• Бесплатный семинар «Зачем вводить системы Linux в домен Microsoft?»

• Зачем вводить системы Linux в домен Microsoft?

• В интернете множество статей, описывающих добавление в домен Microsoft систем Linux. Очень часто там отсутствует ответ на главный вопрос - зачем это делать? Давайте разберемся и всегда ли это необходимо, и как вообще решать задачи Single Sign-On (SSO) и workplace innovation (WPI) при использовании домена Microsoft и рабочих станций и сервисов Linux

• Спойлер: нужна не всегда (Видео: Авторизация доступа пользователей домена Active Directory в Internet с использованием proxy сервера) но в этот раз идея навеяна Видео: MIT KDC for Windows Clients!

• На предприятии используется Microsoft Active Directory. Сотрудники должны иметь возможность с любой рабочей станции linux работать в личном окружении (рабочий стол, документы, настройки) а так же, с общими с корпоративными файлами совместно с пользователями систем Windows.

• Развертывание Active Directory
• Учетная запись user1 в group1
• В домене только windows система client2
• В DNS нет linux систем

• Шлюз в Интернет
• DHCP

• client2 введена в домен Active Directory

• client1 и clietn3
• Динамическая настройка параметров сети
• Инсталяция системы в конфигурации Desktop

gate# dhcp-lease-list

• Настройка Kerberos клиента
• Сервис WINBIND
• Файловый сервер SAMBA тестируем с Windows клиента подключаясь как user1
• Создаем файлы и каталоги в личном и общем сетевом ресурсе
• Отлогиниваемся

• Настройка Kerberos клиента

• Подключение к файловым серверам CIFS из UNIX с использованием GSSAPI аутентификация

• Добавление учетной записи
• Использование pam_krb5 для сервиса login/xdm
• Подключаемся как user1 в консоли vbox, проверяем наличие TGT, отключаемся

• Удаление учетной записи user1
• Использование pam_script для автоматического создания учетных записей
• Подключаемся как userN в консоли vbox, проверяем наличие TGT

user1$ klist

user1$ cd /

# klist

# cp -v /tmp/krb5cc_`id -u user1`_* /tmp/krb5cc_0

# klist

# mount.cifs //gate.corp13.un/user1 -o rw,user,sec=krb5,vers=3.1.1,uid=`id -u user1`,gid=`id -g user1` /home/user1/

# ls -l /home/user1

• Отключаемся в консоли vbox

# rm /tmp/krb5cc_0

# umount /home/user1/

• Использование pam_script для автоматического монтирования домашнего каталога по протоколу CIFS с GSSAPI/Kerberos аутентификацией
• Подключаемся как user1 в консоли vbox, проверяем наличие файлов, созданных из windows в домашнем каталоге и отлогиниваемся

# umount /home/user1/

• Обсуждаем описание точек монтирования в файле /etc/fstab для протокола cifs и GSSAPI аутентификация
• Удаление учетной записи user1

# cat /usr/share/libpam-script/pam_script_auth

#!/bin/bash

if ! id $PAM_USER &>/dev/null; then
        useradd -m -s /bin/bash $PAM_USER
        echo //gate.corp13.un/corp_share /home/$PAM_USER/Public cifs rw,user,sec=krb5,noauto,vers=3.1.1 0 0 >> /etc/fstab
fi

• Создаем в Active Directory учетную запись user2, включаем в group1 и подключаемся ей через linux GUI

• Задание - использовать Сервис Ansible

gate# dhcp-lease-list

gate# client1=192.168.13.101

gate# clientN=192.168.13.102

gate# ssh $clientN

clientN# DEBIAN_FRONTEND=noninteractive apt -y install krb5-user cifs-utils nfs-common libpam-krb5 libpam-script

gate# scp -3 $client1:/etc/krb5.conf $clientN:/etc/

gate# scp -3 $client1:/etc/pam.d/common-auth $clientN:/etc/pam.d/

gate# scp -3 $client1:/usr/share/libpam-script/pam_script_auth $clientN:/usr/share/libpam-script/

gate# scp -3 $client1:/usr/share/libpam-script/pam_script_ses_open $clientN:/usr/share/libpam-script/

• Debian Bug report logs - #983183 libpam-script: Wrong path for pam_script.so

• Использование библиотеки PAM

В вебинаре создание учетной записи происходит до проверки ее подлинности, поэтому лучше расположить модули так:

# cat /etc/pam.d/common-auth

...
auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    requisite                       pam_deny.so
auth    sufficient                      pam_script.so
auth    required                        pam_permit.so
...

Вариант решения - не удалять в скрипте /tmp/krb5cc_0 и обновлять TGT через cron

client1:~# crontab -l

0 */8 * * * kinit -R >/dev/null 2>&1

Усиливается проблема (уже была) параллельного подключения нескольких пользователей к рабочей станции

Особенно, если для отладки пользователи постоянно создаются/удаляются

...
  sed -i.bak -e "/\/home\/$PAM_USER/d" /etc/fstab
...

# cat /usr/share/libpam-script/pam_script_auth

#!/bin/bash

if ! id $PAM_USER &>/dev/null; then
        useradd -m -s /bin/bash $PAM_USER

        sed -i.bak -e "/\/home\/$PAM_USER/d" /etc/fstab
        echo //gate.corp13.un/$PAM_USER /home/$PAM_USER cifs rw,user,sec=krb5,noauto,vers=3.1.1,uid=`id -u $PAM_USER`,gid=`id -g $PAM_USER` 0 0 >> /etc/fstab
        echo //gate.corp13.un/corp_share /home/$PAM_USER/Public cifs rw,user,sec=krb5,noauto,vers=3.1.1 0 0 >> /etc/fstab

        systemctl daemon-reload
fi

# cat /usr/share/libpam-script/pam_script_ses_open

#!/bin/sh

cp /tmp/krb5cc_`id -u $PAM_USER`* /tmp/krb5cc_0