SCROLL
Среднее время на прочтение: 4 мин.

Ввод Debian в домен Windows с помощью Samba, Winbind, Kerberos

Samba  — это программное обеспечение для организации обмена файлами и работы с общими ресурсами между компьютерами под управлением Linux/Unix и операционной системой Windows

Ниже опишу как ввести Linux систему Debian 10 в домен Windows с помощью Kerberos, Samba, Winbind.

Исходные данные:

  • Контроллер домена (DC1) на Windows Server 2019, домен JAKONDO.LOCAL
  • Linux система (datastore1) на Debian 10 Buster

Подготовка системы

Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния.

YXB0LWdldCUyMHVwZGF0ZSUyMCUyNiUyNiUyMGFwdC1nZXQlMjB1cGdyYWRlJTIwLXk=

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname.

/etc/hostname
datastore1.jakondo.local

Файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP.

/etc/hosts
127.0.0.1	localhost
MTkyLjE2OC4xLjEwJTA5ZGF0YXN0b3JlMS5qYWtvbmRvLmxvY2FsJTIwZGF0YXN0b3JlMQ==

Синхронизация времени

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

apt-get install ntp ntpdate -y

ntpdate dc1.jakonda.local
Более подробно о синхронизации времени на Debian можно почитать в этой статье

Настройка Kerberos

JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUJFJUQwJUIyJUQwJUJBJUQwJUIwJTIwJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUI1JUQxJTgyJUQwJUJFJUQwJUIyJTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQwJUJGJUQwJUJFJUQwJUI0JUQwJUI0JUQwJUI1JUQxJTgwJUQwJUI2JUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgzJUQxJTgyJUQwJUI1JUQwJUJEJUQxJTgyJUQwJUI4JUQxJTg0JUQwJUI4JUQwJUJBJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUI4JTIwS2VyYmVyb3Mu

apt-get install krb5-user
В ходе установки может появится запрос указать область по-умолчанию для Kerberos, область необходимо его указать в заглавном виде (прим. JAKONDO.LOCAL)

Файл конфигурации Kerberos /etc/krb5.conf, приводим к виду.

/etc/krb5.conf
[logging]
JTIwZGVmYXVsdCUyMCUzRCUyMEZJTEUlM0ElMkZ2YXIlMkZsb2clMkZrcmI1bGlicy5sb2c=
JTIwa2RjJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmtyYjVrZGMubG9n
JTIwYWRtaW5fc2VydmVyJTIwJTNEJTIwRklMRSUzQSUyRnZhciUyRmxvZyUyRmthZG1pbmQubG9n

[libdefaults]
 default_realm = JAKONDO.LOCAL
JTIwZG5zX2xvb2t1cF9rZGMlMjAlM0QlMjBmYWxzZQ==
 dns_lookup_realm = false
JTIwZm9yd2FyZGFibGUlMjAlM0QlMjB0cnVl
JTIwdGlja2V0X2xpZmV0aW1lJTIwJTNEJTIwMjRo

[realms]
 JAKONDO.LOCAL = {
JTIwa2RjJTIwJTNEJTIwZGMxLmpha29uZG8ubG9jYWw=
 default_domain = JAKONDO.LOCAL
 admin_server = dc1.jakondo.local
JTIwJTdE

[domain_realm]
JTIwLmpha29uZG8ubG9jYWwlMjAlM0QlMjBKQUtPTkRPLkxPQ0FM
 jakondo.local = JAKONDO.LOCAL
Соответственно подставляем название своего домена вместо jakonda.local / JAKONDA.LOCAL

Проверка работы Kerberos, выполним авторизацию в Active Directory.

kinit jakonda@JAKONDO.LOCAL
Password for jakonda@JAKONDO.LOCAL:
Обращаю внимание на строгость соблюдения синтаксиса команды, имя пользователя нужно указывать именно так — jakonda@JAKONDO.LOCAL

JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUI4JUQxJTgyJUQxJThDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJGJUQwJUJFJUQwJUJCJUQxJTgzJUQxJTg3JUQwJUI1JUQwJUJEJTIwJUQwJUJCJUQwJUI4JTIwJUQwJUIxJUQwJUI4JUQwJUJCJUQwJUI1JUQxJTgyJTIwJUQwJUI4JUQwJUJCJUQwJUI4JTIwJUQwJUJEJUQwJUI1JUQxJTgyJTJDJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJBJUQwJUJFJUQwJUJDJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUJFJUQwJUI5JTIwa2xpc3Qu

a2xpc3Q=

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: jakonda@JAKONDO.LOCAL

Valid starting     Expires            Service principal
MTAlMkYyNyUyRjIxJTIwMTElM0EyNCUzQTAwJTIwJTIwMTAlMkYyNyUyRjIxJTIwMjElM0EyNCUzQTAwJTIwJTIwa3JidGd0JTJGSkFLT05ETy5MT0NBTCU0MEpBS09ORE8uTE9DQUw=
        renew until 10/28/21 11:23:56

Все отлично, можно удалить полученный билет.

kdestroy

Установка Samba

JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQxJThCJUQwJUI1JTIwJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUI1JUQxJTgyJUQxJThCLg==

YXB0LWdldCUyMGluc3RhbGwlMjBzYW1iYSUyMGNpZnMtdXRpbHMlMjB3aW5iaW5kJTIwbGlibnNzLXdpbmJpbmQlMjBsaWJwYW0td2luYmluZCUyMC15

JUQwJTlBJUQwJUJFJUQwJUJEJUQxJTg0JUQwJUI4JUQwJUIzJUQxJTgzJUQxJTgwJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUJFJUQwJUJEJUQwJUJEJUQxJThCJUQwJUI5JTIwJUQxJTg0JUQwJUIwJUQwJUI5JUQwJUJCJTIwU2FtYmElMjAlMkZldGMlMkZzYW1iYSUyRnNtYi5jb25mJUMyJUEwJUQwJUJGJUQxJTgwJUQwJUI4JUQwJUIyJUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJTIwJUQwJUJBJTIwJUQwJUIyJUQwJUI4JUQwJUI0JUQxJTgzLg==

/etc/samba/smb.conf
JTVCZ2xvYmFsJTVE
JTIzJTIwJTIwJTIwJUQwJTlFJUQwJTkxJUQwJUE5JUQwJTk4JUQwJTk1JTIwJUQwJTlGJUQwJTkwJUQwJUEwJUQwJTkwJUQwJTlDJUQwJTk1JUQwJUEyJUQwJUEwJUQwJUFCJTIwJUQwJUExJUQwJTk1JUQwJUEyJUQwJTk1JUQwJTkyJUQwJTlFJUQwJTk5JTIwJUQwJUE4JUQwJTkwJUQwJUEwJUQwJUFC
JTIwJTIwJTIwJTIwcmVhbG0lMjAlM0QlMjBKQUtPTkRPLkxPQ0FM
    workgroup = JAKONDO

    security = ads

    netbios name = datastore1
JTIwJTIwJTIwJTIwc2VydmVyJTIwc3RyaW5nJTIwJTNEJTIwJTI1aCUyMHNlcnZlcg==

    domain master = no
JTIwJTIwJTIwJTIwbG9jYWwlMjBtYXN0ZXIlMjAlM0QlMjBubw==
JTIwJTIwJTIwJTIwcHJlZmVycmVkJTIwbWFzdGVyJTIwJTNEJTIwbm8=
    os level = 0

    dns proxy = no

    socket options = TCP_NODELAY

JTIwJTIwJTIwJTIwdW5peCUyMGNoYXJzZXQlMjAlM0QlMjBVVEYtOA==
JTIwJTIwJTIwJTIwZG9zJTIwY2hhcnNldCUyMCUzRCUyMDg2Ng==

#   Конфигурация для домена JAKONDO.LOCAL и его пользователей и групп
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjAqJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHRkYg==
    idmap config * : range   = 3000-7999
JTIwJTIwJTIwJTIwaWRtYXAlMjBjb25maWclMjBKQUtPTkRPJTIwJTNBJTIwYmFja2VuZCUyMCUzRCUyMHJpZA==
    idmap config JAKONDO : range   = 10000-999999

JTIzJTIwJTIwJTIwJUQwJTlGJUQwJTkwJUQwJUEwJUQwJTkwJUQwJTlDJUQwJTk1JUQwJUEyJUQwJUEwJUQwJUFCJTIwV0lOQklORA==
JTIwJTIwJTIwJTIwd2luYmluZCUyMGVudW0lMjB1c2VycyUyMCUzRCUyMHllcw==
JTIwJTIwJTIwJTIwd2luYmluZCUyMGVudW0lMjBncm91cHMlMjAlM0QlMjB5ZXM=
JTIwJTIwJTIwJTIwd2luYmluZCUyMHJlZnJlc2glMjB0aWNrZXRzJTIwJTNEJTIweWVz
JTIwJTIwJTIwJTIwd2luYmluZCUyMHVzZSUyMGRlZmF1bHQlMjBkb21haW4lMjAlM0QlMjB5ZXM=
    winbind offline logon = yes
    winbind cache time = 300
JTIwJTIwJTIwJTIwdGVtcGxhdGUlMjBzaGVsbCUyMCUzRCUyMCUyRmJpbiUyRmJhc2g=

#   ОТКЛЮЧЕНИЕ ПОДДЕРЖКИ СЕТЕВЫХ ПРИНТЕРОВ
JTIwJTIwJTIwJTIwbG9hZCUyMHByaW50ZXJzJTIwJTNEJTIwbm8=
JTIwJTIwJTIwJTIwc2hvdyUyMGFkZCUyMHByaW50ZXIlMjB3aXphcmQlMjAlM0QlMjBubw==
    printcap name = /dev/null
JTIwJTIwJTIwJTIwZGlzYWJsZSUyMHNwb29sc3MlMjAlM0QlMjB5ZXM=

#   ПАРАМЕНТЫ ЛОГИРОВАНИЯ
JTIwJTIwJTIwJTIwbG9nJTIwbGV2ZWwlMjAlM0QlMjAwJTIwdmZzJTNBMQ==
Обращаю внимание что в параметрах realm, workgroup указываем название своего домена. Подробное описание используемых параметров можно по этой ссылке. А так же в параметрах idmap config в место JAKONDO, указываем свой домен.

JUQwJTkyJUQxJThCJUQwJUJGJUQwJUJFJUQwJUJCJUQwJUJEJUQwJUI4JUQwJUJDJTIwJUQwJUJGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUJBJUQxJTgzJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg0JUQwJUI4JUQwJUIzJUQxJTgzJUQxJTgwJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUI4JTIwJUQwJUJEJUQwJUIwJTIwJUQwJUJFJUQxJTg4JUQwJUI4JUQwJUIxJUQwJUJBJUQwJUI4JTJDJTIwJUQwJUJBJUQwJUJFJUQwJUJDJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUJFJUQwJUI5Lg==

testparm

TG9hZCVDMiVBMHNtYiVDMiVBMGNvbmZpZyVDMiVBMGZpbGVzJUMyJUEwZnJvbSVDMiVBMCUyRmV0YyUyRnNhbWJhJTJGc21iLmNvbmY=
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
UHJlc3MlQzIlQTBlbnRlciVDMiVBMHRvJUMyJUEwc2VlJUMyJUEwYSVDMiVBMGR1bXAlQzIlQTBvZiVDMiVBMHlvdXIlQzIlQTBzZXJ2aWNlJUMyJUEwZGVmaW5pdGlvbnM=

Ввод в домен

Проверка заданной конфигурации Samba правильная, ошибок и предупреждений нет, а поэтому можно вводить систему в домен, выполняем команду.

net ads join -U jakonda@jakondo.local

JUQwJTkyJUQxJThCJUQwJUIyJUQwJUJFJUQwJUI0JTIwJUQwJUJFJUQwJUIxJTIwJUQxJTgzJUQxJTgxJUQwJUJGJUQwJUI1JUQxJTg4JUQwJUJEJUQwJUJFJUQwJUJDJTIwJUQwJUJGJUQxJTgwJUQwJUI4JUQxJTgxJUQwJUJFJUQwJUI1JUQwJUI0JUQwJUI4JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI4JTIwJUQwJUJBJTIwJUQwJUI0JUQwJUJFJUQwJUJDJUQwJUI1JUQwJUJEJUQxJTgzLg==

RW50ZXIlMjBqYWtvbmRhJTQwamFrb25kby5sb2NhbCdzJTIwcGFzc3dvcmQlM0E=
VXNpbmclMjBzaG9ydCUyMGRvbWFpbiUyMG5hbWUlMjAtLSUyMEpBS09ORE8=
Joined 'DATASTORE1' to dns domain 'jakondo.local'

Вывод из домена

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

bmV0JTIwYWRzJTIwbGVhdmUlMjAtVSUyMGpha29uZGElNDBqYWtvbmRvLmxvY2Fs

Настройка Winbind

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

/etc/nsswitch.conf
JTIzJTIwRXhhbXBsZSUyMGNvbmZpZ3VyYXRpb24lMjBvZiUyMEdOVSUyME5hbWUlMjBTZXJ2aWNlJTIwU3dpdGNoJTIwZnVuY3Rpb25hbGl0eS4=
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files winbind
group:          files winbind
c2hhZG93JTNBJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmlsZXM=
gshadow:        files

hosts:          files dns
networks:       files

cHJvdG9jb2xzJTNBJTIwJTIwJTIwJTIwJTIwJTIwZGIlMjBmaWxlcw==
c2VydmljZXMlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBkYiUyMGZpbGVz
ethers:         db files
rpc:            db files

bmV0Z3JvdXAlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjBuaXM=

Перезапускаем службы Samba и Winbind для применения изменений.

JTJGZXRjJTJGaW5pdC5kJTJGc21iZCUyMHJlc3RhcnQ=
JTJGZXRjJTJGaW5pdC5kJTJGd2luYmluZCUyMHJlc3RhcnQ=

Проверим, что Winbind установил доверительные отношения с Active Directory, выполним команду.

wbinfo -t

checking the trust secret for domain SYSOS via RPC calls succeeded

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

wbinfo -u
d2JpbmZvJTIwLWc=

Если в ходе выполнения данных команд в консоль были выведены пользователи и группы из Active Directory, то это значит что Winbind работает правильно.

Авторизация в системе

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

Для того чтобы при входе в систему создавался домашний каталог для пользователя, необходимо в файле /etc/pam.d/common-session после строки session optional pam_systemd.so добавить строку:

/etc/pam.d/common-session
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

В итоге файл должен получится следующий (без вывода комментариев).

/etc/pam.d/common-session
c2Vzc2lvbiUyMCU1QmRlZmF1bHQlM0QxJTVEJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==
c2Vzc2lvbiUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
session required                        pam_permit.so
session required        pam_unix.so
c2Vzc2lvbiUyMG9wdGlvbmFsJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3dpbmJpbmQuc28=
session optional        pam_systemd.so
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

Права доступа

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

Так же хочу заместить если ваша группа безопасности содержит пробелы, например — Domain admins, то указывать ее нужно в формате — %Domain\admins
/etc/pam.d/common-auth
YXV0aCUyMCUyMCUyMCUyMCU1QnN1Y2Nlc3MlM0QxJTIwZGVmYXVsdCUzRGlnbm9yZSU1RCUyMCUyMCUyMCUyMCUyMCUyMHBhbV93aW5iaW5kLnNvJTIwa3JiNV9hdXRoJTIwa3JiNV9jY2FjaGVfdHlwZSUzREZJTEUlMjBjYWNoZWRfbG9naW4lMjB0cnlfZmlyc3RfcGFzcyUyMHJlcXVpcmVfbWVtYmVyc2hpcF9vZiUzREpBS09ORE8lNUNMaW51eEFkbWlucw==

В итоге файл должен получится следующий (без вывода комментариев).

/etc/pam.d/common-auth
YXV0aCUyMCUyMCUyMCUyMCU1QnN1Y2Nlc3MlM0QyJTIwZGVmYXVsdCUzRGlnbm9yZSU1RCUyMCUyMCUyMCUyMCUyMCUyMHBhbV91bml4LnNvJTIwbnVsbG9rX3NlY3VyZQ==
YXV0aCUyMCUyMCUyMCUyMCU1QnN1Y2Nlc3MlM0QxJTIwZGVmYXVsdCUzRGlnbm9yZSU1RCUyMCUyMCUyMCUyMCUyMCUyMHBhbV93aW5iaW5kLnNvJTIwa3JiNV9hdXRoJTIwa3JiNV9jY2FjaGVfdHlwZSUzREZJTEUlMjBjYWNoZWRfbG9naW4lMjB0cnlfZmlyc3RfcGFzcyUyMHJlcXVpcmVfbWVtYmVyc2hpcF9vZiUzREpBS09ORE8lNUNMaW51eEFkbWlucw==
YXV0aCUyMCUyMCUyMCUyMHJlcXVpc2l0ZSUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMHBhbV9kZW55LnNv
YXV0aCUyMCUyMCUyMCUyMHJlcXVpcmVkJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcGFtX3Blcm1pdC5zbw==

Делегирование SUDO

Если необходимо делегирование sudo для какой либо доменной группы безопасности (прим. LinuxAdmins), то необходимо создать файл /etc/sudoers.d/admins (где admins произвольное понятное название) в который прописать следующее:

/etc/sudoers.d/admins
%LinuxAdmins ALL=(ALL) ALL
 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

0 комментариев

Нет комментариев.