Как настроить доверительные отношения trust на samba 4

Как настроить доверительные отношения trust на samba 4

Настройка отношения доверенности trust между samba 4 и Windows Server 2008.Эта статья не претендует на правильность изложенного материала, в ней не использована перепечатка текста с официальной документации или с аналогичных статей. Материал изложенный здесь лишь изложение знаний, сложившихся у меня в голове после изучения материала для настройки доверительных отношений между samba 4 и Windows Server 2008.
Информация для создания материала взята из разных источников большая часть это форумы.

Если вспомнить историю, то samba 4 это продукт который создавался совместно с специалистами Microsoft. Конечно Microsoft не желал помогать своим конкурентам, но представители samba тоже парни не промах и просто подали иск в суд на Microsoft за то, что MS монополист на рынке относительно softa для работы шар, сетевых окружений, и прочего чем мы пользуемся каждый день, используя smb. И самбисты выиграли спор.
MS специалисты развернули код самбистам и те начали создавать, то что сейчас называется samba 4.
Разработчики samba 4 не забыли и про свой отлаженный продукт samba 3, и включили весь функционал samba 3 в samba 4, но при этом четко сказали, что пакет samba 4, можно настроить и как NT, и как AD. При этом я думаю понятно, что оба режима сразу использовать не получится.
Четкая позиция Samba относительно разделения функционала преследует нас и дальше, к примеру, если нам захочется сделать отношения доверенности между доменами с samba3 (NT) и samba4 (AD), то мы обязаны поднять samba 3 до AD, то есть обновиться до samba 4.
Создание траста в samba 4 с MS Windows, да и создание траста в принципе в samba появилось далеко не сразу, лишь с выходом версии 4.3. До выхода этой версии создать траст в samba просто не возможно, ну а люди желающие это сделать непременно разочаровывались.
Но с выходом версии 4.3 opennet просигналил нам, что в анонсах samba 4.3, заявлена таки поддержка трастов.

Принцип создания трастов samba 3 не плохо описан в официальной доке, и выглядит так:

1. Для того, чтобы samba стала доверенной нужно создать пользователя и пароль к нему используя, cозданные учетные данные будут использоваться удаленной стороной Windows для аутентификации

2. Для того, чтобы удаленный домен доверял samba нужно использовать команду
net rpc trustdom establish windomainA –S <ADS domain controller server name>  –U domain\\Administrator%pw
Посмотреть что получилось
net rpc trustdom list -U root/%pw

Для создания доверительных отношений в samba 4 нужно использовать команду samba-tool domain trust create

Как правильно настроить? Здесь будут описаны настройки двухсторонних доверительных отношений, но только со стороны samba. Первое что нужно сделать это отдать свою зону dns удаленной стороне, и принять dns зону от удаленной стороны, чтобы получить ping domain.com  и nslookup  domain.com. Тут сразу стоит отметить что встроенный в samba dns сервер этого не умеет, а для того чтобы подобное реализовать нужно использовать bind. Можно обойти проблему добавив ip адрес dns сервера удаленной стороны в resolv.conf
Домен должен быть поднят, но не обязательно до Windows Server 2008.
Настраиваем отношения доверия на samba 4
samba-tool domain trust create addom.local -k no -UDOMAIN\\Administrator%ADAdminPassword --type=external --create-location=local --skip-validation
Вводим пароль для входящего и исходящего траста.
New Incoming Trust Password: Password
Retype Incoming Trust Password: Password
New Outgoing Trust Password: Password
Retype Outgoing Trust Password: Password
Для создания одностороннего доверия можно использовать опцию --direction=incoming Проверяем что получилось
samba-tool domain trust list
После создания доверия поиск по каталогу должен дать результат
univention-s4search 'sAMAccountName=DOMAIN$' accountExpires
После перечисленных действий dc samba должна получать билет от Kerberos kinit user"@"DOMAIN.LOCAL
wbinfo должен показать пользователей и группы удаленного домена
wbinfo –a DOMAIN+User
wbinfo -u --domain=dc.domain.local

Дополнительные действия которые могут понадобиться
install libpam-winbind libnss-winbind
set auth/methods=krb5 ldap unix winbind

Ограничения samba 4 траст
Отсутствует функция SID Filtering
Не поддерживается добавление пользователей или групп из доверенного домена А в группы домена В.

Поделиться:

Добавить комментарий

+ 7 = 17
Решите простой математический пример. Например для "два плюс четыре =?" введите "6".