Trusts

Материал из ALT Linux Wiki

Страница в состоянии разработки.

Представлен перевод статьи - Stefan Kania "Seting up trusts between two Samba-domains".

ПРЕДИСЛОВИЕ

В данной статье мы рассмотрим доверительное управление между двумя Active Directory-доменами. Будет рассмотрено какие бывают трасты, и о различных видах трастов, которые вы можете создать. Пример создания двух доменов, каждый со своим пространством имен. Настройка DNS-прокси с помощью bind9 для управления разрешением имен SRV-записи между этими двумя доменами. После создания трастов расссмотрим как управлять пользователями и группами между этими доменами.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ

Прежде чем мы начнем создавать траст, мы начнем с некоторых основ. Давайте сначала поговорим о некоторых общих определениях:

Доверяющий домен

В доверяющем домене A вы можете получить доступ к пользователям и группам из доверенного домена Б. Пользователи и домены-группы из домена B могут использоваться администратором домена A, чтобы предоставить этим пользователям и группам разрешения на доступ к ресурсам в домене А. Если траст является односторонним, администратор домена A должен пройти проверку подлинности с его учетными данными в домене B. Это означает, что администратор домена B должен настроить учетную запись администратора из домена А. Эта учетная запись будет использоваться администратор из домена A для аутентификации в домене B, чтобы получить доступ к пользователи и группы из домена B.

Доверенный домен

Пользователи и домены-группы из доверенного домена B могут использоваться доверяющим доменом А. Пользователи из домена B не увидят никого из пользователей из домена A, если трасты - односторонние. Пользователи из домена A не могут получить доступ к каким-либо ресурсам из домена Б.

Одностороннее доверие

Одностороннее доверие устанавливается только в одном направлении от домена A к домену B или наоборот. Если домен A доверяет домену B, то домен B будет не доверять домену A.

Двустороннее доверие

Если установлено двустороннее доверие в обоих направлениях, тогда все пользователи и домены-группы из любого домена могут иметь доступ к ресурсам из другого домена. Двустороннее доверие - доверие по умолчанию в Active Directory.


Переходное (транзитивное) доверие

Если у вас более двух доменов, илиActive Directory-дерево , или Active Directory-лес для проверки подлинности используется Kerberos, вы можете установить транзитивное доверие. Преимущество транзитивного доверия состоит в том, что Kerberos управляет аутентификацией между трастами. Все клиенты из домена A всегда будут отправлять туда аутентификационный запрос к собственному контроллеру домена (который всегда является Kerberos-сервером), затем контроллер домена будет управлять билетами. Если теперь пользователь из домена A получит доступ к общему ресурсу на файловом сервере в домене B, он получит билет от своего собственного контроллера домена для домена B. Файловый сервер в домене B проверит билет на своем собственном Kerberos-сервере в домен B. Таким образом, клиенты с обеих сторон ничего не знают о доверии. В инфраструктуре Active Directory у вас всегда будет транзитивное двустороннее доверие, поэтому все домены будут доверять друг другу.

ВИДЫ ТРАСТОВ

После того, как мы поговорили об общих определениях, мы теперь рассмотрим различные типы трастов. Доверительные отношения, о которых Microsoft упоминает в своей документации, не означают, что Samba поддерживает все эти трасты. После разговора о разных типах трастов, мы поговорим о трастах, которые Samba поддерживает в настоящее время, и ограничениях которые остались у Samba.

Траст (доверие) между доменами

Если есть одно дерево доменов с доменом верхнего уровня, который обрабатывает основное пространство имён (например example.net). Тогда все домены будут использовать поддомен из домена верхнего уровня. Под верхним уровнем domain есть еще два домена dom1.example.net и dom2.example.net . В этом случае все три домена будут доверять друг другу в обоих направлениях. Это называется трастом домена.

Внешние трасты (External trust)

Внешнее доверие впервые было введено в Windows-NT. Внешнее доверие - это доверие между двумя доменами, каждый со своим пространством имен. Во внешнем доверии Kerberos не используется, так как единый вход(single-sign-on) невозможен. Вы можете установить внешнее доверие между двумя доменами в стиле NT или между доменом в стиле NT и доменом Active Directory.

Доверие в лесе доменов (Forest trust)

Если у вас есть два активных дерева каталогов с разными пространствами имен, например example.net и example.com вы можете настроить доверительные отношения между двумя доменами верхнего уровня ваших деревьев, тогда все области обоих деревьев будут доверять друг другу. Вам не нужно создавать траст между каждым доменом двух деревьев, доверие будет настроено на уровне верхнего уровня. Доверие осуществляется на верхнем уровня, все остальные доверительные отношения будут установлены автоматически. Для лесного треста вам нужен Kerberos, для обработки всех аутентификаций между всеми доменами.

САМБА И ТРАСТЫ

После того, как мы поговорили об основах, давайте посмотрим на возможности Samba. Как упоминалось ранее, не всё, что объясняет Microsoft, возможно с Samba. Итак, самый важный вопрос: что уже поддерживается?

  • Доверие в лесе доменов - как двустороннее доверие так и транзитивное доверие. Это доверие может быть установленным между двумя Samba-доменами или Samba-доменом и Windows-доменом.
  • Внешние доверительные отношения между активным доменом-каталогом и доменом в стиле NT.
  • Добавление пользователей и групп доверенного домена в группы доверяющего домена. Но если вам необходимо использовать SID пользователей и группы, чтобы добавить их в свою группу, тоэ то невозможно для пользователя, имени пользователя или имени группы.
  • Внутри RSAT вы увидите foreignSecurityPrincipal для всех добавленных пользователей и групп. из доверенного домена. Таким образом Microsoft показывает, что пользователь или группа часть доверенного домена.

Некоторые вещи по-прежнему невозможны, если вы хотите использовать доверительные отношения вместе с Samba.

  • Доверительные отношения между доменами в одном дереве с одним и тем же пространством имен верхнего уровня.
  • Фильтрация SID для ограничения разрешений.
  • Обе стороны траста должны полностью доверять друг другу. Это означает, что администратор из домен A может управлять всеми объектами в домене B и наоборот.
  • Выборочная аутентификация в настоящий момент не поддерживается. Возможно создание таких доверий, но KDC и winbindd все равно их игнорируют.

ОКРУЖЕНИЕ

Поскольку основной интерес в этом руководстве - настройка доверия и управление пользователями и группами, уже подготовлены домены для учебника. Используется Vagrant для настройки всех Linux-машин. У каждого из вас будет четыре Linux-машины и одна Windows-машина.

  • Два контроллера домена Samba

Вы найдете два контроллера домена, каждый с различным пространством имен. Домены используют внутренний DNS-сервер.

  • Один Samba-Linux-клиент

Этот клиент будет участником одного из доменов для проверки входа в систему и настройки разрешения доступа.

  • Одна Linux-система в качестве DNS-прокси

Чтобы настроить DNS-прокси для разрешения SRV-записей между двумя доменами, мы будем использовать bind9.

  • Один Windows-клиент

Эта Windows-система будет членом одного из доменов для проверки входа в систему. Для всех Vagrant-машин существует пользовательский vagrant с паролем vagrant. Корень также имеет пароль vagrant. Далее в таблице указаны параметры которыен потребуются для примера.

Data
Parameter domain 1 domain 2
DNS-suffix s1.example.net s2.example.net
Realm S1.EXAMPLE.NET S2.EXAMPLE.NET
NetBios-Name S1 S2
IP-address 192.168.56.41 192.168.56.42
DNS-search s1.example.net s2.example.net