17.05.2026

Настройка контроллер домена Samba DC на сервере BR-SRV

Задание:

  • Имя домена au-team.irpo
  • Введите в созданный домен машину HQ-CLI
  • Создайте 5 пользователей для офиса HQ: имена пользователей формата hquser№ (например hquser1, hquser2 и т.д.)
  • Создайте группу hq, введите в группу созданных пользователей
  • Убедитесь, что пользователи группы hq имеют право аутентифицироваться на HQ-CLI
  • Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы права не имеют.

Вариант реализации:

BR-SRV:

  • Устанавливаем пакет task-samba-dc:

  • Настраиваем контроллер домена:

  • Результат:

  • Настраиваем Kerberos:

  • Проверить:

  • Настраиваем группу и пользователей:

  • Проверить:

HQ-RTR:

  • Меняем выдаваемый DHCP-сервером адрес DNS-сервера:

HQ-CLI:

  • Проверить:
[user@hq-cli ~]$ su -
Password: 
[root@hq-cli ~]# systemctl restart network
[root@hq-cli ~]# cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain au-team.irpo
nameserver 192.168.0.2
[root@hq-cli ~]#
  • Устанавливаем пакет task-auth-ad-sssd:
[root@hq-cli ~]# apt-get update && apt-get install -y task-auth-ad-sssd
  • Используя Центр Управления Системой (ЦУС) вводим HQ-CLI в домен:
    • раздел «Аутентификация»

  • Выполнить перезагрузку виртуальной машины HQ-CLI
  • Настраиваем sudo:
[root@hq-cli ~]# roleadd hq wheel
[root@hq-cli ~]# echo "Cmnd_Alias SHELLCMD = /bin/cat, /bin/grep, /usr/bin/id" > /etc/sudoers.d/hq
[root@hq-cli ~]# echo "WHEEL_USERS ALL=(ALL:ALL) SHELLCMD" >> /etc/sudoers.d/hq
  • Проверить, выполнив вход из-под доменного пользователя группы hq:
[hquser1@hq-cli ~]$ sudo id
uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc)
[hquser1@hq-cli ~]$ sudo cat /etc/hosts
127.0.0.1	localhost.localdomain localhost
::1	localhost6.localdomain localhost6
[hquser1@hq-cli ~]$ sudo grep "127.0.0.1" /etc/hosts
127.0.0.1	localhost.localdomain localhost
[hquser1@hq-cli ~]$ sudo ip a
Извините, пользователю hquser1 не разрешено выполнять «/sbin/ip a» как root на hq-cli.au-team.irpo.
[hquser1@hq-cli ~]$