Geekly articles weekly

Windows AD рдбреЛрдореЗрди рдореЗрдВ Linux рдорд╢реАрди sssd рдФрд░ krb5 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ

рдЙрдмрдВрдЯреВ рдорд╢реАрди рдХреЛ рд╡рд┐рдВрдбреЛрдЬ рдбреЛрдореЗрди рдореЗрдВ рджрд░реНрдЬ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдереАред рдЗрди рдЙрджреНрджреЗрд╢реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП, рд╕рд╛рдВрдмрд╛ рдФрд░ рд╡рд┐рдирдмрд┐рдВрдб рдХрд╛ рдЖрдорддреМрд░ рдкрд░ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рд▓реЗрдХрд┐рди sssd рдХреЗ рд╕рд╛рде рдПрдХ рд╡рд┐рдХрд▓реНрдк рд╕рдВрднрд╡ рд╣реИ, рдЗрд╕рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдПрдХ рд╕рдВрдХреНрд╖рд┐рдкреНрдд рдЧрд╛рдЗрдбред

рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд╣рдо рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВрдЧреЗ:

рдбреЛрдореЗрди = contoso.com
рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ = dc.contoso.com

Ubuntu рдЯрд░реНрдорд┐рдирд▓ рд▓реЙрдиреНрдЪ рдХрд░реЗрдВ:

1. рд░реВрдЯ рдкрд░ рд╕реНрд╡рд┐рдЪ рдХрд░реЗрдВ

sudo -i

2. рдЖрд╡рд╢реНрдпрдХ рдкреИрдХреЗрдЬ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВ

 apt install sssd heimdal-clients msktutil

3. рд╣рдо /etc/krb5.conf рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рддреЗ рд╣реИрдВ, рдЯреИрдм рдЗрдВрдбреЗрдВрдЯреНрд╕ рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ

 [libdefaults] default_realm = CONTOSO.COM [realms] CONTOSO.COM = { kdc = DC admin_server = dc.contoso.com default_domain = contoso.com } [login] krb4_convert = true krb4_get_tickets = false [domain_realm] .contoso.com = CONTOSO.COM contoso.com = CONTOSO.COM

4. рдлрд╝рд╛рдЗрд▓ / рдЖрджрд┐ / рд╣реЛрд╕реНрдЯ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ, рдЗрд╕ рдореЗрдЬрдмрд╛рди рдХреЗ рд▓рд┐рдП FQDN рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ:

 127.0.0.1 localhost 127.0.1.1 <hostname>.contoso.com <hostname>

5. рд╣рдо рдбреЛрдореЗрди рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдХреА рдУрд░ рд╕реЗ рдПрдХ рдХреЗрд░реНрдмрд░реЛрд╕ рдЯрд┐рдХрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддреЗ рд╣реИрдВ:

 root@ubuntu:~# kinit YourDomainAdmin YourDomainAdmin@CONTOSO.COM's Password:

рд╣рдо рдЬрд╛рдБрдЪ рдХрд░рддреЗ рд╣реИрдВ:

 root@ubuntu:~# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: YourDomainAdmin@CONTOSO.COM Issued Expires Principal Dec 1 15:08:27 2018 Dec 2 01:08:22 2018 krbtgt/CONTOSO.COM@CONTOSO.COM

рдпрджрд┐ рдЯрд┐рдХрдЯ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рдкреНрд░рд╛рдкреНрдд рд╣реЛрддрд╛ рд╣реИ, рддреЛ рдЕрдм рдЗрд╕ рдореЗрдЬрдмрд╛рди рдХреЗ рд▓рд┐рдП рдХреЗрд░реНрдмрд░реЛрд╕ рдкреНрд░рд┐рдВрд╕рд┐рдкрд▓ рдЙрддреНрдкрдиреНрди рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ, рд░рдЬрд┐рд╕реНрдЯрд░ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ:

 msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME.contoso.com -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com тАФuser-creds-only msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com --user-creds-only

рдЕрдм рд╣рдорд╛рд░реЗ рдореЗрдЬрдмрд╛рди рдХреЛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рдХрдВрдкреНрдпреВрдЯрд░ рдХреА рд╕реВрдЪреА рдореЗрдВ рджрд┐рдЦрд╛рдИ рджреЗрдирд╛ рдЪрд╛рд╣рд┐рдПред рдпрджрд┐ рдРрд╕рд╛ рд╣реИ, рддреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдмрд░реЛрд╕ рдЯрд┐рдХрдЯ рдХреЛ рд╣рдЯрд╛ рджреЗрдВ:

 kdestroy

6. рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕рд╛рдордЧреНрд░реА рдХреЗ рд╕рд╛рде рдлрд╝рд╛рдЗрд▓ /etc/sssd/sssd.conf рдмрдирд╛рдПрдВ:

 [sssd] services = nss, pam config_file_version = 2 domains = contoso.com [nss] entry_negative_timeout = 0 debug_level = 3 [pam] debug_level = 3 [domain/contoso.com] debug_level = 3 ad_domain = contoso.com ad_server = dc.contoso.com enumerate = false id_provider = ad auth_provider = ad chpass_provider = ad access_provider = simple simple_allow_groups = users #   ,  .   тАФ       . ldap_schema = ad ldap_id_mapping = true fallback_homedir = /home/%u default_shell = /bin/bash ldap_sasl_mech = gssapi ldap_sasl_authid = <HOSTNAME>$ ldap_krb5_init_creds = true krb5_keytab = /etc/sssd/<HOSTNAME>.keytab

Sssd config рдлрд╛рдЗрд▓ рдкреИрд░рд╛рдореАрдЯрд░реНрд╕ рдХрд╛ рд╡рд┐рд╡рд░рдг рдпрд╣рд╛рдВ рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ

Sssd.conf рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╕реЗрдЯ рдХрд░реЗрдВ:

 chmod 600 /etc/sssd/sssd.conf

SSSD рд╕реЗрд╡рд╛ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░реЗрдВ

 service sssd restart

7. PAM рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХрд╛ рд╕рдВрдкрд╛рджрди

рдмреБрд░рд╛ рд╕рдорд╛рдзрд╛рди:

рд▓рд╛рдЗрди рдХреЗ рдмрд╛рдж рдлрд╝рд╛рдЗрд▓ /etc/pam.d/common-session рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ

 session required pam_unix.so

рд▓рд╛рдЗрди рдЬреЛрдбрд╝реЗрдВ

 session required pam_mkhomedir.so skel=/etc/skel umask=0022

рдЕрдЪреНрдЫрд╛ рд╕рдорд╛рдзрд╛рди:

PAM рд╕рд┐рд╕реНрдЯрдо рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдб рдХрд░реЗрдВ, рдХреЙрд▓ рдХрд░реЗрдВ

 pam-auth-update

рдФрд░ sss рдХреА рд╕реНрдерд┐рддрд┐ рдФрд░ рдореЗрдХрд╣реЛрдорд┐рд░ рдЖрдЗрдЯрдо рдЬрд╛рдВрдЪреЗрдВ ред рдпрд╣ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдЬреЛрдбрд╝ рджреЗрдЧрд╛
рдЖрдо-рд╕рддреНрд░ рдореЗрдВ рдКрдкрд░ рджреА рдЧрдИ рд▓рд╛рдЗрди рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рддреЗ рд╕рдордп рдЗрд╕реЗ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред

рдЕрдм рд╣рдо рдорд╢реАрди рдкрд░ рдЙрди рдбреЛрдореЗрди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рд▓реЙрдЧ рдЗрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬрд┐рдиреНрд╣реЗрдВ рд▓реЙрдЧ рдЗрди рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИред

PS: рдЖрдк sudo рдбреЛрдореЗрди рд╕рдореВрд╣реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдЕрдзрд┐рдХрд╛рд░ рджреЗ рд╕рдХрддреЗ рд╣реИрдВред рд╡рд┐рдЬрд╝реБрдбреЛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реБрдП, рдлрд╝рд╛рдЗрд▓ / etc / sudoers, рдпрд╛ рдмреЗрд╣рддрд░ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ, рдЬреИрд╕рд╛ рдХрд┐ maxzhurkin рдФрд░ iluvar рдЕрдиреБрд╢рдВрд╕рд╛ рдХрд░рддреЗ рд╣реИрдВ , /etc/sudoers.d/ рдореЗрдВ рдПрдХ рдирдИ рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдПрдВ рдФрд░ рдЗрд╕реЗ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ

 visudo -f /etc/sudoers.d/_

рдЖрд╡рд╢реНрдпрдХ рд╕рдореВрд╣ рдЬреЛрдбрд╝реЗрдВ - рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдбреЛрдореЗрди рдПрдбрдорд┐рдВрд╕ (рдпрджрд┐ рд╕рдореВрд╣ рдХреЗ рдирд╛рдо рдореЗрдВ рд░рд┐рдХреНрдд рд╕реНрдерд╛рди рд╣реИрдВ - рдЙрдиреНрд╣реЗрдВ рдмрдЪ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП):

 %Domain\ Admins ALL=(ALL) ALL


PSS: realmd рдкрд░ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рдж gotch рдпрд╣ рдмрд╣реБрдд рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рд╣реИ - рдпрджрд┐ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИ, рддреЛ рдПрдХ рдорд╢реАрди рдХреЛ рдПрдХ рдбреЛрдореЗрди рдореЗрдВ рдкреНрд░рд╡реЗрд╢ рдХрд░рдирд╛, рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ, рддреАрди рдЖрдЬреНрдЮрд╛рдУрдВ рдХреЛ рдкреВрд░рд╛ рдХрд░рддрд╛ рд╣реИ:
1. рдЖрд╡рд╢реНрдпрдХ рдкреИрдХреЗрдЬ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВ:
 sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli

2. рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рд╣рдорд╛рд░рд╛ рдбреЛрдореЗрди рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рджрд┐рдЦрд╛рдИ рджреЗ рд░рд╣рд╛ рд╣реИ:
 realm discover contoso.com

3. рдорд╢реАрди рдХреЛ рдбреЛрдореЗрди рдореЗрдВ рджрд░реНрдЬ рдХрд░реЗрдВ:
 sudo realm --verbose join contoso.com -U YourDomainAdmin --install=/

4. PAM рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХрд╛ рд╕рдВрдкрд╛рджрди
 sudo pam-auth-update

рдЗрд╕ рд╡рд┐рдХрд▓реНрдк рдХрд╛ рдПрдХ рдЕрддрд┐рд░рд┐рдХреНрдд рдкреНрд▓рд╕ рдбреЛрдореЗрди рдХреЗ рдлрд╝рд╛рдЗрд▓ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдкрд░ рдПрдВрдб-рдЯреВ-рдПрдВрдб рдкреНрд░рд╛рдзрд┐рдХрд░рдг рд╣реИред

рд▓реЙрдЧрд┐рди рдХреЗ рдЕрд▓рд╛рд╡рд╛ рдПрдХ рдбреЛрдореЗрди рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдирд╣реАрдВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк рдПрдХ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдкреНрд░рддреНрдпрдп рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдлрд╝рд╛рдЗрд▓ рдореЗрдВ /etc/sssd/sssd.conf, [sssd] рдмреНрд▓реЙрдХ рдореЗрдВ, рд▓рд╛рдЗрди рдЬреЛрдбрд╝реЗрдВ:
 default_domain_suffix = contoso.com

Source: https://habr.com/ru/post/hi437546/

More articles:


All Articles