SambaADclientSSSD

Материал из Русский WINE
Перейти к: навигация, поиск
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Подключение клиента AD через SSSD

Необходимо ввести в домен AD машину с Linux. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.

Для примера будем использовать:

Предположим, что у Вас:

  • Домен = git.ru
  • Контроллер домена = ad.git.ru
  • Компьютер = host1

2. Устанавливаем необходимые пакеты

  • Ubuntu
apt install sssd heimdal-clients msktutil
  • ALT Linux
apt-get install task-auth-ad-sssd

3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция

[libdefaults]
	default_realm = GIT.RU

[realms]
	GIT.RU = {
		kdc = AD 
		admin_server = ad.git.ru
		default_domain = git.ru
	}

[login]
	krb4_convert = true
	krb4_get_tickets = false
	
[domain_realm]
        .git.ru = GIT.RU
        git.ru = GIT.RU

4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

127.0.0.1       localhost
127.0.1.1       host1.git.ru  host1

5. Пробуем получить билет Kerberos от имени администратора домена:

root@linux:~# kinit Administrator
Administrator@GIT.RU Password:

Проверяем:

root@linux:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
       Principal: Administrator@GIT.RU

 Issued                Expires               Principal

Dec 1 15:08:27 2018 Dec 2 01:08:22 2018 krbtgt/GIT.RU@GIT.RU

Если билет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:

msktutil -c -b 'CN=YourComputersOU' -s HOST/host1.git.ru -k /etc/sssd/host1.keytab --computer-name host1 --upn host1$ --server ad.git.ru —user-creds-only
msktutil -c -b 'CN=YourComputersOU' -s HOST/host1.git.ru -k /etc/sssd/host1.keytab --computer-name host1 --upn host1$ --server ad.git.ru --user-creds-only

Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:

kdestroy

6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:

[sssd]

services = nss, pam
config_file_version = 2
domains = git.ru


[nss]

entry_negative_timeout = 0
debug_level = 3


[pam]

debug_level = 3


[domain/git.ru]

debug_level = 3

ad_domain = git.ru
ad_server = ad.git.ru
enumerate = false

id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = simple
simple_allow_groups = users #каким группам разрешено логиниться, через запятую. Есть ограничение — названия групп должны быть с маленькой 
буквы.
ldap_schema = ad
ldap_id_mapping = true
fallback_homedir = /home/%u
default_shell = /bin/bash
ldap_sasl_mech = gssapi
ldap_sasl_authid = <HOSTNAME>$
ldap_krb5_init_creds = true
krb5_keytab = /etc/sssd/<HOSTNAME>.keytab

Описание параметров конфигфайла sssd можно посмотреть тут.

Устанавливаем права доступа для файла sssd.conf:

chmod 600 /etc/sssd/sssd.conf

Перезапускаем SSSD service

service sssd restart

7. Редактируем настройки PAM переопределяя параметры через системные настройки PAM:

pam-auth-update

Отмечаем пункты sss auth и makehomdir. Это автоматически добавит нужный параметр в /etc/pam.d/common-session и он не будет перезатерт при обновлении системы (по сравнению с правкой вручную).

Теперь на данной машине можно произвести вход под доменными пользователями, которым разрешен вход.

8. Ввод в домен

# net ads join -U YourDomainAdmin

Права администратора

Вы можете назначить права на использование sudo доменным группам. Используя visudo, отредактируйте файл /etc/sudoers и добавьте требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):

%Domain\ Admins ALL=(ALL) ALL

Источники: habr.ru, altlinux.org

Samba
Search.png
Файловое хранилище Samba как файловый серверПодключение общей папкиSamba как файловый сервер в домене
Служба каталогов
Сервер Samba как служба каталогов (AD)Изменение IP-адреса ADРепликация сервера ADРезервное копирование и восстановлениеУправление пользователямиГрупповые политикиГрупповая политика паролей
Клиент Подключение клиента AD Через WinbindЧерез SSSD
Бэкэнды идентификаторов winbind idmap config tdbidmap config adidmap config rididmap config autorid
Прочее Samba как сервер печатиПроверка конфигурационного файлаУтилиты командной строки
Информация SSSD vs WinbindУстановка Samba