This is an old revision of the document!
Всем привет!
Термин Microsoft Active Directory Domain Services включает в себя множество технологий, поэтому сразу уточню, в этой статье речь пойдет про использование контроллера домена только для аутентификации пользователей. То есть в финале, нужна возможность любому сотруднику предприятия сесть за любую рабочую станцию Linux используя свой логин и пароль.
Начиная с Windows 2000 Server для аутентификации пользователей используется протокол Kerberos, разработанный еще в 80-х годах прошлого столетия, работа которого ИМХО являет собой пример отличного программистского хака, в хорошем (изначальном:) смысле этого слова. В конце статьи есть ссылка на описание его работы, а сейчас уточню, что имеется несколько реализаций этого протокола и решение из этой статьи не привязано только к Microsoft Active Directory
IMG_1
Итак, на предприятии уже развернут контроллер домена, вероятнее всего - Microsoft Active Directory и перед нами рабочая станция Linux (примеры будут для Debian, но работать будет и в других дистрибутивах и, даже, в моей любимой FreeBSD:). Как ввести ее в домен?
Да очень просто:
student@debian:~$ sudo apt install krb5-user -y
В Debian даже не понадобится редактировать, но убедитесь, и, при необходимости укажите эти строки в файле конфигурации Kerberos клиента (достаточно этих двух строк):
student@debian:~$ sudo nano /etc/krb5.conf
[libdefaults] default_realm = BMSTU.RU
Вместо BMSTU.RU должно быть имя домена (Kerberos сферы) Вашего предприятия
И все, мы в домене:
student@debian:~$ kinit ivanovii Password for ivanovii@BMSTU.RU: student@debian:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: ivanovii@BMSTU.RU Valid starting Expires Service principal 02/22/2023 00:09:13 02/22/2023 10:09:13 krbtgt/BMSTU.RU@BMSTU.RU renew until 02/23/2023 00:09:09
ivanovii - логин доменного пользователя, замените его на тот, который есть у Вас, можно даже использовать Administrator. В результате команды kinit была осуществлена аутентификация пользователя и получен Ticket-Granting Ticket (TGT) “билет на выдачу билетов” позволяющий, в дальнейшем, получить билеты на доступ к зарегистрированным в домене сервисам, реализуя таким образом технологию единого входа - single sign-on (SSO).
Постойте, но, например, в оснастке Active Directory Users and Computers никакой рабочей станции Linux не появилось, как же так?
Ссылки: Kerberos за 5 минут: знакомство с сетевой аутентификацией