4.8. Настройка аутентификации доменных пользователей на DC

⁠4.8. Настройка аутентификации доменных пользователей на DC

Важно

На текущий момент (samba 4.19.6, gpupdate 0.10.6) данный метод не позволяет применять групповые политики на контроллере домена.

Контроллер домена в рамках доменной инфраструктуры является, в том числе, ещё одной машиной и имеет соответствующий машинный аккаунт. После применения настроек, описанных в этом разделе, машина с контроллером домена сможет выполнять, в том числе, и функции обычного члена домена, такие как:

аутентификация доменными пользователями (в том числе по ssh);
применение групповых политик;
всё, что поддерживает обычная клиентская машина (в качестве клиента SSSD или Winbind).

Важно

В качестве клиента на контроллере домена рекомендуется использовать Winbind. Использование SSSD не желательно.

⁠4.8.1. Winbind

⁠4.8.1.1. Установка пакетов

На контроллере домена необходимо установить пакеты task-auth-ad-winbind и gpupdate:

# apt-get install task-auth-ad-winbind gpupdate

⁠4.8.1.2. Изменение файлов конфигурации

⁠4.8.1.2.1. Настройка Kerberos (krb5.conf)

В файле /etc/krb5.conf должны быть заданы следующие параметры:

dns_lookup_realm = false
default_realm = TEST.ALT

Пример файла /etc/krb5.conf:

[logging]

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = TEST.ALT

[realms]

[domain_realm]

⁠4.8.1.2.2. Настройка Samba (smb.conf)

В файле /etc/samba/smb.conf должны быть заданы следующие параметры:

kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab

Значения остальных параметров в файле должно соответствовать аналогичному файлу на обычных клиентах домена.

Пример файла /etc/samba/smb.conf:

[global]
        dns forwarder = 8.8.8.8
        netbios name = DC1
        kerberos method = dedicated keytab
        dedicated keytab file = /etc/krb5.keytab
        realm = TEST.ALT
        server role = active directory domain controller
        workgroup = TEST
        idmap_ldb:use rfc2307 = yes

        template shell = /bin/bash
        template homedir = /home/TEST.ALT/%U

        wins support = no
        winbind use default domain = yes
        winbind enum users = no
        winbind enum groups = no
        winbind refresh tickets = yes
        winbind offline logon = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/test.alt/scripts
        read only = No

⁠4.8.1.2.3. Настройка NSS (nsswitch.conf)

В файле /etc/nsswitch.conf должны быть заданы следующие параметры:

passwd: files winbind systemd
shadow: tcb files winbind
group: files [SUCCESS=merge] winbind role systemd

Пример файла /etc/nsswitch.conf:

passwd:     files winbind systemd
shadow:     tcb files winbind
group:      files [SUCCESS=merge] winbind role systemd
gshadow:    files

hosts:      files myhostname dns

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

automount:  files
aliases:    files

⁠4.8.1.3. Настройка аутентификации

Необходимо переключить PAM-стек на использование для аутентификации Winbind-модуля:

# control system-auth winbind