Samba/InterdomainTrustRelationships: различия между версиями
< Samba
Нет описания правки |
Bne (обсуждение | вклад) (Полностью переписал страницу. В ближайших планах добавить инструкцию по созданию траста в Windows (для полноты статьи), и описать ряд нюансов) |
||
| Строка 1: | Строка 1: | ||
{{ | {{Stub}} | ||
__TOC__ | |||
== Установка доверительных отношений между Windows 2012R2 и SambaDC == | |||
=== Исходные данные === | |||
* Домен Windows: | |||
Имя домена - WIN.DOM | |||
Контроллер домена - DC1.WIN.DOM | |||
IP address - 172.16.100.124 | |||
ОС контроллера домена - Windows Server 2012R2 | |||
Уровень работы домена - 2012R2 | |||
* | * Домен Linux: | ||
Имя домена - LIN.LOC | |||
Контроллер домена - DC2.LIN.LOC | |||
IP address - 172.16.100.135 | |||
ОС контроллера домена - Alt 9 Server | |||
Уровень работы домена - 2012_R2 | |||
Версия Samba - 4.12.11 | |||
Основная задача - описать процесс создания двухсторонних доверительных отношений между доменами на базе Windows AD и Samba DC. Проверить возможность входа пользователей и групп одного домена в другой и наоборот. | |||
=== | === Настройка на стороне Windows === | ||
1. Для службы DNS создать сервер условной перессылки | |||
PS$ Add-DnsServerConditionalForwarderZone -Name lin.loc -MasterServers 172.16.100.134 -ReplicationScope Forest | |||
<div class="mw-collapsible mw-collapsed"> | |||
2. Создание двухстороннего транзитивного подключения | |||
<div class="mw-collapsible-content">Здесь будут размещены скриншоты настройки на стороне Windows</div> | |||
</div> | |||
=== | === Настройка на стороне Linux === | ||
Предполагается, что домен уже настроен согласно [https://docs.altlinux.org/ru-RU/alt-server/9.1/html/alt-server/sambadc--chapter.html документации], и функционирует с настроенным BIND9_DLZ в качестве DNS-backend. | |||
1. Создание сервера условной перессылки для службы DNS: | |||
vim /etc/bind/ddns.conf | |||
Добавить в конец файла следующие строки | |||
zone "win.dom" in { | |||
type forward; | |||
forwarders { 172.16.100.124; }; | |||
}; | |||
2. Создание входящего транзитивного подключения: | |||
== | samba-tool domain trust create win.dom --type=forest --direction=both --create-location=local -Uadmin@WIN | ||
В общем случае ваш вывод должен быть примерно похож, на представленный ниже | |||
LocalDomain Netbios[LIN] DNS[lin.loc] SID[S-1-5-21-1859323732-4157578351-390439025] | |||
RemoteDC Netbios[DC1] DNS[DC1.WIN.DOM] | |||
ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__] | |||
Password for [admin@WIN]: | |||
RemoteDomain Netbios[WIN] DNS[WIN.DOM] SID[S-1-5-21-534750258-3577407189-1049577339] | |||
Creating remote TDO. | |||
Remote TDO created. | |||
Setting supported encryption types on remote TDO. | |||
Creating local TDO. | |||
Local TDO created | |||
Setting supported encryption types on local TDO. | |||
Setup local forest trust information... | |||
Namespaces[2] TDO[WIN.DOM]: | |||
TLN: Status[Enabled] DNS[*.WIN.DOM] | |||
DOM: Status[Enabled] DNS[WIN.DOM] Netbios[WIN] SID[S-1-5-21-534750258-3577407189-1049577339] | |||
Setup remote forest trust information... | |||
Namespaces[2] TDO[lin.loc]: | |||
TLN: Status[Enabled] DNS[*.lin.loc] | |||
DOM: Status[Enabled] DNS[lin.loc] Netbios[LIN] SID[S-1-5-21-1859323732-4157578351-390439025] | |||
Validating outgoing trust... | |||
OK: LocalValidation: DC[\\DC1.WIN.DOM] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED | |||
Validating incoming trust... | |||
OK: RemoteValidation: DC[\\dc2.lin.loc] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED | |||
Success. | |||
=== Подводные камни и ограничения === | |||
1. Не применяются правила фильтрации SID | |||
2. Вы не можете добавить пользователей и группы доверенного домена в доменные группы доверяющего домена. | |||
=== Ссылки === | === Ссылки === | ||
* [https://www.kania-online.de/wp-content/uploads/2019/06/trusts-tutorial-en.pdf https://www.kania-online.de/wp-content/uploads/2019/06/trusts-tutorial-en.pdf] | |||
* [http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html] | * [http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html] | ||
[[Category:Samba]] | [[Category:Samba]] | ||
{{Category navigation|title=Samba|category=Samba|sortkey={{SUBPAGENAME}}}} | {{Category navigation|title=Samba|category=Samba|sortkey={{SUBPAGENAME}}}} | ||
Версия от 23:43, 30 марта 2021
Установка доверительных отношений между Windows 2012R2 и SambaDC
Исходные данные
- Домен Windows:
Имя домена - WIN.DOM Контроллер домена - DC1.WIN.DOM IP address - 172.16.100.124 ОС контроллера домена - Windows Server 2012R2 Уровень работы домена - 2012R2
- Домен Linux:
Имя домена - LIN.LOC Контроллер домена - DC2.LIN.LOC IP address - 172.16.100.135 ОС контроллера домена - Alt 9 Server Уровень работы домена - 2012_R2 Версия Samba - 4.12.11
Основная задача - описать процесс создания двухсторонних доверительных отношений между доменами на базе Windows AD и Samba DC. Проверить возможность входа пользователей и групп одного домена в другой и наоборот.
Настройка на стороне Windows
1. Для службы DNS создать сервер условной перессылки
PS$ Add-DnsServerConditionalForwarderZone -Name lin.loc -MasterServers 172.16.100.134 -ReplicationScope Forest
2. Создание двухстороннего транзитивного подключения
Здесь будут размещены скриншоты настройки на стороне Windows
Настройка на стороне Linux
Предполагается, что домен уже настроен согласно документации, и функционирует с настроенным BIND9_DLZ в качестве DNS-backend.
1. Создание сервера условной перессылки для службы DNS:
vim /etc/bind/ddns.conf
Добавить в конец файла следующие строки
zone "win.dom" in {
type forward;
forwarders { 172.16.100.124; };
};
2. Создание входящего транзитивного подключения:
samba-tool domain trust create win.dom --type=forest --direction=both --create-location=local -Uadmin@WIN
В общем случае ваш вывод должен быть примерно похож, на представленный ниже
LocalDomain Netbios[LIN] DNS[lin.loc] SID[S-1-5-21-1859323732-4157578351-390439025] RemoteDC Netbios[DC1] DNS[DC1.WIN.DOM] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__] Password for [admin@WIN]: RemoteDomain Netbios[WIN] DNS[WIN.DOM] SID[S-1-5-21-534750258-3577407189-1049577339] Creating remote TDO. Remote TDO created. Setting supported encryption types on remote TDO. Creating local TDO. Local TDO created Setting supported encryption types on local TDO. Setup local forest trust information... Namespaces[2] TDO[WIN.DOM]: TLN: Status[Enabled] DNS[*.WIN.DOM] DOM: Status[Enabled] DNS[WIN.DOM] Netbios[WIN] SID[S-1-5-21-534750258-3577407189-1049577339] Setup remote forest trust information... Namespaces[2] TDO[lin.loc]: TLN: Status[Enabled] DNS[*.lin.loc] DOM: Status[Enabled] DNS[lin.loc] Netbios[LIN] SID[S-1-5-21-1859323732-4157578351-390439025] Validating outgoing trust... OK: LocalValidation: DC[\\DC1.WIN.DOM] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED Validating incoming trust... OK: RemoteValidation: DC[\\dc2.lin.loc] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED Success.
Подводные камни и ограничения
1. Не применяются правила фильтрации SID
2. Вы не можете добавить пользователей и группы доверенного домена в доменные группы доверяющего домена.