Samba/InterdomainTrustRelationships

Материал из ALT Linux Wiki
< Samba
Версия от 23:43, 30 марта 2021; Bne (обсуждение | вклад) (Полностью переписал страницу. В ближайших планах добавить инструкцию по созданию траста в Windows (для полноты статьи), и описать ряд нюансов)
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Установка доверительных отношений между Windows 2012R2 и SambaDC

Исходные данные

  • Домен Windows:
 Имя домена - WIN.DOM
 Контроллер домена - DC1.WIN.DOM
 IP address - 172.16.100.124
 ОС контроллера домена - Windows Server 2012R2
 Уровень работы домена - 2012R2
  • Домен Linux:
 Имя домена - LIN.LOC
 Контроллер домена - DC2.LIN.LOC
 IP address - 172.16.100.135
 ОС контроллера домена - Alt 9 Server
 Уровень работы домена - 2012_R2
 Версия Samba - 4.12.11

Основная задача - описать процесс создания двухсторонних доверительных отношений между доменами на базе Windows AD и Samba DC. Проверить возможность входа пользователей и групп одного домена в другой и наоборот.

Настройка на стороне Windows

1. Для службы DNS создать сервер условной перессылки

PS$ Add-DnsServerConditionalForwarderZone -Name lin.loc -MasterServers 172.16.100.134 -ReplicationScope Forest

2. Создание двухстороннего транзитивного подключения

Здесь будут размещены скриншоты настройки на стороне Windows

Настройка на стороне Linux

Предполагается, что домен уже настроен согласно документации, и функционирует с настроенным BIND9_DLZ в качестве DNS-backend.

1. Создание сервера условной перессылки для службы DNS: 

 vim /etc/bind/ddns.conf

 Добавить в конец файла следующие строки

 zone "win.dom" in {
     type forward;
     forwarders { 172.16.100.124; };
 };

2. Создание входящего транзитивного подключения: 

 samba-tool domain trust create win.dom --type=forest --direction=both --create-location=local -Uadmin@WIN

 В общем случае ваш вывод должен быть примерно похож, на представленный ниже

 LocalDomain Netbios[LIN] DNS[lin.loc] SID[S-1-5-21-1859323732-4157578351-390439025]
 RemoteDC Netbios[DC1] DNS[DC1.WIN.DOM] 
 ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__]
 Password for [admin@WIN]:
 RemoteDomain Netbios[WIN] DNS[WIN.DOM] SID[S-1-5-21-534750258-3577407189-1049577339]
 Creating remote TDO.
 Remote TDO created.
 Setting supported encryption types on remote TDO.
 Creating local TDO.
 Local TDO created
 Setting supported encryption types on local TDO.
 Setup local forest trust information...
 Namespaces[2] TDO[WIN.DOM]:
 TLN: Status[Enabled]                  DNS[*.WIN.DOM]
 DOM: Status[Enabled]                  DNS[WIN.DOM] Netbios[WIN] SID[S-1-5-21-534750258-3577407189-1049577339]
 Setup remote forest trust information...
 Namespaces[2] TDO[lin.loc]:
 TLN: Status[Enabled]                  DNS[*.lin.loc]
 DOM: Status[Enabled]                  DNS[lin.loc] Netbios[LIN] SID[S-1-5-21-1859323732-4157578351-390439025]
 Validating outgoing trust...
 OK: LocalValidation: DC[\\DC1.WIN.DOM] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
 Validating incoming trust...
 OK: RemoteValidation: DC[\\dc2.lin.loc] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
 Success.

Подводные камни и ограничения

1. Не применяются правила фильтрации SID

2. Вы не можете добавить пользователей и группы доверенного домена в доменные группы доверяющего домена.

Ссылки

Samba
Групповые политики/ADMC • Samba/Cluster • ActiveDirectory/DC • Fileserver start • ActiveDirectory/FileShare • Групповые политики/GPUI • Samba/idmapldap • Samba/InterdomainTrustRelationships • ActiveDirectory/Login • SambaDC/MIT • Samba/recycle • Samba • Samba/Cluster/FreeIPA • Samba/Fileserver/AD-auth • SambaAD start • SambaADClient и клонирование диска • SambaDC/Squid • Smbnetfs • Test AD Join • Samba/Usershares • Групповые политики • Диагностические инструменты • Общие папки • Групповые политики/Развёртывание • Устранение неполадок участников домена Samba