Всем привет. Во второй части мы установили squid и вспомогательные утилиты https://zen.yandex.ru/media/id/60e1d8d706f073705f93e6e0/nastroika-i-ustanovka-squid-na-debian-109-s-kerberosautentifikaciei-chast-2-ustanovka-squid-i-vspomogatelnyh-programm-60eb1e390f1e1b2a8ce028ca
Теперь нам необходимо ввести в домен наш прокси-сервер. Но для начала нам нужно поправить несколько файлов конфигурации: nsswitch.conf и smb.conf. Готовые версии данных конфигурационных файлов можно взять отсюда: https://disk.yandex.ru/d/_nIPJjqOCwvkbA . Так же по этой же ссылке можно взять файлы squid.conf и ntp.conf . И затем все эти файлы поместить в соответствующие директории ( nsswitch и ntp в папку etc, smb.conf в папку samba и squid.conf в папку squid. Обе последние находятся в папке etc.) Делается это следующей командой:
cp /home/arseniy/smb.conf /etc/smb
либо вместо cp (копирования можно использовать перенос, то есть mv).
Перед этим можно сохранить оригинальные конфигурационные файлы, переименовав их, например вот так:
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
mv не только переносит файлы, но и переименовывает их.
Соответственно, smb.conf это файл конфигурации самбы, в котором указывается в частности к какому домену мы будем присоединяться, адрес контроллера домена Active Directory и так далее. А nsswitch.conf отвечает за переключение служб имен (Name Service Switch configuration file). В файле nsswitch.conf есть строчка, которая как раз таки и отвечает за преобразование ip адресов в доменные имена и имена хостов:
Эта запись, означает, что адреса хостов (доменные имена) сначала берутся из файла hosts (параметр files) и если их там нет, они берутся из службы днс, затем из NIS (Network Information Service), а затем из winbind (часть пакета samba, который и отвечает за переключение имен). Если доменные имена или хосты не найдены ни одной из перечисленных служб, то присоединения к домену не происходит.
И чтобы функция преобразования имен хостов и доменных имен работала (для того чтобы мы смогли завести прокси-сервер в домен) нам нужно правильно заполнить файл под названием hosts, находящийся в папке /etc. Правильно заполненный файл hosts должен выглядеть вот так:
В данном случае мы видим первой строчкой указывается локалхост, вторая тоже указывает на него, но уже с ip адресом той сети, в которой он находится и последняя строчка указывает на контроллер домена. Все строчки, кроме первой имеют следующий формат: сначала указывается ip адрес (сервера или любой другой машины, которая нам нужна) далее ее доменное имя и короткое имя, то есть netbios-имя.
Теперь объясню полностью весь процесс, который происходит во время присоединения прокси-сервера к домену.
Сначала мы вводим следующую команду и сразу же после нее предлагается ввести пароль:
При помощи команды net мы можем администрировать самбу и удаленные smb (они же cifs) сервера, в том числе и присоединять их к домену. Параметр ads означает, что мы присоединяем наш прокси-сервер к домену AD, а ключ U означает, что мы присоединяемся к домену при помощи какого-то пользователя данного домена.
Итак, вводим пароль, и после этого мы должны увидеть следующее сообщение:
Но нам этого недостаточно. Чтобы точно удостовериться, есть связь с доменом нам нужно запросить список групп и список пользователей . . Делается это при помощи команды wbinfo (параметры -g и -u) . Ну и проверить, что учетная запись компьютера, которая была добавлена в домен windows, работает ( wbinfo параметр -t).
Вот что мы должны получить при применении параметров -u ,-g и -t:
Все, теперь мы удостоверились и можем уже точно утверждать, что мы присоединились к домену.
Бывает, конечно, все проходит не совсем гладко и возникают ошибки. Например, такая:
Казалось бы, ничего такого, к домену присоединились, но мы видим внизу ошибку, которая говорит о невозможности обновления ДНС. Такая ошибка может возникать в том случае, если на контроллере домена не создается А-запись. О чем здесь идет речь и что это за А-запись такая?
Дело в том, что контроллер домена AD совмещает в себе роль днс сервера. Во время добавления нашего сервера в домен AD в службе каталогов AD в организационном подразделении (organisation unit, сокращенно OU) Компьютеры (или Computers) создается учетная запись нашего прокси-сервера. И на этом же сервере создается и А-запись в службе ДНС. По сути А-запись это сопоставление доменного имени и ip-адреса нашего сервера.
Вернемся к нашему случаю. А-записи нет, но это не проблема, ее можно создать самим. Открываем пуск, ищем администрирование, далее открываем диспетчер ДНС. Далее выбираем зоны прямого просмотра и в них выбираем наш домен. Далее в выбранном домене щелкаем правой кнопкой и выбираем пункт "Создать А или АААА запись". Вводим имя нашего ПК (только имя, имя домена подставится автоматически) и ниже ip адрес. После этого возвращаемся на прокси-сервер и повторяем процедуру присоединения к домену.
В конце настроим файл ntp.conf . Его настройка будет даже проще, чем настройка файла hosts. Данный файл содержит всего лишь одну строчку настройки и выглядит она так:
Хотя обычно, в дебиан время настраивается во время установки и этот шаг не является совсем обязательным.
В четвертой части мы уже настроим керберос аутентификацию и проверим авторизацию пользователей домена в squid.