| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
Описание стенда
- Все компьютеры стенда находятся в одной сети (в одном широковещательном домене).
- Контроллер домена Windows AD настроен в соответствии с инструкциями к используемой версии операционной системы Windows Server. При этом:
- имя домена Windows AD: windom.ru;
- имя области (realm) Kerberos домена Windows AD: WINDOM.RU;
- имя контроллера домена Windows AD: dc.windom.ru;
- имя администратора домена Windows AD: Администратор;
- задан статический IP-адрес контроллера домена Windows AD, который далее обозначается как <IP_windom>;
- клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba:
- Контроллер домена Samba настроен в соответствии со статьей Samba как контроллер домена AD. При этом:
- имя домена Samba: smbdom.ru;
- имя области (realm) Kerberos домена Samba: SMBDOM.RU;
- имя контроллера домена Samba: dc.smbdom.ru;
- имя администратора домена Samba: Administrator;
- задан статический IP-адрес контроллера домена Samba, который далее обозначается как <IP_smbdom>;
- клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba.
Включение доверительных отношений
Действия на контроллере Windows AD
На контроллере домена Windows AD настроить перенаправление DNS (forward zone), добавив зону перенаправления для домена Samba (smbdom.ru) и указав в качестве сервера DNS зоны IP-адрес контроллера домена Samba (<IP_smbdom>). Это можно сделать используя графический интерфейс или командой PowerShell:
| Command |
|---|
Add-DnsServerConditionalForwarderZone -Name smbdom.ru -MasterServers <IP_smbdom> -ReplicationScope Forest |
Действия на контроллере Samba
- Настроить службу разрешения имен (DNS) домена домена Samba на работу с доменом Windows AD:
- Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
Блок кода options { ... dnssec-validation no; ... }; - Добавить зону перенаправления для домена Windows AD (windom.ru), указав в качестве сервера DNS IP-адрес контроллера домена Windows AD (<IP_windom>), для чего в файл /etc/bind/named.conf.local добавить строки:
Блок кода zone "windom.ru" in { type forward; forward only; forwarders { <IP_windom>; }; };
- Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
- Настроить доменную службу Samba (службу samba-ad-sssd) на работу с DNS Windows AD, для чего в файл /etc/samba/smb.conf в секцию [global] добавить строку:
Блок кода dns forwarder = <IP_windom>
- Настроить службу Kerberos на работу с доменом Windows AD, для чего в файл /etc/krb5.conf в секцию [realms] добавить описание области Kerberos домена Windows AD:
Блок кода [realms] WINDOM.RU = { kdc = dc.windom.ru admin_server = dc.windom.ru } - Перезапустить службы DNS (служба bind9) и контроллера домена (служба samba-ad-dc):
Command sudo systemctl restart bind9 samba-ad-dc
- Убедиться, что на этом этапе работает:
- Разрешение имен для службы Kerberos домена Windows AD:
Command Title host -t srv _kerberos._tcp.windom.ru _kerberos._tcp.windom.ru has SRV record 0 100 88 dc.windom.ru.
- Получение билетов Kerberos администратора домена Windows AD:
Command kinit Администратор@WINDOM.RU
- Разрешение имен для службы Kerberos домена Windows AD:
- Включить доверительные отношения, для чего выполнить команду:
Command sudo samba-tool domain trust create windom.ru --type=external --direction=both --create-location=both -U Администратор@windom.ru
где:- --type — тип устанавливаемого доверительного отношения. Возможные варианты:
- --type=external — внешнее отношение доверия. Следует использовать если в доменах используются клиенты Astra Linux sssd и winbind:
- --type=forest — отношение доверия между лесами. Рекомендуется использовать доменах используются только клиенты Astra Limux winbind, то можно использовать.
- --direction — направление устанавливаемого отношения доверия. Возможные варианты:
- --direction=both — двустороннее отношение доверия;
- --direction=incoming — входящее отношение доверия;
- --direction=outgoing — исходящее отношение доверия;
- --create-location — способ создания доверительного отношения:
- --create-location=both — доверительное отношение создается на обоих доменах. Требуется указать имя и пароль администратора домена Windows AD;
- --create-location=local — доверительное отношение создается на домене Samba. Перед созданием доверительного отношения на домене Samba на контроллере домена Windows AD требуется выполнить следующие действия:
- создать соответствующее отношение доверия;
- получить разделяемый секрет (см., например ALD Pro. Установка двусторонних доверительных отношений с использованием общего секрета доверия);
- --type — тип устанавливаемого доверительного отношения. Возможные варианты:
- Убедиться, что доверительное отношение установлено (вывод команды может зависеть от типа установленного отношения доверия):
Command Title sudo samba-tool domain trust show windom.ru LocalDomain Netbios[SMB] DNS[smbdom.ru] SID[S-1-5-21-1008796308-1819741638-1808146206]
TrustedDomain:NetbiosName: WINDOM
DnsName: windom.ru
SID: S-1-5-21-4120781210-2151633859-1557479657
Type: 0x2 (UPLEVEL)
Direction: 0x3 (BOTH)
Attributes: 0x4 (QUARANTINED_DOMAIN)
PosixOffset: 0x00000000 (0)
kerb_EncTypes: 0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
Проверка на контролере домена Windows AD
Дополнительную проверку успешности включения доверительного отношения можно провести на контроллере домена Windows AD (вывод команд может зависеть от типа установленного отношения доверия).
Например, выполнить в PowerShell команду:
| Command | ||
|---|---|---|
| ||
List of domain trusts: |
| Command | ||
|---|---|---|
| ||
Direction Trusted\Trusting domain Trust type <-> smbdom.ru The command completed successfully. |