31.2. Особенности доверительных отношений в Samba

⁠31.2. Особенности доверительных отношений в Samba

Поддерживается:

доверие леса (это доверие может быть установлено между двумя Samba-доменами или Samba-доменом и Windows-доменом);
внешние доверительные отношения (это доверие может быть установлено между двумя Samba-доменами или Samba-доменом и Windows-доменом);
добавление пользователей и групп доверенного домена в группы доверяющего домена (при этом необходимо использовать SID пользователей и групп, чтобы добавить их в свою группу, имя пользователя или имя группы использовать невозможно).

Особенности и ограничения:

не применяются правила фильтрации SID;
доверительные отношения должны быть двусторонними;
не поддерживается выборочная аутентификация (создание таких доверий возможно, но KDC и winbindd всё равно будут их игнорировать);
нельзя создать доверительные отношения между доменами в одном дереве с одним и тем же пространством имён верхнего уровня. NetBIOS имена доменов должны отличаться (домен MYDOMAIN.WIN и MYDOMAIN.NEW будут иметь одинаковое короткое имя — MYDOMAIN, это приведет к невозможности установки доверительных отношений);
в RSAT можно увидеть контейнер foreignSecurityPrincipal для всех добавленных пользователей и групп из доверенного домена. Таким образом Microsoft показывает, что пользователь или группа являются частью доверенного домена;
Winbind на клиентских машинах не распознаёт доверенные домены, что приводит к проблемам с обновлением паролей учетных записей доверенного домена после их истечения. Чтобы устранить эту проблему, необходимо в секцию [global] в файла smb.conf на Linux-клиентах, подключенных через Winbind, добавить опцию:
```
winbind scan trusted domains = yes
```
и перезапустить сервис winbind:
```
# systemctl restart winbind.service
```
при использовании групповой политики (на контроллерах в Win-домене) «Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)» с опцией «требовать сеансовую безопасность NTLMv2» в разделе «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности» не строится траст между Win-доменом и Samba-доменом. При включении этой политики после построения траста некорректно работают доверительные отношения между Windows-доменом и Samba-доменом. Не выполняется проверка траста (samba-tool domain trust validate) и не выполняется вход на пользователями из доверенного домена на машинах с winbind.
Примечание
После редактирования политики и ее применения в Win-домене необходимо перезапустить сервис samba.

Для управления доверием можно использовать инструмент командной строки samba-tool.

Таблица 31.1. Команды управления доверием

Команда	Описание	Примечание
domain trust create <домен>	Создать доверие домена или леса	Можно использовать следующие опции: `--type=TYPE` — тип доверия (`external`, `forest`); `--direction=DIRECTION` — направление доверия (`incoming`, `outgoing`, `both`); `--create-location=LOCATION` — где создать объект доверенного домена (`local`, `both`); `--quarantined=yes\|no` — применять к доверию специальные правила фильтрации SID (при `--type=external` по умолчанию `yes`, при `--type=forest` по умолчанию `no`); `-U USERNAME` — имя пользователя.
domain trust modify <домен>	Изменить доверие домена или леса
domain trust delete <домен>	Удалить доверие домена или леса	Можно использовать следующие опции: `--delete-location=LOCATION` — где удалить объект доверенного домена (`local`, `both`); `-U USERNAME` — имя пользователя.
domain trust list	Вывести список доверительных отношений домена
domain trust show <домен>	Показать сведения о доверенном домене
domain trust validate <домен>	Проверить доверие к домену	Можно использовать следующие опции: `--validate-location=LOCATION` — где проверить объект доверенного домена (`local`, `both`); `-U USERNAME` — имя пользователя.