Product SiteDocumentation Site

Глава 4. Клиент сети Active Directory

4.1. SSSD vs Winbind
4.2. Подготовка системы к вводу в домен
4.2.1. Установка пакетов
4.2.2. Синхронизация времени
4.2.3. Настройка DNS
4.3. Ввод клиентских машин в Active Directory
4.3.1. Параметры команды system-auth
4.3.2. Подключение к AD с помощью SSSD
4.3.3. Подключение к AD с помощью Samba Winbind
4.4. Отладочная информация
4.4.1. Настройка уровня журналирования Samba
4.4.2. Ошибка при подключении к IP-адресу 127.0.0.1
4.4.3. getent не показывает доменных пользователей и группы
4.4.4. Ошибки при присоединении к домену
4.5. Повторная регистрация клиента
4.6. Удаление клиента AD
4.7. Настройка аутентификации доменных пользователей на DC
4.7.1. Winbind
4.7.2. SSSD
4.7.3. Генерация keytab-файла
4.7.4. Службы
4.7.5. Настройка ролей
4.7.6. Групповые политики
4.7.7. Настройка SSH
4.8. Настройка обновления паролей аккаунтов машин
4.8.1. Локальная политика смены пароля
4.8.2. Включение обновления пароля
4.8.3. Отключение обновления пароля
4.8.4. Диагностика
4.8.5. Восстановление работоспособности

4.1. SSSD vs Winbind

Существует несколько способов прямого подключения системы Linux к AD. В этом разделе описаны функции и возможности двух вариантов интеграции: решение на основе Samba winbind и решение на базе SSSD.
Машины под управлением ОС Альт рекомендуется вводить в домен AD с помощью SSSD, но есть несколько исключений:
  1. Если в сети уже развернуты системы Linux, которые уже используют Samba winbind для целей интеграции.
  2. Если используется AD с включенным протоколом NTLM (так как SSSD не поддерживает протокол NTLM).
  3. Если SSSD не поддерживает определенную функцию, которую поддерживает winbind (например, SSSD не поддерживает доверительные отношения AD между лесами при прямом подключении к AD).
Ниже рассмотрены преимущества и недостатки интеграции на основе Samba winbind и на базе SSSD.
Использование Samba winbind
Преимущества варианта интеграции с использованием Samba Winbind:
  • Samba Winbind эмулирует клиент Windows в системе Linux и использует преимущества собственных протоколов Windows и расширений протокола LDAP;
  • Winbind понимает концепцию доменов и лесов, а также работает с доверием между доменами и лесами;
  • Winbind может обнаруживать серверы, используя DNS;
  • Winbind может переключиться на другой сервер, если контроллер домена AD становится недоступным;
  • Winbind может динамически выполнять сопоставление идентификаторов на основе идентификаторов объектов AD (SID) или использовать атрибуты POSIX, хранящиеся в AD (если эти расширения были загружены).;
  • Winbind хорошо интегрируется с клиентом Samba FS и CIF;
  • безопасность соединения основана на идентификации клиентской системы и ключах Kerberos, выданных этой системе.
Ограничения Samba Winbind:
  • политики не управляются централизованно и должны распространяться вне группы;
  • может подключаться только к AD.
Использование sssd
SSSD это группа служб, которые являются частью ядра операционной системы Linux и работают вместе для обеспечения аутентификации, поиска удостоверений и возможностей управления доступом для системы Linux. SSSD может взаимодействовать с AD, FreeIPA, Samba DC или любыми другими стандартными реализациями сервера LDAP и/или Kerberos.
Единственным серьезным ограничением для интеграции с использованием SSSD, является поддержка (старого) протокола NTLM. SSSD не реализует этот протокол, потому что по современным стандартам NTLM больше не является безопасным для развертывания. Наилучшей практикой является отказ от использования NTLM.
Преимущества SSSD:
  • возможность загрузки и применения политик управления доступом на основе хоста с использованием объектов групповой политики, управляемых в AD;
  • может взаимодействовать с разными источниками идентификации, а не только с AD;
  • поддерживает очистку DNS (т.е. обнаруживает, были ли удалены или обновлены записи DNS для серверов);
  • предоставляет расширенные интерфейсы идентификации на локальной шине сообщений (D-Bus). Этот интерфейс можно использовать для лучшей интеграции приложений, работающих в ОС Linux, с корпоративными источниками идентификации, такими как AD и FreeIPA.
sssd

Таблица 4.1. Сравнение Winbind и SSSD

Категория
Описание
Winbind
SSSD
Аутентификация
Проверка подлинности с использованием Kerberos
Да
Да
Проверка подлинности LDAP
Да
Да
Поддержка нескольких доменов AD
Да
Да
Поддержка лесов AD
Да
Да
Поддержка гетерогенных сетей AD/FreeIPA
Нет
Да
Безопасность
Простота настройки безопасной конфигурации
Нет
Да
Система имеет идентификатор и её ключ используется для защиты доступа к центральному серверу
Да
Да
Поддержка NTLM
Да
Нет
Поиск и сопоставление идентификаторов
Динамическое сопоставление идентификаторов AD SID
Да
Да
Использование преимуществ конкретных расширений и протоколов AD
Да
Да
DNS
Обновление и очистка DNS AD
Нет
Да
Поддержка сайтов AD DNS
Да
Да
Обмен файлами
Интеграция с Samba FS
Да
Да
Интеграция с клиентом CIFS
Да
Да
Служба печати
Сервер печати CUPS с использованием Kerberos
Да
Да
Политики
Централизованное управление контролем доступа на основе хоста через GPO
Нет
Да
Интеграция с другими сервисами и приложениями
Интеграция с основными утилитами, такими как SSH, sudo, automount
Нет
Да
Расширенные интерфейсы идентификации по локальной шине сообщений D-Bus
Нет
Да
Специальные функции для приложений (Docker, Cockpit, GSS Proxy и др.)
Нет
Да