AD: аутентификация в trusting домен (в основной входит, а в trusting — нет)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

AD: аутентификация в trusting домен

Сообщение broom »

Есть комп с Линуксом (Fedora 15).

Код: Выделить всё

# rpm -qa | grep samba
samba-common-3.5.12-72.fc15.1.i686
samba-3.5.12-72.fc15.1.i686
samba-winbind-3.5.12-72.fc15.1.i686
samba-client-3.5.12-72.fc15.1.i686
samba-winbind-krb5-locator-3.5.12-72.fc15.1.i686
samba-winbind-clients-3.5.12-72.fc15.1.i686


Комп введён в домен, назовём его DOM1. И есть ещё один домен, назовём его DOM2. Между ними есть трастовые отношения. Насколько я знаю, односторонние (то есть компьютеры в домене DOM1 позволяют аутентифицироваться пользователям в домене DOM2).
Настроен вход по доменным пользователям по SSH. С пользователями из домена DOM1 всё замечательно — входят и выходят. :) А вот войти под пользователем из домена DOM2 не удаётся.

Конфиги:

/etc/samba/smb.conf

Код: Выделить всё

[global]

socket options = TCP_NODELAY

workgroup = DOM1
server string = Samba Server

local master = no
domain master = no
preferred master = no
wins support = no
wins server = 10.0.61.11
dns proxy = no

realm = DOM1.TST
security = ADS

password server = 10.0.61.11

winbind separator = @
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

allow trusted domains = yes

template homedir = /home/%U
template shell = /bin/bash

log file = /var/log/samba/%m.log
max log size = 5000

printcap name = /etc/printcap
load printers = no


/etc/krb5.conf

Код: Выделить всё

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOM1.TST
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24000
# renew_lifetime = 7d
 forwardable = yes

[domain_realm]
 .dom1.tst = DOM1.TST
 dom1.tst = DOM1.TST


Попытка войти под пользователем из домена DOM2:

Код: Выделить всё

$ ssh DOM2.LAN@user@10.0.61.115
DOM2.LAN@user@10.0.61.115's password:
Your password has expired
Last login: Mon Feb 27 16:57:02 2012 from 10.0.151.210
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user DOM2@user.
passwd: Authentication token manipulation error
Connection to 10.0.61.115 closed.


После этого в логе /var/log/samba/log.wb-DOM2:

Код: Выделить всё

ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/mailgate.dom2.lan@DOM2.LAN (Server not found in Kerberos database)
[2012/02/28 14:00:16.523154,  1] libsmb/cliconnect.c:802(cli_session_setup_kerberos)
  cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database
[2012/02/28 14:05:02.891947,  1] libsmb/clikrb5.c:789(ads_krb5_mk_req)
  ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/mailgate.dom2.lan@DOM2.LAN (Server not found in Kerberos database)
[2012/02/28 14:05:02.892138,  1] libsmb/cliconnect.c:802(cli_session_setup_kerberos)
  cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database


Что мне непонятно:
адрес mailgate.dom2.lan видимо взят из DNS (он там присутствует как одна из NS и MX записей).
Но разве не должна аутентификация всё-таки идти через DOM1? DOM2-то не пустит напрямую...

Эту переписку читала: http://samba.2283325.n4.nabble.com/smbclie...-td3614417.html
Добавление 'client use spnego principal = true' не помогло.

У кого-нибудь работала такая конфигурация? Я в Samb-е в общем дилетант, а про AD вообще мало чего знаю...
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

кажется не хватает pam - конфига... :g:
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

Да, прошу прощения, что так долго.

/etc/pam.d/sshd

Код: Выделить всё

#%PAM-1.0
auth       required     pam_sepermit.so
auth       sufficient   pam_winbind.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    sufficient   pam_winbind.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin

Собственно, к дефолтному были только добавлены строчки про winbind.
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

Желательно в [global] указать
auth methods = winbind
при этом, Krb5.conf нет необходимости настраивать, а так же, я бы заменил
winbind separator = @
на такой, например (который не используется в линух):
winbind separator = ^
для многодоменной аутентификации желательно на время теста
winbind use default domain = no
При этих настройках заставить работать аутентификацию с пользователями в формате DOMAIN.LAN^user, как только заработает, можно попробовать включить
winbind use default domain = yes
и пытаться войти просто под пользователем user.

а в контроллере домена DOM1 в структуре AD и DNS есть какие-либо упоминания о DOM2?

И если тупо nslookup не_fqdn_имя_кд (для дломена DOM2 и DOM1) с федоры попробовать сделать? Ответ будет корректный?
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

Спасибо за отклик!

McSim писал(а):
13.03.2012 13:36
Желательно в [global] указать
auth methods = winbind
при этом, Krb5.conf нет необходимости настраивать, а так же, я бы заменил
winbind separator = @
на такой, например (который не используется в линух):
winbind separator = ^
для многодоменной аутентификации желательно на время теста
winbind use default domain = no
При этих настройках заставить работать аутентификацию с пользователями в формате DOMAIN.LAN^user, как только заработает, можно попробовать включить
winbind use default domain = yes
и пытаться войти просто под пользователем user.


Подкрутила настройки. Просто пользователем из домена DOM1 (без указания домена) вхожу спокойно.

McSim писал(а):
13.03.2012 13:36
а в контроллере домена DOM1 в структуре AD и DNS есть какие-либо упоминания о DOM2?

Я плохо представляю себе структуру AD, поэтому не знаю, как ответить. :)
Могу только сказать, что под виндой работает (если винду ввести в домен DOM1, она пускает пользователей из DOM2).

McSim писал(а):
13.03.2012 13:36
И если тупо nslookup не_fqdn_имя_кд (для дломена DOM2 и DOM1) с федоры попробовать сделать? Ответ будет корректный?

Да, ответ корректный. В /etc/resolv.conf в строчке search указаны оба домена.

Но, возможно, собака порылась именно здесь.
После попытки войти пользователем из DOM2 в логе log.wb-DOM2:

Код: Выделить всё

[2012/03/13 13:53:44.506362,  1] libsmb/clikrb5.c:789(ads_krb5_mk_req)
  ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/MKAD.dom2.lan@DOM2.LAN (Server not found in Kerberos database)
[2012/03/13 13:53:44.506587,  1] libsmb/cliconnect.c:802(cli_session_setup_kerberos)
  cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database

Вот это вот MKAD.dom2.lan@DOM2.LAN выглядит странновато.
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

broom писал(а):
13.03.2012 14:06
Да, ответ корректный. В /etc/resolv.conf в строчке search указаны оба домена.

На сколько я понял, 10.0.61.11 - это контроллер домена из DOM1?
Тогда я бы посоветовал указать так:
password server = fqdn_кд_dom1 fqdn_кд_dom2
broom писал(а):
13.03.2012 14:06
Вот это вот MKAD.dom2.lan@DOM2.LAN выглядит странновато.
Не, это не странно, cifs/MKAD.dom2.lan@DOM2.LAN - это обычная SPN запись.
странно, что она "Server not found in Kerberos database"

тут бы еще увидеть ошибки из AD. Баз них трудно будет что-то окончательное сказать...
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

McSim писал(а):
13.03.2012 16:12
broom писал(а):
13.03.2012 14:06
Да, ответ корректный. В /etc/resolv.conf в строчке search указаны оба домена.

На сколько я понял, 10.0.61.11 - это контроллер домена из DOM1?
Тогда я бы посоветовал указать так:
password server = fqdn_кд_dom1 fqdn_кд_dom2

Указала password server-ы в fqdn-виде, ничего не изменилось.

broom писал(а):
13.03.2012 14:06
тут бы еще увидеть ошибки из AD. Баз них трудно будет что-то окончательное сказать...

Вы мне хотя бы скажите, такую схему кто-нибудь видел работающей? :)
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

broom писал(а):
13.03.2012 17:04
McSim писал(а):
13.03.2012 16:12
broom писал(а):
13.03.2012 14:06
Да, ответ корректный. В /etc/resolv.conf в строчке search указаны оба домена.

На сколько я понял, 10.0.61.11 - это контроллер домена из DOM1?
Тогда я бы посоветовал указать так:
password server = fqdn_кд_dom1 fqdn_кд_dom2

Указала password server-ы в fqdn-виде, ничего не изменилось.

broom писал(а):
13.03.2012 14:06
тут бы еще увидеть ошибки из AD. Баз них трудно будет что-то окончательное сказать...

Вы мне хотя бы скажите, такую схему кто-нибудь видел работающей? :)
думаю, если на венде работает, то и на самбе должно заработать.
Думаю, что нужно добавить что-то вроде
realm = DOM1.TST
realm = DOM2.TST
или
realm = DOM1.TST DOM2.TST
нужно поиграться.
А еще, почему везде DOMx.LAN, а в realm = DOMx.TST ?
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

Просто один домен (в который введена машина) называется xxx.tst, а второй (trusting) — xxx.lan. :) Извините, если запутала маскировкой имён.
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

тогда все же хочется увидеть
1. реальный конфиг samba
2. структару доменов (IP, имена КД, подсети, связи)

Самый главный вопрос....
Для чего вообще керберос на линуксе? только для ssh? на сколько я понял - самба, как самба не используется?
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

McSim писал(а):
14.03.2012 18:37
тогда все же хочется увидеть
1. реальный конфиг samba

<удалён>
McSim писал(а):
14.03.2012 18:37
2. структару доменов (IP, имена КД, подсети, связи)

вот это для меня сложнее... не подскажете, что и как посмотреть?

Код: Выделить всё

# nslookup study.tst
Server:        10.0.61.11
Address:    10.0.61.11#53

Name:    study.tst
Address: 10.0.61.11
Name:    study.tst
Address: 10.0.61.12

Главный контроллер домена в study.tst: rtdc.study.tst (10.0.61.11)

Код: Выделить всё

# nslookup kraftway.lan
Server:        10.0.61.11
Address:    10.0.61.11#53

Name:    kraftway.lan
Address: 10.0.0.171
Name:    kraftway.lan
Address: 10.0.0.170
Name:    kraftway.lan
Address: 10.0.0.214
Name:    kraftway.lan
Address: 10.5.0.27

Основной контроллер домена в kraftway.lan: mkad.kraftway.lan (10.0.0.170)
McSim писал(а):
14.03.2012 18:37
Самый главный вопрос....
Для чего вообще керберос на линуксе? только для ssh? на сколько я понял - самба, как самба не используется?

Планируется, что на этом сервере будут размещены Git-репозитории. Авторизация, соответственно, по SSH. Народу у нас полно, и есть Active Directory — поэтому неохота плодить локальные базы пользователей.
Самба для файлового сервера использоваться не будет.
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

Планируется, что на этом сервере будут размещены Git-репозитории. Авторизация, соответственно, по SSH. Народу у нас полно, и есть Active Directory — поэтому неохота плодить локальные базы пользователей.
Самба для файлового сервера использоваться не будет.

Тогда я бы пошел другим путем:
1. Если самба не будет использоваться, как самба, то я бы вообще ее не ставил.
2. На чем будет работать Git ? Какой пакет всмысле?
2.1. Исходя из имени пакета я бы реаллизовал аутентификацию Kerberos (на основе keytab, а не winbind) согласно документации к пакету.
3. для ssh я бы тоже сделал аутентификацию по kerberos keytab - тыц
но если данный путь не устраивает, то можно продолжить попытки с самбой...
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

Git будет использоваться из пакета, который называется git. :) Насколько я понимаю, в git-е нет какой-то отдельной аутентификации, она проходит по SSH.
А вот за ссылку по настройке SSH с Kerberos-аутентификацией большое спасибо. Надо будет попробовать. Почему-то такая мысль в голову не пришла.
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение McSim »

в догонку, вот тут на странице 272 "Пример файла Krb5.ini с несколькими доменами" - очень интересный пример.
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение sash-kan »

broom писал(а):
15.03.2012 14:35
Git будет использоваться из пакета, который называется git
кстати, на всякий случай: для управления репозиториями очень полезно использовать gitolie·
рекомендую·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

sash-kan писал(а):
15.03.2012 15:00
broom писал(а):
15.03.2012 14:35
Git будет использоваться из пакета, который называется git
кстати, на всякий случай: для управления репозиториями очень полезно использовать gitolie·
рекомендую·

То есть с Gitolite надо только для каждого человека один раз положить ключ, и всё? Никаких логинов-паролей вообще не будет использоваться?
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: AD: аутентификация в trusting домен

Сообщение sash-kan »

broom писал(а):
15.03.2012 15:15
Никаких логинов-паролей вообще не будет использоваться?
нет, для общения с git-ом не будет логинов-паролей·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
broom
Бывший модератор
Сообщения: 1629
Статус: мизантроп.ка
ОС: Gentoo

Re: AD: аутентификация в trusting домен

Сообщение broom »

Вариант, конечно, неплохой. Спасибо за наводку.
Но он всё равно предполагает лишние телодвижения: когда пришёл новый сотрудник, надо взять у него ключ и положить на сервер. В то же время, есть специальные админы, которые всех новых сотрудников всё равно добавляют в Active Directory...
but in the darkness, behind your smile, you scream... © Dio
Спасибо сказали:
Ответить