Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Данная статья применима к:



Описание стенда

  • Все компьютеры стенда находятся в одной сети (в одном широковещательном домене).
  • Контроллер домена Windows AD настроен в соответствии с инструкциями к используемой версии операционной системы Windows Server. При этом:
    • имя домена Windows AD: windom.ru;
    • имя области (realm) Kerberos домена Windows AD: WINDOM.RU;
    • имя контроллера домена Windows AD: dc.windom.ru;
    • имя администратора домена Windows AD: Администратор;
    • задан статический IP-адрес контроллера домена Windows AD, который далее обозначается как <IP_windom>;
    • клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba:
      • sssd.windom.ru — клиент Astra Linux, введен в домен с использованием sssd;
      • winbind.windom.ru — клиент Astra Linux, введен в домен с использованием winbind;
      • client.windom.ru — клиент Windows, введен в домен в соответствии с инструкциями к используемой ОС
  • Контроллер домена Samba настроен в соответствии со статьей Samba как контроллер домена AD. При этом:
    • имя домена Samba: smbdom.ru;
    • имя области (realm) Kerberos домена Samba: SMBDOM.RU;
    • имя контроллера домена Samba: dc.smbdom.ru;
    • имя администратора домена Samba: Administrator;
    • задан статический IP-адрес контроллера домена Samba, который далее обозначается как <IP_smbdom>;
    • клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba
      • sssd.smbdom.ru — клиент введен в домен с использованием sssd;
      • winbind.smbdom.ru — клиент введен в домен с использованием winbind;
      • client.smbdom.ru — клиент Windows, введен в домен в соответствии с инструкциями к используемой ОС

Включение доверительных отношений

Действия на контроллере Windows AD

На контроллере домена Windows AD настроить перенаправление DNS (forward zone), добавив зону перенаправления для домена Samba (smbdom.ru) и указав в качестве сервера DNS зоны IP-адрес контроллера домена Samba (<IP_smbdom>). Это можно сделать используя графический интерфейс или командой PowerShell:

Add-DnsServerConditionalForwarderZone -Name smbdom.ru -MasterServers <IP_smbdom> -ReplicationScope Forest


Действия на контроллере Samba

  1. Настроить службу разрешения имен (DNS) домена домена Samba на работу с доменом Windows AD:
    1. Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
      options {
        ...
        dnssec-validation no;
        ...
};


    2. Добавить зону перенаправления для домена Windows AD (windom.ru), указав в качестве сервера DNS IP-адрес контроллера домена Windows AD (<IP_windom>), для чего в файл /etc/bind/named.conf.local добавить строки:
      zone "windom.ru" in {
    type forward;
    forward only;
    forwarders { <IP_windom>; };
};


  2. Настроить доменную службу Samba (службу samba-ad-sssd) на работу с DNS Windows AD, для чего в файл /etc/samba/smb.conf в секцию [global] добавить строку:
    dns forwarder = <IP_windom>


  3. Настроить службу Kerberos на работу с доменом Windows AD, для чего в файл /etc/krb5.conf в секцию [realms] добавить описание области Kerberos домена Windows AD:
    [realms]
WINDOM.RU = { 
        kdc = dc.windom.ru
        admin_server = dc.windom.ru
}


  4. Перезапустить службы DNS (служба bind9) и контроллера домена (служба samba-ad-dc):
    sudo systemctl restart bind9 samba-ad-dc


  5. Убедиться, что на этом этапе работает:
    1. Разрешение имен для службы Kerberos домена Windows AD:
      host -t srv _kerberos._tcp.windom.ru
      _kerberos._tcp.windom.ru has SRV record 0 100 88 dc.windom.ru.
    2. Получение билетов Kerberos администратора домена Windows AD:
      kinit Администратор@WINDOM.RU
  6. Включить доверительные отношения, для чего выполнить команду:
    sudo samba-tool domain trust create windom.ru --type=forest --direction=both --create-location=both -U Администратор@windom.ru


  7. Убедиться, что доверительное отношение установлено:
    sudo samba-tool domain trust show windom.ru

    LocalDomain Netbios[SMB] DNS[smbdom.ru] SID[S-1-5-21-1008796308-1819741638-1808146206]
    TrustedDomain:

    NetbiosName:    WINDOM
    DnsName:        windom.ru
    SID:            S-1-5-21-4120781210-2151633859-1557479657
    Type:           0x2 (UPLEVEL)
    Direction:      0x3 (BOTH)
    Attributes:     0x8 (FOREST_TRANSITIVE)
    PosixOffset:    0x00000000 (0)
    kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
    Namespaces[2] TDO[windom.ru]:
    TLN: Status[Enabled]                  DNS[*.windom.ru]
    DOM: Status[Enabled]                  DNS[windom.ru] Netbios[WINDOM] SID[S-1-5-21-4120781210-2151633859-1557479657]



  8. Дополнительную проверку можно провести на контроллере домена Windows AD, выполнив в PowerShell команду:
    nltest.exe /trusted_domains
    List of domain trusts:
        0: SMB smbdom.ru (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: foresttrans )
        1: WINDOM windom.ru (NT 5) (Forest Tree Root) (Primary Domain) (Native)
    The command completed successfully

Настройка клиентских компьютеров

В домене Samba

Astra Linux

С использованием winbind

С использованием sssd

Windows

В домене Windows AD

Astra Linux

С использованием winbind

С использованием sssd

Windows



  • Нет меток