Подключаемся к Active Directory при помощи realmd

 СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Подключаемся к Active Directory с помощью realmd

Несмотря на то что Linux и Windows уже не редкость в одной сети, интеграции из коробки до сих пор нет. Как нет и единого решения. Проект realmd упрощает подключение Linux-систем к AD

Что у нас есть сегодня? Microsoft для Windows Server 2008 R2 – 2012 R2 предлагает Identity Management for UNIX (Служба управления идентификацией UNIX), являющийся частью роли контроллера домена и позволяющий использовать для входа в UNIX учетные записи Active Directory. Но сейчас он уже объявлен как устаревший. Большие возможности дает Configuration Manager, хотя, соответственно, требует немалых вложений.

Приверженцы Unix ориентируются на связку Samba (winbind) и Kerberos или на решения сторонних компаний (PowerBroker Identity Services, Centrify Server Suite, Quest Authentication Services).

Первый бесплатен, рекомендуется многими специалистами как более правильный, но требует тщательных настроек. Вторые вмешиваются в схему AD и требуют дополнительного лицензирования (PowerBroker имеет и Open Source-версию).

Realmd (Realm Discovery) [1] – сервис D-Bus, позволяющий производить настройку сетевой аутентификации и членства в домене (AD или IPA/FreeIPA) без сложных настроек. Информация о домене обнаруживается автоматически. Дляаутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) [2] или Winbind. Версия 0.1 была представлена в конце июля 2012 года, на момент написания этих строк актуальной была 0.15.2. В настоящее время realmd интегрирован в kickstart, Центр управления GNOME и другие инструменты.

Покажем подключение к домену example.org с помощью realmd на примере Ubuntu Linux 14.04 LTS, в других дистрибутивах все показанное будет отличаться только особенностями работы менеджера пакетов.

Перед началом настроек необходимо настроить DNS, лучше всего, когда в /etc/resolv.conf прописан сам контролер домена. Все, что необходимо, уже есть в репозитории:

$ sudo apt-get install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli

При конфигурировании krb5-user будет запрошена область по умолчанию, вводим имя домена в верхнем регистре – EXAMPLE.ORG.

Рисунок 1. Конфигурирование пакета krb5-user

Конфигурационный файл /etc/realmd.conf не создается, действуют параметры по умолчанию. В результате может возникнуть конфликт имен, что приведет к ошибке при подключении. Чтобы избежать проблем, следует его создать такого содержания:

$ sudo nano /etc/realmd.conf

[service]

automatic-install = no

[example.org]

fully-qualified-names = no

Файл имеет немало полезных опций, но пока этого достаточно.

Сервисы SSSD (System Security Services Daemon) также требуют настройки. Добавим фильтр учетных записей и количество попыток подключений:

$ sudo nano /etc/sssd/sssd.conf

[nss]

filter_groups = root

filter_users = root

reconnection_retries = 3

[pam]

reconnection_retries = 3

В некоторых ситуациях следует добавить:

use_fully_qualified_names = False

Указываем права доступа:

$ sudo chmod 0600 /etc/sssd/sssd.conf

Пробуем найти доступные домены:

$ sudo realm discover

или

$ sudo realm discover EXAMPLE.ORG

Получаем тикет пользователя, имеющего права администратора домена.

$ kinit -V Administrator@EXAMPLE.ORG

Using default cache: /tmp/krb5cc_1000

Using principal: Administrator@EXAMPLE.ORG

Password for Administrator@EXAMPLE.ORG:

Authenticated to Kerberos v5

Подключаемся (см. рис. 2).

$ sudo realm --verbose join example.org -U Administrator

Рисунок 2. Подключаемся к Active Directory

Для запуска понадобятся права root, иначе получим сообщение:

realm: Couldn't join realm: Not authorized to perform this action

Теперь, если ввести

$ sudo realm list

получим полную информацию о домене (см. рис. 3), а в консоли Active Directory Users and Computers появится новый компьютер (см. рис. 4).

Рисунок 3. Информация о домене

Рисунок 4. Вкладка Active Directory Users and Computers

Некоторые действия и информацию можно получить с помощью утилиты adsli.

$ adcli info example.org

[domain]

domain-name = example.org

domain-short = EXAMPLE

domain-forest = example.org

domain-controller = WIN-SRV001.example.org

domain-controller-site = Default-First-Site-Name

domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret ads-web

domain-controller-usable = yes

domain-controllers = WIN-SRV001.example.org

[computer]

computer-site = Default-First-Site-Name

Также стоит добавить новое правило в /etc/sudoers, чтобы доменный пользователь мог получать права администратора локального компьютера:

$ sudo nano /etc/sudoers

%domain\ admins@example.com ALL=(ALL) ALL

Перегружаем систему и регистрируемся как доменный пользователь «пользователь@домен».

1. Сайт проекта realmd – http://freedesktop.org/software/realmd.
2. Сайт проекта SSSD – https://fedorahosted.org/sssd.

Комментарии могут оставлять только зарегистрированные пользователи