Hallo,
wir benötigen einen RODC (Remote Domain Controller) für die Benutzerauthentifizierung unter Linux, der auch dann funktionieren muss, wenn das Windows Active Directory nicht erreichbar ist.
Hat jemand damit bereits Erfolge erzielt? (Ich habe schon viel Zeit investiert!)
Das Active Directory ist ein Windows Server 2019,
Samba4 2:4.13.17~dfsg-0ubuntu0.21.04.1 läuft unter Ubuntu 20.04
. SSS und PAM sind konfiguriert,
und SSH für einen im Active Directory registrierten Benutzer funktioniert einwandfrei.
Sobald ich jedoch eine iptables-Regel zwischen Active Directory und Linux hinzufüge, funktioniert es nicht mehr.
Da die RODC-Implementierung noch recht neu ist, ist Samba 4.13.17 ausreichend?
Vielen Dank für Ihre Erfahrungen.
Mit freundlichen Grüßen,
Thierry Larmoire.
RODC von AD getrennt
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Thierry,
es gibt noch einige Fehler im RODC, insbesondere beim Vorladen von Passwort-Hashes und der Weiterleitung der NTLM-Authentifizierung.
Sobald die Benutzer der Gruppe `rodc allow replication group` angehören, empfiehlt es sich, das Vorladen auf dem RODC zu erzwingen. Normalerweise ruft der RODC die Anmeldeinformationen vom RWDC ab, falls er diese nicht besitzt (und der Benutzer der Gruppe `rodc allow replication group` angehört). Dies funktioniert jedoch nicht bei der NTLM-Authentifizierung (und in anderen Sonderfällen).
Nutzt Ihre SSD-Authentifizierung NTLM oder Kerberos?
Seien Sie außerdem vorsichtig beim Aktualisieren von Maschinenpasswörtern mit WinBind. Es gab einen Fehler, bei dem eine Passwortänderung auf einem RODC fehlschlug, der Client sein Passwort aber trotzdem lokal speicherte (anstatt es zurückzusetzen).
Ich glaube nicht, dass sich seit Version 4.13 viel am RODC geändert hat, aber viele andere Fehler wurden behoben. Ich empfehle Ihnen daher, auf eine neuere Version zu aktualisieren (mindestens 4.15 für den Produktiveinsatz oder sogar 4.16 für Testzwecke; Version 4.16 unterstützt auch djoin).
Mit freundlichen Grüßen,
Denis
es gibt noch einige Fehler im RODC, insbesondere beim Vorladen von Passwort-Hashes und der Weiterleitung der NTLM-Authentifizierung.
Sobald die Benutzer der Gruppe `rodc allow replication group` angehören, empfiehlt es sich, das Vorladen auf dem RODC zu erzwingen. Normalerweise ruft der RODC die Anmeldeinformationen vom RWDC ab, falls er diese nicht besitzt (und der Benutzer der Gruppe `rodc allow replication group` angehört). Dies funktioniert jedoch nicht bei der NTLM-Authentifizierung (und in anderen Sonderfällen).
Nutzt Ihre SSD-Authentifizierung NTLM oder Kerberos?
Seien Sie außerdem vorsichtig beim Aktualisieren von Maschinenpasswörtern mit WinBind. Es gab einen Fehler, bei dem eine Passwortänderung auf einem RODC fehlschlug, der Client sein Passwort aber trotzdem lokal speicherte (anstatt es zurückzusetzen).
Ich glaube nicht, dass sich seit Version 4.13 viel am RODC geändert hat, aber viele andere Fehler wurden behoben. Ich empfehle Ihnen daher, auf eine neuere Version zu aktualisieren (mindestens 4.15 für den Produktiveinsatz oder sogar 4.16 für Testzwecke; Version 4.16 unterstützt auch djoin).
Mit freundlichen Grüßen,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Guten Morgen,
Vielen Dank, Denis, für dieses Feedback.
„Am besten ist es, eine Vorladung zu erzwingen.“ => mit
Ist es nur für einen Benutzer gleichzeitig möglich?
Nutzt Ihre SSD-Authentifizierung NTLM oder Kerberos?
Kerberos, glaube ich:
"Versionen"
Ubuntu 22.04 wurde soeben veröffentlicht mit
Ich werde es mit dieser Version noch einmal versuchen.
RODC-Staat
Gibt es eine Möglichkeit, den Status der Passwortsynchronisierung auf dem RODC einzusehen und zu erfahren, in welcher Datei die Passwörter gespeichert werden (auch wenn sie verschlüsselt sind)?
Ich habe versucht, das in den 2,5 Millionen Zeilen Quellcode herauszufinden, aber es ist nicht klar, wer welche Aufgabe übernimmt!
Beste grüße,
Thierry.
Vielen Dank, Denis, für dieses Feedback.
„Am besten ist es, eine Vorladung zu erzwingen.“ => mit
Code: Alle auswählen
samba-tool rodc preload one_user --server=srv-dc1.xxxxxx.yyy --username admin --password admin_password
Nutzt Ihre SSD-Authentifizierung NTLM oder Kerberos?
Kerberos, glaube ich:
Code: Alle auswählen
[sssd]
domains = xxxxxx.yyy
config_file_version = 2
reconnection_retries = 2
sbus_timeout = 30
services = nss, pam
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/xxxxxx.yyy]
default_shell = /bin/bash
ad_server = t001-mc11-cpu2.xxxxxx.yyy,t001-mc12-cpu2.xxxxxx.yyy,srv-dc1.xxxxxx.yyy
#krb5_store_password_if_offline = True
krb5_store_password_if_offline = False
#cache_credentials = True
cache_credentials = False
krb5_realm = XXXXXX.YYY
realmd_tags = manages-system joined-with-samba
id_provider = ad
fallback_homedir = /var/home/%u@%d
ad_domain = xxxxxx.yyy
use_fully_qualified_names = True
#use_fully_qualified_names = False
ldap_id_mapping = True
#ldap_id_mapping = False
access_provider = ad
auth_provider = ad
ad_gpo_access_control = permissive
dns_resolver_server_timeout = 500
dns_resolver_op_timeout = 1
dns_resolver_timeout = 2
entry_cache_timeout = 60
ldap_search_timeout = 1
ldap_connection_expire_timeout = 60
Ubuntu 22.04 wurde soeben veröffentlicht mit
Code: Alle auswählen
Package: samba
Architecture: amd64
Version: 2:4.15.5~dfsg-0ubuntu5
RODC-Staat
Gibt es eine Möglichkeit, den Status der Passwortsynchronisierung auf dem RODC einzusehen und zu erfahren, in welcher Datei die Passwörter gespeichert werden (auch wenn sie verschlüsselt sind)?
Ich habe versucht, das in den 2,5 Millionen Zeilen Quellcode herauszufinden, aber es ist nicht klar, wer welche Aufgabe übernimmt!
Beste grüße,
Thierry.
Guten Morgen,
Ich beantworte meine eigenen Fragen
:
Es ist sehr wichtig, Gruppen zu beachten
-- Replikationsgruppe, deren RODC-Passwort autorisiert ist
-- Replikationsgruppe, deren RODC-Passwort abgelehnt wurde
Dies gilt für Benutzer Und Computer.
Aufmerksamkeit, Domänenadministratoren sind standardmäßig in der Gruppe „Nicht berechtigt“.
Das Problem lässt sich erkennen, indem man Samba manuell startet und einen Benutzer vorlädt:
Die Passwörter werden in /var/lib/samba/private/sam.ldb.d/DC=example,DC=com.ldb gespeichert
und wir können die Einträge mit einem Passwort überprüfen:
Beste grüße,
Thierry.
Ich beantworte meine eigenen Fragen
:- Problem mit der Passwortreplikation:
Es ist sehr wichtig, Gruppen zu beachten
-- Replikationsgruppe, deren RODC-Passwort autorisiert ist
-- Replikationsgruppe, deren RODC-Passwort abgelehnt wurde
Dies gilt für Benutzer Und Computer.
Aufmerksamkeit, Domänenadministratoren sind standardmäßig in der Gruppe „Nicht berechtigt“.
Das Problem lässt sich erkennen, indem man Samba manuell startet und einen Benutzer vorlädt:
Code: Alle auswählen
sudo systemctl stop samba-ad-dc
sudo samba --foreground --no-process-group -d 5 --debug-stderr &
sudo samba-tool rodc preload user --server=dc.example.com --username user --password pass
[...]
../../source4/dsdb/repl/drepl_secret.c:49: repl secret disallowed for user CN=dc,OU=Domain Controllers,DC=example,DC=com - not in allowed replication group
- Status der Kennwortreplikation:
Die Passwörter werden in /var/lib/samba/private/sam.ldb.d/DC=example,DC=com.ldb gespeichert
und wir können die Einträge mit einem Passwort überprüfen:
Code: Alle auswählen
sudo ldbsearch --url /var/lib/samba/private/sam.ldb '(unicodePwd=*)' dn
Thierry.
