Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация
titleДанная статья применима к:



Описание стенда

  • Все компьютеры стенда находятся в одной сети (в одном широковещательном домене).
  • Контроллер домена Windows AD настроен в соответствии с инструкциями к используемой версии операционной системы Windows Server. При этом:
    • имя домена Windows AD: windom.ru;
    • имя области (realm) Kerberos домена Windows AD: WINDOM.RU;
    • имя контроллера домена Windows AD: dc.windom.ru;
    • имя администратора домена Windows AD: Администратор;
    • задан статический IP-адрес контроллера домена Windows AD, который далее обозначается как <IP_windom>;
    • клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba:
    • sssd.windom.ru — клиент Astra Linux, введен в домен с использованием sssd;
    • winbind.windom.ru — клиент Astra Linux, введен в домен с использованием winbind;
    • client.windom.ru — клиент Windows, введен в домен в соответствии с инструкциями к используемой ОС
  • Контроллер домена Samba настроен в соответствии со статьей Samba как контроллер домена AD. При этом:
    • имя домена Samba: smbdom.ru;
    • имя области (realm) Kerberos домена Samba: SMBDOM.RU;
    • имя контроллера домена Samba: dc.smbdom.ru;
    • имя администратора домена Samba: Administrator;
    • задан статический IP-адрес контроллера домена Samba, который далее обозначается как <IP_smbdom>;
    • клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba
    • sssd.smbdom.ru — клиент введен в домен с использованием sssd;
    • winbind.smbdom.ru — клиент введен в домен с использованием winbind;
      • client.smbdom.ru — клиент Windows, введен в домен в соответствии с инструкциями к используемой ОС

Включение доверительных отношений

Действия на контроллере Windows AD

На контроллере домена Windows AD настроить перенаправление DNS (forward zone), добавив зону перенаправления для домена Samba (smbdom.ru) и указав в качестве сервера DNS зоны IP-адрес контроллера домена Samba (<IP_smbdom>). Это можно сделать используя графический интерфейс или командой PowerShell:

Command

Add-DnsServerConditionalForwarderZone -Name smbdom.ru -MasterServers <IP_smbdom> -ReplicationScope Forest


Действия на контроллере Samba

  1. Настроить службу разрешения имен (DNS) домена домена Samba на работу с доменом Windows AD:
    1. Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
      Блок кода
      options {
        ...
        dnssec-validation no;
        ...
};


    2. Добавить зону перенаправления для домена Windows AD (windom.ru), указав в качестве сервера DNS IP-адрес контроллера домена Windows AD (<IP_windom>), для чего в файл /etc/bind/named.conf.local добавить строки:
      Блок кода
      zone "windom.ru" in {
    type forward;
    forward only;
    forwarders { <IP_windom>; };
};


  2. Настроить доменную службу Samba (службу samba-ad-sssd) на работу с DNS Windows AD, для чего в файл /etc/samba/smb.conf в секцию [global] добавить строку:
    Блок кода
    dns forwarder = <IP_windom>


  3. Настроить службу Kerberos на работу с доменом Windows AD, для чего в файл /etc/krb5.conf в секцию [realms] добавить описание области Kerberos домена Windows AD:
    Блок кода
    [realms]
WINDOM.RU = { 
        kdc = dc.windom.ru
        admin_server = dc.windom.ru
}


  4. Перезапустить службы DNS (служба bind9) и контроллера домена (служба samba-ad-dc):
    Command

    sudo systemctl restart bind9 samba-ad-dc



  5. Убедиться, что на этом этапе работает:
    1. Разрешение имен для службы Kerberos домена Windows AD:
      Command
      Titlehost -t srv _kerberos._tcp.windom.ru

      _kerberos._tcp.windom.ru has SRV record 0 100 88 dc.windom.ru.

    2. Получение билетов Kerberos администратора домена Windows AD:
      Command

      kinit Администратор@WINDOM.RU

  6. Включить доверительные отношения, для чего выполнить команду:
    Command

    sudo samba-tool domain trust create windom.ru --type=external --direction=both --create-location=both -U Администратор@windom.ru


    где:
    • --type — тип устанавливаемого доверительного отношения. Возможные варианты:
      • --type=external — внешнее отношение доверия. Следует использовать если в доменах используются клиенты Astra Linux sssd и winbind:
      • type=forest —  отношение доверия между лесами. Рекомендуется использовать доменах используются только клиенты Astra Limux winbind, то можно использовать.
    • --direction — направление устанавливаемого отношения доверия. Возможные варианты:
      • --direction=both — двустороннее отношение доверия;
      • --direction=incoming — входящее отношение доверия;
      • --direction=outgoing — исходящее отношение доверия;
    • --create-location — способ создания доверительного отношения:
      • --create-location=both — доверительное отношение создается на обоих доменах. Требуется указать имя и пароль администратора домена Windows AD;
      • --create-location=local — доверительное отношение создается на домене Samba. Перед созданием доверительного отношения на домене Samba на контроллере домена Windows AD требуется выполнить следующие действия:и при создании доверительного отношения на контроллере Samba указать разделяемый секрет.
  7. Убедиться, что доверительное отношение установлено (вывод команды может зависеть от типа установленного отношения доверия):
    Command
    Titlesudo samba-tool domain trust show windom.ru

    LocalDomain Netbios[SMB] DNS[smbdom.ru] SID[S-1-5-21-1008796308-1819741638-1808146206]
    TrustedDomain:

    NetbiosName:    WINDOM
    DnsName:        windom.ru
    SID:            S-1-5-21-4120781210-2151633859-1557479657
    Type:           0x2 (UPLEVEL)
    Direction:      0x3 (BOTH)
    Attributes:     0x4 (QUARANTINED_DOMAIN)
    PosixOffset:    0x00000000 (0)
    kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)

Проверка на контролере домена Windows AD

Дополнительную проверку успешности включения доверительного отношения можно провести на контроллере домена Windows AD (вывод команд может зависеть от типа установленного отношения доверия).
Например, выполнить в PowerShell команду:

Command
Titlenltest.exe /trusted_domains

List of domain trusts:
    0: SMB smbdom.ru (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
    1: WINDOM windom.ru (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully

или команду:
Command
Titlenetdom query trust

Direction Trusted\Trusting domain                         Trust type
========= =======================                         ==========

<->       smbdom.ru
Direct

The command completed successfully.