Ввод Debian в домен Windows с помощью Samba, Winbind, Kerberos
Samba — это программное обеспечение для организации обмена файлами и работы с общими ресурсами между компьютерами под управлением Linux/Unix и операционной системой Windows
JUQwJTlEJUQwJUI4JUQwJUI2JUQwJUI1JTIwJUQwJUJFJUQwJUJGJUQwJUI4JUQxJTg4JUQxJTgzJTIwJUQwJUJBJUQwJUIwJUQwJUJBJTIwJUQwJUIyJUQwJUIyJUQwJUI1JUQxJTgxJUQxJTgyJUQwJUI4JTIwTGludXglMjAlRDElODElRDAlQjglRDElODElRDElODIlRDAlQjUlRDAlQkMlRDElODMlMjBEZWJpYW4lMjAxMCUyMCVEMCVCMiUyMCVEMCVCNCVEMCVCRSVEMCVCQyVEMCVCNSVEMCVCRCUyMFdpbmRvd3MlQzIlQTAlRDElODElMjAlRDAlQkYlRDAlQkUlRDAlQkMlRDAlQkUlRDElODklRDElOEMlRDElOEUlMjBLZXJiZXJvcyUyQyUyMFNhbWJhJTJDJTIwV2luYmluZC4=
Исходные данные:
- Контроллер домена (DC1) на Windows Server 2019, домен JAKONDO.LOCAL
- Linux система (datastore1) на Debian 10 Buster
Подготовка системы
Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния.
apt-get update && apt-get upgrade -y
Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname
.
ZGF0YXN0b3JlMS5qYWtvbmRvLmxvY2Fs
Файл /etc/hosts
приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP.
MTI3LjAuMC4xJTA5bG9jYWxob3N0
192.168.1.10 datastore1.jakondo.local datastore1
Синхронизация времени
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
Установим NTP сервер и выполним синхронизацию времени с контроллером домена:
apt-get install ntp ntpdate -y
ntpdate dc1.jakonda.local
этой
статьеНастройка Kerberos
Установка пакетов для поддержки аутентификации Kerberos.
YXB0LWdldCUyMGluc3RhbGwlMjBrcmI1LXVzZXI=
JAKONDO.LOCAL
)Файл конфигурации Kerberos /etc/krb5.conf
, приводим к виду.
JTVCbG9nZ2luZyU1RA==
JTIwZGVmYXVsdCUyMCUzRCUyMEZJTEUlM0ElMkZ2YXIlMkZsb2clMkZrcmI1bGlicy5sb2c=
JTIwa2RjJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmtyYjVrZGMubG9n
JTIwYWRtaW5fc2VydmVyJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmthZG1pbmQubG9n
[libdefaults]
JTIwZGVmYXVsdF9yZWFsbSUyMCUzRCUyMEpBS09ORE8uTE9DQUw=
JTIwZG5zX2xvb2t1cF9rZGMlMjAlM0QlMjBmYWxzZQ==
dns_lookup_realm = false
JTIwZm9yd2FyZGFibGUlMjAlM0QlMjB0cnVl
ticket_lifetime = 24h
JTVCcmVhbG1zJTVE
JTIwSkFLT05ETy5MT0NBTCUyMCUzRCUyMCU3Qg==
kdc = dc1.jakondo.local
JTIwZGVmYXVsdF9kb21haW4lMjAlM0QlMjBKQUtPTkRPLkxPQ0FM
JTIwYWRtaW5fc2VydmVyJTIwJTNEJTIwZGMxLmpha29uZG8ubG9jYWw=
}
JTVCZG9tYWluX3JlYWxtJTVE
.jakondo.local = JAKONDO.LOCAL
JTIwamFrb25kby5sb2NhbCUyMCUzRCUyMEpBS09ORE8uTE9DQUw=
jakonda.local / JAKONDA.LOCAL
JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUJBJUQwJUIwJTIwJUQxJTgwJUQwJUIwJUQwJUIxJUQwJUJFJUQxJTgyJUQxJThCJTIwS2VyYmVyb3MlMkMlMjAlRDAlQjIlRDElOEIlRDAlQkYlRDAlQkUlRDAlQkIlRDAlQkQlRDAlQjglRDAlQkMlMjAlRDAlQjAlRDAlQjIlRDElODIlRDAlQkUlRDElODAlRDAlQjglRDAlQjclRDAlQjAlRDElODYlRDAlQjglRDElOEUlMjAlRDAlQjIlMjBBY3RpdmUlMjBEaXJlY3Rvcnku
kinit jakonda@JAKONDO.LOCAL
UGFzc3dvcmQlMjBmb3IlMjBqYWtvbmRhJTQwSkFLT05ETy5MT0NBTCUzQQ==
jakonda@JAKONDO.LOCAL
JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUI4JUQxJTgyJUQxJThDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJGJUQwJUJFJUQwJUJCJUQxJTgzJUQxJTg3JUQwJUI1JUQwJUJEJTIwJUQwJUJCJUQwJUI4JTIwJUQwJUIxJUQwJUI4JUQwJUJCJUQwJUI1JUQxJTgyJTIwJUQwJUI4JUQwJUJCJUQwJUI4JTIwJUQwJUJEJUQwJUI1JUQxJTgyJTJDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJBJUQwJUJFJUQwJUJDJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUJFJUQwJUI5JTIwa2xpc3Qu
klist
Ticket cache: FILE:/tmp/krb5cc_0
RGVmYXVsdCUyMHByaW5jaXBhbCUzQSUyMGpha29uZGElNDBKQUtPTkRPLkxPQ0FM
Valid starting Expires Service principal
MTAlMkYyNyUyRjIxJTIwMTElM0EyNCUzQTAwJTIwJTIwMTAlMkYyNyUyRjIxJTIwMjElM0EyNCUzQTAwJTIwJTIwa3JidGd0JTJGSkFLT05ETy5MT0NBTCU0MEpBS09ORE8uTE9DQUw=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmVuZXclMjB1bnRpbCUyMDEwJTJGMjglMkYyMSUyMDExJTNBMjMlM0E1Ng==
Все отлично, можно удалить полученный билет.
kdestroy
Установка Samba
JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQxJThCJUQwJUI1JTIwJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUI1JUQxJTgyJUQxJThCLg==
apt-get install samba cifs-utils winbind libnss-winbind libpam-winbind -y
Конфигурационный файл Samba /etc/samba/smb.conf
приводим к виду.
JTVCZ2xvYmFsJTVE
JTIzJTIwJTIwJTIwJUQwJTlFJUQwJTkxJUQwJUE5JUQwJTk4JUQwJTk1JTIwJUQwJTlGJUQwJTkwJUQwJUEwJUQwJTkwJUQwJTlDJUQwJTk1JUQwJUEyJUQwJUEwJUQwJUFCJTIwJUQwJUExJUQwJTk1JUQwJUEyJUQwJTk1JUQwJTkyJUQwJTlFJUQwJTk5JTIwJUQwJUE4JUQwJTkwJUQwJUEwJUQwJUFC
realm = JAKONDO.LOCAL
workgroup = JAKONDO
JTIwJTIwJTIwJTIwc2VjdXJpdHklMjAlM0QlMjBhZHM=
JTIwJTIwJTIwJTIwbmV0YmlvcyUyMG5hbWUlMjAlM0QlMjBkYXRhc3RvcmUx
server string = %h server
domain master = no
JTIwJTIwJTIwJTIwbG9jYWwlMjBtYXN0ZXIlMjAlM0QlMjBubw==
preferred master = no
os level = 0
dns proxy = no
JTIwJTIwJTIwJTIwc29ja2V0JTIwb3B0aW9ucyUyMCUzRCUyMFRDUF9OT0RFTEFZ
unix charset = UTF-8
dos charset = 866
# Конфигурация для домена JAKONDO.LOCAL и его пользователей и групп
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjAqJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHRkYg==
idmap config * : range = 3000-7999
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjBKQUtPTkRPJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHJpZA==
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjBKQUtPTkRPJTIwJTNBJTIwcmFuZ2UlMjAlMjAlMjAlM0QlMjAxMDAwMC05OTk5OTk=
# ПАРАМЕТРЫ WINBIND
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = yes
JTIwJTIwJTIwJTIwd2luYmluZCUyMHVzZSUyMGRlZmF1bHQlMjBkb21haW4lMjAlM0QlMjB5ZXM=
winbind offline logon = yes
winbind cache time = 300
JTIwJTIwJTIwJTIwdGVtcGxhdGUlMjBzaGVsbCUyMCUzRCUyMCUyRmJpbiUyRmJhc2g=
JTIzJTIwJTIwJTIwJUQwJTlFJUQwJUEyJUQwJTlBJUQwJTlCJUQwJUFFJUQwJUE3JUQwJTk1JUQwJTlEJUQwJTk4JUQwJTk1JTIwJUQwJTlGJUQwJTlFJUQwJTk0JUQwJTk0JUQwJTk1JUQwJUEwJUQwJTk2JUQwJTlBJUQwJTk4JTIwJUQwJUExJUQwJTk1JUQwJUEyJUQwJTk1JUQwJTkyJUQwJUFCJUQwJUE1JTIwJUQwJTlGJUQwJUEwJUQwJTk4JUQwJTlEJUQwJUEyJUQwJTk1JUQwJUEwJUQwJTlFJUQwJTky
JTIwJTIwJTIwJTIwbG9hZCUyMHByaW50ZXJzJTIwJTNEJTIwbm8=
show add printer wizard = no
JTIwJTIwJTIwJTIwcHJpbnRjYXAlMjBuYW1lJTIwJTNEJTIwJTJGZGV2JTJGbnVsbA==
JTIwJTIwJTIwJTIwZGlzYWJsZSUyMHNwb29sc3MlMjAlM0QlMjB5ZXM=
# ПАРАМЕНТЫ ЛОГИРОВАНИЯ
log level = 0 vfs:1
realm
, workgroup
указываем название своего домена. Подробное описание используемых параметров можно по этой ссылке
. А так же в параметрах idmap config
в место JAKONDO
, указываем свой домен.Выполним проверку конфигурации на ошибки, командой.
dGVzdHBhcm0=
TG9hZCVDMiVBMHNtYiVDMiVBMGNvbmZpZyVDMiVBMGZpbGVzJUMyJUEwZnJvbSVDMiVBMCUyRmV0YyUyRnNhbWJhJTJGc21iLmNvbmY=
TG9hZGVkJUMyJUEwc2VydmljZXMlQzIlQTBmaWxlJUMyJUEwT0su
U2VydmVyJUMyJUEwcm9sZSUzQSVDMiVBMFJPTEVfRE9NQUlOX01FTUJFUg==
Press enter to see a dump of your service definitions
Ввод в домен
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
net ads join -U jakonda@jakondo.local
JUQwJTkyJUQxJThCJUQwJUIyJUQwJUJFJUQwJUI0JTIwJUQwJUJFJUQwJUIxJTIwJUQxJTgzJUQxJTgxJUQwJUJGJUQwJUI1JUQxJTg4JUQwJUJEJUQwJUJFJUQwJUJDJTIwJUQwJUJGJUQxJTgwJUQwJUI4JUQxJTgxJUQwJUJFJUQwJUI1JUQwJUI0JUQwJUI4JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI4JTIwJUQwJUJBJTIwJUQwJUI0JUQwJUJFJUQwJUJDJUQwJUI1JUQwJUJEJUQxJTgzLg==
RW50ZXIlMjBqYWtvbmRhJTQwamFrb25kby5sb2NhbCdzJTIwcGFzc3dvcmQlM0E=
Using short domain name -- JAKONDO
Joined 'DATASTORE1' to dns domain 'jakondo.local'
Вывод из домена
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
net ads leave -U jakonda@jakondo.local
Настройка Winbind
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
# Example configuration of GNU Name Service Switch functionality.
JTIzJTIwSWYlMjB5b3UlMjBoYXZlJTIwdGhlJTIwJTYwZ2xpYmMtZG9jLXJlZmVyZW5jZSclMjBhbmQlMjAlNjBpbmZvJyUyMHBhY2thZ2VzJTIwaW5zdGFsbGVkJTJDJTIwdHJ5JTNB
JTIzJTIwJTYwaW5mbyUyMGxpYmMlMjAlMjJOYW1lJTIwU2VydmljZSUyMFN3aXRjaCUyMiclMjBmb3IlMjBpbmZvcm1hdGlvbiUyMGFib3V0JTIwdGhpcyUyMGZpbGUu
passwd: files winbind
group: files winbind
shadow: files
Z3NoYWRvdyUzQSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMGZpbGVz
hosts: files dns
bmV0d29ya3MlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBmaWxlcw==
protocols: db files
c2VydmljZXMlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBkYiUyMGZpbGVz
ZXRoZXJzJTNBJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZGIlMjBmaWxlcw==
rpc: db files
netgroup: nis
Перезапускаем службы Samba и Winbind для применения изменений.
JTJGZXRjJTJGaW5pdC5kJTJGc21iZCUyMHJlc3RhcnQ=
/etc/init.d/winbind restart
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
d2JpbmZvJTIwLXQ=
checking the trust secret for domain SYSOS via RPC calls succeeded
Для проверки видит ли Winbind пользователей и группы из Active Directory, выполним команды.
wbinfo -u
d2JpbmZvJTIwLWc=
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
Авторизация в системе
После проделанных выше операций, появляется возможность входа в систему под доменной учетной записью.
Для того чтобы при входе в систему создавался домашний каталог для пользователя, необходимо в файле /etc/pam.d/common-session
после строки session optional pam_systemd.so
добавить строку:
c2Vzc2lvbiUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX21raG9tZWRpci5zbyUyMHVtYXNrJTNEMDAyMiUyMHNrZWwlM0QlMkZldGMlMkZza2Vs
В итоге файл должен получится следующий (без вывода комментариев).
session [default=1] pam_permit.so
c2Vzc2lvbiUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
c2Vzc2lvbiUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==
session required pam_unix.so
c2Vzc2lvbiUyMG9wdGlvbmFsJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3dpbmJpbmQuc28=
c2Vzc2lvbiUyMG9wdGlvbmFsJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3N5c3RlbWQuc28=
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
Права доступа
Если необходимо разрешить авторизацию в системе только определенным доменным пользователям, то это можно сделать путем ограничения права доступа на основе членства в доменной группе безопасности.
В файле конфигурации /etc/pam.d/common-auth
в строке описывающую вызов pam_winbind.so
добавляем дополнительный параметр require_membership_of
, в котором указываем имя доменной группы безопасности в формате JAKONDO\LinuxAdmins
%Domain\admins
YXV0aCUyMCUyMCUyMCUyMCU1QnN1Y2Nlc3MlM0QxJTIwZGVmYXVsdCUzRGlnbm9yZSU1RCUyMCUyMCUyMCUyMCUyMCUyMHBhbV93aW5iaW5kLnNvJTIwa3JiNV9hdXRoJTIwa3JiNV9jY2FjaGVfdHlwZSUzREZJTEUlMjBjYWNoZWRfbG9naW4lMjB0cnlfZmlyc3RfcGFzcyUyMHJlcXVpcmVfbWVtYmVyc2hpcF9vZiUzREpBS09ORE8lNUNMaW51eEFkbWlucw==
В итоге файл должен получится следующий (без вывода комментариев).
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of=JAKONDO\LinuxAdmins
YXV0aCUyMCUyMCUyMCUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
YXV0aCUyMCUyMCUyMCUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==
Делегирование SUDO
JUQwJTk1JUQxJTgxJUQwJUJCJUQwJUI4JTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQwJUJFJTIwJUQwJUI0JUQwJUI1JUQwJUJCJUQwJUI1JUQwJUIzJUQwJUI4JUQxJTgwJUQwJUJFJUQwJUIyJUQwJUIwJUQwJUJEJUQwJUI4JUQwJUI1JTIwc3VkbyUyMCVEMCVCNCVEMCVCQiVEMSU4RiUyMCVEMCVCQSVEMCVCMCVEMCVCQSVEMCVCRSVEMCVCOSUyMCVEMCVCQiVEMCVCOCVEMCVCMSVEMCVCRSUyMCVEMCVCNCVEMCVCRSVEMCVCQyVEMCVCNSVEMCVCRCVEMCVCRCVEMCVCRSVEMCVCOSUyMCVEMCVCMyVEMSU4MCVEMSU4MyVEMCVCRiVEMCVCRiVEMSU4QiUyMCVEMCVCMSVEMCVCNSVEMCVCNyVEMCVCRSVEMCVCRiVEMCVCMCVEMSU4MSVEMCVCRCVEMCVCRSVEMSU4MSVEMSU4MiVEMCVCOCUyMCglRDAlQkYlRDElODAlRDAlQjglRDAlQkMuJTIwTGludXhBZG1pbnMpJTJDJTIwJUQxJTgyJUQwJUJFJTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQwJUJFJTIwJUQxJTgxJUQwJUJFJUQwJUI3JUQwJUI0JUQwJUIwJUQxJTgyJUQxJThDJTIwJUQxJTg0JUQwJUIwJUQwJUI5JUQwJUJCJTIwJTJGZXRjJTJGc3Vkb2Vycy5kJTJGYWRtaW5zJTIwKCVEMCVCMyVEMCVCNCVEMCVCNSUyMGFkbWlucyUyMCVEMCVCRiVEMSU4MCVEMCVCRSVEMCVCOCVEMCVCNyVEMCVCMiVEMCVCRSVEMCVCQiVEMSU4QyVEMCVCRCVEMCVCRSVEMCVCNSUyMCVEMCVCRiVEMCVCRSVEMCVCRCVEMSU4RiVEMSU4MiVEMCVCRCVEMCVCRSVEMCVCNSUyMCVEMCVCRCVEMCVCMCVEMCVCNyVEMCVCMiVEMCVCMCVEMCVCRCVEMCVCOCVEMCVCNSklMjAlRDAlQjIlMjAlRDAlQkElRDAlQkUlRDElODIlRDAlQkUlRDElODAlRDElOEIlRDAlQjklMjAlRDAlQkYlRDElODAlRDAlQkUlRDAlQkYlRDAlQjglRDElODElRDAlQjAlRDElODIlRDElOEMlMjAlRDElODElRDAlQkIlRDAlQjUlRDAlQjQlRDElODMlRDElOEUlRDElODklRDAlQjUlRDAlQjUlM0E=
JTI1TGludXhBZG1pbnMlMjBBTEwlM0QoQUxMKSUyMEFMTA==
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
Обсуждение
Нет комментариев.