Доступ к сетевому хранилищу через УЗ на AD с помощью LDAP

0

1

Ребят кто может подсказать как получать группы и УЗ пользователей с домена через LDAP? нашел тему Авторизация/аутентификация в Linux с использованием Active Directory., там было сделано для SSH, но какие пакеты ставили не понятно, может кто делал такое уже?

Ссылка

←	Tor Browser - город выходной ноды

4.1 Bluetooth наушники с 2.1 и 4.0 bluetooth пк-модулями.

→

чо?

~~zgen~~ ★★★★★
(27.12.17 12:23:28 MSK)

Ответ на: комментарий от zgen 27.12.17 12:23:28 MSK

как получить узеров и группы из active directory через ldap?

fractal90
(27.12.17 12:33:10 MSK) автор топика

УЗ - это учётные запси? Крайне не очевидно. Я правильно понял что ты хочешь сделать самба-шару с аутентификацей в AD?

Для Centos 7:

yum install -y realmd.x86_64 adcli.x86_64 sssd.x86_64 krb5-workstation.x86_64 oddjob-mkhomedir.x86_64 samba-common-tools.x86_64 policycoreutils-python.x86_64

cat << EOF > /etc/krb5.conf
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = AD.DOMAIN
    default_ccache_name = KEYRING:persistent:%{uid}

[realms]
    SZGMU.LOCAL = {
        kdc = ad.domain
        admin_server = ad.domain
    }

[domain_realm]
    .ad.domain = AD.DOMAIN
    .ad = AD.DOMAIN
    ad.domain = AD.DOMAIN
    ad = AD.DOMAIN
EOF

realm discover ad.domain
realm join ad.domain -U ad_admin
# По желанию, запрещает вход всем, далее разрешаем избранных.
realm deny --all
systemctl restart sssd.service
realm permit ad_user

# Разрешить kerberos логин для ssh.
sed -i 's/^.*GSSAPIAuthentication.*$/GSSAPIAuthentication yes/g' /etc/ssh/sshd_config
sed -i 's/^.*GSSAPICleanupCredentials.*$/GSSAPICleanupCredentials yes/g' /etc/ssh/sshd_config
systemctl restart sshd.service

cat << EOF > /etc/samba/smb.conf
[global]
    interfaces = eth0
    workgroup = ad
    realm = ad.domain
    security = ads
    netbios name = hostname
    wins support = no
    wins proxy = no

    password server = ad.domain
    kerberos method = dedicated keytab
    dedicated keytab file = /etc/krb5.keytab
    log level = 3
    log file = /var/log/samba/%m.log

    vfs objects = acl_xattr
    map acl inherit = Yes
    store dos attributes = Yes

    load printers = no
    show add printer wizard = no
    printing = bsd
    printcap name = /dev/null
    disable spoolss = yes
[share]
    # У шары должен быть контекст samba_share_t. Запустить от рута:
    # semanage fcontext -a -t 'samba_share_t' '/path/to/share(/.*)?'
    # Далее: # restorecon -rv /path/to/share/
    path = /path/to/share
    read only = no
    valid users = @ad_group
EOF

Ivan_qrt ★★★★★
(27.12.17 12:33:50 MSK)

Ссылка

Ответ на: комментарий от fractal90 27.12.17 12:33:10 MSK

В такой постановке ldapsearch -xWD 'domain\user' -H 'ldaps://dc.ad.domain:636' "objectclass=user". Научись выражать свои мысли.

Ivan_qrt ★★★★★
(27.12.17 12:35:33 MSK)

Ссылка

Ответ на: комментарий от fractal90 27.12.17 12:33:10 MSK

Элементарно.
$ ldapsearch -x -h adserver -D admin@domain.ru -W -b «cn=people,dc=domain,dc=ru» -s sub "(cn=*)"

~~mos~~ ★★☆☆☆
(27.12.17 12:39:20 MSK)

Ответ на: комментарий от mos 27.12.17 12:39:20 MSK

не совсем для меня элементарно) УЗ - учетные записи, у меня samba на debian, до этого в старом домене использовал kerberos,samba,winbind, сейчас домен новый прав нет, заводить в домен не хотят, сказали используй ldap

fractal90
(27.12.17 12:43:32 MSK) автор топика

Ссылка

как все это автоматизировать, чтобы при запросе getent passwd или getent group я видел нужные группы или логины из тех директорий что я указал в базе поиска? далее по acl уже права на группу вешал

fractal90
(27.12.17 12:50:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Tor Browser - город выходной ноды

General

4.1 Bluetooth наушники с 2.1 и 4.0 bluetooth пк-модулями.

→

Похожие темы