Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентификации и авторизации помощью сервиса SSSD.

Подключение к домену

Настройки сети

Для подключением к домену проводим проверку настроек сети:

в качестве первичного DNS (первая запись nameserver в /etc/resolv.conf) должен быть указан DNS-сервер домена

domain dom.loc
search dom.loc
nameserver 192.168.1.148

обычно, в таком качестве выступает один или несколько, контроллеров домена:

$ host dom.loc
dom.loc has address 192.168.1.148

имя подключаемого, клиентского узла должно быть должно быть определено, как FQDN. Например, для рабочей станции client2 в домене dom.loc:

$ hostname 
client2.dom.loc

Настройки kerberos

Далее проверяем клиентские настройки kerberos через DNS. В данном случае, для домена dom.loc.:

$ dig _kerberos._udp.dom.loc SRV | grep ^_kerberos
_kerberos._udp.dom.loc. 900     IN      SRV     0 100 88 server.dom.loc.
$ dig _kerberos._tcp.dom.loc SRV | grep ^_kerberos
_kerberos._tcp.dom.loc. 900     IN      SRV     0 100 88 server.dom.loc.

И задаем их в файле /etc/krb5.conf

kerberos-имя домена ("рилма", realm):

 default_realm = DOM.LOC

отключаем поиска kerberos-имени домена через DNS:

 dns_lookup_realm = false

оставляем (или включаем) поиск kerberos-настроек домена через DNS:

 dns_lookup_kdc = true

Если настройки сети и kerberos выполнены правильно, то мы может получить kerberos TGT от контроллера домена:

$ kinit administrator
Password for administrator@DOM.LOC: 
Warning: Your password will expire in 21 days on Пн 09 янв 2017 15:35:39
$ klist 
Ticket cache: KEYRING:persistent:500:krb_ccache_Bw75rEI
Default principal: administrator@DOM.LOC

Valid starting       Expires              Service principal
19.12.2016 04:13:25  19.12.2016 14:13:25  krbtgt/DOM.LOC@DOM.LOC
        renew until 20.12.2016 04:13:18

Настройки samba

Для подключения рабочей станции в домену требуется утилита net из пакета samba-common-tools, кроме того стоит сразу установить пакет samba-client с набором клиентских утилит:

# apt-get install samba-client

В файле, минимально, необходимо задать следующие параметры в секции [global]:

kerberos-имя домена:

realm = DOM.LOC

краткое имя домена, соответствующее имени рабочей группы:

workgroup = DOM

имя рабочей станции в сетевом окружении:

netbios name = CLIENT2

уровень безопасности Active Directory:

security = ADS

Метод хранения kerberos-ключей рабочей станции:

kerberos method = system keytab

алгоритм преобразования SID'ов:

idmap config * : backend = tdb

Набор полученных настроек можно проверить с помощью утилиты testparm:

$ testparm 
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

# Global parameters
[global]
        realm = DOM.LOC
        server string = Samba Server Version %v
        workgroup = DOM
        log file = /var/log/samba/log.%m
        max log size = 50
        kerberos method = system keytab
        security = ADS
        idmap config * : backend = tdb
        cups options = raw


[homes]
        comment = Home Directories
        browseable = No
        read only = No


[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = No
        printable = Yes