SSSD/AD: различия между версиями
< SSSD
(Новая страница: «Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентифика...») |
Нет описания правки |
||
| Строка 2: | Строка 2: | ||
= Подключение к домену = | = Подключение к домену = | ||
==Настройки сети== | |||
Для подключением к домену проводим проверку настроек сети: | |||
* в качестве первичного DNS (первая запись nameserver в /etc/resolv.conf) должен быть указан DNS-сервер домена | |||
domain dom.loc | |||
search dom.loc | |||
nameserver 192.168.1.148 | |||
обычно, в таком качестве выступает один или несколько, контроллеров домена: | |||
<source lang="bash">$ host dom.loc | |||
dom.loc has address 192.168.1.148</source> | |||
* имя подключаемого, клиентского узла должно быть должно быть определено, как FQDN. Например, для рабочей станции client2 в домене dom.loc: | |||
<source lang="bash">$ hostname | |||
client2.dom.loc</source> | |||
==Настройки kerberos== | |||
Далее проверяем клиентские настройки kerberos через DNS. В данном случае, для домена '''dom.loc.''': | |||
<source lang="bash">$ dig _kerberos._udp.dom.loc SRV | grep ^_kerberos | |||
_kerberos._udp.dom.loc. 900 IN SRV 0 100 88 server.dom.loc. | |||
$ dig _kerberos._tcp.dom.loc SRV | grep ^_kerberos | |||
_kerberos._tcp.dom.loc. 900 IN SRV 0 100 88 server.dom.loc.</source> | |||
И задаем их в файле /etc/krb5.conf | |||
* kerberos-имя домена ("рилма", realm): | |||
default_realm = DOM.LOC | |||
* отключаем поиска kerberos-имени домена через DNS: | |||
dns_lookup_realm = false | |||
* оставляем (или включаем) поиск kerberos-настроек домена через DNS: | |||
dns_lookup_kdc = true | |||
Если настройки сети и kerberos выполнены правильно, то мы может получить kerberos TGT от контроллера домена: | |||
<source lang="text">$ kinit administrator | |||
Password for administrator@DOM.LOC: | |||
Warning: Your password will expire in 21 days on Пн 09 янв 2017 15:35:39 | |||
$ klist | |||
Ticket cache: KEYRING:persistent:500:krb_ccache_Bw75rEI | |||
Default principal: administrator@DOM.LOC | |||
Valid starting Expires Service principal | |||
19.12.2016 04:13:25 19.12.2016 14:13:25 krbtgt/DOM.LOC@DOM.LOC | |||
renew until 20.12.2016 04:13:18</source> | |||
==Настройки samba== | |||
Для подключения рабочей станции в домену требуется утилита ''net'' из пакета '''samba-common-tools''', кроме того стоит сразу установить пакет samba-client с набором клиентских утилит: | |||
# apt-get install samba-client | |||
В файле, минимально, необходимо задать следующие параметры в секции [global]: | |||
* kerberos-имя домена: | |||
realm = DOM.LOC | |||
* краткое имя домена, соответствующее имени рабочей группы: | |||
workgroup = DOM | |||
* имя рабочей станции в сетевом окружении: | |||
netbios name = CLIENT2 | |||
* уровень безопасности Active Directory: | |||
security = ADS | |||
* Метод хранения kerberos-ключей рабочей станции: | |||
kerberos method = system keytab | |||
* алгоритм преобразования SID'ов: | |||
idmap config * : backend = tdb | |||
Набор полученных настроек можно проверить с помощью утилиты ''testparm'': | |||
<source lang="text">$ testparm | |||
Load smb config files from /etc/samba/smb.conf | |||
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) | |||
Processing section "[homes]" | |||
Processing section "[printers]" | |||
Loaded services file OK. | |||
Server role: ROLE_DOMAIN_MEMBER | |||
Press enter to see a dump of your service definitions | |||
# Global parameters | |||
[global] | |||
realm = DOM.LOC | |||
server string = Samba Server Version %v | |||
workgroup = DOM | |||
log file = /var/log/samba/log.%m | |||
max log size = 50 | |||
kerberos method = system keytab | |||
security = ADS | |||
idmap config * : backend = tdb | |||
cups options = raw | |||
[homes] | |||
comment = Home Directories | |||
browseable = No | |||
read only = No | |||
[printers] | |||
comment = All Printers | |||
path = /var/spool/samba | |||
browseable = No | |||
printable = Yes</source> | |||
==Подключение к домену== | |||
<source lang="text"># net ads join -U administrator | |||
Enter administrator's password: | |||
Using short domain name -- DOM | |||
Joined 'CLIENT2' to dns domain 'dom.loc'</source> | |||
Проверка наличия kerberos-ключей для рабочей станции | |||
<source lang="text"># klist -k -e | |||
Keytab name: FILE:/etc/krb5.keytab | |||
KVNO Principal | |||
---- -------------------------------------------------------------------------- | |||
7 host/client2.dom.loc@DOM.LOC (des-cbc-crc) | |||
7 host/CLIENT2@DOM.LOC (des-cbc-crc) | |||
7 host/client2.dom.loc@DOM.LOC (des-cbc-md5) | |||
7 host/CLIENT2@DOM.LOC (des-cbc-md5) | |||
7 host/client2.dom.loc@DOM.LOC (aes128-cts-hmac-sha1-96) | |||
7 host/CLIENT2@DOM.LOC (aes128-cts-hmac-sha1-96) | |||
7 host/client2.dom.loc@DOM.LOC (aes256-cts-hmac-sha1-96) | |||
7 host/CLIENT2@DOM.LOC (aes256-cts-hmac-sha1-96) | |||
7 host/client2.dom.loc@DOM.LOC (arcfour-hmac) | |||
7 host/CLIENT2@DOM.LOC (arcfour-hmac) | |||
7 CLIENT2$@DOM.LOC (des-cbc-crc) | |||
7 CLIENT2$@DOM.LOC (des-cbc-md5) | |||
7 CLIENT2$@DOM.LOC (aes128-cts-hmac-sha1-96) | |||
7 CLIENT2$@DOM.LOC (aes256-cts-hmac-sha1-96) | |||
7 CLIENT2$@DOM.LOC (arcfour-hmac)</source> | |||
= Настройка SSSD = | = Настройка SSSD = | ||
Версия от 04:56, 19 декабря 2016
Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентификации и авторизации помощью сервиса SSSD.
Подключение к домену
Настройки сети
Для подключением к домену проводим проверку настроек сети:
- в качестве первичного DNS (первая запись nameserver в /etc/resolv.conf) должен быть указан DNS-сервер домена
domain dom.loc search dom.loc nameserver 192.168.1.148
обычно, в таком качестве выступает один или несколько, контроллеров домена:
$ host dom.loc
dom.loc has address 192.168.1.148
- имя подключаемого, клиентского узла должно быть должно быть определено, как FQDN. Например, для рабочей станции client2 в домене dom.loc:
$ hostname
client2.dom.loc
Настройки kerberos
Далее проверяем клиентские настройки kerberos через DNS. В данном случае, для домена dom.loc.:
$ dig _kerberos._udp.dom.loc SRV | grep ^_kerberos
_kerberos._udp.dom.loc. 900 IN SRV 0 100 88 server.dom.loc.
$ dig _kerberos._tcp.dom.loc SRV | grep ^_kerberos
_kerberos._tcp.dom.loc. 900 IN SRV 0 100 88 server.dom.loc.
И задаем их в файле /etc/krb5.conf
- kerberos-имя домена ("рилма", realm):
default_realm = DOM.LOC
- отключаем поиска kerberos-имени домена через DNS:
dns_lookup_realm = false
- оставляем (или включаем) поиск kerberos-настроек домена через DNS:
dns_lookup_kdc = true
Если настройки сети и kerberos выполнены правильно, то мы может получить kerberos TGT от контроллера домена:
$ kinit administrator
Password for administrator@DOM.LOC:
Warning: Your password will expire in 21 days on Пн 09 янв 2017 15:35:39
$ klist
Ticket cache: KEYRING:persistent:500:krb_ccache_Bw75rEI
Default principal: administrator@DOM.LOC
Valid starting Expires Service principal
19.12.2016 04:13:25 19.12.2016 14:13:25 krbtgt/DOM.LOC@DOM.LOC
renew until 20.12.2016 04:13:18
Настройки samba
Для подключения рабочей станции в домену требуется утилита net из пакета samba-common-tools, кроме того стоит сразу установить пакет samba-client с набором клиентских утилит:
# apt-get install samba-client
В файле, минимально, необходимо задать следующие параметры в секции [global]:
- kerberos-имя домена:
realm = DOM.LOC
- краткое имя домена, соответствующее имени рабочей группы:
workgroup = DOM
- имя рабочей станции в сетевом окружении:
netbios name = CLIENT2
- уровень безопасности Active Directory:
security = ADS
- Метод хранения kerberos-ключей рабочей станции:
kerberos method = system keytab
- алгоритм преобразования SID'ов:
idmap config * : backend = tdb
Набор полученных настроек можно проверить с помощью утилиты testparm:
$ testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
# Global parameters
[global]
realm = DOM.LOC
server string = Samba Server Version %v
workgroup = DOM
log file = /var/log/samba/log.%m
max log size = 50
kerberos method = system keytab
security = ADS
idmap config * : backend = tdb
cups options = raw
[homes]
comment = Home Directories
browseable = No
read only = No
[printers]
comment = All Printers
path = /var/spool/samba
browseable = No
printable = Yes
Подключение к домену
# net ads join -U administrator
Enter administrator's password:
Using short domain name -- DOM
Joined 'CLIENT2' to dns domain 'dom.loc'
Проверка наличия kerberos-ключей для рабочей станции
# klist -k -e
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
7 host/client2.dom.loc@DOM.LOC (des-cbc-crc)
7 host/CLIENT2@DOM.LOC (des-cbc-crc)
7 host/client2.dom.loc@DOM.LOC (des-cbc-md5)
7 host/CLIENT2@DOM.LOC (des-cbc-md5)
7 host/client2.dom.loc@DOM.LOC (aes128-cts-hmac-sha1-96)
7 host/CLIENT2@DOM.LOC (aes128-cts-hmac-sha1-96)
7 host/client2.dom.loc@DOM.LOC (aes256-cts-hmac-sha1-96)
7 host/CLIENT2@DOM.LOC (aes256-cts-hmac-sha1-96)
7 host/client2.dom.loc@DOM.LOC (arcfour-hmac)
7 host/CLIENT2@DOM.LOC (arcfour-hmac)
7 CLIENT2$@DOM.LOC (des-cbc-crc)
7 CLIENT2$@DOM.LOC (des-cbc-md5)
7 CLIENT2$@DOM.LOC (aes128-cts-hmac-sha1-96)
7 CLIENT2$@DOM.LOC (aes256-cts-hmac-sha1-96)
7 CLIENT2$@DOM.LOC (arcfour-hmac)