SCROLL
Среднее время на прочтение: 4 мин.

Ввод Debian в домен Windows с помощью Samba, Winbind, Kerberos

Samba  — это программное обеспечение для организации обмена файлами и работы с общими ресурсами между компьютерами под управлением Linux/Unix и операционной системой Windows

JUQwJTlEJUQwJUI4JUQwJUI2JUQwJUI1JTIwJUQwJUJFJUQwJUJGJUQwJUI4JUQxJTg4JUQxJTgzJTIwJUQwJUJBJUQwJUIwJUQwJUJBJTIwJUQwJUIyJUQwJUIyJUQwJUI1JUQxJTgxJUQxJTgyJUQwJUI4JTIwTGludXglMjAlRDElODElRDAlQjglRDElODElRDElODIlRDAlQjUlRDAlQkMlRDElODMlMjBEZWJpYW4lMjAxMCUyMCVEMCVCMiUyMCVEMCVCNCVEMCVCRSVEMCVCQyVEMCVCNSVEMCVCRCUyMFdpbmRvd3MlQzIlQTAlRDElODElMjAlRDAlQkYlRDAlQkUlRDAlQkMlRDAlQkUlRDElODklRDElOEMlRDElOEUlMjBLZXJiZXJvcyUyQyUyMFNhbWJhJTJDJTIwV2luYmluZC4=

Исходные данные:

  • Контроллер домена (DC1) на Windows Server 2019, домен JAKONDO.LOCAL
  • Linux система (datastore1) на Debian 10 Buster

Подготовка системы

Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния.

apt-get update && apt-get upgrade -y

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname.

/etc/hostname
ZGF0YXN0b3JlMS5qYWtvbmRvLmxvY2Fs

Файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP.

/etc/hosts
MTI3LjAuMC4xJTA5bG9jYWxob3N0
192.168.1.10	datastore1.jakondo.local datastore1

Синхронизация времени

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

Установим NTP сервер и выполним синхронизацию времени с контроллером домена:

apt-get install ntp ntpdate -y

ntpdate dc1.jakonda.local
Более подробно о синхронизации времени на Debian можно почитать в этой статье

Настройка Kerberos

Установка пакетов для поддержки аутентификации Kerberos.

YXB0LWdldCUyMGluc3RhbGwlMjBrcmI1LXVzZXI=
В ходе установки может появится запрос указать область по-умолчанию для Kerberos, область необходимо его указать в заглавном виде (прим. JAKONDO.LOCAL)

Файл конфигурации Kerberos /etc/krb5.conf, приводим к виду.

/etc/krb5.conf
JTVCbG9nZ2luZyU1RA==
JTIwZGVmYXVsdCUyMCUzRCUyMEZJTEUlM0ElMkZ2YXIlMkZsb2clMkZrcmI1bGlicy5sb2c=
JTIwa2RjJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmtyYjVrZGMubG9n
JTIwYWRtaW5fc2VydmVyJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmthZG1pbmQubG9n

[libdefaults]
JTIwZGVmYXVsdF9yZWFsbSUyMCUzRCUyMEpBS09ORE8uTE9DQUw=
JTIwZG5zX2xvb2t1cF9rZGMlMjAlM0QlMjBmYWxzZQ==
 dns_lookup_realm = false
JTIwZm9yd2FyZGFibGUlMjAlM0QlMjB0cnVl
 ticket_lifetime = 24h

JTVCcmVhbG1zJTVE
JTIwSkFLT05ETy5MT0NBTCUyMCUzRCUyMCU3Qg==
 kdc = dc1.jakondo.local
JTIwZGVmYXVsdF9kb21haW4lMjAlM0QlMjBKQUtPTkRPLkxPQ0FM
JTIwYWRtaW5fc2VydmVyJTIwJTNEJTIwZGMxLmpha29uZG8ubG9jYWw=
 }

JTVCZG9tYWluX3JlYWxtJTVE
 .jakondo.local = JAKONDO.LOCAL
JTIwamFrb25kby5sb2NhbCUyMCUzRCUyMEpBS09ORE8uTE9DQUw=
Соответственно подставляем название своего домена вместо jakonda.local / JAKONDA.LOCAL

JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUJBJUQwJUIwJTIwJUQxJTgwJUQwJUIwJUQwJUIxJUQwJUJFJUQxJTgyJUQxJThCJTIwS2VyYmVyb3MlMkMlMjAlRDAlQjIlRDElOEIlRDAlQkYlRDAlQkUlRDAlQkIlRDAlQkQlRDAlQjglRDAlQkMlMjAlRDAlQjAlRDAlQjIlRDElODIlRDAlQkUlRDElODAlRDAlQjglRDAlQjclRDAlQjAlRDElODYlRDAlQjglRDElOEUlMjAlRDAlQjIlMjBBY3RpdmUlMjBEaXJlY3Rvcnku

kinit jakonda@JAKONDO.LOCAL
UGFzc3dvcmQlMjBmb3IlMjBqYWtvbmRhJTQwSkFLT05ETy5MT0NBTCUzQQ==
Обращаю внимание на строгость соблюдения синтаксиса команды, имя пользователя нужно указывать именно так — jakonda@JAKONDO.LOCAL

JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUI4JUQxJTgyJUQxJThDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJGJUQwJUJFJUQwJUJCJUQxJTgzJUQxJTg3JUQwJUI1JUQwJUJEJTIwJUQwJUJCJUQwJUI4JTIwJUQwJUIxJUQwJUI4JUQwJUJCJUQwJUI1JUQxJTgyJTIwJUQwJUI4JUQwJUJCJUQwJUI4JTIwJUQwJUJEJUQwJUI1JUQxJTgyJTJDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJBJUQwJUJFJUQwJUJDJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUJFJUQwJUI5JTIwa2xpc3Qu

klist

Ticket cache: FILE:/tmp/krb5cc_0
RGVmYXVsdCUyMHByaW5jaXBhbCUzQSUyMGpha29uZGElNDBKQUtPTkRPLkxPQ0FM

Valid starting     Expires            Service principal
MTAlMkYyNyUyRjIxJTIwMTElM0EyNCUzQTAwJTIwJTIwMTAlMkYyNyUyRjIxJTIwMjElM0EyNCUzQTAwJTIwJTIwa3JidGd0JTJGSkFLT05ETy5MT0NBTCU0MEpBS09ORE8uTE9DQUw=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmVuZXclMjB1bnRpbCUyMDEwJTJGMjglMkYyMSUyMDExJTNBMjMlM0E1Ng==

Все отлично, можно удалить полученный билет.

kdestroy

Установка Samba

JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQxJThCJUQwJUI1JTIwJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUI1JUQxJTgyJUQxJThCLg==

apt-get install samba cifs-utils winbind libnss-winbind libpam-winbind -y

Конфигурационный файл Samba /etc/samba/smb.conf приводим к виду.

/etc/samba/smb.conf
JTVCZ2xvYmFsJTVE
JTIzJTIwJTIwJTIwJUQwJTlFJUQwJTkxJUQwJUE5JUQwJTk4JUQwJTk1JTIwJUQwJTlGJUQwJTkwJUQwJUEwJUQwJTkwJUQwJTlDJUQwJTk1JUQwJUEyJUQwJUEwJUQwJUFCJTIwJUQwJUExJUQwJTk1JUQwJUEyJUQwJTk1JUQwJTkyJUQwJTlFJUQwJTk5JTIwJUQwJUE4JUQwJTkwJUQwJUEwJUQwJUFC
    realm = JAKONDO.LOCAL
    workgroup = JAKONDO

JTIwJTIwJTIwJTIwc2VjdXJpdHklMjAlM0QlMjBhZHM=

JTIwJTIwJTIwJTIwbmV0YmlvcyUyMG5hbWUlMjAlM0QlMjBkYXRhc3RvcmUx
    server string = %h server

    domain master = no
JTIwJTIwJTIwJTIwbG9jYWwlMjBtYXN0ZXIlMjAlM0QlMjBubw==
    preferred master = no
    os level = 0

    dns proxy = no

JTIwJTIwJTIwJTIwc29ja2V0JTIwb3B0aW9ucyUyMCUzRCUyMFRDUF9OT0RFTEFZ

    unix charset = UTF-8
    dos charset = 866

#   Конфигурация для домена JAKONDO.LOCAL и его пользователей и групп
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjAqJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHRkYg==
    idmap config * : range   = 3000-7999
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjBKQUtPTkRPJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHJpZA==
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjBKQUtPTkRPJTIwJTNBJTIwcmFuZ2UlMjAlMjAlMjAlM0QlMjAxMDAwMC05OTk5OTk=

#   ПАРАМЕТРЫ WINBIND
    winbind enum users = yes
    winbind enum groups = yes
    winbind refresh tickets = yes
JTIwJTIwJTIwJTIwd2luYmluZCUyMHVzZSUyMGRlZmF1bHQlMjBkb21haW4lMjAlM0QlMjB5ZXM=
    winbind offline logon = yes
    winbind cache time = 300
JTIwJTIwJTIwJTIwdGVtcGxhdGUlMjBzaGVsbCUyMCUzRCUyMCUyRmJpbiUyRmJhc2g=

JTIzJTIwJTIwJTIwJUQwJTlFJUQwJUEyJUQwJTlBJUQwJTlCJUQwJUFFJUQwJUE3JUQwJTk1JUQwJTlEJUQwJTk4JUQwJTk1JTIwJUQwJTlGJUQwJTlFJUQwJTk0JUQwJTk0JUQwJTk1JUQwJUEwJUQwJTk2JUQwJTlBJUQwJTk4JTIwJUQwJUExJUQwJTk1JUQwJUEyJUQwJTk1JUQwJTkyJUQwJUFCJUQwJUE1JTIwJUQwJTlGJUQwJUEwJUQwJTk4JUQwJTlEJUQwJUEyJUQwJTk1JUQwJUEwJUQwJTlFJUQwJTky
JTIwJTIwJTIwJTIwbG9hZCUyMHByaW50ZXJzJTIwJTNEJTIwbm8=
    show add printer wizard = no
JTIwJTIwJTIwJTIwcHJpbnRjYXAlMjBuYW1lJTIwJTNEJTIwJTJGZGV2JTJGbnVsbA==
JTIwJTIwJTIwJTIwZGlzYWJsZSUyMHNwb29sc3MlMjAlM0QlMjB5ZXM=

#   ПАРАМЕНТЫ ЛОГИРОВАНИЯ
    log level = 0 vfs:1
Обращаю внимание что в параметрах realm, workgroup указываем название своего домена. Подробное описание используемых параметров можно по этой ссылке. А так же в параметрах idmap config в место JAKONDO, указываем свой домен.

Выполним проверку конфигурации на ошибки, командой.

dGVzdHBhcm0=

TG9hZCVDMiVBMHNtYiVDMiVBMGNvbmZpZyVDMiVBMGZpbGVzJUMyJUEwZnJvbSVDMiVBMCUyRmV0YyUyRnNhbWJhJTJGc21iLmNvbmY=
TG9hZGVkJUMyJUEwc2VydmljZXMlQzIlQTBmaWxlJUMyJUEwT0su
U2VydmVyJUMyJUEwcm9sZSUzQSVDMiVBMFJPTEVfRE9NQUlOX01FTUJFUg==
Press enter to see a dump of your service definitions

Ввод в домен

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

net ads join -U jakonda@jakondo.local

JUQwJTkyJUQxJThCJUQwJUIyJUQwJUJFJUQwJUI0JTIwJUQwJUJFJUQwJUIxJTIwJUQxJTgzJUQxJTgxJUQwJUJGJUQwJUI1JUQxJTg4JUQwJUJEJUQwJUJFJUQwJUJDJTIwJUQwJUJGJUQxJTgwJUQwJUI4JUQxJTgxJUQwJUJFJUQwJUI1JUQwJUI0JUQwJUI4JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI4JTIwJUQwJUJBJTIwJUQwJUI0JUQwJUJFJUQwJUJDJUQwJUI1JUQwJUJEJUQxJTgzLg==

RW50ZXIlMjBqYWtvbmRhJTQwamFrb25kby5sb2NhbCdzJTIwcGFzc3dvcmQlM0E=
Using short domain name -- JAKONDO
Joined 'DATASTORE1' to dns domain 'jakondo.local'

Вывод из домена

JUQwJTlEJUQwJUIwJTIwJUQxJTgxJUQwJUJCJUQxJTgzJUQxJTg3JUQwJUIwJUQwJUI5JTIwJUQwJUI1JUQxJTgxJUQwJUJCJUQwJUI4JTIwJUQwJUJEJUQxJTgzJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUIyJUQxJThCJUQwJUIyJUQwJUI1JUQxJTgxJUQxJTgyJUQwJUI4JTIwJUQwJUJDJUQwJUIwJUQxJTg4JUQwJUI4JUQwJUJEJUQxJTgzJTIwJUQwJUI4JUQwJUI3JTIwJUQwJUI0JUQwJUJFJUQwJUJDJUQwJUI1JUQwJUJEJUQwJUIwJTJDJTIwJUQxJTgyJUQwJUJFJTIwJUQwJUI0JUQwJUI1JUQwJUJCJUQwJUIwJUQwJUI1JUQxJTgyJUQxJTgxJUQxJThGJTIwJUQxJThEJUQxJTgyJUQwJUJFJTIwJUQwJUJBJUQwJUJFJUQwJUJDJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUJFJUQwJUI5JTNB

net ads leave -U jakonda@jakondo.local

Настройка Winbind

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

/etc/nsswitch.conf
# Example configuration of GNU Name Service Switch functionality.
JTIzJTIwSWYlMjB5b3UlMjBoYXZlJTIwdGhlJTIwJTYwZ2xpYmMtZG9jLXJlZmVyZW5jZSclMjBhbmQlMjAlNjBpbmZvJyUyMHBhY2thZ2VzJTIwaW5zdGFsbGVkJTJDJTIwdHJ5JTNB
JTIzJTIwJTYwaW5mbyUyMGxpYmMlMjAlMjJOYW1lJTIwU2VydmljZSUyMFN3aXRjaCUyMiclMjBmb3IlMjBpbmZvcm1hdGlvbiUyMGFib3V0JTIwdGhpcyUyMGZpbGUu

passwd:         files winbind
group:          files winbind
shadow:         files
Z3NoYWRvdyUzQSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMGZpbGVz

hosts:          files dns
bmV0d29ya3MlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBmaWxlcw==

protocols:      db files
c2VydmljZXMlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBkYiUyMGZpbGVz
ZXRoZXJzJTNBJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZGIlMjBmaWxlcw==
rpc:            db files

netgroup:       nis

Перезапускаем службы Samba и Winbind для применения изменений.

JTJGZXRjJTJGaW5pdC5kJTJGc21iZCUyMHJlc3RhcnQ=
/etc/init.d/winbind restart

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

d2JpbmZvJTIwLXQ=

checking the trust secret for domain SYSOS via RPC calls succeeded

Для проверки видит ли Winbind пользователей и группы из Active Directory, выполним команды.

wbinfo -u
d2JpbmZvJTIwLWc=

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

Авторизация в системе

После проделанных выше операций, появляется возможность входа в систему под доменной учетной записью.

Для того чтобы при входе в систему создавался домашний каталог для пользователя, необходимо в файле /etc/pam.d/common-session после строки session optional pam_systemd.so добавить строку:

/etc/pam.d/common-session
c2Vzc2lvbiUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX21raG9tZWRpci5zbyUyMHVtYXNrJTNEMDAyMiUyMHNrZWwlM0QlMkZldGMlMkZza2Vs

В итоге файл должен получится следующий (без вывода комментариев).

/etc/pam.d/common-session
session [default=1]                     pam_permit.so
c2Vzc2lvbiUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
c2Vzc2lvbiUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==
session required        pam_unix.so
c2Vzc2lvbiUyMG9wdGlvbmFsJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3dpbmJpbmQuc28=
c2Vzc2lvbiUyMG9wdGlvbmFsJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3N5c3RlbWQuc28=
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

Права доступа

Если необходимо разрешить авторизацию в системе только определенным доменным пользователям, то это можно сделать путем ограничения права доступа на основе членства в доменной группе безопасности.

В файле конфигурации /etc/pam.d/common-auth в строке описывающую вызов pam_winbind.so добавляем дополнительный параметр require_membership_of, в котором указываем имя доменной группы безопасности в формате JAKONDO\LinuxAdmins

Так же хочу заместить если ваша группа безопасности содержит пробелы, например — Domain admins, то указывать ее нужно в формате — %Domain\admins
/etc/pam.d/common-auth
YXV0aCUyMCUyMCUyMCUyMCU1QnN1Y2Nlc3MlM0QxJTIwZGVmYXVsdCUzRGlnbm9yZSU1RCUyMCUyMCUyMCUyMCUyMCUyMHBhbV93aW5iaW5kLnNvJTIwa3JiNV9hdXRoJTIwa3JiNV9jY2FjaGVfdHlwZSUzREZJTEUlMjBjYWNoZWRfbG9naW4lMjB0cnlfZmlyc3RfcGFzcyUyMHJlcXVpcmVfbWVtYmVyc2hpcF9vZiUzREpBS09ORE8lNUNMaW51eEFkbWlucw==

В итоге файл должен получится следующий (без вывода комментариев).

/etc/pam.d/common-auth
auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of=JAKONDO\LinuxAdmins
YXV0aCUyMCUyMCUyMCUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
YXV0aCUyMCUyMCUyMCUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==

Делегирование SUDO

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

/etc/sudoers.d/admins
JTI1TGludXhBZG1pbnMlMjBBTEwlM0QoQUxMKSUyMEFMTA==
 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

0 комментариев

Нет комментариев.