Product SiteDocumentation Site

Глава 22. Настройка аутентификации доменных пользователей на контроллере домена

22.1. Установка пакетов
22.2. Изменение файлов конфигурации
22.2.1. Настройка Kerberos (krb5.conf)
22.2.2. Настройка Samba (smb.conf)
22.2.3. Настройка NSS (nsswitch.conf)
22.2.4. Настройка аутентификации
22.3. Генерация keytab-файла
22.4. Службы
22.5. Настройка ролей
22.6. Групповые политики
22.7. Настройка SSH
22.8. Проверка результатов присоединения

Примечание

Настройка аутентификации доменных пользователей на контроллере домена с использованием SSSD не поддерживается.

Важно

На текущий момент (samba 4.19.9, gpupdate 0.12.2) данный метод не позволяет применять пользовательские групповые политики на контроллере домена, при этом машинные политики применяются успешно.

Важно

Для каталога /var/lib/samba/sysvol SID'ы домена сопоставляются с UID/GID по особому алгоритму, и изменить этот процесс с помощью настроек невозможно.

Важно

Winbind не поддерживает аутентификацию с использованием UPN (User Principal Name, например user@test.alt). Для входа и других операций следует использовать формат DOMAIN\user.
Контроллер домена в рамках доменной инфраструктуры является, в том числе, ещё одной машиной и имеет соответствующий машинный аккаунт. После применения настроек, описанных в этом разделе, машина с контроллером домена сможет выполнять, в том числе, и функции обычного члена домена, такие как:
  • аутентификация доменными пользователями (в том числе по SSH);
  • применение групповых политик;
  • всё, что поддерживает обычная клиентская машина (в качестве клиента Winbind).

Важно

В качестве клиента на контроллере домена необходимо использовать Winbind.

22.1. Установка пакетов

На контроллере домена необходимо установить пакеты task-auth-ad-winbind и gpupdate: 
# apt-get install task-auth-ad-winbind gpupdate