Product SiteDocumentation Site

4.8.2. SSSD

Важно

На текущий момент (samba 4.19.6, sssd 2.9.4) для каталога /var/lib/samba/sysvol SID'ы домена некорректно транслируются в UNIX user id и group id.

4.8.2.1. Установка пакетов

На контроллере домена должны быть установлены пакеты task-auth-ad-sssd и gpupdate: 
# apt-get install task-auth-ad-sssd gpupdate

4.8.2.2. Изменение файлов конфигурации

4.8.2.2.1. Настройка Kerberos (krb5.conf)
В файле /etc/krb5.conf должны быть заданы следующие параметры:
  • includedir /etc/krb5.conf.d/
  • dns_lookup_realm = false
  • default_realm = TEST.ALT
Пример файла /etc/krb5.conf: 
includedir /etc/krb5.conf.d/
[logging]

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = TEST.ALT

[realms]

[domain_realm]
4.8.2.2.2. Настройка SSSD (sssd.conf)
В файле /etc/sssd/sssd.conf должны быть заданы следующие параметры:
  • user = root
  • ad_maximum_machine_account_password_age = 0
Значения остальных параметров в файле должно соответствовать аналогичному файлу на обычных клиентах домена.
Пример файла /etc/sssd/sssd.conf: 
[sssd]
config_file_version = 2
services = nss, pam

# Managed by system facility command:
## control sssd-drop-privileges unprivileged|privileged|default
user = root

# SSSD will not start if you do not configure any domains.
domains = TEST.ALT
[nss]

[pam]
[domain/TEST.ALT]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
debug_level = 0
; cache_credentials = false
ad_gpo_ignore_unreadable = true
ad_gpo_access_control = permissive
ad_update_samba_machine_account_password = true
ad_maximum_machine_account_password_age = 0
4.8.2.2.3. Настройка Samba (smb.conf)
В файле /etc/samba/smb.conf должны быть заданы следующие параметры:
  • idmap config * : range = 200000-2000200000
  • idmap config * : backend = sss
Значения остальных параметров в файле должно соответствовать аналогичному файлу на обычных клиентах домена.
Пример файла /etc/samba/smb.conf: 
[global]
        dns forwarder = 8.8.8.8
        netbios name = DC1
        realm = TEST.ALT
        server role = active directory domain controller
        workgroup = TEST
        idmap_ldb:use rfc2307 = yes

        template shell = /bin/bash
        template homedir = /home/TEST.ALT/%U

        kerberos method = system keytab
        wins support = no
        winbind use default domain = yes
        winbind enum users = no
        winbind enum groups = no
        winbind refresh tickets = yes
        winbind offline logon = yes

        idmap config * : range = 200000-2000200000
        idmap config * : backend = sss

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/test.alt/scripts
        read only = No
4.8.2.2.4. Настройка NSS (nsswitch.conf)
В файле /etc/nsswitch.conf должны быть заданы следующие параметры:
  • passwd: files sss systemd
  • shadow: tcb files sss
  • group: files [SUCCESS=merge] sss role systemd
Пример файла /etc/nsswitch.conf: 
passwd:     files sss systemd
shadow:     tcb files sss
group:      files [SUCCESS=merge] sss role systemd
gshadow:    files

hosts:      files myhostname dns

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

automount:  files
aliases:    files

4.8.2.3. Настройка аутентификации

Необходимо переключить PAM-стек на использование для аутентификации sss-модулей: 
# control system-auth sss