Аутентификация Debian GNU Linux в Active Directory (MS Windows 2003 Server)

Описание ИС
Сервер AD: Microsoft Windows 2003 Server Standart (с настроенным DNS)
Клиент: Debian Wheezy 7.4

Домен: unit.server.loc

Имя сервера: win2003srv
IP сервера: 192.168.216.1
Администратор: login — admin, password — admin

Имя клиента: debian
IP клиента: 192.168.216.7

Установка необходимого ПО на клиенте

aptitude install samba winbind krb5-user libpam-krb5


Настройка клиента
Настройка времени
Для корректной настройки необходима синхронизация времени между сервером и клиентом.

Для синхронизации можно использовать команду
net time set 192.168.216.1

Однако, в этом случае нужно выполнять эту команду регулярно.

Более эффективным решением является использование сервера времени NTP и синхронизация времени с ним с помощью NTP клиента.

Настройка разрешения имени клиента debian
Правильное разрешение FQDN (Fully Qualified Domain Name — «полностью определённое имя домена») необходимо для корректной работы Kerberos и AD. Для этого в файле /etc/hosts должна быть строка
127.0.0.1    debian.unit.server.loc    localhost    debian


Настройка Kerberos
Редкутируем конфигурационный файл /etc/krb5.conf

[logging]
        Default = FILE:/var/log/krb5.log

[libdefaults]
        ticket_lifetime = 24000
        clock-skew = 300
        default_realm = UNIT.SERVER.LOC


[realms]
        UNIT.SERVER.LOC = {
                kdc = win2003srv.unit.server.loc:88
                admin_server = win2003srv.unit.server.loc:464
                default_domain = unit.server.loc        
        }

[domain_realm]
        .unit.server.loc = UNIT.SERVER.LOC
        unit.server.loc = UNIT.SERVER.LOC



Проверяем настройки.
Получаем билет Kerberos с помощью команды:
kinit admin

Используем команду klist для проверки

Ticket cache: File:/tmp/krb5cc_0
Default principal: admin@UNIT.SERVER.LOC

Valid starting          Expires                Service principal
16.02.2014 14.:37.07    16.02.2014 21.17.07    Krbtgt/UNIT.SERVER.LOC@UNIT.SERVER.LOC


Присоединение к домену
Для присоединения к домену потребуются samba и winbind
Редактируем конфигурационный файл samba: /etc/samba/smb.conf

[global]
        security = ads
        realm = UNIT.SERVER.LOC
        password server = 192.168.216.1
        workgroup = UNIT
#       winbind separator = +
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = yes
        winbind use default domain = yes
        restrict anonymous = 2
        domain master = no
        local master = no
        preferred master = no
        os level = 0


Перезапускаем службы:

/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start


Присоединение к домену

net ads join -U admin

Using short domain name – UNIT

Joined ‘debian’ to realm ‘UNIT.SERVER.LOC’


Проверка

wbinfo -u


Настройка аутентификации
NSSWITCH
Редактируем /etc/nsswitch.conf

passwd: compat winbind
group:  compat winbind
shadow: compat


Проверка

getent passwd
getent group


PAM
Редактируем: /etc/pam.d/common-account

account sufficient      pam_winbind.so
account required        pam_unix.so


Редактируем: /etc/pam.d/common-auth

auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so


Редактируем: /etc/pam.d/common-session

session required pam_unix.so
session required pam_mkhomedir.so umask=0077 skel=/etc/skel


Редактируем: /etc/pam.d/su

Auth sufficient pam_winbind.so
Auth sufficient pam_unix.so use_first_pass
Auth required    pam_deny.so

@include common-account


Завершение настройки
Создадим каталог для хранения учетных записей домена

mkdir /home/UNIT


Источник: https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory
  • avatar
  • 0

0 комментариев

Автор топика запретил добавлять комментарии