|
|
|
|
# Считываем входные параметры в переменные
|
|
|
while [ -n "$1" ]; do
|
|
|
case "$1" in
|
|
|
-d)
|
|
|
v_domain=$2 # Имя домена
|
|
|
;;
|
|
|
-n)
|
|
|
v_name_pc=$2 # Имя ПК
|
|
|
;;
|
|
|
-u)
|
|
|
v_admin=$2 # Имя администратора домена
|
|
|
;;
|
|
|
-p)
|
|
|
v_pass_admin=$2 # Пароль администратора домена
|
|
|
;;
|
|
|
--ou)
|
|
|
v_ou=$2 # Имя подразделения
|
|
|
;;
|
|
|
--dc)
|
|
|
v_kdc=$2 # Имя(FQDN) контроллера домена
|
|
|
;;
|
|
|
--wg)
|
|
|
wg=$2 # Имя домена (пред-Windows 2000)
|
|
|
;;
|
|
|
-w)
|
|
|
winbind=$@
|
|
|
;;
|
|
|
-y)
|
|
|
yes=$@ # Подтверждение
|
|
|
;;
|
|
|
-f|--force)
|
|
|
force=$@ # Ввод в домен под своим прежним именем ПК
|
|
|
;;
|
|
|
--delete-computer)
|
|
|
del_pc=$@
|
|
|
;;
|
|
|
--lower-case)
|
|
|
lower_case=$@ # Имя пользователя в нижнем регистре
|
|
|
;;
|
|
|
--save-case)
|
|
|
save_case=$@ # Имя пользователя с сохранением регистра, как в AD
|
|
|
;;
|
|
|
--rc)
|
|
|
remove_cache=$@ # Удалить кэш sssd
|
|
|
;;
|
|
|
--dns-auth-none)
|
|
|
dns_auth_none=$@ # Параметр определяет, что при динамической регистрации DNS адреса не требуется аутентификация на сервере.
|
|
|
;;
|
|
|
--sg)
|
|
|
sg_domain_admins_sudo=$2 # Предоставить права доменной группе пользователей использовать "sudo" для выполнения команд с привилегиями суперпользователя.
|
|
|
;;
|
|
|
--sk)
|
|
|
ssh_krb5=$@ # Включить на SSH-сервере поддержку аутентификации пользователей домена с использованием kerberos.
|
|
|
;;
|
|
|
-g|--gui)
|
|
|
gui=$@
|
|
|
;;
|
|
|
-h|--help)
|
|
|
help=$@
|
|
|
;;
|
|
|
-v|--version)
|
|
|
version=$@
|
|
|
;;
|
|
|
esac
|
|
|
shift
|
|
|
done
|
|
|
|
|
|
RED='\033[1;31m'
|
|
|
YEL='\033[1;33m'
|
|
|
BLU='\033[1;34m'
|
|
|
GREEN='\033[0;32m'
|
|
|
NC='\033[0m' # No Color
|
|
|
|
|
|
f_help() {
|
|
|
echo -e '
|
|
|
Скрипт позволяет ввести копмьютер в домен Windows(2008/2012/2016/2019/2022), SAMBA или домен IPA.
|
|
|
Скрипт необходимо запускать с правами пользователя root.
|
|
|
Параметры:
|
|
|
-d Имя домена
|
|
|
-n Имя компьютера
|
|
|
-u Имя администратора домена
|
|
|
-p Пароль администратора домена
|
|
|
--ou Имя подразделения компьютера (OU), формат ввода "OU=МоиПК,OU=ОтделIT". Порядок указания OU снизу вверх
|
|
|
--dc Имя контроллера домена
|
|
|
-w Позволяет ввести в домен, используя Winbind (по умолчанию применяется SSSD)
|
|
|
-y Автоматическое подтверждение запросов на выполнение действий при работе скрипта с параметрами
|
|
|
-f, --force Принудительный ввод в домен (вывод из домена) под своим прежним именем ПК
|
|
|
(игнорируется существующая учетная запись ПК в домене)
|
|
|
--lower-case Имя пользователя в нижнем регистре
|
|
|
--save-case Имя пользователя с сохранением регистра, как в AD
|
|
|
--rc Удалить кэш sssd
|
|
|
--dns-auth-none Параметр определяет, что при динамической регистрации DNS адреса не требуется аутентификация на сервере DNS
|
|
|
--wg Указать "Имя домена (пред-Windows 2000)", необязательный ключ
|
|
|
--sg Предоставить права доменной группе пользователей использовать "sudo" для выполнения команд с привилегиями суперпользователя.
|
|
|
--sk Включить на SSH-сервере поддержку аутентификации пользователей домена с использованием kerberos.
|
|
|
--delete-computer Удалить учётную запись ПК из домена (не выводит сам ПК из домена), см. пример №3
|
|
|
-g, --gui Запустить скрипт с графическим интерфейсом
|
|
|
-h, --help Показать справку
|
|
|
-v, --version Показать версию
|
|
|
|
|
|
Пример №1 - запуск с параметрами (для Windows/SAMBA):
|
|
|
join-to-domain.sh -d <domain_name> -n <pc_name> -u <admin_login> -p <password> -y
|
|
|
join-to-domain.sh -d <domain_name> -n <pc_name> -u <admin_login> --dc <domain_controller> -y
|
|
|
|
|
|
Пример №2 - ввод в домен с добавлением ПК в OU:
|
|
|
join-to-domain.sh -d <domain_name> -n <pc_name> -u <admin_login> -p <password> --ou "OU=МоиПК,OU=ОтделIT" -y
|
|
|
|
|
|
Пример №3 - ввод в домен и предоставление прав доменной группе пользователей использовать "sudo":
|
|
|
join-to-domain.sh -d <domain_name> -n <pc_name> -u <admin_login> -p <password> --sg "Администраторы домена" -y
|
|
|
|
|
|
Пример №4 - удаление учетной записи ПК с подключением к определенному контроллеру:
|
|
|
join-to-domain.sh --delete-computer -u <admin_login> -d <domain_name> --dc <domain_controller> -n <pc_name>
|
|
|
|
|
|
Журнал событий: /var/log/join-to-domain.log
|
|
|
|
|
|
'
|
|
|
}
|
|
|
|
|
|
if [ -n "$help" ]
|
|
|
then f_help
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
if [ -n "$version" ]
|
|
|
then f_version
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
# Проверка запуска скрипта от root
|
|
|
if [ "$(id -u)" != "0" ]; then
|
|
|
echo
|
|
|
echo -e " Ввод компьютера в домен Windows (2008/2012/2016/2019/2022), SAMBA и домен IPA
|
|
|
Запустите скрипт с правами пользователя root."
|
|
|
echo
|
|
|
exit 1
|
|
|
fi
|
|
|
|
|
|
# Удаление кэша sssd
|
|
|
if [ -n "$remove_cache" ]; then
|
|
|
echo " Удаление кэша sssd ..."
|
|
|
systemctl stop sssd ; rm -rf /var/lib/sss/{db,mc}/* ; systemctl start sssd
|
|
|
rm -rf /tmp/krb5cc_*
|
|
|
echo " Выполнено! Завершите сеанс текущего доменного пользователя."
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
|
|
|
v_admin=${v_admin%%@*} # обрезаем все, что идет после @
|
|
|
|
|
|
# Если ключ --delete-computer, то удаляем УЗ ПК из домена
|
|
|
if [ -n "$del_pc" ]
|
|
|
then
|
|
|
if [[ -z "$v_admin" ]]
|
|
|
then echo -e " ${RED}Ошибка. Введите имя администратора домена. Используйте параметр -u${NC}"
|
|
|
exit 1;
|
|
|
elif [[ -z "$v_name_pc" ]]
|
|
|
then echo -e " ${RED}Ошибка. Введите имя ПК. Используйте параметр -n${NC}"
|
|
|
exit 1;
|
|
|
elif [[ -z "$v_domain" ]]
|
|
|
then echo -e " ${RED}Ошибка. Введите имя домена. Используйте параметр -d${NC}"
|
|
|
exit 1;
|
|
|
fi
|
|
|
echo -e "" &>> /var/log/join-to-domain.log
|
|
|
echo -e 'Deleting a PC account' &>> /var/log/join-to-domain.log
|
|
|
if [ -n "$v_kdc" ]
|
|
|
then
|
|
|
adcli delete-computer -U $v_admin -S $v_kdc --domain=$v_domain $v_name_pc
|
|
|
echo -e 'End Deleting PC' &>> /var/log/join-to-domain.log
|
|
|
echo -e "" &>> /var/log/join-to-domain.log
|
|
|
else
|
|
|
adcli delete-computer -U $v_admin --domain=$v_domain $v_name_pc
|
|
|
echo -e 'End Deleting PC' &>> /var/log/join-to-domain.log
|
|
|
echo -e "" &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
v_date_time=$(date '+%d-%m-%y_%H:%M:%S')
|
|
|
echo -e "\n * * * * * * * * * * *\n Время запуска скрипта: $v_date_time" &>> /var/log/join-to-domain.log
|
|
|
f_version &>> /var/log/join-to-domain.log
|
|
|
uname -a &>> /var/log/join-to-domain.log
|
|
|
lsb_release -a &>> /var/log/join-to-domain.log
|
|
|
echo " " &>> /var/log/join-to-domain.log
|
|
|
|
|
|
if [ -n "$gui" ]; then
|
|
|
if [ ! -f /usr/bin/yad ]; then
|
|
|
zenity --error --text "Для работы приложения в графическом режиме\nтребуется YAD(display GTK+ dialogs in shell scripts).\nУстановка:\ndnf install yad" --no-wrap &> /dev/null
|
|
|
exit
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
|
|
|
# Функция вызова вопроса о продолжении выполнения сценария
|
|
|
myAsk() {
|
|
|
local prompt=" Продолжить выполнение (y/n)? "
|
|
|
if [ -n "$gui" ] || [ -n "$yes" ]; then
|
|
|
return 0
|
|
|
fi
|
|
|
|
|
|
while true; do
|
|
|
read -p "$prompt" answer
|
|
|
case "$answer" in
|
|
|
[Yy]* )
|
|
|
return 0
|
|
|
;;
|
|
|
[Nn]* )
|
|
|
exit
|
|
|
;;
|
|
|
* )
|
|
|
echo " Ответьте yes или no"
|
|
|
;;
|
|
|
esac
|
|
|
done
|
|
|
}
|
|
|
|
|
|
# Синхронизация времени с контроллером домена
|
|
|
chrony_conf()
|
|
|
{
|
|
|
systemctl is-active --quiet systemd-timesyncd && systemctl disable systemd-timesyncd --now &> /dev/null
|
|
|
v_date_time=$(date '+%d-%m-%y_%H-%M-%S')
|
|
|
cp /etc/chrony.conf /etc/chrony.conf.$v_date_time
|
|
|
sed -i '/server/d' /etc/chrony.conf
|
|
|
sed -i '/pool/d' /etc/chrony.conf
|
|
|
sed -i '/maxdistance/d' /etc/chrony.conf
|
|
|
echo 'pool '$v_domain' iburst prefer' >> /etc/chrony.conf
|
|
|
#echo 'server '$dc' iburst' >> /etc/chrony.conf
|
|
|
#echo 'maxdistance 16.0' >> /etc/chrony.conf
|
|
|
systemctl restart chronyd
|
|
|
}
|
|
|
|
|
|
f_choce_pill() {
|
|
|
while true; do
|
|
|
# Если запущено с gui, то не спрашивать...выполнить break
|
|
|
if [ -n "$gui" ]; then
|
|
|
break
|
|
|
fi
|
|
|
if [ -n "$yes" ]; then
|
|
|
choce_domain=1
|
|
|
break
|
|
|
fi
|
|
|
echo -e "\n Выберите тип домена:"
|
|
|
echo " 1. Ввод компьютера в домен Windows/SAMBA"
|
|
|
echo " 2. Ввод компьютера в домен IPA"
|
|
|
read -p " Укажите (1 или 2): " choce_domain
|
|
|
case $choce_domain in
|
|
|
[1]* ) return $choce_domain; break;;
|
|
|
[2]* ) return $choce_domain; break;;
|
|
|
[Nn]* ) exit;;
|
|
|
* )
|
|
|
printf "%s\n" "Ошибка: введено некорректное значение."
|
|
|
continue;;
|
|
|
esac
|
|
|
done
|
|
|
}
|
|
|
|
|
|
|
|
|
# Проверка доступности домена
|
|
|
f_realm_discover()
|
|
|
{
|
|
|
realm discover $v_domain &> /dev/null
|
|
|
if [ $? -ne 0 ]; then
|
|
|
echo -e ${RED}'\n Домен '${NC}${GREEN}$v_domain${NC}${RED}' недоступен! Проверьте настройки сети.'${NC}
|
|
|
echo -e ' Домен '$v_domain' недоступен! Проверьте настройки сети.' &>> /var/log/join-to-domain.log
|
|
|
exit 1
|
|
|
else
|
|
|
echo -e ' Домен '${GREEN}$v_domain${NC}' доступен!'
|
|
|
echo -e ' Домен '$v_domain' доступен!' &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
}
|
|
|
|
|
|
# Функция проверки имени ПК
|
|
|
checkname()
|
|
|
{
|
|
|
if [[ $(grep -P '(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,14}[a-zA-Z0-9\-])+[a-zA-Z0-9])$)' <<< $v_name_pc) && ${#v_name_pc} -le 15 ]]
|
|
|
then
|
|
|
check_name="true"
|
|
|
fi
|
|
|
if [ "$v_name_pc" != "$1" ] && [ "$check_name" = "true" ];
|
|
|
then true
|
|
|
else echo -e "\n ${RED}Ошибка! Недопустимое имя ПК!${NC}"
|
|
|
echo -e " Разрешены символы латинского алфавита(A-Z,a-z), цифры(0-9) и дефис(-). Имя не должно превышать более 15 символов."
|
|
|
echo -e " Ошибка! Недопустимое имя ПК!" &>> /var/log/join-to-domain.log
|
|
|
exit 1
|
|
|
fi
|
|
|
}
|
|
|
|
|
|
# Функция проверки прохождения аутентификации и существования ПК в домене
|
|
|
check_domain_name()
|
|
|
{
|
|
|
#$1 - v_admin
|
|
|
#$2 - v_domain
|
|
|
#$3 - v_name_pc
|
|
|
#$4 - v_pass_admin
|
|
|
rm -f $join_check
|
|
|
check=$(adcli show-computer -U $1 --domain=$2 $3 --stdin-password <<< $4 &> $join_check)
|
|
|
v_check=$(cat $join_check)
|
|
|
echo " Проверка аутентификации в домене:" &>> /var/log/join-to-domain.log
|
|
|
cat $join_check &>> /var/log/join-to-domain.log
|
|
|
if grep -Pq "sAMAccountName" <<< "$v_check";
|
|
|
then
|
|
|
if [[ -n "$force" ]]; then
|
|
|
echo -e ${YEL}"\n В домене уже существует компьютер "${NC}${GREEN}$3${NC}
|
|
|
echo -e " Предупреждение! В домене уже существует компьютер "$3 &>> /var/log/join-to-domain.log
|
|
|
if [[ -n "$v_ou" ]]; then
|
|
|
unset v_ou
|
|
|
fi
|
|
|
elif [[ -n "$v_pass_admin_gui" ]]; then
|
|
|
zenity --warning --text 'В домене уже существует компьютер '$v_name_pc' \nудалите данную учетную запись компьютера в домене или укажите иное имя ПК.' \
|
|
|
--no-wrap &> /dev/null
|
|
|
echo -e " Ошибка! В домене уже существует компьютер "$v_name_pc &>> /var/log/join-to-domain.log
|
|
|
#f_create_form &> /dev/null
|
|
|
else
|
|
|
echo -e ${RED}"\n В домене уже существует компьютер "${NC}${GREEN}$3${NC}
|
|
|
echo -e " Ошибка! В домене уже существует компьютер "$3 &>> /var/log/join-to-domain.log
|
|
|
echo -e ${RED}" Удалите данную учетную запись компьютера в домене или укажите иное имя ПК."${NC}
|
|
|
echo -e " Удалите данную учетную запись компьютера в домене или укажите иное имя ПК." &>> /var/log/join-to-domain.log
|
|
|
echo
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
if grep -Pq "Couldn't authenticate" <<< "$v_check";
|
|
|
then
|
|
|
if [[ -n "$v_pass_admin_gui" ]];
|
|
|
then
|
|
|
zenity --warning --text 'Неверное имя администратора домена или пароль!' --no-wrap &> /dev/null
|
|
|
echo -e " Ошибка! Неверное имя администратора домена или пароль! " &>> /var/log/join-to-domain.log
|
|
|
#f_create_form &> /dev/null
|
|
|
else
|
|
|
echo -e ${RED}"\n Неверное имя администратора домена или пароль! "${NC}
|
|
|
echo -e " Ошибка! Неверное имя администратора домена или пароль! " &>> /var/log/join-to-domain.log
|
|
|
echo
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
}
|
|
|
|
|
|
|
|
|
# Настройка /etc/security/pam_winbind.conf
|
|
|
settings_pam_winbind()
|
|
|
{
|
|
|
sed -i -e 's\;cached_login\cached_login\g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
sed -i -e '/^cached_login/s/no/yes/g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
sed -i -e 's\;krb5_ccache_type =\krb5_ccache_type = FILE\g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
sed -i -e 's\;warn_pwd_expire\warn_pwd_expire\g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
sed -i -e 's\;krb5_auth\krb5_auth\g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
sed -i -e '/^krb5_auth/s/no/yes/g' /etc/security/pam_winbind.conf &>> /var/log/join-to-domain.log
|
|
|
}
|
|
|
|
|
|
f_create_form_choce_pill () {
|
|
|
data=( $(zenity --list --radiolist --title="Ввод в домен" \
|
|
|
--text="Выберите в какой домен добавить ПК" \
|
|
|
--column="" \
|
|
|
--column="Домен" TRUE "Домен Windows/Samba" FALSE "Домен IPA" ))
|
|
|
|
|
|
# Если zenity NO, то выход из скрипта
|
|
|
if [ $? -eq 1 ]; then
|
|
|
exit
|
|
|
fi
|
|
|
v_0=${data[0]}
|
|
|
v_1=${data[1]}
|
|
|
|
|
|
# Если samba
|
|
|
if [ "$v_1" = "Windows/Samba" ]; then
|
|
|
select_pill='SAMBA'
|
|
|
fi
|
|
|
# Если IPA
|
|
|
if [ "$v_1" = "IPA" ]; then
|
|
|
select_pill='IPA'
|
|
|
fi
|
|
|
|
|
|
}
|
|
|
|
|
|
|
|
|
# Функция создания формы ввода в домен IPA
|
|
|
f_create_form_IPA () {
|
|
|
data_ipa=( $(zenity --forms --separator=" " \
|
|
|
--title="Ввод в домен FreeIPA" \
|
|
|
--text="Ввод компьютера в домен IPA" \
|
|
|
--add-entry="Имя домена:" \
|
|
|
--add-entry="Имя компьютера:" \
|
|
|
--add-entry="Имя администратора домена:" \
|
|
|
--add-password="Пароль администратора:" \
|
|
|
--ok-label="Да" \
|
|
|
--cancel-label="Отмена") )
|
|
|
|
|
|
# Если zenity NO, то выход из скрипта
|
|
|
if [ $? -eq 1 ]; then
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
v_domain=${data_ipa[0]}
|
|
|
v_name_pc=${data_ipa[1]}
|
|
|
v_admin_ipa=${data_ipa[2]}
|
|
|
v_pass_admin_ipa=${data_ipa[3]}
|
|
|
|
|
|
# Проверка доступности домена
|
|
|
realm discover $v_domain &> /dev/null
|
|
|
if [ $? -ne 0 ];
|
|
|
then zenity --warning --text 'Домен '$v_domain' недоступен! Проверьте настройки сети.' --no-wrap &> /dev/null
|
|
|
f_create_form_IPA &> /dev/null
|
|
|
fi
|
|
|
|
|
|
# Проверка имени компьютера
|
|
|
if [[ $(grep -P '(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,14}[a-zA-Z0-9\-])+[a-zA-Z0-9])$)' <<< $v_name_pc) && ${#v_name_pc} -le 15 ]]
|
|
|
then
|
|
|
echo " Имя ПК: $v_name_pc"
|
|
|
else
|
|
|
zenity --warning --text "Ошибка! Недопустимое имя ПК!" --no-wrap &> /dev/null
|
|
|
f_create_form_IPA &> /dev/null
|
|
|
fi
|
|
|
}
|
|
|
|
|
|
|
|
|
# Функция создания файла krb5.conf, определение имени домена и контроллера
|
|
|
f_create_krb5()
|
|
|
{
|
|
|
|
|
|
dc=$(adcli info $v_domain|grep "domain-controller ="| awk '{print $3}')
|
|
|
# Короткое имя домена
|
|
|
v_short_domen=$(cut -d'.' -f2 <<< "$dc")
|
|
|
v_short_dc=$(cut -d'.' -f1 <<< "$dc") # Короткое имя контроллера домена
|
|
|
# Короткое имя домена в верхнем регистре
|
|
|
#v_BIG_SHORT_DOMEN=$(tr [:lower:] [:upper:] <<< "$v_short_domen")
|
|
|
v_BIG_SHORT_DOMEN=$(adcli info "$v_domain" | awk -F ' = ' '/domain-short/ {print $2}')
|
|
|
# Полное имя домена в верхнем регистре
|
|
|
#v_BIG_DOMAIN=$(tr [:lower:] [:upper:] <<< "$v_domain")
|
|
|
v_BIG_DOMAIN=${v_domain^^}
|
|
|
domainname=$(domainname -d)
|
|
|
cp /etc/krb5.conf /etc/krb5.conf.$v_date_time
|
|
|
echo -e ' ' >> /var/log/join-to-domain.log
|
|
|
echo -e 'Информация о домене:' >> /var/log/join-to-domain.log
|
|
|
adcli info $v_domain &>> /var/log/join-to-domain.log
|
|
|
echo -e ' ' >> /var/log/join-to-domain.log
|
|
|
|
|
|
if [[ -z "$v_kdc" ]]; then
|
|
|
str_pdc=" pdc " # Основной DC
|
|
|
str_closest=" closest " # Ближайший DC
|
|
|
str_writable=" writable "
|
|
|
string=$(adcli info $v_domain | grep "domain-controllers =" | sed s'/domain-controllers =//g')
|
|
|
IFS=' ' read -r -a array <<< "$string"
|
|
|
for i in "${array[@]}"
|
|
|
do
|
|
|
full_str=$(adcli info --domain-controller=$i | grep "domain-controller-flags =")
|
|
|
if [[ "$full_str" == *"$str_pdc"* ]]; then
|
|
|
krb5_kdc1="kdc = $i"
|
|
|
kdc1=$i
|
|
|
fi
|
|
|
if [[ "$full_str" == *"$str_closest"* ]] && [[ "$full_str" != *"$str_pdc"* ]]; then
|
|
|
krb5_kdc2="kdc = $i"
|
|
|
kdc2=", $i, _srv_"
|
|
|
fi
|
|
|
done
|
|
|
else
|
|
|
kdc1=$v_kdc
|
|
|
krb5_kdc1="kdc = $v_kdc"
|
|
|
fi
|
|
|
|
|
|
# Добавление поддержки rc4-hmac
|
|
|
echo -e '[libdefaults]
|
|
|
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
' > /etc/krb5.conf.d/crypto-policies
|
|
|
|
|
|
echo -e 'includedir /etc/krb5.conf.d/
|
|
|
|
|
|
[logging]
|
|
|
default = FILE:/var/log/krb5libs.log
|
|
|
kdc = FILE:/var/log/krb5kdc.log
|
|
|
admin_server = FILE:/var/log/kadmind.log
|
|
|
|
|
|
[libdefaults]
|
|
|
default_realm = '$v_BIG_DOMAIN'
|
|
|
# Отключить поиск kerberos-имени домена через DNS
|
|
|
dns_lookup_realm = false
|
|
|
# Включить поиск kerberos-настроек домена через DNS
|
|
|
dns_lookup_kdc = true
|
|
|
ticket_lifetime = 24h
|
|
|
renew_lifetime = 7d
|
|
|
forwardable = true
|
|
|
rdns = false
|
|
|
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
|
|
|
spake_preauth_groups = edwards25519
|
|
|
# Файл кэша билетов (credential cache) для системы Kerberos
|
|
|
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
|
|
|
|
|
|
|
|
|
# Список предпочтительных методов шифрования (encryption types), которые будут использоваться для билетов, запрашиваемых у Ticket Granting Server (TGS).
|
|
|
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
# Список предпочтительных методов шифрования для TGT (Ticket Granting Ticket), который получается при аутентификации.
|
|
|
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
# Список предпочтительных методов шифрования, которые система Kerberos будет предпочитать при установке защищенных соединений и при обмене билетами.
|
|
|
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
|
|
|
|
|
|
[realms]
|
|
|
'$v_BIG_DOMAIN' = {
|
|
|
# Key Distribution Center (KDC)
|
|
|
'$krb5_kdc1'
|
|
|
'$krb5_kdc2'
|
|
|
# Сервер администрирования. Обычно это главный сервер Kerberos.
|
|
|
admin_server = '$kdc1'
|
|
|
# Имя домена
|
|
|
default_domain = '$v_domain'
|
|
|
}
|
|
|
|
|
|
[domain_realm]
|
|
|
.'$v_domain' = '$v_BIG_DOMAIN'
|
|
|
'$v_domain' = '$v_BIG_DOMAIN'
|
|
|
' > /etc/krb5.conf
|
|
|
|
|
|
}
|
|
|
|
|
|
# Основная форма окна на PyQt
|
|
|
f_create_form_qt () {
|
|
|
result=$(python3 /usr/share/join-to-domain/form-join-to-domain.py)
|
|
|
# Разбиение строки на переменные
|
|
|
IFS=',' read -ra values <<< "$result"
|
|
|
v_domain=${values[0]}
|
|
|
v_name_pc=${values[1]}
|
|
|
v_admin=${values[2]}
|
|
|
v_pass_admin_gui=${values[3]}
|
|
|
# Дополнительные параметры для sssd.conf
|
|
|
param1=${values[4]}
|
|
|
param2=${values[5]}
|
|
|
param3=${values[6]}
|
|
|
}
|
|
|
|
|
|
# Функция создания формы ввода в домен Windows/Samba
|
|
|
f_create_form () {
|
|
|
v_domain=`cat /etc/resolv.conf |grep -i '^search'|head -n1|cut -d ' ' -f2`
|
|
|
if [[ -z $v_name_pc ]]; then
|
|
|
if [[ `hostname -s` = "localhost" ]]; then
|
|
|
v_name_pc=" "
|
|
|
else v_name_pc=`hostname -s`
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
data=( $(yad --on-top --width=420 --title="Ввод в домен" --text="<b>Ввод компьютера в домен:</b>" \
|
|
|
--form --separator=" " --item-separator="," \
|
|
|
--field="Имя домена:" "$v_domain" \
|
|
|
--field="Имя компьютера:" "$v_name_pc" \
|
|
|
--field="Имя администратора:" "$v_admin" \
|
|
|
--field="Пароль администратора:":H "$v_pass_admin_gui" \
|
|
|
--button="Отмена:1" --button="ОК:0"
|
|
|
) )
|
|
|
exit_code=$?
|
|
|
# Выход
|
|
|
if [[ $exit_code -eq 1 ]]; then
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
v_domain=${data[0]}
|
|
|
v_name_pc=${data[1]}
|
|
|
v_admin=${data[2]%%@*} # обрезаем все, что идет после @
|
|
|
v_pass_admin_gui=${data[3]}
|
|
|
|
|
|
# Проверка полей
|
|
|
if [[ -z "$v_name_pc" || -z "$v_admin" || -z "$v_pass_admin_gui" || -z "$v_domain" ]]; then
|
|
|
zenity --warning --text "Заполните все поля формы ввода в домен." --no-wrap &> /dev/null
|
|
|
f_create_form &> /dev/null
|
|
|
fi
|
|
|
|
|
|
|
|
|
# Проверка имени компьютера
|
|
|
if [[ $(grep -P '(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,14}[a-zA-Z0-9\-])+[a-zA-Z0-9])$)' <<< $v_name_pc) && ${#v_name_pc} -le 15 ]]
|
|
|
then
|
|
|
echo " Имя ПК: $v_name_pc"
|
|
|
else
|
|
|
zenity --warning --text " Ошибка! Недопустимое имя ПК! \n Разрешены символы латинского алфавита(A-Z,a-z), цифры(0-9) и дефис(-).\n Имя не должно превышать более 15 символов." --no-wrap
|
|
|
echo " Ошибка! Недопустимое имя ПК!" &>> /var/log/join-to-domain.log
|
|
|
f_create_form &> /dev/null
|
|
|
fi
|
|
|
echo " Имя ПК: $v_name_pc"
|
|
|
|
|
|
# Проверка доступности домена
|
|
|
realm discover $v_domain &> /dev/null
|
|
|
if [ $? -ne 0 ];
|
|
|
then zenity --warning --text "Домен $v_domain недоступен! Проверьте настройки сети." --no-wrap &> /dev/null
|
|
|
f_create_form &> /dev/null
|
|
|
fi
|
|
|
|
|
|
# Вызов функции формирования krb5.conf
|
|
|
f_create_krb5
|
|
|
|
|
|
if [ "$v_name_pc" != "$v_short_dc" ];
|
|
|
then
|
|
|
echo " Имя ПК: $v_name_pc"
|
|
|
else
|
|
|
zenity --warning --text "Ошибка! Имя ПК '$v_name_pc' не должно совпадать с именем контроллера домена!" --no-wrap &> /dev/null
|
|
|
echo -e " Ошибка! Имя ПК ('$v_name_pc') не должно совпадать с именем контроллера домена!" &>> /var/log/join-to-domain.log
|
|
|
f_create_form &> /dev/null
|
|
|
fi
|
|
|
|
|
|
# ----- Проверка существования ПК в домене и проверка аутентификации -----
|
|
|
check_domain_name $v_admin $v_domain $v_name_pc $v_pass_admin_gui
|
|
|
}
|
|
|
|
|
|
|
|
|
f_msg_exit_domian()
|
|
|
{
|
|
|
if [ -n "$gui" ]; then
|
|
|
zenity --info --title="Вывод из домена" --text="Компьютер выведен из домена! \nПерезагрузите ПК!" --no-wrap &> /dev/null
|
|
|
fi
|
|
|
exit;
|
|
|
}
|
|
|
|
|
|
# Down the Rabbit Hole
|
|
|
f_join_free_ipa()
|
|
|
{
|
|
|
dc=$(adcli info $v_domain|grep "domain-controller ="| awk '{print $3}')
|
|
|
chrony_conf # настройка chrony
|
|
|
hostname_ipa=$v_name_pc.$v_domain
|
|
|
hostnamectl set-hostname $hostname_ipa
|
|
|
ipa-client-install --mkhomedir --enable-dns-updates --domain=$v_domain --hostname $hostname_ipa --ntp-server=$dc -p $v_admin_ipa -w $v_pass_admin_ipa -U | tee -a /var/log/join-to-domain.log
|
|
|
sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf
|
|
|
}
|
|
|
|
|
|
|
|
|
# Функция вывода из домена
|
|
|
freedom()
|
|
|
{
|
|
|
find_ipa=$(realm list | grep server-software | awk '{ print $NF }')
|
|
|
if [ "$find_ipa" = "ipa" ]
|
|
|
then
|
|
|
echo ' Компьютер введен в домен '`domainname -d`.' Вывести компьютер из домена?' | tee -a /var/log/join-to-domain.log
|
|
|
myAsk
|
|
|
ipa-client-install --uninstall -U | tee -a /var/log/join-to-domain.log
|
|
|
successful_out_ipa=$(tail -n1 /var/log/ipaclient-uninstall.log | awk '{ print $NF }')
|
|
|
successful_out_ipa2=$(grep 'Client uninstall complete' /var/log/ipaclient-uninstall.log | awk '{ print $NF }')
|
|
|
if [[ "$successful_out_ipa" = "successful" || "$successful_out_ipa2" = "complete." ]]
|
|
|
then
|
|
|
echo ' Компьютер выведен из домена IPA. Перезагрузите ОС!' | tee -a /var/log/join-to-domain.log
|
|
|
f_msg_exit_domian
|
|
|
else
|
|
|
echo "Ошибка вывода из домена IPA, см. /var/log/ipaclient-uninstall.log" | tee -a /var/log/join-to-domain.log
|
|
|
if [ -n "$gui" ]
|
|
|
then
|
|
|
zenity --error \
|
|
|
--title="Вывод из домена IPA" \
|
|
|
--text="Ошибка вывода из домена IPA, см. /var/log/ipaclient-uninstall.log" \
|
|
|
--no-wrap &> /dev/null
|
|
|
fi
|
|
|
exit;
|
|
|
fi
|
|
|
|
|
|
fi
|
|
|
|
|
|
echo ' Компьютер введен в домен '`domainname -d`.' Вывести компьютер из домена?' | tee -a /var/log/join-to-domain.log
|
|
|
if [[ -n "$force" ]]; then
|
|
|
echo ' Применен ключ -f, учетная запись ПК не будет удалена с контроллера домена!'
|
|
|
fi
|
|
|
myAsk
|
|
|
v_delete_host=`hostname -s`
|
|
|
v_domain=`hostname -d`
|
|
|
dns=`nmcli dev show | awk '/DNS/{print $2}' | head -n1`
|
|
|
host=`hostname -s`
|
|
|
ip=`hostname -I | awk '{print $1}'`
|
|
|
|
|
|
if [ -n "$gui" ]
|
|
|
then
|
|
|
data_exit=( $(zenity --forms --separator=" " \
|
|
|
--title="Вывод из домена" \
|
|
|
--text="Удаление учетной записи ПК из домена." \
|
|
|
--add-entry="Имя администратора домена:" \
|
|
|
--add-password="Пароль администратора:" \
|
|
|
--ok-label="OK" \
|
|
|
) )
|
|
|
|
|
|
# Если zenity NO, то выход из скрипта
|
|
|
if [ $? -eq 1 ]; then
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
v_leave_admin=${data_exit[0]%%@*}
|
|
|
v_pass_admin_gui=${data_exit[1]}
|
|
|
v_pass_dns=$v_pass_admin_gui
|
|
|
# Удаление ПК из домена
|
|
|
echo -e " " &>> /var/log/join-to-domain.log
|
|
|
echo -e " ***Выполнение <adcli delete-computer>***" &>> /var/log/join-to-domain.log
|
|
|
adcli delete-computer -vvv -U $v_leave_admin --domain=$v_domain $v_delete_host --stdin-password <<< $v_pass_admin_gui &>> /var/log/join-to-domain.log
|
|
|
err_adcli=$?
|
|
|
err_str_adcli=`cat /var/log/join-to-domain.log | tail -n 1`
|
|
|
if [ $err_adcli -ne 0 ]; then
|
|
|
if echo "$err_str_adcli" | grep -q "No computer account for"; then
|
|
|
echo " Учетная запись "`hostname -s`" отсутствовала в домене"
|
|
|
else
|
|
|
zenity --error \
|
|
|
--title="Вывод из домен Windows/Samba" \
|
|
|
--text="Ошибка удаления учётной записи ПК из домена. \nВозможно логин или пароль введен неверно.\nсм. /var/log/join-to-domain.log" \
|
|
|
--no-wrap &> /dev/null
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
else
|
|
|
echo ""
|
|
|
if [[ -z "$force" ]]; then
|
|
|
echo ' Удаление учетной записи ПК из домена.'
|
|
|
read -p ' Введите имя контроллера домена или для продолжения нажмите ENTER: ' v_kdc
|
|
|
read -p ' Введите имя администратора домена: ' v_leave_admin
|
|
|
read -sp " Введите пароль администратора домена: " v_pass_admin && echo
|
|
|
v_pass_dns=$v_pass_admin
|
|
|
v_leave_admin=${v_leave_admin%%@*}
|
|
|
if [ -n "$v_kdc" ]
|
|
|
then
|
|
|
# Удаление ПК из домена
|
|
|
echo -e " " &>> /var/log/join-to-domain.log
|
|
|
echo -e " ***Выполнение <adcli delete-computer -S $v_kdc>***" &>> /var/log/join-to-domain.log
|
|
|
adcli delete-computer -vvv -U $v_leave_admin --domain=$v_domain $v_delete_host -S $v_kdc --stdin-password <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
err_adcli=$?
|
|
|
err_str_adcli=`cat /var/log/join-to-domain.log | tail -n 1`
|
|
|
else
|
|
|
# Удаление ПК из домена
|
|
|
echo -e " " &>> /var/log/join-to-domain.log
|
|
|
echo -e " ***Выполнение <adcli delete-computer>***" &>> /var/log/join-to-domain.log
|
|
|
adcli delete-computer -vvv -U $v_leave_admin --domain=$v_domain $v_delete_host --stdin-password <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
err_adcli=$?
|
|
|
err_str_adcli=`cat /var/log/join-to-domain.log | tail -n 1`
|
|
|
fi
|
|
|
if [ $err_adcli -ne 0 ]; then
|
|
|
if echo "$err_str_adcli" | grep -q "No computer account for"; then
|
|
|
echo " Учетная запись "`hostname -s`" отсутствовала в домене"
|
|
|
else
|
|
|
echo -e " ${RED}Ошибка вывода из домена, см. /var/log/join-to-domain.log${NC}"
|
|
|
echo -e " ${RED}Возможно логин или пароль введен неверно.${NC}"
|
|
|
echo -e " Ошибка вывода из домена, см. /var/log/join-to-domain.log" &>> /var/log/join-to-domain.log
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
fi
|
|
|
fi
|
|
|
echo -e " " &>> /var/log/join-to-domain.log
|
|
|
echo -e "dns:" $dns &>> /var/log/join-to-domain.log
|
|
|
echo -e "v_domain:" $v_domain &>> /var/log/join-to-domain.log
|
|
|
echo -e "ip:" $ip &>> /var/log/join-to-domain.log
|
|
|
echo -e "v_leave_admin:" $v_leave_admin &>> /var/log/join-to-domain.log
|
|
|
# Удаление DNS записи
|
|
|
echo -e " ***Выполнение <samba-tool dns delete>***" &>> /var/log/join-to-domain.log
|
|
|
HOSTNAME=$(hostname)
|
|
|
SHORT_NAME=$(echo $HOSTNAME | cut -d. -f2)
|
|
|
#UPPER_SHORT_NAME=$(echo $SHORT_NAME | tr '[:lower:]' '[:upper:]')
|
|
|
UPPER_SHORT_NAME=${SHORT_NAME^^}
|
|
|
samba-tool dns delete "$dns" "$v_domain" "$host" A "$ip" -U "$UPPER_SHORT_NAME\\$v_leave_admin"%"$v_pass_dns" -d 3 &>> /var/log/join-to-domain.log
|
|
|
#
|
|
|
cp /etc/samba/smb.conf /etc/samba/smb.conf.$v_date_time
|
|
|
realm leave -v --client-software=sssd &>> /var/log/join-to-domain.log
|
|
|
realm leave -v --client-software=winbind &>> /var/log/join-to-domain.log
|
|
|
sss_cache -E &>> /var/log/join-to-domain.log
|
|
|
kdestroy -A &>> /var/log/join-to-domain.log
|
|
|
rm -rf /tmp/krb5cc* /var/lib/sss/db/*
|
|
|
rm -f /etc/sudoers.d/domain_admins_sudo
|
|
|
echo -e '
|
|
|
[global]
|
|
|
workgroup = SAMBA
|
|
|
security = user
|
|
|
|
|
|
passdb backend = tdbsam
|
|
|
|
|
|
printing = cups
|
|
|
printcap name = cups
|
|
|
load printers = yes
|
|
|
cups options = raw
|
|
|
|
|
|
[homes]
|
|
|
comment = Home Directories
|
|
|
valid users = %S, %D%w%S
|
|
|
browseable = No
|
|
|
read only = No
|
|
|
inherit acls = Yes
|
|
|
|
|
|
[printers]
|
|
|
comment = All Printers
|
|
|
path = /var/tmp
|
|
|
printable = Yes
|
|
|
create mask = 0600
|
|
|
browseable = No
|
|
|
|
|
|
[print$]
|
|
|
comment = Printer Drivers
|
|
|
path = /var/lib/samba/drivers
|
|
|
write list = @printadmin root
|
|
|
force group = @printadmin
|
|
|
create mask = 0664
|
|
|
directory mask = 0775
|
|
|
' > /etc/samba/smb.conf
|
|
|
echo
|
|
|
echo ' Компьютер '`hostname -s`' выведен из домена.' | tee -a /var/log/join-to-domain.log
|
|
|
f_msg_exit_domian
|
|
|
}
|
|
|
|
|
|
|
|
|
# Проверка на realm list
|
|
|
result_realm=$(realm list)
|
|
|
if [ -z "$result_realm" ]
|
|
|
then echo -e '\n Ввод компьютера в домен Windows(2008/2012/2016/2019/2022), SAMBA, IPA \n'
|
|
|
echo ' Этот компьютер не в домене!' | tee -a /var/log/join-to-domain.log
|
|
|
myAsk
|
|
|
f_choce_pill
|
|
|
elif [ -n "$gui" ]
|
|
|
then (
|
|
|
zenity --question --title="Компьютер в домене!" \
|
|
|
--text="Компьютер в домене! \nВывести компьютер из домена?" \
|
|
|
--ok-label="Да" \
|
|
|
--cancel-label="Отмена" \
|
|
|
--no-wrap &> /dev/null
|
|
|
)
|
|
|
# Сохраняем значение кода возврата Zenity в переменную
|
|
|
zenity_exit=$?
|
|
|
|
|
|
# Если zenity NO, то выход из скрипта
|
|
|
if [ $zenity_exit -eq 1 ]; then
|
|
|
exit
|
|
|
fi
|
|
|
|
|
|
# Если zenity Yes, то вывод из домена
|
|
|
if [ $zenity_exit -eq 0 ]; then
|
|
|
freedom
|
|
|
fi
|
|
|
else echo
|
|
|
freedom
|
|
|
|
|
|
fi
|
|
|
|
|
|
# You have two choices
|
|
|
if [ -n "$gui" ]
|
|
|
then
|
|
|
# red pill or blue pill
|
|
|
f_create_form_choce_pill &> /dev/null
|
|
|
if [ "$select_pill" = "SAMBA" ]
|
|
|
then
|
|
|
#f_create_form &> /dev/null
|
|
|
f_create_form_qt
|
|
|
fi
|
|
|
|
|
|
if [ "$select_pill" = "IPA" ]
|
|
|
then
|
|
|
f_create_form_IPA &> /dev/null
|
|
|
(f_join_free_ipa) |
|
|
|
zenity --title="Ввод в домен!" \
|
|
|
--text="Выполняю ввод в домен IPA ..." \
|
|
|
--width=300 --height=140 --progress --pulsate --auto-close --auto-kill &> /dev/null
|
|
|
successful_in_ipa=$(tail -n1 /var/log/ipaclient-install.log | awk '{ print $NF }')
|
|
|
if [ "$successful_in_ipa" = "successful" ]
|
|
|
then
|
|
|
zenity --info \
|
|
|
--title="Ввод в домен IPA" \
|
|
|
--text="Компьютер успешно введен в домен IPA! Перезагрузите ОС" \
|
|
|
--no-wrap &> /dev/null
|
|
|
exit;
|
|
|
else
|
|
|
zenity --error \
|
|
|
--title="Ввод в домен IPA" \
|
|
|
--text="Ошибка ввода в домен IPA, см. /var/log/ipaclient-install.log" \
|
|
|
--no-wrap &> /dev/null
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
# Ввод в домен IPA (терминальный)
|
|
|
# Follow the white rabbit
|
|
|
if [ "$choce_domain" = "2" ]
|
|
|
then
|
|
|
echo -e '\n Для ввода компьютера в домен IPA, введите имя домена.\n Пример: example.com\n'
|
|
|
read -p ' Имя домена: ' v_domain
|
|
|
echo ' Введите имя ПК. Пример: client1'
|
|
|
|
|
|
while true; do
|
|
|
read -p ' Имя ПК: ' v_name_pc
|
|
|
if grep -Pq '(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,61}[a-zA-Z0-9\-])?)+[a-zA-Z0-9]$)' <<< $v_name_pc
|
|
|
then break;
|
|
|
else echo -e '\n Ошибка! Недопустимое имя ПК!'
|
|
|
echo -e " Разрешены символы латинского алфавита(A-Z,a-z), цифры(0-9) и дефис(-). Имя не должно превышать более 15 символов."
|
|
|
fi
|
|
|
done
|
|
|
|
|
|
read -p ' Имя администратора домена: ' v_admin_ipa
|
|
|
f_realm_discover
|
|
|
read -sp " Введите пароль администратора домена IPA: " v_pass_admin_ipa && echo
|
|
|
myAsk
|
|
|
f_join_free_ipa
|
|
|
successful_in_ipa=$(tail -n1 /var/log/ipaclient-install.log | awk '{ print $NF }')
|
|
|
if [ "$successful_in_ipa" = "successful" ]
|
|
|
then
|
|
|
echo
|
|
|
echo " Компьютер успешно введён в домен IPA! Перезагрузите ОС."
|
|
|
else echo -e '\n Ошибка ввода в домен IPA, см. /var/log/ipaclient-install.log'
|
|
|
fi
|
|
|
exit;
|
|
|
fi
|
|
|
|
|
|
|
|
|
# ---------- Ввод данных в терминале ----------
|
|
|
# Если отсутствуют входные параметры скрипта
|
|
|
if [[ -z "$v_domain" && -z "$v_name_pc" && -z "$v_admin" && -z "$gui" && -z "$v_ou" ]]; then
|
|
|
v_search_domain=$(cat /etc/resolv.conf | awk '/^search/ && !/^#/{print $2}')
|
|
|
if [[ -z "$v_search_domain" ]]; then
|
|
|
echo -e ' Для ввода компьютера в домен Windows/SAMBA, введите имя домена.\n Пример: example.com\n'
|
|
|
read -p ' Имя вашего домена: ' v_domain
|
|
|
else
|
|
|
echo
|
|
|
echo -e ' Имя домена ['${GREEN}$v_search_domain${NC}']';
|
|
|
read -p ' Для подтверждения нажмите ENTER или введите имя домена вручную: ' v_domain
|
|
|
echo
|
|
|
if [[ -z "$v_domain" ]]; then
|
|
|
v_domain=$v_search_domain
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
echo ' Введите имя ПК. Пример: client1'
|
|
|
dc=$(adcli info $v_domain 2>/dev/null | grep "domain-controller ="| awk '{print $3}')
|
|
|
v_short_dc=$(cut -d'.' -f1 <<< "$dc") # Короткое имя контроллера
|
|
|
while true; do
|
|
|
read -p ' Имя ПК: ' v_name_pc
|
|
|
if [[ $(grep -P '(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,14}[a-zA-Z0-9\-])+[a-zA-Z0-9])$)' <<< $v_name_pc) && ${#v_name_pc} -le 15 ]]
|
|
|
then
|
|
|
check_name="true";
|
|
|
fi
|
|
|
if [ "$v_name_pc" != "$v_short_dc" ] && [ "$check_name" = "true" ];
|
|
|
then break;
|
|
|
else echo -e "\n ${RED}Ошибка! Недопустимое имя ПК!${NC}"
|
|
|
echo -e " Разрешены символы латинского алфавита(A-Z,a-z), цифры(0-9) и дефис(-). Имя не должно превышать более 15 символов."
|
|
|
echo -e " Ошибка! Недопустимое имя ПК!" &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
done
|
|
|
|
|
|
read -p ' Имя администратора домена: ' v_admin
|
|
|
read -p ' Имя подразделения ПК(OU=MyComputers) без кавычек или для продолжения нажмите ENTER:' v_ou
|
|
|
v_admin=${v_admin%%@*} # обрезаем все, что идет после @
|
|
|
# Проверка вводимых данных
|
|
|
if [[ -z "$v_admin" ]]
|
|
|
then echo -e " ${RED}Ошибка! Введите имя администратора домена.${NC}"
|
|
|
echo -e " Ошибка. Введите имя администратора домена." &>> /var/log/join-to-domain.log
|
|
|
exit 1;
|
|
|
fi
|
|
|
# Если имеются входные параметры:
|
|
|
else
|
|
|
if [[ -z "$v_admin" ]]
|
|
|
then echo -e " ${RED}Ошибка! Введите имя администратора домена. Используйте параметр -u${NC}"
|
|
|
exit 1;
|
|
|
fi
|
|
|
if [[ -z "$v_name_pc" ]]
|
|
|
then echo -e " ${RED}Ошибка! Введите имя ПК. Используйте параметр -n${NC}"
|
|
|
exit 1;
|
|
|
fi
|
|
|
if [[ -z "$v_domain" ]]
|
|
|
then echo -e " ${RED}Ошибка! Введите имя домена. Используйте параметр -d${NC}"
|
|
|
exit 1;
|
|
|
fi
|
|
|
dc=$(adcli info $v_domain|grep "domain-controller ="| awk '{print $3}')
|
|
|
v_short_dc=$(cut -d'.' -f1 <<< "$dc") # Короткое имя контроллера
|
|
|
checkname "$v_short_dc" || exit;
|
|
|
fi
|
|
|
|
|
|
# Параметр для добавления ПК в определенную организационную единицу (подразделение)
|
|
|
if [[ ! -z "$v_ou" ]];
|
|
|
then
|
|
|
IFS='. ' read -r -a array <<< $v_domain
|
|
|
for el in "${array[@]}"; do
|
|
|
as+=",DC=""$el"
|
|
|
done
|
|
|
v_ou_net_ads='createcomputer='$v_ou$as
|
|
|
v_ou_realm_join='--computer-ou='$v_ou$as
|
|
|
fi
|
|
|
|
|
|
# Настройка nsswitch.conf
|
|
|
v_date_time=$(date '+%d-%m-%y_%H:%M:%S')
|
|
|
|
|
|
installed_version=$(rpm -q --queryformat '%{VERSION}' authselect)
|
|
|
new_version="1.5.0"
|
|
|
|
|
|
installed_version_no_dot=${installed_version//./}
|
|
|
new_version_no_dot=${new_version//./}
|
|
|
|
|
|
# Сравниваем числа без точек (если версии authselect равны)
|
|
|
if [ "$installed_version_no_dot" -ge "$new_version_no_dot" ]; then
|
|
|
echo "" &>> /var/log/join-to-domain.log
|
|
|
echo " Новая версия authselect ${installed_version}" &>> /var/log/join-to-domain.log
|
|
|
directory_authselect="/etc/authselect/custom/sssd_domain/"
|
|
|
if [ -d "$directory_authselect" ]; then
|
|
|
rm -rf "$directory_authselect"
|
|
|
fi
|
|
|
# Создаем новый профиль sssd_domain
|
|
|
authselect create-profile sssd_domain -b sssd &>> /var/log/join-to-domain.log
|
|
|
# Изменяем nsswitch.conf
|
|
|
sed -i 's/\bhosts:.*/hosts: files myhostname resolve dns mdns4_minimal [!UNAVAIL=return]/g' /etc/authselect/custom/sssd_domain/nsswitch.conf &>> /var/log/join-to-domain.log
|
|
|
authselect select custom/sssd_domain with-faillock with-fingerprint with-smartcard with-mkhomedir --force &>> /var/log/join-to-domain.log
|
|
|
else
|
|
|
# Старая версия authselect
|
|
|
cp /etc/authselect/user-nsswitch.conf /etc/authselect/user-nsswitch.conf.$v_date_time &>> /var/log/join-to-domain.log
|
|
|
authselect select sssd with-fingerprint with-gssapi with-mkhomedir with-smartcard --force &> /dev/null
|
|
|
sed -i 's/\bhosts:.*/hosts: files dns resolve [!UNAVAIL=return] myhostname mdns4_minimal/g' /etc/authselect/user-nsswitch.conf &>> /var/log/join-to-domain.log
|
|
|
authselect apply-changes &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
|
|
|
|
|
|
|
|
|
# Проверка доступности домена
|
|
|
f_realm_discover
|
|
|
|
|
|
# Вызов функции формирования krb5.conf
|
|
|
f_create_krb5
|
|
|
|
|
|
#if [[ -z "$v_pass_admin_gui" ]];
|
|
|
#then
|
|
|
# f_create_krb5
|
|
|
#fi
|
|
|
|
|
|
# realm join console
|
|
|
if [[ -z "$v_pass_admin_gui" && -z "$v_pass_admin" ]];
|
|
|
then
|
|
|
read -sp " Введите пароль администратора домена: " v_pass_admin && echo
|
|
|
# Проверка существования имени ПК в домене
|
|
|
check_domain_name $v_admin $v_domain $v_name_pc $v_pass_admin
|
|
|
fi
|
|
|
|
|
|
if [[ -n "$v_pass_admin" ]];
|
|
|
then
|
|
|
check_domain_name $v_admin $v_domain $v_name_pc $v_pass_admin
|
|
|
fi
|
|
|
|
|
|
# Вызов функции диалога
|
|
|
if [[ -z "$yes" ]]
|
|
|
then
|
|
|
myAsk
|
|
|
fi
|
|
|
|
|
|
|
|
|
echo -e '' >> /var/log/join-to-domain.log
|
|
|
echo -e ' 1) Изменение имени ПК' | tee -a /var/log/join-to-domain.log
|
|
|
|
|
|
hostnamectl set-hostname $v_name_pc.$v_domain
|
|
|
|
|
|
echo -e ' Новое имя ПК: '`hostname` | tee -a /var/log/join-to-domain.log
|
|
|
v_date_time=$(date '+%d-%m-%y_%H:%M:%S')
|
|
|
|
|
|
# Настройка chronyd
|
|
|
echo -e ' 2) Настройка chronyd' | tee -a /var/log/join-to-domain.log
|
|
|
chrony_conf
|
|
|
|
|
|
# Настройка hosts
|
|
|
echo -e ' 3) Настройка hosts' | tee -a /var/log/join-to-domain.log
|
|
|
cp /etc/hosts /etc/hosts.$v_date_time
|
|
|
echo -e '127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4' > /etc/hosts
|
|
|
echo -e '::1 localhost localhost.localdomain localhost6 localhost6.localdomain6' >> /etc/hosts
|
|
|
echo -e '127.0.0.1 '$(hostname -f)' '$(hostname -s)'' >> /etc/hosts
|
|
|
|
|
|
os_name=`cat /etc/os-release | grep ^"NAME=" | awk -F= '{print $2}' | sed 's/\"//g'`
|
|
|
os_version=`cat /etc/os-release | grep ^"VERSION_ID=" | awk -F= '{print $2}' | sed 's/\"//g'`
|
|
|
|
|
|
#------------------------------------------------------------------------------#
|
|
|
# Ввод в домен с использованием winbind (консольно, через передачу параметров) #
|
|
|
#------------------------------------------------------------------------------#
|
|
|
# Выполняется если указан ключ -w
|
|
|
if [ -n "$winbind" ]
|
|
|
then
|
|
|
if [ -n "$wg" ] ; then
|
|
|
v_domain=$wg
|
|
|
fi
|
|
|
sed -i "s/SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
|
|
|
setenforce 0
|
|
|
systemctl disable sssd
|
|
|
systemctl stop sssd
|
|
|
echo -e ' 4) Ввод в домен (winbind) ...' | tee -a /var/log/join-to-domain.log
|
|
|
realm join -vvv -U "$v_admin" --client-software=winbind "$v_domain" --os-name="$os_name" --os-version="$os_version" $v_ou_realm_join <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
if [ $? -ne 0 ];
|
|
|
then echo -e " ${RED}Ошибка ввода в домен, см. /var/log/join-to-domain.log${NC}"
|
|
|
echo -e " Ошибка ввода в домен, см. /var/log/join-to-domain.log" &>> /var/log/join-to-domain.log
|
|
|
exit 1;
|
|
|
fi
|
|
|
|
|
|
echo -e ' 5) Выполняется authselect' | tee -a /var/log/join-to-domain.log
|
|
|
|
|
|
if [ "$installed_version_no_dot" -ge "$new_version_no_dot" ]; then
|
|
|
dir_winbind_authselect="/etc/authselect/custom/winbind_domain/"
|
|
|
if [ -d "$dir_winbind_authselect" ]; then
|
|
|
rm -rf "$dir_winbind_authselect"
|
|
|
fi
|
|
|
# Создаем новый профиль sssd_domain
|
|
|
authselect create-profile winbind_domain -b winbind &>> /var/log/join-to-domain.log
|
|
|
# Изменяем nsswitch.conf
|
|
|
sed -i 's/\bhosts:.*/hosts: files myhostname resolve dns mdns4_minimal [!UNAVAIL=return]/g' /etc/authselect/custom/winbind_domain/nsswitch.conf &>> /var/log/join-to-domain.log
|
|
|
authselect select custom/winbind_domain with-krb5 with-faillock with-fingerprint with-mkhomedir --force &>> /var/log/join-to-domain.log
|
|
|
else
|
|
|
# Старая версия authselect
|
|
|
authselect select winbind with-mkhomedir with-krb5 --force &>> /var/log/join-to-domain.log
|
|
|
authselect enable-feature with-mkhomedir &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
|
|
|
# samba config log
|
|
|
echo -e ' 6) Настройка samba' | tee -a /var/log/join-to-domain.log
|
|
|
|
|
|
# backup smb.conf
|
|
|
cp /etc/samba/smb.conf /etc/samba/smb.conf.$v_date_time
|
|
|
|
|
|
# Настройка smb.conf
|
|
|
mkdir -p /var/lib/domain/
|
|
|
mkdir -p /var/lib/domain/run
|
|
|
echo -e '[global]
|
|
|
workgroup = '$v_BIG_SHORT_DOMEN'
|
|
|
realm = '$v_BIG_DOMAIN'
|
|
|
security = ADS
|
|
|
|
|
|
winbind enum groups = Yes
|
|
|
winbind enum users = Yes
|
|
|
winbind offline logon = Yes
|
|
|
|
|
|
# Формат логина: domain\username
|
|
|
winbind use default domain = no
|
|
|
|
|
|
winbind refresh tickets = Yes
|
|
|
winbind cache time = 300
|
|
|
wins support = no
|
|
|
|
|
|
idmap cache time = 900
|
|
|
idmap config '$v_BIG_SHORT_DOMEN' : backend = sss
|
|
|
idmap config * : range = 200000-2147483647
|
|
|
|
|
|
client min protocol = NT1
|
|
|
client max protocol = SMB3
|
|
|
|
|
|
kerberos method = secrets and keytab
|
|
|
|
|
|
# Домашний каталог пользователя: template homedir = /home/%D/%U
|
|
|
template homedir = /home/%U@%D
|
|
|
|
|
|
template shell = /bin/bash
|
|
|
nt pipe support = no
|
|
|
machine password timeout = 0
|
|
|
vfs objects = acl_xattr
|
|
|
map acl inherit = yes
|
|
|
store dos attributes = yes
|
|
|
|
|
|
printing = cups
|
|
|
printcap name = cups
|
|
|
load printers = yes
|
|
|
cups options = raw
|
|
|
|
|
|
[homes]
|
|
|
comment = Home Directories
|
|
|
valid users = %S, %D%w%S
|
|
|
browseable = No
|
|
|
read only = No
|
|
|
inherit acls = Yes
|
|
|
|
|
|
[printers]
|
|
|
comment = All Printers
|
|
|
path = /var/tmp
|
|
|
printable = Yes
|
|
|
create mask = 0600
|
|
|
browseable = No
|
|
|
|
|
|
[print$]
|
|
|
comment = Printer Drivers
|
|
|
path = /var/lib/samba/drivers
|
|
|
write list = @printadmin root
|
|
|
force group = @printadmin
|
|
|
create mask = 0664
|
|
|
directory mask = 0775' > /etc/samba/smb.conf
|
|
|
|
|
|
echo -e ' 7) Тест конфигурации samba' | tee -a /var/log/join-to-domain.log
|
|
|
echo -e "\n" | testparm &>> /var/log/join-to-domain.log
|
|
|
|
|
|
# Настройка limits
|
|
|
cp /etc/security/limits.conf /etc/security/limits.conf.$v_date_time
|
|
|
echo -e '* - nofile 16384
|
|
|
root - nofile 16384' > /etc/security/limits.conf
|
|
|
|
|
|
# join to domain
|
|
|
join_to_domain() {
|
|
|
if [[ $wg == "" ]] ; then
|
|
|
echo -e ' 8) Выполняю net ads join' | tee -a /var/log/join-to-domain.log
|
|
|
net ads join -S "${kdc1}" -U "${v_admin}%${v_pass_admin}" &>> /var/log/join-to-domain.log
|
|
|
else
|
|
|
echo -e ' 8) Выполняю net ads join' | tee -a /var/log/join-to-domain.log
|
|
|
net ads join -S "${kdc1}" -U "${v_admin}%${v_pass_admin}" -W "$wg" &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
|
|
|
if [[ $? != 0 ]]; then
|
|
|
return 1
|
|
|
fi
|
|
|
}
|
|
|
join_to_domain
|
|
|
|
|
|
# Запуск сервисов
|
|
|
echo -e ' 9) Запуск сервиса winbind' | tee -a /var/log/join-to-domain.log
|
|
|
systemctl enable winbind --now &>> /var/log/join-to-domain.log
|
|
|
echo -e ' 10) Запуск сервиса smb' | tee -a /var/log/join-to-domain.log
|
|
|
systemctl enable smb --now &>> /var/log/join-to-domain.log
|
|
|
|
|
|
# Настройка /etc/security/pam_winbind.conf
|
|
|
settings_pam_winbind
|
|
|
echo -e ' Внимание! Для вступления изменений в силу требуется перезагрузка компьютера!' | tee -a /var/log/join-to-domain.log
|
|
|
exit;
|
|
|
fi
|
|
|
|
|
|
#---------------------------End winbind----------------------------------------------#
|
|
|
|
|
|
|
|
|
srv_dc="$kdc1"
|
|
|
# ***** realm join in GUI *****
|
|
|
if [[ -n "$v_pass_admin_gui" ]];
|
|
|
then
|
|
|
# Удаление DNS записи
|
|
|
echo -e " ***Выполнение <samba-tool dns delete>***" &>> /var/log/join-to-domain.log
|
|
|
host_ip=$(nslookup `hostname -s` | awk '/^Address: / {print $2}')
|
|
|
if [ -n "$host_ip" ]; then
|
|
|
dns=`nmcli dev show | awk '/DNS/{print $2}' | head -n1`
|
|
|
host=`hostname -s`
|
|
|
echo "dns:"$dns &>> /var/log/join-to-domain.log
|
|
|
echo "host:"$host &>> /var/log/join-to-domain.log
|
|
|
echo "host_ip:"$host_ip &>> /var/log/join-to-domain.log
|
|
|
echo "v_admin:"$v_admin &>> /var/log/join-to-domain.log
|
|
|
echo "v_domain:"$v_domain &>> /var/log/join-to-domain.log
|
|
|
samba-tool dns delete "$dns" "$v_domain" "$host" A "$host_ip" -U "$v_BIG_SHORT_DOMEN\\$v_admin"%"$v_pass_admin_gui" -d 3 &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
|
|
|
echo -e ' 4) Ввод в домен (GUI)...' | tee -a /var/log/join-to-domain.log
|
|
|
(
|
|
|
join_count=1
|
|
|
realm join -vvv -U "$v_admin" "$srv_dc" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin_gui &>> /var/log/join-to-domain.log
|
|
|
code_err=$?
|
|
|
while [ $code_err -ne 0 ]; do
|
|
|
join_count=$((join_count+1))
|
|
|
echo -e ' Ввод в домен. Попытка №'$join_count | tee -a /var/log/join-to-domain.log
|
|
|
realm join -vvv -U "$v_admin" "$srv_dc" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin_gui &>> /var/log/join-to-domain.log
|
|
|
code_err=$?
|
|
|
if [ $code_err -ne 0 ]; then
|
|
|
srv_dc="$v_domain"
|
|
|
fi
|
|
|
if [ "$join_count" -gt 3 ]; then
|
|
|
touch /tmp/realm-join-error
|
|
|
break
|
|
|
fi
|
|
|
done
|
|
|
) |
|
|
|
zenity --title="Ввод в домен!" --text="Выполняю ввод в домен..." --width=300 --height=140 --progress --pulsate --auto-close --auto-kill &> /dev/null
|
|
|
fi
|
|
|
|
|
|
# Если файл ошибки(realm join...) существует, то выводим ошибку и выходим из сценария.
|
|
|
if [ -f "/tmp/realm-join-error" ]
|
|
|
then
|
|
|
zenity --error --title="Ввод в домен" --text="Ошибка ввода в домен, см. /var/log/join-to-domain.log" --no-wrap &> /dev/null
|
|
|
rm -rf /tmp/realm-join-error
|
|
|
exit 1;
|
|
|
fi
|
|
|
|
|
|
# ***** realm join in console *****
|
|
|
if [[ -z "$v_pass_admin_gui" ]]
|
|
|
then
|
|
|
# Удаление DNS записи
|
|
|
echo -e " ***Выполнение <samba-tool dns delete>***" &>> /var/log/join-to-domain.log
|
|
|
host_ip=$(nslookup `hostname -s` | awk '/^Address: / {print $2}')
|
|
|
if [ -n "$host_ip" ]; then
|
|
|
dns=`nmcli dev show | awk '/DNS/{print $2}' | head -n1`
|
|
|
host=`hostname -s`
|
|
|
echo "dns:"$dns &>> /var/log/join-to-domain.log
|
|
|
echo "host:"$host &>> /var/log/join-to-domain.log
|
|
|
echo "host_ip:"$host_ip &>> /var/log/join-to-domain.log
|
|
|
echo "v_admin:"$v_admin &>> /var/log/join-to-domain.log
|
|
|
echo "v_domain:"$v_domain &>> /var/log/join-to-domain.log
|
|
|
samba-tool dns delete "$dns" "$v_domain" "$host" A "$host_ip" -U "$v_BIG_SHORT_DOMEN\\$v_admin"%"$v_pass_admin" -d 3 &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
|
|
|
join_count=1
|
|
|
echo -e ' 4) Ввод в домен ... ' | tee -a /var/log/join-to-domain.log
|
|
|
if [[ ! -z "$v_ou" ]]; then
|
|
|
realm join -vvv -U "$v_admin" "$srv_dc" "$v_ou_realm_join" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
else realm join -vvv -U "$v_admin" "$srv_dc" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
code_err=$?
|
|
|
while [ $code_err -ne 0 ]; do
|
|
|
join_count=$((join_count+1))
|
|
|
echo ' Ввод в домен. Попытка №'$join_count &>> /var/log/join-to-domain.log
|
|
|
if [[ ! -z "$v_ou" ]]; then
|
|
|
realm join -vvv -U "$v_admin" "$srv_dc" "$v_ou_realm_join" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
else realm join -vvv -U "$v_admin" "$srv_dc" --os-name="$os_name" --os-version="$os_version" <<< $v_pass_admin &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
code_err=$?
|
|
|
if [ $code_err -ne 0 ]; then
|
|
|
srv_dc="$v_domain"
|
|
|
fi
|
|
|
if [ "$join_count" -gt 3 ]; then
|
|
|
echo -e ${RED}' Ошибка ввода в домен, см. /var/log/join-to-domain.log'${NC}
|
|
|
echo -e ' Ошибка ввода в домен, см. /var/log/join-to-domain.log' &>> /var/log/join-to-domain.log
|
|
|
exit 1;
|
|
|
fi
|
|
|
done
|
|
|
|
|
|
fi
|
|
|
|
|
|
if [[ -n "$save_case" ]]; then
|
|
|
login_case="Preserving"
|
|
|
elif [[ -n "$lower_case" ]]; then
|
|
|
login_case="False"
|
|
|
elif [[ -z $save_case || -z $lower_case ]]; then
|
|
|
login_case="False"
|
|
|
fi
|
|
|
|
|
|
if [[ -n "$dns_auth_none" ]]; then
|
|
|
dns_auth_none="none"
|
|
|
else dns_auth_none="GSS-TSIG"
|
|
|
fi
|
|
|
|
|
|
# Перезапись профиля sssd_domain
|
|
|
if [ "$installed_version_no_dot" -ge "$new_version_no_dot" ]; then
|
|
|
authselect select custom/sssd_domain with-faillock with-fingerprint with-smartcard with-mkhomedir --force &>> /var/log/join-to-domain.log
|
|
|
fi
|
|
|
# Настройка sssd.conf
|
|
|
echo -e ' 5) Настройка sssd' | tee -a /var/log/join-to-domain.log
|
|
|
cp /etc/sssd/sssd.conf /etc/sssd/sssd.conf.$v_date_time &>> /var/log/join-to-domain.log
|
|
|
|
|
|
echo -e '[sssd]
|
|
|
domains = '$(domainname -d)'
|
|
|
config_file_version = 2
|
|
|
services = nss, pam
|
|
|
|
|
|
# Фильтр re_expression
|
|
|
# Должен использоваться совместно с параметром case_sensitive = False
|
|
|
# Разрешены только символы нижнего регистра, цифры, точка "." и дефис "-". ps: при входе с @ утилита loginctl не определяет login.
|
|
|
# re_expression = (?P<name>[a-z0-9._-]+)
|
|
|
# Разрешены только символы нижнего регистра, цифры, точка "." и дефис "-", но запрещен символом "@" , т.е. формат username@domain
|
|
|
# re_expression = (?P<name>[a-z0-9._-]+(?![@]))
|
|
|
#
|
|
|
|
|
|
|
|
|
[domain/'$(domainname -d)']
|
|
|
ad_domain = '$(domainname -d)'
|
|
|
ad_server = '$kdc1''$kdc2'
|
|
|
krb5_realm = '$v_BIG_DOMAIN'
|
|
|
case_sensitive = '$login_case'
|
|
|
realmd_tags = manages-system joined-with-samba
|
|
|
|
|
|
# Параметр применяется, когда субъекты поддомена используются с upnSuffixes(UPN-суффиксы), которые неизвестны в KDC родительского домена.
|
|
|
# SSSD попытается отправить запрос непосредственно в KDC доверенного домена.
|
|
|
#krb5_use_subdomain_realm=True
|
|
|
|
|
|
# Кэширование аутентификационных данных, необходимо при недоступности домена
|
|
|
cache_credentials = True
|
|
|
|
|
|
# Параметр указывает, что SSSD будет автоматически обновлять пароль учетной записи машины в Active Directory.
|
|
|
ad_update_samba_machine_account_password = true
|
|
|
|
|
|
id_provider = ad
|
|
|
access_provider = ad
|
|
|
krb5_store_password_if_offline = True
|
|
|
default_shell = /bin/bash
|
|
|
ldap_id_mapping = True
|
|
|
ad_gpo_access_control = disabled
|
|
|
dns_resolver_timeout = 10
|
|
|
|
|
|
# Включает/Отключает режим полных имён пользователей при входе
|
|
|
use_fully_qualified_names = False
|
|
|
|
|
|
# Определение домашнего каталога для доменных пользователей
|
|
|
fallback_homedir = /home/%u@%d
|
|
|
|
|
|
# Параметр access_provider = simple Определяет список доступа на основе имен пользователей или групп.
|
|
|
#access_provider = simple
|
|
|
#simple_allow_users = user1@example.com, user2@example.com
|
|
|
#simple_allow_groups = group@example.com
|
|
|
|
|
|
# Включает/Отключает перечисление всех записей домена, операция(id или getent) может занимать длительное время при enumerate = true в больших инфраструктурах
|
|
|
enumerate = false
|
|
|
|
|
|
# Параметр ignore_group_members может ускорить авторизацию в домене если домен имеет большое количество пользователей, групп и вложенных OU
|
|
|
# Если установлено значение TRUE, то атрибут членства в группе не запрашивается с сервера ldap и не обрабатывается вызовов поиска группы.
|
|
|
# ignore_group_members = True
|
|
|
|
|
|
# Поиск ссылок может привести к снижению производительности в средах, которые их интенсивно используют.
|
|
|
# true - не рекомендуется для больших инфраструктур. Отключаем этот поиск.
|
|
|
ldap_referrals = false
|
|
|
|
|
|
# Включает/Отключает динамические обновления DNS, если в статусе sssd ошибка "TSIG error with server: tsig verify failure", то установите dyndns_update = false
|
|
|
dyndns_update = true
|
|
|
dyndns_refresh_interval = 43200
|
|
|
dyndns_update_ptr = true
|
|
|
dyndns_ttl = 3600
|
|
|
|
|
|
# Описание dyndns_auth
|
|
|
# dyndns_auth = GSS-TSIG - при динамической регистрации DNS адреса требуется аутентификация на сервере DNS.
|
|
|
# dyndns_auth = none - при динамической регистрации DNS адреса не требуется аутентификация на сервере DNS (На DNS-сервере установлена политика "Nonsecure and secure")
|
|
|
dyndns_auth = '$dns_auth_none'
|
|
|
|
|
|
# Срок действия билета истекает каждые 24ч и его можно непрерывно продлевать в течение 7 дней
|
|
|
krb5_lifetime = 24h
|
|
|
|
|
|
# Самопродление тикета, значение определяет максимальное время жизни тикета
|
|
|
# Эти параметры позволят SSSD запрашивать возобновляемые билеты (с максимальным сроком действия 7 дней) при входе в систему
|
|
|
# и периодически просматривать список билетов для продления возобновляемых билетов каждые 300 секунд.
|
|
|
krb5_renewable_lifetime = 7d
|
|
|
krb5_renew_interval = 300s
|
|
|
|
|
|
[nss]
|
|
|
# Сколько секунд nss_sss должен кэшировать перечисления (запросы информации обо всех пользователях) Default: 120
|
|
|
#entry_cache_timeout = 15
|
|
|
# Задает время в секундах, в течение которого список поддоменов будет считаться действительным. Default: 60
|
|
|
#get_domains_timeout = 10
|
|
|
' > /etc/sssd/sssd.conf
|
|
|
|
|
|
|
|
|
#if [[ -n "$v_pass_admin_gui" ]];
|
|
|
#then
|
|
|
#(
|
|
|
# authconfig --enablemkhomedir --enablesssdauth --updateall &>> /var/log/join-to-domain.log; sleep 2
|
|
|
#) |
|
|
|
# zenity --width=300 --height=140 --progress --title="Ввод в домен" --text="Настройка сервиса sssd..." --pulsate --auto-close &> /dev/null
|
|
|
#fi
|
|
|
|
|
|
|
|
|
#if [[ -z "$v_pass_admin_gui" ]];
|
|
|
#then
|
|
|
# authconfig --enablemkhomedir --enablesssdauth --updateall &>> /var/log/join-to-domain.log
|
|
|
#fi
|
|
|
|
|
|
# Настройка limits
|
|
|
echo -e ' 6) Настройка limits' | tee -a /var/log/join-to-domain.log
|
|
|
cp /etc/security/limits.conf /etc/security/limits.conf.$v_date_time
|
|
|
echo -e '* - nofile 16384
|
|
|
root - nofile 16384' > /etc/security/limits.conf
|
|
|
|
|
|
|
|
|
# samba config log
|
|
|
echo -e ' 7) Настройка samba' | tee -a /var/log/join-to-domain.log
|
|
|
|
|
|
# backup smb.conf
|
|
|
cp /etc/samba/smb.conf /etc/samba/smb.conf.$v_date_time
|
|
|
|
|
|
# Настройка smb.conf
|
|
|
echo -e '[global]
|
|
|
workgroup = '$v_BIG_SHORT_DOMEN'
|
|
|
realm = '$v_BIG_DOMAIN'
|
|
|
security = ADS
|
|
|
passdb backend = tdbsam
|
|
|
|
|
|
winbind enum groups = Yes
|
|
|
winbind enum users = Yes
|
|
|
winbind offline logon = Yes
|
|
|
winbind use default domain = No
|
|
|
winbind refresh tickets = Yes
|
|
|
|
|
|
idmap cache time = 900
|
|
|
idmap config * : backend = tdb
|
|
|
idmap config * : range = 10000-99999
|
|
|
idmap config '$v_BIG_SHORT_DOMEN' : backend = rid
|
|
|
idmap config '$v_BIG_SHORT_DOMEN' : range = 100000-999999
|
|
|
|
|
|
client min protocol = NT1
|
|
|
client max protocol = SMB3
|
|
|
|
|
|
dedicated keytab file = /etc/krb5.keytab
|
|
|
kerberos method = secrets and keytab
|
|
|
|
|
|
machine password timeout = 60
|
|
|
vfs objects = acl_xattr
|
|
|
map acl inherit = yes
|
|
|
store dos attributes = yes
|
|
|
|
|
|
printing = cups
|
|
|
printcap name = cups
|
|
|
load printers = yes
|
|
|
cups options = raw
|
|
|
|
|
|
[homes]
|
|
|
comment = Home Directories
|
|
|
valid users = %S, %D%w%S
|
|
|
browseable = No
|
|
|
read only = No
|
|
|
inherit acls = Yes
|
|
|
|
|
|
[printers]
|
|
|
comment = All Printers
|
|
|
path = /var/tmp
|
|
|
printable = Yes
|
|
|
create mask = 0600
|
|
|
browseable = No
|
|
|
|
|
|
[print$]
|
|
|
comment = Printer Drivers
|
|
|
path = /var/lib/samba/drivers
|
|
|
write list = @printadmin root
|
|
|
force group = @printadmin
|
|
|
create mask = 0664
|
|
|
directory mask = 0775' > /etc/samba/smb.conf
|
|
|
|
|
|
# Настройка /etc/security/pam_winbind.conf
|
|
|
settings_pam_winbind
|
|
|
|
|
|
# net ads dns in GUI
|
|
|
if [[ -n "$v_pass_admin_gui" ]];
|
|
|
then
|
|
|
echo -e ' 8) Ввод samba в домен и регистрация DNS записи (GUI)...' | tee -a /var/log/join-to-domain.log
|
|
|
(
|
|
|
net ads join -S "$kdc1" -U $v_admin%$v_pass_admin_gui -D $v_domain -d 2 &>> /var/log/join-to-domain.log
|
|
|
if [ $? -ne 0 ]; then
|
|
|
touch /tmp/net-ads-join-error
|
|
|
fi
|
|
|
sleep 2
|
|
|
) |
|
|
|
zenity --title="Ввод в домен!" \
|
|
|
--text="Ввод samba в домен и регистрация DNS записи" \
|
|
|
--width=300 --height=140 --progress --pulsate --auto-close --auto-kill &> /dev/null
|
|
|
|
|
|
if [ -f "/tmp/net-ads-join-error" ]
|
|
|
then
|
|
|
zenity --error \
|
|
|
--title="Ввод в домен" \
|
|
|
--text="Ошибка выполнения команды net ads join, см. /var/log/join-to-domain.log" \
|
|
|
--no-wrap &> /dev/null
|
|
|
rm -rf /tmp/net-ads-join-error
|
|
|
exit 1;
|
|
|
fi
|
|
|
|
|
|
fi
|
|
|
|
|
|
# net ads dns in console
|
|
|
if [[ -z "$v_pass_admin_gui" ]]; then
|
|
|
echo -e ' 8) Ввод samba в домен и регистрация DNS записи' | tee -a /var/log/join-to-domain.log
|
|
|
output=$(net ads join -S "$kdc1" -U $v_admin%$v_pass_admin -D $v_domain -d 2 &>> /var/log/join-to-domain.log)
|
|
|
if [ "${PIPESTATUS[0]}" -ne 0 ]; then
|
|
|
echo " Ошибка выполнения команды net ads join, см. /var/log/join-to-domain.log" | tee -a /var/log/join-to-domain.log
|
|
|
if tail -n 4 /var/log/join-to-domain.log | grep -q "Failed to join domain"; then
|
|
|
echo "Компьютер введен в домен, но произошла ошибка при выполнении команды net ads join, см. /var/log/join-to-domain.log" | tee -a /var/log/join-to-domain.log
|
|
|
fi
|
|
|
exit 1;
|
|
|
fi
|
|
|
fi
|
|
|
|
|
|
if [ -n "$sg_domain_admins_sudo" ]; then
|
|
|
# Преобразование пробела в экранированный пробел
|
|
|
sg_domain_admins_sudo=$(echo "$sg_domain_admins_sudo" | sed 's/ /\\ /g')
|
|
|
echo "%$sg_domain_admins_sudo ALL=(ALL:ALL) ALL" > /etc/sudoers.d/domain_admins_sudo
|
|
|
fi
|
|
|
|
|
|
if [ -n "$ssh_krb5" ]; then
|
|
|
# Настройка сервера ssh:
|
|
|
sed -i 's/^#KerberosAuthentication .*/KerberosAuthentication yes/' /etc/ssh/sshd_config
|
|
|
sed -i 's/^#KerberosTicketCleanup .*/KerberosTicketCleanup yes/' /etc/ssh/sshd_config
|
|
|
sed -i 's/^#GSSAPIAuthentication .*/GSSAPIAuthentication yes/' /etc/ssh/sshd_config
|
|
|
sed -i 's/^#GSSAPICleanupCredentials .*/GSSAPICleanupCredentials yes/' /etc/ssh/sshd_config
|
|
|
#sed -i 's/^#UseDNS .*/UseDNS yes/' /etc/ssh/sshd_config
|
|
|
|
|
|
# Настройка клиентской части:
|
|
|
sed -i 's/^#.*GSSAPIAuthentication .*/GSSAPIAuthentication yes/' /etc/ssh/ssh_config
|
|
|
sed -i 's/^#.*GSSAPIDelegateCredentials .*/GSSAPIDelegateCredentials yes/' /etc/ssh/ssh_config
|
|
|
|
|
|
fi
|
|
|
|
|
|
echo ' Лог установки: /var/log/join-to-domain.log'
|
|
|
echo
|
|
|
echo ' Выполнено. Компьютер успешно введен в домен! Перезагрузите ОС.' | tee -a /var/log/join-to-domain.log
|
|
|
if [ -n "$gui" ]
|
|
|
then
|
|
|
zenity --info \
|
|
|
--title="Ввод в домен" \
|
|
|
--text="Компьютер успешно введен в домен! Перезагрузите ОС." \
|
|
|
--no-wrap &> /dev/null
|
|
|
fi
|
|
|
|
|
|
exit;
|
