Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


unix-linux:debian:buster:join-debian-linux-10-buster-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия
Предыдущая версия
unix-linux:debian:buster:join-debian-linux-10-buster-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-with-kerberos-auth [13.09.2019 16:39] – [PAM и доступ к SSH] Алексей Максимовunix-linux:debian:buster:join-debian-linux-10-buster-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [14.03.2024 13:07] (текущий) – [SUDO] Алексей Максимов
Строка 1: Строка 1:
-===== Подключение Debian GNU/Linux 10 (Buster) к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd =====+===== Подключение Debian GNU/Linux 10 (Buster) к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache =====
  
 {{:unix-linux:debian:stretch:pasted:20190625-091314.png }} Подробное описание процедуры присоединения компьютера с **Debian GNU**/**Linux** к домену **Active Directory** с помощью **SSSD** и **realmd** можно найти [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|здесь]]. Рекомендуется предварительно ознакомится с этим материалом, а также с [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|замечаниями по настройке SSSD в Debian GNU/Linux]]. {{:unix-linux:debian:stretch:pasted:20190625-091314.png }} Подробное описание процедуры присоединения компьютера с **Debian GNU**/**Linux** к домену **Active Directory** с помощью **SSSD** и **realmd** можно найти [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|здесь]]. Рекомендуется предварительно ознакомится с этим материалом, а также с [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|замечаниями по настройке SSSD в Debian GNU/Linux]].
Строка 56: Строка 56:
  
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># realm join --verbose --user=adm-petya \ <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># realm join --verbose --user=adm-petya \
- --user-principal="host/kom-srv01.sub.holding.com@SUB.HOLDING.COM" \  + --user-principal="host/kom-srv01.sub.holding.com@SUB.HOLDING.COM"
- --computer-ou="OU=Linux Servers,OU=KOM,DC=sub,DC=holding,DC=com"+ --computer-ou="OU=Linux Servers,OU=KOM,DC=sub,DC=holding,DC=com" \
  kom-dc01.sub.holding.com</pre></HTML>  kom-dc01.sub.holding.com</pre></HTML>
  
Строка 87: Строка 87:
     forwardable = true     forwardable = true
     rdns = false     rdns = false
-    default_realm = sub.holding.com+    default_realm = SUB.HOLDING.COM
  
     # for Windows 2008 with AES     # for Windows 2008 with AES
Строка 95: Строка 95:
  
 [realms] [realms]
-    sub.holding.com = {+    SUB.HOLDING.COM = {
         kdc = kom-dc01.sub.holding.com         kdc = kom-dc01.sub.holding.com
         kdc = kom-dc02.sub.holding.com         kdc = kom-dc02.sub.holding.com
Строка 103: Строка 103:
  
 [domain_realm] [domain_realm]
-    .sub.holding.com = sub.holding.com +    .sub.holding.com = SUB.HOLDING.COM 
-    sub.holding.com = sub.holding.com+    sub.holding.com = SUB.HOLDING.COM
 </file> </file>
  
Строка 129: Строка 129:
 ad_domain = sub.holding.com ad_domain = sub.holding.com
 ad_gpo_access_control = disabled ad_gpo_access_control = disabled
-krb5_realm = sub.holding.com+krb5_realm = SUB.HOLDING.COM
 realmd_tags = manages-system joined-with-adcli realmd_tags = manages-system joined-with-adcli
 cache_credentials = True cache_credentials = True
Строка 310: Строка 310:
  
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML> <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>
 +
 +В некоторых ситуациях при вызове **sudo** в контексте доменного пользователя может возникать длительная задержка при первом запросе на ввод пароля. В этом случае можно попробовать воспользоваться включением опции [[https://blog.it-kb.ru/2024/03/14/sudo-is-slow-when-using-sssd|ignore_group_members]] в секции описания домена в конфигурационном файле ''sssd.conf''
  
  
Строка 329: Строка 331:
 Добавляем записи поддержки Kerberos для веб-сервера (при запросе хешей указываем те же, что указаны для уже существующих SPN-записей) Добавляем записи поддержки Kerberos для веб-сервера (при запросе хешей указываем те же, что указаны для уже существующих SPN-записей)
  
-<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e aes256-cts-hmac-sha1-96 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e aes256-cts-hmac-sha1-96 
-add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e aes128-cts-hmac-sha1-96 +add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e aes128-cts-hmac-sha1-96 
-add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des3-cbc-sha1 +add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e des3-cbc-sha1 
-add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e arcfour-hmac +add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e arcfour-hmac 
-add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des-cbc-md5 +add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e des-cbc-md5 
-add_entry -key -p HTTP/kom-srv01.sub.holding.com@sub.holding.com -k 3 -e des-cbc-crc+add_entry -key -p HTTP/kom-srv01.sub.holding.com@SUB.HOLDING.COM -k 3 -e des-cbc-crc
 </pre></HTML> </pre></HTML>
  
Строка 430: Строка 432:
 Проверено на следующих конфигурациях: Проверено на следующих конфигурациях:
 ^ Версия ОС  ^ ^ Версия ОС  ^
-|Debian GNU/Linux Stretch 9.|+|Debian GNU/Linux 10.1 (Buster) |
  
  
  
 ---- ----
-{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 25.06.2019 09:11 +{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 13.09.2019 16:43 
-{{tag>Linux Debian "Debian 9" "Debian Stretch" SSH sshd sudo sudoers PAM Authorization Authentication Apache SSSD realmd "Active Directory" Domain Kerberos keytab SPN}}+{{tag>Linux Debian "Debian 10" "Debian Buster" SSH sshd sudo sudoers PAM Authorization Authentication Apache SSSD realmd "Active Directory" Domain Kerberos keytab SPN}}
 ~~DISCUSSION~~ ~~DISCUSSION~~
unix-linux/debian/buster/join-debian-linux-10-buster-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth.1568381947.txt.gz · Последнее изменение: 13.09.2019 16:39 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki