Аутентифікація Linux у Active Directory

Якщо ви плануєте використовувати робочу станцію Linux у мережі Windows, то однією з речей, які ви можете захотіти зробити, це зробити автентифікацію на сервері доменів Windows, тобто Active Directory.

Аутентифікація Linux у Active Directory

Запам'ятайте одне – навіть після того, як ви зайшли до Active Directory, вона все ще не пропонує повного доступу з першого разу. Вам ще доведеться вводити ім'я користувача та пароль під час використання проксі сервера на базі Windows, таким як ISA сервер. Можливо, вам ще доведеться вводити ім'я користувача та пароль при використанні поштового сервера на базі Windows (хоча Evolution підтримує GSS API, і цим ви зможете обійти процедуру входу — я пробуватиму цей варіант).

Однак це не означає, що ви зможете використовувати те саме ім'я облікового запису і пароль для входу до вашого комп'ютера з Windows або Linux, а це означає, що ви можете змінювати пароль в Linux. Також, у разі потреби мережні адміністратори зможуть зайти на ваш комп'ютер з атестатом адміністратора. Таким чином, комп'ютер Linux не є «островом». Також існує можливість розширення Active Directory для створення можливості керування домашніми директоріями та ін. в активній директорії.

Альтернативи

Існують 2 способи аутентифікації в Active Directory:

1. Використання Kerberos клієнта (вимагає Active Directory)

2. Використання Winbind & Samba клієнта.

На мою думку, перший варіант є найбільш прозорим. Я напевно знайшов його більш легким у встановленні. Другий варіант пропонує якісь додаткові можливості, примітно використання команд, за допомогою яких можна пронумерувати користувачів доменів і так далі. Однак це не буде потрібнона більшості робочих станцій. Тому, якщо у вас активна директорія, я рекомендую перший варіант.

Опис установки на Suse Linux 9/1

Установка Kerberos клієнта на Suse Linux дуже проста. Виконайте наступні дії:

аутентифікація

1. Зайдіть в Yast, Network Services та натисніть на Kerberos клієнт. З'явиться конфігурація клієнта Kerberos.

directory

Тепер Yast відредагує файл /etc/krb5.conf. Розділ realm і domain realm буде створено вашою з стандартною областю, KDC сервером і ім'ям області. Наприклад:

[realms] MYDOMAIN.COM = kdc = domainserver.mydomain.com default_domain = MYDOMAIN.COM kpasswd_server = domainserver.mydomain.com >

Окремо слід згадати рядок clockskew. Вона показує, наскільки Kerberos чутливий до різниці між сервером і клієнтом. Ви можете збільшити це значення, але найкраще переконатися в тому, що сервер і клієнт мають однаковий час, використовуючи NTP сервер.

3. Протестуйте ваш Kerberos клієнт через Kinit. Відкрийте оболонку та напишіть kinit. За промовчанням буде використано ваше ім'я користувача з додаванням імен домену/області за промовчанням. Це означає, що ваше ім'я користувача в Linux має збігатися з ім'ям користувача активної директорії. Якщо цього не відбувається, вкажіть ім'я користувача у командному рядку, тобто:

Піде запит на ваш пароль для Windows/активної директорії

Якщо все пройшло за планом, ви побачите текст наступного змісту:

kinit: NOTICE: ticket renewable lifetime is 1 week

4. Вам дозволено доступ. Ви можете ввести 'klist', щоб переглянути, де зберігається ваш допуск і детально розглянути його.

5. Після перевірки, чи працює ваш встановлений Kerberos клієнт, виможете задати іншим програмам, що вони можуть користуватися логіном Kerberos, Kerberos – це ті, що містяться в директорії /etc/pam.d. Щоб це зробити, вам потрібно:

А. Відредагувати файл /etc/security/pam_unix2.conf file (спочатку зробіть резервну копію!). Розташування цього файлу залежить від дистрибутива, яким ви користуєтесь. У SUSE він розташований у підкаталозі security. Додайте наступні рядки:

auth: use_krb5 nullok account: use_krb5 password: use_krb5 nulllok session: none

6. Перезавантажте комп'ютер. Під час процедури логіна ви зможете увійти, використовуючи своє ім'я користувача та пароль з Windows. Ви побачите, що процес автентифікації проходить повільніше – це пояснюється тим, що автентифікація на сервері Winndows, звичайно ж, повільніша, ніж у локальному файлі.