===== Подключение Debian GNU/Linux 9 (Stretch) к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache =====

{{:unix-linux:debian:stretch:pasted:20190625-091314.png }} Подробное описание процедуры присоединения компьютера с **Debian GNU**/**Linux** к домену **Active Directory** с помощью **SSSD** и **realmd** можно найти [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|здесь]]. Рекомендуется предварительно ознакомится с этим материалом, а также с [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|замечаниями по настройке SSSD в Debian GNU/Linux]].

Здесь приведён сокращённый план действий по присоединению **Debian GNU**/**Linux 9** (**Stretch**) к домену **Active Directory** с помощью **SSSD** и **realmd**.


\\
==== Подготовка ====

Обеспечиваем правильную работу **DNS**-клиента и обеспечиваем __синхронизацию времени__ с источниками, используемыми в **Active Directory** (подробности в ранее обозначенных ссылках). Эти моменты важны для правильной работы протокола **Kerberos**.

Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется имя узла без доменной части.
Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: 
 
<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># hostname KOM-SRV01.sub.holding.com</pre></HTML>

Дополнительно необходимо отредактировать файл ''/etc/hosts'' и указать там в качестве IP адреса хоста адрес одного из сетевых интерфейсов.
То есть, строку вида: 

<file bash hosts>...
127.0.1.1    KOM-SRV01
...</file>

заменяем на строку вида:


<file bash hosts>...
10.1.0.3    KOM-SRV01.sub.holding.com    KOM-SRV01
...</file>

Если требуется, предварительно создаём в домене учётную запись компьютера
 

\\
==== Установка realmd/SSSD и ввод в домен ====

Устанавливаем пакеты необходимые для ввода в домен:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># apt-get install realmd policykit-1 packagekit</pre></HTML>

  * Пакет **policykit-1** устанавливается для обхода ошибки ''realm: Couldn't discover realms: Not authorized to perform this action'' ([[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=856243|Bug 856243]])
  * Пакет **packagekit** устанавливается для обхода ошибки ''realm: Couldn't join realm: Necessary packages are not installed...'' ([[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=856243|Bug 856243]]) 

Выполняем обнаружение информации о домене, которое должно отработать без ошибок:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># realm discover sub.holding.com --verbose</pre></HTML>

Настраиваем информацию о компьютере, которая будет передана в каталог Active Directory при присоединении к домену.

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano /etc/realmd.conf</pre></HTML>

<file bash realmd.conf>[active-directory]
os-name = Debian GNU/Linux
os-version = 9.4 (Stretch)</file>

Устанавливаем пакеты, необходимые для работы **SSSD**

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># apt-get install sssd-tools sssd libnss-sss libpam-sss adcli</pre></HTML>

Выполняем присоединение компьютера к домену Active Directory:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># realm join --verbose --user=adm-petya \
 --user-principal="host/kom-srv01.sub.holding.com@SUB.HOLDING.COM" \ 
 --computer-ou="OU=Linux Servers,OU=KOM,DC=sub,DC=holding,DC=com" \ 
 kom-dc01.sub.holding.com</pre></HTML>


\\
==== Поддержка Kerberos ====


Устанавливаем клиентское ПО поддержки **Kerberos**:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># apt-get install krb5-user</pre></HTML>

Проверяем наличие и содержимое **keytab**-файла. В нём, как минимум, должны быть записи типа ''host/*''

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># klist -e -k -t /etc/krb5.keytab</pre></HTML>

Настраиваем конфигурацию клиента Kerberos:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/krb5.conf
</pre></HTML>

Пример настроенного файла:

<file bash krb5.conf>[libdefaults]
    dns_lookup_kdc = no
    dns_lookup_realm = no
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = sub.holding.com

    # for Windows 2008 with AES
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
    sub.holding.com = {
        kdc = kom-dc01.sub.holding.com
        kdc = kom-dc02.sub.holding.com
        admin_server = kom-dc01.sub.holding.com
        default_domain = sub.holding.com
    }

[domain_realm]
    .sub.holding.com = sub.holding.com
    sub.holding.com = sub.holding.com
</file>


\\
==== Конфигурация SSSD ====

Настраиваем конфигурацию **SSSD**:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano /etc/sssd/sssd.conf
</pre></HTML>

Пример настроенной конфигурации:

<file bash sssd.conf>[sssd]
domains = sub.holding.com
config_file_version = 2
services = nss, pam
default_domain_suffix = sub.holding.com

[domain/sub.holding.com]
ad_server = kom-dc01.sub.holding.com, kom-dc02.sub.holding.com
ad_backup_server = prm-dc01.sub.holding.com, ekb-dc02.sub.holding.com
ad_domain = sub.holding.com
ad_gpo_access_control = disabled
krb5_realm = sub.holding.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ldap_idmap_default_domain_sid = S-1-5-21-2599488624-3617735854-14887588928	
ldap_idmap_range_size = 2000000
ldap_use_tokengroups = False
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
subdomains_provider = none
dyndns_update = False
debug_level = 0
</file>

Перезапускаем службу с очисткой кеша **sssd**:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># ( service sssd stop ) && \
 ( rm -f /var/lib/sss/db/* ) && ( rm -f /var/lib/sss/mc/* ) && \
 ( service sssd start )
</pre></HTML>

Выполняем проверку возможности извлечения информации из каталога Active Directory.

Получаем информацию о любой доменной группе безопасности:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># getent group kom-servers-admins@sub.holding.com
</pre></HTML>

Получаем информацию о любом доменной пользователе:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># id adm-petya
# getent passwd adm-petya
</pre></HTML>

\\
==== PAM и домашний каталог =====

Предварительно рекомендуется ознакомится со статьёй [[https://blog.it-kb.ru/2017/03/12/restricting-access-rights-to-the-linux-system-and-its-services-sshd-and-apache-through-active-directory-domain-security-groups-using-sssd-and-pam-pam_listfile|Разграничение прав доступа к Linux-системе и её сервисам через доменные группы безопасности с помощью SSSD и PAM]], где более подробно описан смысл всех производимых далее настроек системы.

Настраиваем базовую конфигурацию **PAM**

Правим файл ''common-session'': 

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/common-session
</pre></HTML>

В конец файла добавим строку, позволяющую создать домашний каталог в случае его отсутствия:

<file bash common-session>...
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel</file>

\\
==== PAM и доступ на консоль =====


Создадим свой файл для перечисления учётных записей (доменных и локальных), которым будет разрешёно подключение к консоли компьютера:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/security/access-groups-to-login</pre></HTML>

<file text access-groups-to-logi>sudo
root
kom-servers-admins@sub.holding.com</file>

Ограничим доступ к файлу:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chown root:root /etc/security/access-groups-to-login
# chmod 600 /etc/security/access-groups-to-login</pre></HTML>


Отредактируем модуль **PAM**, определяющий права доступа к консоли компьютера:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/login</pre></HTML>

Вставляем перед директивой ''common-account ...'' ссылку на вызов авторизации через созданный нами файл (''access-groups-to-login'')

<file bash login>...
# Restricted access to service from local and domain groups
account required pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-login
...
</file>

Выполняем проверку входа в систему, используя разрешённую и неразрешённую доменную учётную запись. При этом отслеживаем происходящее в механизмах аутентификации/авторизации через системный лог ''auth.log''  

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># tail -f /var/log/auth.log</pre></HTML>



\\
==== PAM и доступ к SSH =====


Отредактируем **PAM**-модуль, отвечающий за настроку авторизации при подключении через службу сервера **SSH** 

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/sshd</pre></HTML>

Вставляем перед директивой ''common-account ...'' ссылку на вызов авторизации через созданный нами файл (''access-groups-to-login'')

<file bash sshd>...
# Restricted access to service from local and domain groups
account required pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-login
...</file>

Выполняем проверку входа в систему через SSH, используя разрешённую и неразрешённую доменную учётную запись. При этом отслеживаем происходящее в механизмах аутентификации/авторизации через системный лог ''auth.log''  

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># tail -f /var/log/auth.log</pre></HTML>


\\
==== PAM и доступ к Apache =====


Пример создания собственного **PAM**-модуля для других служб, например, для организации доменной аутентфикации/авторизации в веб-сервере **Apache**:

Создадим свой файл для перечисления учётных записей (доменных и локальных), которым будет разрешёно подключение к веб-серверу:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/security/access-groups-to-web
</pre></HTML>

<file bash access-groups-to-web>kom-servers-admins@sub.holding.com
kom-web-admins@sub.holding.com</file>

Создадим конфигурационный файл - **PAM**-модуль

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/apache2</pre></HTML>

<file bash apache2>auth    required   pam_sss.so
account required   pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-web
account required   pam_sss.so</file>

Ограничим доступ к файлам:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chown root:root /etc/pam.d/apache2
# chmod 644 /etc/pam.d/apache2
# chown root:root /etc/security/access-groups-to-web
# chmod 600 /etc/security/access-groups-to-web
</pre></HTML>

\\
==== SSHD и PuTTy =====

Подробно про пример настройки сквозной проверки подлинности при использовании **PuTTY** читаем в статье [[https://blog.it-kb.ru/2014/07/06/single-sign-on-sso-server-connection-ubuntu-server-14-04-lts-via-ssh-using-putty-from-windows-based-active-directory/|SSO-подключение к серверу Ubuntu Server 14.04 LTS по протоколу SSH с помощью PuTTY с компьютера на базе Windows в домене Active Directory]] 

Включаем сквозную проверку подлинности для прозрачного подключения с PuTTY

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/ssh/sshd_config</pre></HTML>

Включим опции:

<file bash sshd_config>...
# GSSAPI options 
GSSAPIAuthentication yes 
GSSAPICleanupCredentials yes
...
</file>

Перезапустим службу сервера

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># systemctl restart ssh</pre></HTML>


\\
==== SUDO =====

Разрешаем **sudo** для доменных учётных записей.

Создадим отдельный файл для выдачи прав выполнять **sudo** доменным учётным записям:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>

Пример содержимого файла с одной доменной группой доступа, которой разрешено выполнять **sudo** без ограничений:

<file bash kom-srv-linux-admins>%kom-servers-admins@sub.holding.com ALL=(ALL) ALL
</file>

Ограничим доступ к файлу

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>

В некоторых ситуациях при вызове **sudo** в контексте доменного пользователя может возникать длительная задержка при первом запросе на ввод пароля. В этом случае можно попробовать воспользоваться включением опции [[https://blog.it-kb.ru/2024/03/14/sudo-is-slow-when-using-sssd|ignore_group_members]] в секции описания домена в конфигурационном файле ''sssd.conf''  

\\
==== Расширение keytab =====


В случае необходимости настроки **Kerberos** аутентификациии в домене Active Directory, возможно потребуется дополнительная настройка **keytab**-файла на Linux системе.

Пример команд добавления **SPN**-записи типа ''HTTP/*'' (для поддержки доменной аутентификации Kerberos на веб-сервере)
Подключаемся к keytab-файлу и получаем информацию о SPN-запиях в нём и текущем номере **kvno** (нужен для ключа ''-k'') 

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">
# ktutil</pre></HTML>

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">read_kt /etc/krb5.keytab
list -k -e</pre></HTML>

Добавляем записи поддержки Kerberos для веб-сервера (при запросе хешей указываем те же, что указаны для уже существующих SPN-записей)

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e aes256-cts-hmac-sha1-96
add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e aes128-cts-hmac-sha1-96
add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des3-cbc-sha1
add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e arcfour-hmac
add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des-cbc-md5
add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des-cbc-crc
</pre></HTML>

Перечиваем результат и записываем изменения в keytab-файл:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">list -k -e
write_kt /etc/krb5.keytab
exit</pre></HTML>

Проверяем результат:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># klist -e -k -t /etc/krb5.keytab</pre></HTML>

Проверяем есть ли нужная SPN-запись в домене (на Windows-машине, присоединённой к домену)

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">setspn -L kom-srv01</pre></HTML>

Если записи нет, можем добавить (требуются права уровня доменный администратор)

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">setspn -A HTTP/kom-srv01.sub.holding.com sub.holding.com\kom-srv01
</pre></HTML>

\\
==== Apache и PAM с Kerberos =====

Более подробно описанный пример настройки можно найти в статье [[https://blog.it-kb.ru/2016/10/26/configuring-basic-and-kerberos-authentication-with-sso-single-sign-on-for-the-apache-web-server-using-sssd-and-pam-service-for-authorization/|Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD]]

Настраиваем конфигурацию **Apache** для поддержки аутентификации **Kerberos** 

Установка пакетов поддержки **PAM**/**Kerberos** в Apache:
 
<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># apt-get install libapache2-mod-auth-kerb libapache2-mod-authnz-pam
</pre></HTML>

Включение модулей Apache:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># apache2ctl -M | grep -E "kerb|pam"</pre></HTML>

Пример файла конфигурации Apache:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/apache2/sites-available/000-default.conf
</pre></HTML>

В данном примере в Apache для доступа к веб-серверу Apache вызывается настроенный нами ранее **PAM**-модуль ''apache2'' (через файл ''/etc/pam.d/apache2'')
**PAM**-модуль в свою очередь вызывает для процедуры аутентификации **SSSD** и выполняет авторизацию через файл ''/etc/security/access-groups-to-web''

<file xml 000-default.conf>
... 
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        <Directory "/var/www/html">
             AuthType Kerberos
             AuthName "Kerberos Login"
             Krb5Keytab /etc/krb5.keytab
             KrbMethodK5Passwd off
             Require pam-account apache2
        </Directory>
…
</file>


Не забываем на строне Linux-сервера настроить доступ к **keytab**-файлу

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chown root:www-data /etc/krb5.keytab
# chmod 640 /etc/krb5.keytab</pre></HTML>

Перезепускаем службу веб-сервера и проверяем результат:

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># systemctl restart apache2
# systemctl status apache2
</pre></HTML>

\\
==== Финиш =====


По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, "привычное" для Debain.

<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># hostname KOM-SRV01</pre></HTML>

После завершения настройки перезагружаем Linux-сервере, чтобы убедиться в успешном автоматическом запуске **SSSD** и последующей корректной работы аутентификации/авторизации на базе доменных учётных записей.


----
Дополнительные источники информации:

  * [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd]]
  * [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|Рекомендации по настройке SSSD в Debian GNU/Linux]]
  * [[https://blog.it-kb.ru/2017/03/12/restricting-access-rights-to-the-linux-system-and-its-services-sshd-and-apache-through-active-directory-domain-security-groups-using-sssd-and-pam-pam_listfile/|Разграничение прав доступа к Linux-системе и её сервисам через доменные группы безопасности с помощью SSSD и PAM]]
  * [[https://blog.it-kb.ru/2016/10/26/configuring-basic-and-kerberos-authentication-with-sso-single-sign-on-for-the-apache-web-server-using-sssd-and-pam-service-for-authorization/|Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD]]
  * [[https://blog.it-kb.ru/2017/10/26/adding-spn-entries-in-keytab-on-linux-server-using-ktutil-associated-with-computer-account-in-active-directory-domain/|Добавление SPN записей в keytab-файл (на стороне сервера Linux с помощью утилиты ktutil), связанный с учётной записью Computer в домене Active Directory]]

----
Проверено на следующих конфигурациях:
^ Версия ОС  ^
|Debian GNU/Linux Stretch 9.4 |



----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 25.06.2019 09:11
{{tag>Linux Debian "Debian 9" "Debian Stretch" SSH sshd sudo sudoers PAM Authorization Authentication Apache SSSD realmd "Active Directory" Domain Kerberos keytab SPN}}
~~DISCUSSION~~