Описание ИС
Сервер AD: Microsoft Windows 2003 Server Standart (с настроенным DNS)
Клиент: Debian Wheezy 7.4
Домен: unit.server.loc
Имя сервера: win2003srv
IP сервера: 192.168.216.1
Администратор: login — admin, password — admin
Имя клиента: debian
IP клиента: 192.168.216.7
Установка необходимого ПО на клиенте
aptitude install samba winbind krb5-user libpam-krb5
Настройка клиента
Настройка времени
Для корректной настройки необходима синхронизация времени между сервером и клиентом.
Для синхронизации можно использовать команду
net time set 192.168.216.1
Однако, в этом случае нужно выполнять эту команду регулярно.
Более эффективным решением является использование сервера времени NTP и синхронизация времени с ним с помощью NTP клиента.
Настройка разрешения имени клиента debian
Правильное разрешение FQDN (Fully Qualified Domain Name — «полностью определённое имя домена») необходимо для корректной работы Kerberos и AD. Для этого в файле /etc/hosts должна быть строка
127.0.0.1 debian.unit.server.loc localhost debian
Настройка Kerberos
Редактируем конфигурационный файл /etc/krb5.conf
[logging]
Default = FILE:/var/log/krb5.log
[libdefaults]
ticket_lifetime = 24000
clock-skew = 300
default_realm = UNIT.SERVER.LOC
[realms]
UNIT.SERVER.LOC = {
kdc = win2003srv.unit.server.loc:88
admin_server = win2003srv.unit.server.loc:464
default_domain = unit.server.loc
}
[domain_realm]
.unit.server.loc = UNIT.SERVER.LOC
unit.server.loc = UNIT.SERVER.LOC
Проверяем настройки.
Получаем билет Kerberos с помощью команды:
kinit admin
Используем команду klist для проверки
Ticket cache: File:/tmp/krb5cc_0
Default principal: admin@UNIT.SERVER.LOC
Valid starting Expires Service principal
16.02.2014 14.:37.07 16.02.2014 21.17.07 Krbtgt/UNIT.SERVER.LOC@UNIT.SERVER.LOC
Присоединение к домену
Для присоединения к домену потребуются samba и winbind
Редактируем конфигурационный файл samba: /etc/samba/smb.conf
[global]
security = ads
realm = UNIT.SERVER.LOC
password server = 192.168.216.1
workgroup = UNIT
# winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
Перезапускаем службы:
/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start
Присоединение к домену
net ads join -U admin
Using short domain name – UNIT
Joined ‘debian’ to realm ‘UNIT.SERVER.LOC’
Проверка
wbinfo -u
Настройка аутентификации
NSSWITCH
Редактируем /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
Проверка
getent passwd
getent group
PAM
Редактируем: /etc/pam.d/common-account
account sufficient pam_winbind.so
account required pam_unix.so
Редактируем: /etc/pam.d/common-auth
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so
Редактируем: /etc/pam.d/common-session
session required pam_unix.so
session required pam_mkhomedir.so umask=0077 skel=/etc/skel
Редактируем: /etc/pam.d/su
Auth sufficient pam_winbind.so
Auth sufficient pam_unix.so use_first_pass
Auth required pam_deny.so
@include common-account
Завершение настройки
Создадим каталог для хранения учетных записей домена
mkdir /home/UNIT
Источник: https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory