User Tools

Site Tools


сервис_winbind

This is an old revision of the document!


Сервис WINBIND

Установка службы winbindd

Debian/Ubuntu

debian# cp /etc/samba/smb.conf /root/

debian# apt purge samba samba-common

debian# apt autoremove

debian# rm -r /etc/samba/

root@gate:~# apt install winbind

Аутентификация

Регистрация unix системы в домене в режиме ADS

gate# cat /etc/samba/smb.conf
[global]
        workgroup = CORPX
        security = ADS
        realm = CORPX.UN
        kerberos method = system keytab
        winbind use default domain = Yes 
gate# net ads join -U Administrator

или

gate# kinit Administrator
gate# net ads join -k

gate# net ads testjoin

gate# host gate

gate# service winbind restart

gate# wbinfo -t
gate# wbinfo -u
gate# wbinfo -g

Вывод unix системы из домена в режиме ADS

gate# net ads leave -U Administrator

gate# rm /etc/krb5.keytab

Управление ключами KERBEROS в режиме ADS

На Linux системе

    gate# net ads keytab add HTTP -k
samba4.9# net ads keytab add_update_ads HTTP -k

    gate# net ads keytab add imap -U Administrator
samba4.9# net ads keytab add_update_ads imap -k

    gate# net ads keytab add xmpp -k         # С MS AD не работает, но, можно оставить через ktpass, с samba4 - OK ...
samba4.9# net ads keytab add_update_ads xmpp -k

gate# klist -ek /etc/krb5.keytab

gate# net ads setspn list gate

Пример команд на будущее (сейчас пишет в keytab файл http в нижнем регистре)

# net ads setspn add HTTP/gate.corp13.un

# net ads keytab create -k

На контроллере домена

Проверка:

C:\>setspn -L gate

Использование WINBIND в библиотеке PAM

FreeBSD

[gate:~] # cat /etc/pam.d/sshd
...
auth       sufficient      /usr/local/lib/pam_winbind.so
auth       required        pam_unix.so             no_warn try_first_pass

Ubuntu

root@gate:~# more /etc/pam.d/sshd
...
auth       sufficient  pam_winbind.so
# Standard Un*x authentication.
...

Авторизация

Авторизация в режиме ADS/DOMAIN

gate# cat smb.conf
[global]
        ...
        winbind use default domain = Yes
         
        winbind enum users = yes
        winbind enum groups = yes
        winbind cache time = 36
        idmap config * : range = 20000-40000
        template homedir = /home/%U
        template shell = /bin/sh
freebsd# service samba_server restart
или
linux# service winbind restart

Использование WINBIND в библиотеке NSSWITCH

!!! Тесты проходят с задержкой !!!

gate# wbinfo -n user1
gate# wbinfo -S ...
gate# wbinfo -i user1
gate# apt install libnss-winbind

gate# cat /etc/nsswitch.conf
...
group: files winbind
passwd: files winbind
shadow: files winbind   
...
debian# service nscd restart && service nscd reload

gate# id user1

gate# getent passwd
gate# getent group

gate# chown -R user1:'domain users' /home/user1/
gate# chown user1 /var/mail/user1

gate# chown -R user2:'domain users' /home/user2/
gate# chown user2 /var/mail/user2

Дополнительные материалы

Регистрация unix системы в домене в режиме DOMAIN

gate# cat smb.conf 
[global]
        workgroup = CORPX
        security = DOMAIN
        winbind use default domain = Yes 
[gate:~] # /usr/local/etc/rc.d/samba stop
или
root@gate:~# /etc/init.d/winbind stop

gate# net rpc join -U root
Administrators's password: 
Joined domain CORPX

[gate:~] # /usr/local/etc/rc.d/samba start
или
root@gate:~# /etc/init.d/winbind start

gate# wbinfo -t

gate# wbinfo -u

gate# wbinfo -g

Аутентификация в режиме DOMAIN

gate# ntlm_auth --username=user1
password: 
NT_STATUS_OK: Success (0x0)
сервис_winbind.1614258370.txt.gz · Last modified: 2021/02/25 16:06 by val