Samba/InterdomainTrustRelationships: различия между версиями

Материал из ALT Linux Wiki
м (crap лучше не класть в documentation (желающим лучше бы обновить до samba4))
м (krb5_validate = false)
 
(не показано 16 промежуточных версий 6 участников)
Строка 1: Строка 1:
{{MovedFromFreesourceInfo|AltLinux/Dokumentacija/samba/InterdomainTrustRelationships}}
{{Stub}}
{{Crap}}


== Samba: Установка междоменных доверительных отношений ==
__TOC__
 
== Установка доверительных отношений между Windows 2012R2 и SambaDC ==
 
=== Исходные данные ===
 
* Домен Windows:
  Имя домена - WIN.DOM
  Контроллер домена - DC1.WIN.DOM
  IP address - 172.16.100.124
  ОС контроллера домена - Windows Server 2012R2
  Уровень работы домена - 2012R2
 
* Домен Linux:
  Имя домена - LIN.LOC
  Контроллер домена - DC2.LIN.LOC
  IP address - 172.16.100.135
  ОС контроллера домена - Alt 9 Server
  Уровень работы домена - 2012_R2
  Версия Samba - 4.12.11
 
Основная задача - описать процесс создания двухсторонних доверительных отношений между доменами на базе Windows AD и Samba DC. Проверить возможность входа пользователей и групп одного домена в другой и наоборот.
 
=== Настройка на стороне Windows ===
 
1. Для службы DNS создать сервер условной перессылки
<syntaxhighlight lang="bash">
PS$ Add-DnsServerConditionalForwarderZone -Name lin.loc -MasterServers 172.16.100.135 -ReplicationScope Forest
</syntaxhighlight>
<div class="mw-collapsible mw-collapsed">
2. Создание двухстороннего транзитивного подключения
<div class="mw-collapsible-content">
В домене win.dom открываем «Диспетчер серверов», и кликаем на «Средства» — «Active Directory — Домены и Доверие»:
 
[[Файл:Server manager.png]]
 
В открывшемся окне в контекстном меню домена WIN.DOM выбирать «Свойства». Откроется окно свойств, в котором необходимо перейти во вкладку «Отношения доверия» и нажать на «Создать отношение доверия»:
 
[[Файл:Properties win dom.png]]
 
В открывшемся мастере создания отношения доверия вводим имя домена Samba DC. В данном случае LIN.LOC:
 
[[Файл:Trust name.png]]
 
На следующей вкладке «Тип доверия» выбираем «Доверие леса»:
 
[[Файл:Trust type.png]]
 
Далее во кладке «Направление отношения доверия» выбираем «Двухстороннее»:
 
[[Файл:Direction of trust.png]]
 
В открывшемся окне «Стороны отношения доверия» мы выбираем, на каком из доменов мы применяем настройку. В нашем случае у нас есть права администратора для обоих доменов, поэтому выбираем пункт «Для данного и указанного домена».
 
Если был выбран параметр «Только для данного домена», то необходимо будет задать Trust Secret Key, который в дальнейшем будет использоваться при создании доверительного отношения на стороне Samba DC.
 
[[Файл:Sides of trust.png]]
 
На следующем этапе мастер свяжется с доменом LIN.LOC (если он доступен), и запросит логин и пароль от пользователя с правами установки доверительных отношений в домене LIN.LOC:
 
[[Файл:User name and password.png]]
 
Далее на вкладке «Уровень проверки подлинности исходящего доверия — Локальный лес» выбираем «Проверка подлинности в лесу»:
 
[[Файл:Outgoing trust authentication level local forest.png]]
 
Тоже самое выбираем и на следующей вкладке «Уровень проверки подлинности исходящего доверия — Указанный лес».
 
После очередного нажатия на кнопку «Далее» мастер в окне «Выбор доверия завершен» выдаст уведомление о том, что готов создать новое отношение доверия, и покажет краткую сводку по выбранным параметрам. Соглашаемся с параметрами, после чего должно появиться уведомление о том, что создание доверия успешно завершено:
 
[[Файл:Trust creation complete.png]]
 
После нажатия на «Далее" появится окно «Подтверждение исходящего доверия», а после него «Подтверждение входящего отношения доверия». Здесь и в первом и во втором окне оставляем «Нет, не подтверждаю это исходящее/входящее отношение доверие», так как на стороне Samba DC доверие нами еще не создавалось:


__TOC__
[[Файл:Confirm outgoing trust.png]]


</div>
</div>


=== Задача ===
=== Настройка на стороне Linux ===


* Есть 2 домена DomA и DomB (принадлежащие разным организациям) с samba в качестве PDC.
Предполагается, что домен уже настроен согласно [https://docs.altlinux.org/ru-RU/alt-server/9.1/html/alt-server/sambadc--chapter.html документации], и функционирует с настроенным BIND9_DLZ в качестве DNS-backend.
* Нужно обеспечить доступ некоторых пользователей одного домена к ресурсам другого, и на оборот.
* Обе самбы используют LDAP (каждая -- своё дерево).
* Корень деревьев LDAP общий.
* NSS/PAM используют LDAP и видят всех пользователей.
* Обе самбы настроены так (шаблон):


<pre>ldap suffix = dc=<общий корень>
1. Создать сервер условной перессылки для службы DNS. Для этого добавить в конец файла {{path|/etc/bind/ddns.conf}} следующие строки:
ldap <*> suffix = ou=<*>,dc=<домен></pre>


=== Описание решения ===
<syntaxhighlight lang="ini">zone "win.dom" in {
      type forward;
      forwarders { 172.16.100.124; };
  };</syntaxhighlight>


Решать данную задачу буду через доверительные отношения между доменами. Т. к. судя по документации (см. [http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html]) такие отношения однонаправленные, то потребуется установить их пару.
2. Проверяем возможность получения билета Kerberos в домене WIN.DOM:
 
<syntaxhighlight lang="bash"># kinit admin@WIN.DOM
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@WIN.DOM


=== Установка доверительных отношений DomA -- > DomB ===
Valid starting      Expires              Service principal
31.03.2021 22:25:36  01.04.2021 08:25:36  krbtgt/WIN.DOM@WIN.DOM
  renew until 07.04.2021 22:25:30
</syntaxhighlight>
3. Создание двухстороннего транзитивного подключения:


Сначала настроем отношения DomA -- > DomB (отношения DomB -- > DomA настраиваются аналогично).
<syntaxhighlight lang="bash"># samba-tool domain trust create win.dom --type=forest --direction=both --create-location=both -Uadmin@WIN</syntaxhighlight>


==== Действия в DomB ====
{{Attention|Для входа в доверенный домен через SSSD надо использовать тип связи external, а не forest.}}


Создаём <tt>trust account</tt> (через <tt>smbldap-useradd</tt>, т. к. LDAP) и задаём пароль для него:
В случае использования Trust Secret Key в параметре --create-location нужно заменить опцию both на local, тогда после ввода пароля администратора, Samba DC прежде чем создать доверительные отношения сначала запросит Trust Key, созданный ранее при настройке в Windows.


<pre># smbldap-useradd -i DomA
В общем случае ваш вывод после ввода указанной команды должен быть примерно похож, на представленный ниже
New password :
Retype new password :</pre>


==== Действия в DomA ====
<syntaxhighlight lang="bash">LocalDomain Netbios[LIN] DNS[lin.loc] SID[S-1-5-21-1859323732-4157578351-390439025]
RemoteDC Netbios[DC1] DNS[DC1.WIN.DOM]
  ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__]
Password for [admin@WIN]:
RemoteDomain Netbios[WIN] DNS[WIN.DOM] SID[S-1-5-21-534750258-3577407189-1049577339]
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Setup local forest trust information...
Namespaces[2] TDO[WIN.DOM]:
TLN: Status[Enabled]                  DNS[*.WIN.DOM]
DOM: Status[Enabled]                  DNS[WIN.DOM] Netbios[WIN] SID[S-1-5-21-534750258-3577407189-1049577339]
Setup remote forest trust information...
Namespaces[2] TDO[lin.loc]:
TLN: Status[Enabled]                  DNS[*.lin.loc]
DOM: Status[Enabled]                  DNS[lin.loc] Netbios[LIN] SID[S-1-5-21-1859323732-4157578351-390439025]
Validating outgoing trust...
OK: LocalValidation: DC[\\DC1.WIN.DOM] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dc2.lin.loc] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success.</syntaxhighlight>


Подключаем домен DomA к DomB (вводя пароль заданный на предыдущем шаге):
=== Настройка SSSD ===
В файл {{path|/etc/sssd/sssd.conf}} добавляем доверенный домен:
<syntaxhighlight lang="ini">[domain/LIN.LOC/WIN.DOM]
use_fully_qualified_names = false</syntaxhighlight>


<pre># net rpc trustdom establish DomB
Перезапускаем sssd:
Password:
<syntaxhighlight lang="bash"># systemctl restart sssd</syntaxhighlight>
Could not connect to server PDCDOMB
Trust to domain DomB established</pre>


После данных действий (несмотря на диагностику) пользователи домена DomB видны PDC домена DomA.
Проверка:
<syntaxhighlight lang="bash"># getent passwd petrov
petrov@win.dom:*:1588801103:1588801103:Petr Petrov:/home/win.dom/petrov:/bin/bash</syntaxhighlight>


=== Установка доверительных отношений DomB -- > DomA ===
В случае проблем с авторизацией пользователем из доверенного домена, в sssd.conf в секцию основного домена можно вписать
krb5_validate = false


Полностью аналогична предыдущему пункту.
=== Подводные камни и ограничения ===
1. Не применяются правила фильтрации SID


=== Настройка разрешений ===
2. Вы не можете добавить пользователей и группы доверенного домена в доменные группы доверяющего домена.


В этом вопросе полной ясности у меня нет...
3. Для входа в доверенный домен через SSSD надо использовать тип связи '''External''', а не '''Forest'''.


Точнее, на данный момент пользователь DomA (<tt>DOMA\user</tt>) может получить доступ к ресурсу DomB (<tt>//PDCDOMB/share</tt>) только если его <tt>sambaSID</tt> (и/или <tt>sambaSID</tt> группы к которой он принадлежит) указать поле <tt>sambaSIDList</tt> группы домена DomB имеющей к данному ресурсу доступ. Но я не разобрался как и какими samb`овскими утилитами это нужно делать. (Делаю через прямое редактирование LDAP базы...)
4. Убедитесь, что NetBIOS имена доменов отличаются. Т.е. домен MYDOMAIN.WIN и MYDOMAIN.NEW будут иметь одинаковое короткое имя - MYDOMAIN. Это приведет к невозможности установки доверительных отношений.


=== Ссылки ===
=== Ссылки ===


* [https://www.kania-online.de/wp-content/uploads/2019/06/trusts-tutorial-en.pdf https://www.kania-online.de/wp-content/uploads/2019/06/trusts-tutorial-en.pdf]
* [http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html]
* [http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html]
* https://docs.pagure.org/sssd.sssd/design_pages/subdomain_configuration.html
[[Category:Samba]]
{{Category navigation|title=Samba|category=Samba|sortkey={{SUBPAGENAME}}}}

Текущая версия от 11:29, 4 декабря 2023

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Установка доверительных отношений между Windows 2012R2 и SambaDC

Исходные данные

  • Домен Windows:
 Имя домена - WIN.DOM
 Контроллер домена - DC1.WIN.DOM
 IP address - 172.16.100.124
 ОС контроллера домена - Windows Server 2012R2
 Уровень работы домена - 2012R2
  • Домен Linux:
 Имя домена - LIN.LOC
 Контроллер домена - DC2.LIN.LOC
 IP address - 172.16.100.135
 ОС контроллера домена - Alt 9 Server
 Уровень работы домена - 2012_R2
 Версия Samba - 4.12.11

Основная задача - описать процесс создания двухсторонних доверительных отношений между доменами на базе Windows AD и Samba DC. Проверить возможность входа пользователей и групп одного домена в другой и наоборот.

Настройка на стороне Windows

1. Для службы DNS создать сервер условной перессылки 

PS$ Add-DnsServerConditionalForwarderZone -Name lin.loc -MasterServers 172.16.100.135 -ReplicationScope Forest

2. Создание двухстороннего транзитивного подключения

В домене win.dom открываем «Диспетчер серверов», и кликаем на «Средства» — «Active Directory — Домены и Доверие»:

Server manager.png

В открывшемся окне в контекстном меню домена WIN.DOM выбирать «Свойства». Откроется окно свойств, в котором необходимо перейти во вкладку «Отношения доверия» и нажать на «Создать отношение доверия»:

Properties win dom.png

В открывшемся мастере создания отношения доверия вводим имя домена Samba DC. В данном случае LIN.LOC:

Trust name.png

На следующей вкладке «Тип доверия» выбираем «Доверие леса»:

Trust type.png

Далее во кладке «Направление отношения доверия» выбираем «Двухстороннее»:

Direction of trust.png

В открывшемся окне «Стороны отношения доверия» мы выбираем, на каком из доменов мы применяем настройку. В нашем случае у нас есть права администратора для обоих доменов, поэтому выбираем пункт «Для данного и указанного домена».

Если был выбран параметр «Только для данного домена», то необходимо будет задать Trust Secret Key, который в дальнейшем будет использоваться при создании доверительного отношения на стороне Samba DC.

Sides of trust.png

На следующем этапе мастер свяжется с доменом LIN.LOC (если он доступен), и запросит логин и пароль от пользователя с правами установки доверительных отношений в домене LIN.LOC:

User name and password.png

Далее на вкладке «Уровень проверки подлинности исходящего доверия — Локальный лес» выбираем «Проверка подлинности в лесу»:

Outgoing trust authentication level local forest.png

Тоже самое выбираем и на следующей вкладке «Уровень проверки подлинности исходящего доверия — Указанный лес».

После очередного нажатия на кнопку «Далее» мастер в окне «Выбор доверия завершен» выдаст уведомление о том, что готов создать новое отношение доверия, и покажет краткую сводку по выбранным параметрам. Соглашаемся с параметрами, после чего должно появиться уведомление о том, что создание доверия успешно завершено:

Trust creation complete.png

После нажатия на «Далее" появится окно «Подтверждение исходящего доверия», а после него «Подтверждение входящего отношения доверия». Здесь и в первом и во втором окне оставляем «Нет, не подтверждаю это исходящее/входящее отношение доверие», так как на стороне Samba DC доверие нами еще не создавалось:

Confirm outgoing trust.png

Настройка на стороне Linux

Предполагается, что домен уже настроен согласно документации, и функционирует с настроенным BIND9_DLZ в качестве DNS-backend.

1. Создать сервер условной перессылки для службы DNS. Для этого добавить в конец файла /etc/bind/ddns.conf следующие строки: 

zone "win.dom" in {
      type forward;
      forwarders { 172.16.100.124; };
  };

2. Проверяем возможность получения билета Kerberos в домене WIN.DOM: 

# kinit admin@WIN.DOM
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@WIN.DOM

Valid starting       Expires              Service principal
31.03.2021 22:25:36  01.04.2021 08:25:36  krbtgt/WIN.DOM@WIN.DOM
	  renew until 07.04.2021 22:25:30

3. Создание двухстороннего транзитивного подключения: 

# samba-tool domain trust create win.dom --type=forest --direction=both --create-location=both -Uadmin@WIN
Внимание! Для входа в доверенный домен через SSSD надо использовать тип связи external, а не forest.


В случае использования Trust Secret Key в параметре --create-location нужно заменить опцию both на local, тогда после ввода пароля администратора, Samba DC прежде чем создать доверительные отношения сначала запросит Trust Key, созданный ранее при настройке в Windows.

В общем случае ваш вывод после ввода указанной команды должен быть примерно похож, на представленный ниже 

LocalDomain Netbios[LIN] DNS[lin.loc] SID[S-1-5-21-1859323732-4157578351-390439025]
RemoteDC Netbios[DC1] DNS[DC1.WIN.DOM] 
  ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__]
Password for [admin@WIN]:
RemoteDomain Netbios[WIN] DNS[WIN.DOM] SID[S-1-5-21-534750258-3577407189-1049577339]
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Setup local forest trust information...
Namespaces[2] TDO[WIN.DOM]:
TLN: Status[Enabled]                  DNS[*.WIN.DOM]
DOM: Status[Enabled]                  DNS[WIN.DOM] Netbios[WIN] SID[S-1-5-21-534750258-3577407189-1049577339]
Setup remote forest trust information...
Namespaces[2] TDO[lin.loc]:
TLN: Status[Enabled]                  DNS[*.lin.loc]
DOM: Status[Enabled]                  DNS[lin.loc] Netbios[LIN] SID[S-1-5-21-1859323732-4157578351-390439025]
Validating outgoing trust...
OK: LocalValidation: DC[\\DC1.WIN.DOM] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dc2.lin.loc] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success.

Настройка SSSD

В файл /etc/sssd/sssd.conf добавляем доверенный домен: 

[domain/LIN.LOC/WIN.DOM]
use_fully_qualified_names = false

Перезапускаем sssd: 

# systemctl restart sssd

Проверка: 

# getent passwd petrov
petrov@win.dom:*:1588801103:1588801103:Petr Petrov:/home/win.dom/petrov:/bin/bash

В случае проблем с авторизацией пользователем из доверенного домена, в sssd.conf в секцию основного домена можно вписать 

krb5_validate = false

Подводные камни и ограничения

1. Не применяются правила фильтрации SID

2. Вы не можете добавить пользователей и группы доверенного домена в доменные группы доверяющего домена.

3. Для входа в доверенный домен через SSSD надо использовать тип связи External, а не Forest.

4. Убедитесь, что NetBIOS имена доменов отличаются. Т.е. домен MYDOMAIN.WIN и MYDOMAIN.NEW будут иметь одинаковое короткое имя - MYDOMAIN. Это приведет к невозможности установки доверительных отношений.

Ссылки

Samba