Wednesday, November 22nd, 2017

Аутентификация Linux в Active Directory

Published on Февраль 18, 2009 by   ·   Комментариев нет

Если вы планируете использовать рабочую станцию Linux в сети Windows, то одной из вещей, которые вы можете захотеть сделать, это произвести аутентификацию на сервере доменных имен Windows, то есть Active Directory.

Аутентификация Linux в Active Directory

Запомните одно – даже после того, как вы зашли в Active Directory — она все еще не предлагает  полного доступа с первого раза. Вам еще придется вводить имя пользователя и пароль при использовании прокси сервера на базе Windows, таким как ISA сервер. Возможно, что вам еще придется вводить имя пользователя и пароль при использовании почтового сервера на базе Windows (хотя Evolution поддерживает GSS API, и этим вы сможете обойти процедуру входа —  я буду пробовать этот вариант).

Однако это не значит, что вы сможете использовать то же имя учетной записи и пароль для входа в ваш компьютер с Windows или Linux, а также это значит, что вы можете менять пароль в Linux. Также, в случае необходимости сетевые администраторы смогут зайти на ваш компьютер с их аттестатом администратора. Таким образом, компьютер Linux более не является «островом». Также существует возможность расширения Active Directory для создания возможности управления домашними директориям и др. в активной директории.

Альтернативы

Существуют 2 способа аутентификации в Active Directory:

1.      Использование Kerberos клиента (требует Active Directory)

2.      Использование Winbind & Samba клиента.

На мой взгляд, первый вариант является наиболее прозрачным. Я определенно нашел его более легким в установке. Второй вариант предлагает какие-то дополнительные возможности, примечательно использование команд, с помощью которых вы можете пронумеровать пользователей доменов и так далее. Однако это не потребуется на большинстве рабочих станций. Поэтому если у вас активная директория, я рекомендую первый вариант.

Описание установки на Suse Linux 9/1

Установка Kerberos клиента на Suse Linux предельно проста. Выполните следующие действия:

Vpn Linux active directory

1. Зайдите в Yast, Network Services и нажмите на Kerberos клиент. Появится конфигурация Kerberos клиента.

Linux авторизация в домене

2. Введите свое доменное имя активной директории, как в домене по умолчанию, так и в поля области по умолчанию. Вводите имя заглавными буквами. В поле адреса KDC сервера введите верное доменное имя одного из ваших серверов доменных имен, по принципу сервердомена.мойдомен.com. Нажмите кнопку OK для завершения.

Теперь Yast отредактирует за вас файл /etc/krb5.conf. Раздел realm и domain realm будет создан вашей с областью по умолчанию, KDC сервером и именем области. Например:

[libdefaults]
clockskew = 300
default_realm = MYDOMAIN.COM

[realms]
MYDOMAIN.COM = {
kdc = domainserver.mydomain.com
default_domain = MYDOMAIN.COM
kpasswd_server = domainserver.mydomain.com
}

[domain_realm]
.MYDOMAIN.COM = MYDOMAIN.COM

Отдельно следует упомянуть строку clockskew. Она показывает, насколько Kerberos чувствителен к разнице во времени между сервером и клиентом. Вы можете увеличить данное значение, но лучше всего убедиться в том, что у сервера и клиента одинаковое время, используя NTP сервер.

3. Протестируйте ваш Kerberos клиент через Kinit. Откройте оболочку и напишите kinit. По умолчанию будет использовано ваше имя пользователя с добавлением имен домена/области по умолчанию. Это значит, что ваше имя пользователя в Linux должно совпадать с именем пользователя в активной директории. Если этого не происходит, укажите имя пользователя в командной строке, то есть:

kinit <myusername>
username@MYDOMAIN.COM’s Password:

Последует запрос на ваш пароль для Windows/активной директории

Если все прошло по плану, то вы увидите текст следующего содержания:

kinit: NOTICE: ticket renewable lifetime is 1 week

4. Вам разрешен доступ. Вы можете ввести ‘klist’, чтобы посмотреть, где хранится ваш допуск и подробно рассмотреть его.

5. После проверки, работает ли ваш установленный Kerberos клиент, вы можете задать остальным приложениям, что они могут пользоваться логином Kerberos,  Kerberos – это те, что содержатся в директории /etc/pam.d. Чтобы сделать это, вам нужно:

А. Отредактировать файл /etc/security/pam_unix2.conf file (сначала сделайте резервную копию!). Расположение этого файла зависит от дистрибутива, которым вы пользуетесь. В SUSEе он расположен в подкаталоге security. Добавьте следующие строки:

auth: use_krb5 nullok
account: use_krb5
password: use_krb5 nulllok
session: none

6. Перезагрузите ваш компьютер. По ходу процедуры логина вы сможете войти, используя свое имя пользователя и пароль из Windows. Вы увидите, что процесс аутентификации проходит более медленно – это объясняется тем, что аутентификация на сервере Winndows, конечно же, медленней чем по отношению к локальному файлу.

www.windowsnetworking.com














Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]