Данная статья применима к:
Описание стенда
- Все компьютеры стенда находятся в одной сети (в одном широковещательном домене).
- Контроллер домена Windows AD настроен в соответствии с инструкциями к используемой версии операционной системы Windows Server. При этом:
- имя домена Windows AD: windom.ru;
- имя области (realm) Kerberos домена Windows AD: WINDOM.RU;
- имя контроллера домена Windows AD: dc.windom.ru;
- имя администратора домена Windows AD: Администратор;
- задан статический IP-адрес контроллера домена Windows AD, который далее обозначается как <IP_windom>;
- клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba:
- Контроллер домена Samba настроен в соответствии со статьей Samba как контроллер домена AD. При этом:
- имя домена Samba: smbdom.ru;
- имя области (realm) Kerberos домена Samba: SMBDOM.RU;
- имя контроллера домена Samba: dc.smbdom.ru;
- имя администратора домена Samba: Administrator;
- задан статический IP-адрес контроллера домена Samba, который далее обозначается как <IP_smbdom>;
- клиентские компьютеры домена Windows AD введены в домен в соответствии с инструкцией Ввод Astra Linux в домены Windows Active Directory или Samba.
Включение доверительных отношений
Действия на контроллере Windows AD
На контроллере домена Windows AD настроить перенаправление DNS (forward zone), добавив зону перенаправления для домена Samba (smbdom.ru) и указав в качестве сервера DNS зоны IP-адрес контроллера домена Samba (<IP_smbdom>). Это можно сделать используя графический интерфейс или командой PowerShell:
Действия на контроллере Samba
- Настроить службу разрешения имен (DNS) домена домена Samba на работу с доменом Windows AD:
- Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
options { ... dnssec-validation no; ... }; - Добавить зону перенаправления для домена Windows AD (windom.ru), указав в качестве сервера DNS IP-адрес контроллера домена Windows AD (<IP_windom>), для чего в файл /etc/bind/named.conf.local добавить строки:
zone "windom.ru" in { type forward; forward only; forwarders { <IP_windom>; }; };
- Отключить проверку dnssec, для чего в файле /etc/bind/named.conf.options параметру dnssec-validation в секции options присвоить значение no:
- Настроить доменную службу Samba (службу samba-ad-sssd) на работу с DNS Windows AD, для чего в файл /etc/samba/smb.conf в секцию [global] добавить строку:
dns forwarder = <IP_windom>
- Настроить службу Kerberos на работу с доменом Windows AD, для чего в файл /etc/krb5.conf в секцию [realms] добавить описание области Kerberos домена Windows AD:
[realms] WINDOM.RU = { kdc = dc.windom.ru admin_server = dc.windom.ru } - Перезапустить службы DNS (служба bind9) и контроллера домена (служба samba-ad-dc):sudo systemctl restart bind9 samba-ad-dc
- Убедиться, что на этом этапе работает:
- Разрешение имен для службы Kerberos домена Windows AD:host -t srv _kerberos._tcp.windom.ru
_kerberos._tcp.windom.ru has SRV record 0 100 88 dc.windom.ru. - Получение билетов Kerberos администратора домена Windows AD:kinit Администратор@WINDOM.RU
- Разрешение имен для службы Kerberos домена Windows AD:
- Включить доверительные отношения, для чего выполнить команду:sudo samba-tool domain trust create windom.ru --type=external --direction=both --create-location=both -U Администратор@windom.ru
где:- --type — тип устанавливаемого доверительного отношения. Возможные варианты:
- --type=external — внешнее отношение доверия. Следует использовать если в доменах используются клиенты Astra Linux sssd и winbind:
- --type=forest — отношение доверия между лесами. Следует использовать если в доменах используются только клиенты Astra Linux winbind.
- --direction — направление устанавливаемого отношения доверия. Возможные варианты:
- --direction=both — двустороннее отношение доверия;
- --direction=incoming — входящее отношение доверия;
- --direction=outgoing — исходящее отношение доверия;
- --create-location — способ создания доверительного отношения:
- --create-location=both — доверительное отношение создается на обоих доменах. Требуется указать имя и пароль администратора домена Windows AD;
- --create-location=local — доверительное отношение создается на домене Samba. Перед созданием доверительного отношения на домене Samba на контроллере домена Windows AD требуется выполнить следующие действия:
- создать соответствующее отношение доверия;
- получить разделяемый секрет (см., например ALD Pro. Установка двусторонних доверительных отношений с использованием общего секрета доверия);
- --type — тип устанавливаемого доверительного отношения. Возможные варианты:
- Убедиться, что доверительное отношение установлено (вывод команды может зависеть от типа установленного отношения доверия):sudo samba-tool domain trust show windom.ru
LocalDomain Netbios[SMB] DNS[smbdom.ru] SID[S-1-5-21-1008796308-1819741638-1808146206]
TrustedDomain:NetbiosName: WINDOM
DnsName: windom.ru
SID: S-1-5-21-4120781210-2151633859-1557479657
Type: 0x2 (UPLEVEL)
Direction: 0x3 (BOTH)
Attributes: 0x4 (QUARANTINED_DOMAIN)
PosixOffset: 0x00000000 (0)
kerb_EncTypes: 0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
Проверка на контролере домена Windows AD
Дополнительную проверку успешности включения доверительного отношения можно провести на контроллере домена Windows AD (вывод команд может зависеть от типа установленного отношения доверия).
Например, выполнить в PowerShell команду:
List of domain trusts:
0: SMB smbdom.ru (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
1: WINDOM windom.ru (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
Direction Trusted\Trusting domain Trust type
========= ======================= ==========
<-> smbdom.ru
Direct
The command completed successfully.