|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
|
|
Контроллер домена на Debian |
|
|
broun |
10.12.2016, 21:45
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Товарищи, прошу, пожалуйста помощи. В общем хочу поднять (в тестовом режиме, но тем не менее) на Debian 8.6 AD. В качестве инструкции выбрал пример из Ubuntu http://help.ubuntu.ru/wiki/samba4_as_dc_14.04 Т.е. 1. Успешно установил пакеты: apt-get install samba acl krb5-user ntp cups bind9 smbclient 2. Выполнил команду: samba-tool domain provision --use-rfc2307 --interactive Имеем: » Спойлер (нажмите, чтобы прочесть) « root@1:~# samba-tool domain provision --use-rfc2307 --interactive Realm: debian.local Domain [debian]: debian Server Role (dc, member, standalone) [dc]: dc DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ Administrator password: Retype password: Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema Adding DomainDN: DC=debian,DC=local Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,CN=System,DC=debian,DC=local Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions See /var/lib/samba/private/named.conf for an example configuration include file for BIND and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Setting up fake yp server settings Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: 1 NetBIOS Domain: DEBIAN DNS Domain: debian.local DOMAIN SID: S-1-5-21-543193289-1601867468-1038541806
3. Настройка BIND9 Привожу файл /etc/bind/named.conf.options К такому виду: » Спойлер (нажмите, чтобы прочесть) « options { directory "/var/cache/bind"; auth-nxdomain yes; forwarders { 192.168.100.4; }; allow-transfer { none; }; notify no; empty-zones-enable no; allow-query { 192.168.100.0/24; 127.0.0.0/8; }; allow-recursion { 192.168.100.0/24; 127.0.0.0/8; }; allow-update { 192.168.100.0/24; 127.0.0.0/8; }; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; include "/var/lib/samba/private/named.conf"; *192.168.100.4 - это локальный адрес машины на которой поднимаю AD 4. Файл /var/lib/samba/private/named.conf Имеет следующий конфиг: » Спойлер (нажмите, чтобы прочесть) « # This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support. # # This file should be included in your main BIND configuration file # # For example with # include "/var/lib/samba/private/named.conf"; # # This configures dynamically loadable zones (DLZ) from AD schema # Uncomment only single database line, depending on your BIND version # dlz "AD DNS Zone" { # For BIND 9.8.0 # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so"; # For BIND 9.9.0 database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so"; }; 5. Файл /etc/apparmor.d/usr.sbin.named Имеет следующий конфиг: » Спойлер (нажмите, чтобы прочесть) « # vim:syntax=apparmor # Last Modified: Fri Jun 1 16:43:22 2007 #include <tunables/global> /usr/sbin/named { #include <abstractions/base> #include <abstractions/nameservice> capability net_bind_service, capability setgid, capability setuid, capability sys_chroot, capability sys_resource, # /etc/bind should be read-only for bind # /var/lib/bind is for dynamically updated zone (and journal) files. # /var/cache/bind is for slave/stub data, since we're not the origin of it. # See /usr/share/doc/bind9/README.Debian.gz /etc/bind/** r, /var/lib/bind/** rw, /var/lib/bind/ rw, /var/cache/bind/** lrw, /var/cache/bind/ rw, # gssapi /etc/krb5.keytab kr, /etc/bind/krb5.keytab kr, # ssl /etc/ssl/openssl.cnf r, # GeoIP data files for GeoIP ACLs /usr/share/GeoIP/** r, # dnscvsutil package /var/lib/dnscvsutil/compiled/** rw, /proc/net/if_inet6 r, /proc/*/net/if_inet6 r, /usr/sbin/named mr, /{,var/}run/named/named.pid w, /{,var/}run/named/session.key w, # support for resolvconf /{,var/}run/named/named.options r, # some people like to put logs in /var/log/named/ instead of having # syslog do the heavy lifting. /var/log/named/** rw, /var/log/named/ rw, # Site-specific additions and overrides. See local/README for details. #include <local/usr.sbin.named> # for samba4 #/var/lib/samba/private/** r, /usr/lib/x86_64-linux-gnu/samba/bind9/** m, /usr/lib/x86_64-linux-gnu/samba/ldb/** m, /usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** m, /usr/lib/x86_64-linux-gnu/samba/gensec/krb5.so m, /var/lib/samba/private/dns.keytab rwk, /var/lib/samba/private/named.conf r, /var/lib/samba/private/dns/** rwk, /var/lib/samba/private/krb5.conf r, /var/tmp/** rwk, /dev/urandom rwk, } 6. Перезапускаю службу: service bind9 restart Вроде бы никаких ошибок нет. » Спойлер (нажмите, чтобы прочесть) « root@1:~# service bind9 restart root@1:~# 7. Перезапускаю службу: service apparmor restart И тут начинается первая непонятка: » Спойлер (нажмите, чтобы прочесть) « root@1:~# service apparmor restart Job for apparmor.service failed. See 'systemctl status apparmor.service' and 'journalctl -xn' for details. root@1:~# systemctl status apparmor.service » Спойлер (нажмите, чтобы прочесть) « root@1:~# systemctl status apparmor.service ● apparmor.service - LSB: AppArmor initialization Loaded: loaded (/etc/init.d/apparmor) Active: failed (Result: exit-code) since Сб 2016-12-10 20:03:25 +07; 1min 1s ago Process: 2624 ExecStart=/etc/init.d/apparmor start (code=exited, status=1/FAILURE) дек 10 20:03:25 1 apparmor[2624]: Starting AppArmor profiles:AppArmor no..... дек 10 20:03:25 1 apparmor[2624]: failed! дек 10 20:03:25 1 systemd[1]: apparmor.service: control process exited, ...=1 дек 10 20:03:25 1 systemd[1]: Failed to start LSB: AppArmor initialization. дек 10 20:03:25 1 systemd[1]: Unit apparmor.service entered failed state. Hint: Some lines were ellipsized, use -l to show in full. root@1:~# journalctl -xn» Спойлер (нажмите, чтобы прочесть) « root@1:~# journalctl -xn -- Logs begin at Сб 2016-12-10 15:51:50 +07, end at Сб 2016-12-10 20:03:25 +07. дек 10 20:01:58 1 systemd[1]: bind9.service: main process exited, code=exited, s дек 10 20:01:58 1 rndc[2614]: rndc: connect failed: 127.0.0.1#953: connection re дек 10 20:01:58 1 systemd[1]: bind9.service: control process exited, code=exited дек 10 20:01:58 1 systemd[1]: Unit bind9.service entered failed state. дек 10 20:03:25 1 systemd[1]: Starting LSB: AppArmor initialization... -- Subject: Начинается запуск юнита apparmor.service -- Defined-By: systemd -- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel -- -- Начат процесс запуска юнита apparmor.service. дек 10 20:03:25 1 apparmor[2624]: Starting AppArmor profiles:AppArmor not availa дек 10 20:03:25 1 apparmor[2624]: failed! дек 10 20:03:25 1 systemd[1]: apparmor.service: control process exited, code=exi дек 10 20:03:25 1 systemd[1]: Failed to start LSB: AppArmor initialization. -- Subject: Ошибка юнита apparmor.service -- Defined-By: systemd -- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel -- -- Произошел сбой юнита apparmor.service. -- -- Результат: failed. дек 10 20:03:25 1 systemd[1]: Unit apparmor.service entered failed state. 7. Но продолжаем: Запускаем samba4: service samba-ad-dc start » Спойлер (нажмите, чтобы прочесть) « root@1:~# service samba-ad-dc start root@1:~# 8. Содержание файла: /etc/resolv.conf » Спойлер (нажмите, чтобы прочесть) « nameserver 192.168.100.4 9. Первый же тест выдает ошибку: smbclient -L localhost -U% » Спойлер (нажмите, чтобы прочесть) « root@1:~# smbclient -L localhost -U% Connection to localhost failed (Error NT_STATUS_CONNECTION_REFUSED) root@1:~#
|
|
|
|
Jek |
10.12.2016, 23:42
|
Группа: Супермодераторы
Сообщений: 16 246
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1856
|
Лениво всё смотреть. Цитата root@1:~# smbclient -L localhost -U% Connection to localhost failed (Error NT_STATUS_CONNECTION_REFUSED) Не запущена самба или как вариант фаервол совсем злой. Надо смотреть sockstat -4 / netstat и iptables (или какой там фаервол под линуксами).
» Спасибо сказали: «
|
|
|
|
broun |
11.12.2016, 0:22
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Цитата(Jek @ 10.12.2016, 23:42) Лениво всё смотреть. Не запущена самба или как вариант фаервол совсем злой. Надо смотреть sockstat -4 / netstat и iptables (или какой там фаервол под линуксами).
Ок. А то, что при выполнении операции service apparmor restart Ошибка: Код root@1:~# service apparmor restart Job for apparmor.service failed. See 'systemctl status apparmor.service' and 'journalctl -xn' for details. root@1:~# это из какой серии?
|
|
|
|
Jek |
11.12.2016, 0:36
|
Группа: Супермодераторы
Сообщений: 16 246
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1856
|
К сожалению, я понятия не имею, что такое apparmor . Цитата 6. Перезапускаю службу: service bind9 restart Вроде бы никаких ошибок нет. А если глянуть хотя бы /var/log/messages? Если он не хочет запускаться - там всяко будет строчка. А лучше в конфиге бинда прописать отдельный лог-файл.
» Спасибо сказали: «
|
|
|
|
broun |
18.12.2016, 12:49
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Оставил, все, как есть и переключил внимание на DNS сервер пытаюсь настроить но блин не получается, елки-палки. Что вот не так делаю? 1. Установил bind9 2. Выполнил конфигурирование файла /etc/bind/ named.conf.options {комментарии мои}» Спойлер (нажмите, чтобы прочесть) « Код options { # директория для хранения кешей бинда по умолчанию directory "/var/cache/bind"; # этот параметр позволяет указать каким образом сервер обрабатывает запрос клиента. # forward first - в случае невозможности разрешить запрос сервером (т.е. если запрос не входит в его зону), он будет опрашивать серверы из списка forwarders. forward first; # DNS-сервера Ростелекома forwarders { 212.94.96.70; 212.94.96.124; }; # Опция, связанная с безопасностью dnssec-validation auto; # Позволяет / не позволяет серверу отвечать авторитетно, если запрошенный домен не существует. Conform to RFC1035 auth-nxdomain no; # Параметр listen-on определяет, на каких IP-адресах named принимает запросы. listen-on-v6 { 192.168.100.4; localhost; }; # Параметр указывает кому разрешается подавать запросы к нашему серверу. allow-query { 192.168.100.0/24; 127.0.0.0/8; }; # Включает выполнение рекурсивных запросов. recursion yes; # указывает на резрешение рекурсивных запросов. any - кем угодно или можно использовать свою сеть. allow-recursion { 192.168.100.0/24; 127.0.0.0/8; }; # Отвечат за уведомление других dns серверов при изменениях в зоне ответственности данного сервера. В локалке только один сервер, эта опция должна быть выключена. notify no; };
Т.е. как кэшируюший сервер он работает. 3. Далее настраивал прямую и обратную зоны: 4. Обратная зона (ресурсные записи): » Спойлер (нажмите, чтобы прочесть) « Код ; ; BIND reverse data file for 192.168.100.XXX net ; $TTL 604800 100.168.192.in-addr.arpa. IN SOA ns.debian. root.ns.debian. ( 42135; Serial 604800; Refresh time 86400; Retry time 2419200; Expire time 604800 ); Negative Cache TTL ; 100.168.192.in-addr.arpa. IN NS ns.debian. 4 IN PTR ns.debian.
4.1. Проверка файла обратной зоны: Код root@ns:~# named-checkzone 100.168.192.in-addr.arpa. /etc/bind/db.192 zone 100.168.192.in-addr.arpa/IN: loaded serial 42135 OK
4.2. Проверка обратной зоны: Код root@ns:~# nslookup 192.168.100.4 Server: 192.168.100.4 Address: 192.168.100.4#53
4.100.168.192.in-addr.arpa name = ns.debian. Т.е. всё работает.5. А вот с прямой зоной что-то не так. Не пойму. Ресурсные записи: » Спойлер (нажмите, чтобы прочесть) « Код ; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA ns.debian. root.ns.debian. ( 1323; Serial 604800; Refresh 86400; Retry 2419200; Expire 604800 ); Negative Cache TTL IN A 192.168.100.4 ; @ IN NS ns.debian. ns.debian IN A 192.168.100.4 ns.debian IN AAAA ::1
5.1. Проверка файла прямой зоны: Код root@ns:~# named-checkzone ns.debian /etc/bind/db.ns.debian zone ns.debian/IN: loaded serial 1323 OK Вроде бы норм. 5.2. А вот выдача результата на запрос - проблема: Код root@ns:~# nslookup ns.debian Server: 192.168.100.4 Address: 192.168.100.4#53
** server can't find ns.debian: NXDOMAIN Не пойму что такое. P.S. Догадка: Может быть корень зла в том, что "ns.debian" - это просто имя компьютера линукс, а не домен? Он, кстати, и не пингуется вообще. Код root@ns:~# ping ns.debian ping: unknown host ns.debian Когда поднимал DNS на WinServer там и IP сервера пинговался (что понятно) и имя домена тоже. Сообщение отредактировал broun - 18.12.2016, 12:59
|
|
|
|
Jek |
18.12.2016, 15:14
|
Группа: Супермодераторы
Сообщений: 16 246
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1856
|
Если ты хочешь, чтобы отзывался ns.debian - тебе нужно, чтобы у тебя была зона debian, а в ней уже надо прописывать A-запись: ns IN A 192.168.100.4 Тогда ns.debian будет резолвиться в 192.168.100.4. У тебя я вообще не вижу в конфиге бинда, чтобы подключались какие-то файлы зон. Кстати, ищу работу .
» Спасибо сказали: «
|
|
|
|
broun |
18.12.2016, 15:38
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Цитата(Jek @ 18.12.2016, 15:14) Если ты хочешь, чтобы отзывался ns.debian - тебе нужно, чтобы у тебя была зона debian, а в ней уже надо прописывать A-запись:
ns IN A 192.168.100.4
Тогда ns.debian будет резолвиться в 192.168.100.4. У тебя я вообще не вижу в конфиге бинда, чтобы подключались какие-то файлы зон.
Я не все параметры вывел сюда. В файле /etc/bind/named.conf.local Прописано: Код // Do any local configuration here //
// Consider adding the 1918 zones here, if they are not used in your // organization include "/etc/bind/zones.rfc1918";
zone "ns" { type master; file "/etc/bind/db.ns.debian"; };
Т.е. файл db.ns.debian и содержит ту самую ресурсную запись: Код ; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA ns.debian. root.ns.debian. ( 1323; Serial 604800; Refresh 86400; Retry 2419200; Expire 604800 ); Negative Cache TTL IN A 192.168.100.4 ; @ IN NS ns.debian. ns.debian IN A 192.168.100.4 ns.debian IN AAAA ::1
------------ Дополнено через несколько минут.Нашел я проблему. Когда предыдущий комент писал т.е. то, что выше в данном посте. Короче вот где я ошибся. У меня файл зоны называется db.ns.debian т.е. зона ns.debian. а я в файле /etc/bind/named.conf.localошибся в синтаксисе: zone " ns" { type master; file "/etc/bind/db.ns.debian"; }; а надо было: zone " ns.debian" { type master; file "/etc/bind/db.ns.debian"; }; --- Итого: Код root@ns:~# nslookup ns.debian Server: 192.168.100.4 Address: 192.168.100.4#53
Name: ns.debian Address: 192.168.100.4
root@ns:~# ping ns.debian PING ns.debian (192.168.100.4) 56(84) bytes of data. 64 bytes from ns.debian (192.168.100.4): icmp_seq=1 ttl=64 time=0.111 ms 64 bytes from ns.debian (192.168.100.4): icmp_seq=2 ttl=64 time=0.094 ms ^C --- ns.debian ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 0.094/0.102/0.111/0.013 ms root@ns:~#
Спасибо Джек за то, что навел на правильную мысль. Сообщение отредактировал broun - 18.12.2016, 15:41
|
|
|
|
And(R)ey |
25.1.2017, 10:54
|
Группа: Sibnet-club
Сообщений: 3 989
Регистрация: 10.8.2007
Из: Бийск
Пользователь №: 3 633
|
Цитата(broun @ 18.12.2016, 15:38) Код @ IN NS ns.debian. ns.debian IN A 192.168.… Здесь тебе зона не нужна, можешь писать просто Код ns IN A 192.168… Цитата(broun @ 18.12.2016, 15:38) Короче вот где я ошибся. У меня файл зоны называется db.ns.debian т.е. зона ns.debian. Зона у тебя debian, а ns - имя хоста. От этого непонимания все и проблемы. https://ru.wikipedia.org/wiki/%D0%94%D0%BE%...%B8%D0%BC%D1%8FСообщение отредактировал And(R)ey - 25.1.2017, 10:56
|
|
|
|
SibSkull |
8.8.2017, 13:59
|
Любит поговорить
Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573
Репутация: 20
|
Цитата(broun @ 7.8.2017, 22:45) Людьдобрые помогите пожа.
Пытаюсь понять суть одной технологии - Kerberos. Т.е. написано много. Kerberos - это технология аутентификации с доверенным посредником, который проводит аутентификацию клиента и сервера. Так же, насколько я понимаю, протокол Kerberos является основным механизмом обеспечивающим аутентификацию узлов в домене (в частности MS AD).
При знакомстве со многими инструкциями по настройке КД на базе samba4 везде одним из ключевых сервисов является Kerberos. Вроде бы и логично - аутентификация в домене - вещь необходимая. Только почему-то обязательным является пакет krb5-user, а не, скажем, krb5-admin-server и krb5-kdc. Какую роль тогда играет Kerberos, если он не выступает третьей доверенной стороной или как - я несколько подзапутался?
samba в режиме AD DC сама является KDC (правда, с реализацией Heimdal, а не MIT): Код # samba-tool processes | grep kdc kdc_server 1010 А krb5-user — для отладки получаемых билетов Kerberos. Для обычной Samba требуется внешний KDC.
» Спасибо сказали: «
|
|
|
|
broun |
9.8.2017, 22:19
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Цитата(SibSkull @ 8.8.2017, 13:59) samba в режиме AD DC сама является KDC (правда, с реализацией Heimdal, а не MIT): Код # samba-tool processes | grep kdc kdc_server 1010 А krb5-user — для отладки получаемых билетов Kerberos. Для обычной Samba требуется внешний KDC. И все таки немного недопонимаю. 1. Самба в режиме AD DC выступает организует аутентификацию узлов в доменной сети, в том числе, состоящей из компьютеров Windows, так? 2. Но Windows машины заточены под MIT Kerberos 5 и посылают соответствующие запросы на сервер AD DC именно в таком формате и для того чтобы samba могла выполнять роль KDC (в реализации Heimdal) она преобразует получаемые данные в нужный формат с помощью набора скриптов из пакета krb5-user? Или все таки я не правильно понял схему?
|
|
|
|
SibSkull |
14.8.2017, 14:53
|
Любит поговорить
Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573
Репутация: 20
|
Цитата(broun @ 9.8.2017, 22:19) И все таки немного недопонимаю. 1. Самба в режиме AD DC выступает организует аутентификацию узлов в доменной сети, в том числе, состоящей из компьютеров Windows, так? 2. Но Windows машины заточены под MIT Kerberos 5 и посылают соответствующие запросы на сервер AD DC именно в таком формате и для того чтобы samba могла выполнять роль KDC (в реализации Heimdal) она преобразует получаемые данные в нужный формат с помощью набора скриптов из пакета krb5-user? Или все таки я не правильно понял схему?
1. Да 2. Heimdal несовместим по формату для keytab принципалов внешних служб, но не аутентификации. Цитата(broun @ 10.8.2017, 21:59) И еще вопрос какую роль во всем этом играет PAM?
Это стек аутентификации клиентов на машине.
» Спасибо сказали: «
|
|
|
|
broun |
19.8.2017, 12:20
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Спасибо. Цитата(SibSkull @ 14.8.2017, 14:53) 1. Да
И еще уточнение. Kerberos в первую очередь нужен для аутентификации в сети MS Windows или в любой доменной сети (и не только доменной?), даже если она, например, будет построена сплошь из машин на Linux? Цитата(SibSkull @ 14.8.2017, 14:53) 2. Heimdal несовместим по формату для keytab принципалов внешних служб, но не аутентификации.
Т.е. Kerberos от MIT и Heimdal - это не какие-то разные миры, а, в общем-то, достаточно близкие протоколы с некоторыми различиями? Цитата(SibSkull @ 14.8.2017, 14:53) Это стек аутентификации клиентов на машине.
Т.е. это чисто локальная история? Сообщение отредактировал broun - 19.8.2017, 13:23
|
|
|
|
SibSkull |
25.8.2017, 15:16
|
Любит поговорить
Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573
Репутация: 20
|
Цитата(broun @ 19.8.2017, 12:20) Спасибо.
И еще уточнение. Kerberos в первую очередь нужен для аутентификации в сети MS Windows или в любой доменной сети (и не только доменной?), даже если она, например, будет построена сплошь из машин на Linux? Т.е. Kerberos от MIT и Heimdal - это не какие-то разные миры, а, в общем-то, достаточно близкие протоколы с некоторыми различиями?
Для клиента с MIT Kerberos пофигу, что будет использовать KDC: MIT или Heimdal. Он сможет работать хоть с тем, хоть с другим. Цитата Т.е. это чисто локальная история? Нет. Это правила аутентификации. Без разницы, локально или через SSSD или LDAP.
» Спасибо сказали: «
|
|
|
|
broun |
26.8.2017, 18:06
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Цитата(SibSkull @ 25.8.2017, 15:16) Для клиента с MIT Kerberos пофигу, что будет использовать KDC: MIT или Heimdal. Он сможет работать хоть с тем, хоть с другим.
Что-то я запутался. Попробую описать систему, так как я это понимаю: Поднимаем домен на базе samba (с реализацией Kerberos от Heimdal). Если в домене будут только узлы с реализацией от Heimdal, то дополнительно устанавливать какие-либо пакеты Kerberos будет не нужно, т.к. на борту samba уже есть эта реализация. Если же в сети будут машины с ОС, поддерживающих реализацию MIT (например, MS Windows), то самбе будут нужны дополнительные пакеты Kerberos, которые позволят принимать билеты от узлов с MIT Kerberos и производить их преобразование в форматы Heimdal Kerberos. Все верно описал?
|
|
|
|
SibSkull |
31.8.2017, 16:25
|
Любит поговорить
Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573
Репутация: 20
|
Цитата(broun @ 26.8.2017, 18:06) Что-то я запутался.
Попробую описать систему, так как я это понимаю: Поднимаем домен на базе samba (с реализацией Kerberos от Heimdal). Если в домене будут только узлы с реализацией от Heimdal, то дополнительно устанавливать какие-либо пакеты Kerberos будет не нужно, т.к. на борту samba уже есть эта реализация. Если же в сети будут машины с ОС, поддерживающих реализацию MIT (например, MS Windows), то самбе будут нужны дополнительные пакеты Kerberos, которые позволят принимать билеты от узлов с MIT Kerberos и производить их преобразование в форматы Heimdal Kerberos.
Все верно описал?
Нет, не верно. Просто используйте MIT Kerberos и забудьте уже о Heimdal. Это лишь будет вызывать у Вас головную боль и непонимание.
|
|
|
|
broun |
31.8.2017, 21:29
|
Поддерживает разговор
Группа: Пользователи
Сообщений: 133
Регистрация: 18.4.2013
Пользователь №: 484 176
Репутация: 0
|
Цитата(SibSkull @ 31.8.2017, 16:25) Нет, не верно. Просто используйте MIT Kerberos и забудьте уже о Heimdal. Это лишь будет вызывать у Вас головную боль и непонимание.
Мне ВАЖНО понимание, а материалов по этому поводу нет. Т.е. главный вопрос не в Heimdal, а в том, почему когда поднимаешь ADF сервер на базе Microsoft Windows Server, то Kerberos (MIT) будет являться Центром распространения ключей Kerberos, а для домена на базе samba 4 вроде бы как такая функция не предусмотрена. С другой стороны krb5-user -пакет MIT Kerberos там есть, но это не сервер. Тогда на кой хрен он нужен? А если нужен, то почему не сервер? Сообщение отредактировал broun - 31.8.2017, 21:44
|
|
|
|
SibSkull |
5.9.2017, 14:23
|
Любит поговорить
Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573
Репутация: 20
|
Цитата(broun @ 31.8.2017, 21:29) Мне ВАЖНО понимание, а материалов по этому поводу нет.
Т.е. главный вопрос не в Heimdal, а в том, почему когда поднимаешь ADF сервер на базе Microsoft Windows Server, то Kerberos (MIT) будет являться Центром распространения ключей Kerberos, а для домена на базе samba 4 вроде бы как такая функция не предусмотрена. С другой стороны krb5-user -пакет MIT Kerberos там есть, но это не сервер. Тогда на кой хрен он нужен? А если нужен, то почему не сервер?
Почитайте литературу по Kerberos. У Вас явно недостаток знаний по этой тематике.
|
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|