unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth
Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версияПоследняя версияСледующая версия справа и слева | ||
unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [25.06.2019 09:56] – [PAM и доступ на консоль] Алексей Максимов | unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [25.06.2019 10:24] – [Подготовка] Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | ===== Подключение Debian GNU/Linux 9 Stretch к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache ===== | + | ===== Подключение Debian GNU/Linux 9 (Stretch) к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache ===== |
{{: | {{: | ||
- | Здесь приведён сокращённый план действий по присоединению Debian GNU/Linux 9 к домену Active Directory с помощью SSSD и realmd. | + | Здесь приведён сокращённый план действий по присоединению |
Строка 9: | Строка 9: | ||
==== Подготовка ==== | ==== Подготовка ==== | ||
- | Обеспечиваем правильную работу **DNS**-клиента и обсепечиваем __синхронизацию времени__ с источниками, | + | Обеспечиваем правильную работу **DNS**-клиента и обеспечиваем __синхронизацию времени__ с источниками, |
- | Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется | + | Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется имя узла без доменной части. |
Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: | Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: | ||
Строка 322: | Строка 322: | ||
- | В случае необходимости настроки Kerberos аутентификациии в домене Active Directory, возможно потребуется дополнительная настройка keytab-файла на Linux системе. | + | В случае необходимости настроки |
- | Пример команд добавления SPN-записи типа HTTP/* (для поддержки доменной аутентификации Kerberos на веб-сервере) | + | Пример команд добавления |
- | Подключаемся к keytab-файлу и получаем информацию о SPN-запиях в нём и текущем номере kvno (нужен для ключа -k) | + | Подключаемся к keytab-файлу и получаем информацию о SPN-запиях в нём и текущем номере |
- | # ktutil | + | < |
- | > read_kt / | + | # ktutil</ |
- | > list -k -e | + | |
+ | < | ||
+ | list -k -e</ | ||
Добавляем записи поддержки Kerberos для веб-сервера (при запросе хешей указываем те же, что указаны для уже существующих SPN-записей) | Добавляем записи поддержки Kerberos для веб-сервера (при запросе хешей указываем те же, что указаны для уже существующих SPN-записей) | ||
- | # add_entry -key -p HTTP/ | + | < |
- | # add_entry -key -p HTTP/ | + | add_entry -key -p HTTP/ |
- | # add_entry -key -p HTTP/ | + | add_entry -key -p HTTP/ |
- | # add_entry -key -p HTTP/ | + | add_entry -key -p HTTP/ |
- | # add_entry -key -p HTTP/ | + | add_entry -key -p HTTP/ |
- | # add_entry -key -p HTTP/ | + | add_entry -key -p HTTP/ |
+ | </ | ||
Перечиваем результат и записываем изменения в keytab-файл: | Перечиваем результат и записываем изменения в keytab-файл: | ||
- | > list -k -e | + | < |
- | > write_kt / | + | write_kt / |
- | > exit | + | exit</ |
Проверяем результат: | Проверяем результат: | ||
- | # klist -e -k -t / | + | < |
Проверяем есть ли нужная SPN-запись в домене (на Windows-машине, | Проверяем есть ли нужная SPN-запись в домене (на Windows-машине, | ||
- | setspn -L kom-srv01 | + | < |
Если записи нет, можем добавить (требуются права уровня доменный администратор) | Если записи нет, можем добавить (требуются права уровня доменный администратор) | ||
- | setspn -A HTTP/ | + | < |
+ | </ | ||
\\ | \\ | ||
==== Apache и PAM с Kerberos ===== | ==== Apache и PAM с Kerberos ===== | ||
+ | Более подробно описанный пример настройки можно найти в статье [[https:// | ||
- | Настраиваем конфигурацию Apache для поддержки | + | Настраиваем конфигурацию |
- | Установка пакетов поддержки PAM/ | + | Установка пакетов поддержки |
- | # apt-get install libapache2-mod-auth-kerb libapache2-mod-authnz-pam | + | < |
+ | </ | ||
Включение модулей Apache: | Включение модулей Apache: | ||
- | # apache2ctl -M | grep -E " | + | < |
Пример файла конфигурации Apache: | Пример файла конфигурации Apache: | ||
- | # nano -Y sh / | + | < |
+ | </ | ||
- | В данном примере в Apache для доступа к веб-серверу Apache вызывается настроенный нами ранее PAM-модуль | + | В данном примере в Apache для доступа к веб-серверу Apache вызывается настроенный нами ранее |
- | PAM-модуль в свою очередь вызывает для процедуры аутентификации SSSD и выполняет авторизацию через файл / | + | **PAM**-модуль в свою очередь вызывает для процедуры аутентификации |
+ | <file xml 000-default.conf> | ||
... | ... | ||
- | ServerAdmin webmaster@localhost | + | |
DocumentRoot / | DocumentRoot / | ||
Строка 391: | Строка 398: | ||
| | ||
</ | </ | ||
- | ... | + | … |
+ | </ | ||
- | Не забываем на строне Linux-сервера ограничить доступ к keytab-файлу | + | Не забываем на строне Linux-сервера настроить доступ к **keytab**-файлу |
- | # chown root: | + | < |
- | # chmod 640 / | + | # chmod 640 / |
Перезепускаем службу веб-сервера и проверяем результат: | Перезепускаем службу веб-сервера и проверяем результат: | ||
- | # systemctl restart apache2 | + | < |
# systemctl status apache2 | # systemctl status apache2 | ||
+ | </ | ||
\\ | \\ | ||
Строка 411: | Строка 419: | ||
По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, | По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, | ||
- | # hostname KOM-SRV01 | + | < |
+ | |||
+ | После завершения настройки перезагружаем Linux-сервере, | ||
unix-linux/debian/stretch/join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth.txt · Последнее изменение: 14.03.2024 13:08 — Алексей Максимов