Product SiteDocumentation Site

Глава 4. Клиенты Альт Домен

4.1. SSSD vs Winbind
4.2. Подготовка системы к вводу в домен
4.2.1. Установка пакетов
4.2.2. Синхронизация времени
4.2.3. Настройка DNS
4.3. Присоединение к домену в роли участника
4.3.1. Команда system-auth
4.3.2. Подключение к домену AD с помощью SSSD
4.3.3. Подключение к AD с помощью Samba Winbind
4.4. Вход пользователя
4.5. Отладочная информация
4.5.1. Настройка уровня журналирования Samba
4.5.2. Ошибка при подключении к IP-адресу 127.0.0.1
4.5.3. getent не показывает доменных пользователей и группы
4.6. Удаление клиента AD
4.7. Повторная регистрация клиента
4.8. Настройка аутентификации доменных пользователей на DC
4.8.1. Winbind
4.8.2. SSSD
4.8.3. Генерация keytab-файла
4.8.4. Службы
4.8.5. Настройка ролей
4.8.6. Групповые политики
4.8.7. Настройка SSH
4.9. Настройка обновления паролей аккаунтов машин
4.9.1. Локальная политика смены пароля
4.9.2. Включение обновления пароля
4.9.3. Отключение обновления пароля
4.9.4. Диагностика
4.9.5. Восстановление работоспособности
Клиентами Альт Домен могут быть серверы и рабочие станции под управлением Windows, Linux («Альт», Astra Linux) и других операционных систем, поддерживающих стандартные протоколы LDAP, Kerberos, DNS и SMB.

Важно

Механизмы применения групповых политик оптимизированы для семейства ОС «Альт». Аутентификация в домене рабочих станций, под управлением других ОС, построенных на ядре Linux, возможна, но поддержка механизмов применения групповых политик на таких машинах ограничена и требует соответствующее ПО, не входящее в комплект Альт Домен.

4.1. SSSD vs Winbind

Существует несколько способов включения операционных систем на базе ядра Linux в AD домен. В этом разделе описаны функции и возможности двух вариантов интеграции: решение на основе Samba Winbind и решение на базе SSSD.
Машины под управлением ОС «Альт» рекомендуется вводить в домен AD с помощью SSSD, но есть несколько исключений:
  1. Если в сети уже развернуты системы Linux, которые уже используют Samba Winbind для целей интеграции.
  2. Если используется AD с включенным протоколом NTLM (так как SSSD не поддерживает протокол NTLM).
  3. Если SSSD не поддерживает определенную функцию, которую поддерживает Winbind (например, SSSD не поддерживает доверительные отношения AD между лесами при прямом подключении к AD).
Ниже рассмотрены преимущества и недостатки интеграции на основе Samba Winbind и на базе SSSD.
Использование Samba Winbind
Преимущества варианта интеграции с использованием Samba Winbind:
  • Samba Winbind эмулирует клиент Windows в системе Linux и использует преимущества собственных протоколов Windows и расширений протокола LDAP;
  • Winbind понимает концепцию доменов и лесов, а также работает с доверием между доменами и лесами;
  • Winbind может обнаруживать серверы, используя DNS;
  • Winbind может переключиться на другой сервер, если контроллер домена AD становится недоступным;
  • Winbind может динамически выполнять сопоставление идентификаторов на основе идентификаторов объектов AD (SID) или использовать атрибуты POSIX, хранящиеся в AD (если эти расширения были загружены);
  • Winbind хорошо интегрируется с клиентом Samba FS и CIF;
  • безопасность соединения основана на идентификации клиентской системы и ключах Kerberos, выданных этой системе.
Ограничения Samba Winbind:
  • политики не управляются централизованно и должны распространяться вне группы;
  • может подключаться только к AD.
Использование Samba SSSD
SSSD это группа служб, обеспечивающих аутентификацию, авторизацию и другие действия, используя взаимодействие с различными службами каталогов и серверами аутентификации. SSSD может взаимодействовать с Samba AD, FreeIPA, MS AD или любыми другими стандартными реализациями сервера LDAP и/или Kerberos.
Единственным серьезным ограничением для интеграции с использованием SSSD, является поддержка (старого) протокола NTLM. SSSD не реализует этот протокол, потому что по современным стандартам NTLM больше не является безопасным для развертывания. Наилучшей практикой является отказ от использования NTLM.
Преимущества SSSD:
  • возможность загрузки и применения политик управления доступом на основе хоста с использованием объектов групповой политики, управляемых в Samba AD;
  • может взаимодействовать с разными источниками идентификации, а не только с AD;
  • поддерживает очистку DNS (т.е. обнаруживает, были ли удалены или обновлены записи DNS для серверов);
  • предоставляет расширенные интерфейсы идентификации на локальной шине сообщений (D-Bus). Этот интерфейс можно использовать для лучшей интеграции приложений, работающих в ОС Linux, с корпоративными источниками идентификации, такими как AD и FreeIPA.
SSSD

Таблица 4.1. Сравнение Winbind и SSSD

Категория
Описание
Winbind
SSSD
Аутентификация
Проверка подлинности с использованием Kerberos
Да
Да
Проверка подлинности LDAP
Да
Да
Поддержка нескольких доменов AD
Да
Да
Поддержка лесов AD
Да
Да
Поддержка гетерогенных сетей AD/FreeIPA
Нет
Да
Безопасность
Простота настройки безопасной конфигурации
Нет
Да
Система имеет идентификатор и её ключ используется для защиты доступа к центральному серверу
Да
Да
Поддержка NTLM
Да
Нет
Поиск и сопоставление идентификаторов
Динамическое сопоставление идентификаторов AD SID
Да
Да
Использование преимуществ конкретных расширений и протоколов AD
Да
Да
DNS
Обновление и очистка DNS AD
Нет
Да
Поддержка сайтов AD DNS
Да
Да
Обмен файлами
Интеграция с Samba FS
Да
Да
Интеграция с клиентом CIFS
Да
Да
Служба печати
Сервер печати CUPS с использованием Kerberos
Да
Да
Политики
Централизованное управление контролем доступа на основе хоста через GPO
Нет
Да
Интеграция с другими сервисами и приложениями
Интеграция с основными утилитами, такими как SSH, sudo, automount
Нет
Да
Расширенные интерфейсы идентификации по локальной шине сообщений D-Bus
Нет
Да
Специальные функции для приложений (Docker, Cockpit, GSS Proxy и др.)
Нет
Да