Página 1 de 1
RODC desconectado de AD
Publicado: 21 de abril de 2022 - 18:39
por TLa
Hola,
necesitamos un RODC para la autenticación de usuarios en Linux que funcione incluso cuando el Directorio Activo de Windows no esté disponible. ¿
Alguien ha logrado esto? (¡Ya le he dedicado mucho tiempo!).
El Directorio Activo es un servidor Windows Server 2019,
Samba4 2:4.13.17~dfsg-0ubuntu0.21.04.1 se ejecuta en Ubuntu 20.04
, SSS y PAM están configurados,
y SSH para un usuario registrado en el Directorio Activo funciona correctamente. Sin embargo,
si agrego una regla de iptables entre el Directorio Activo y Linux, deja de funcionar.
Dado que la implementación del RODC es bastante reciente, ¿es suficiente Samba 4.13.17?
Gracias por compartir sus experiencias.
Saludos cordiales,
Thierry LARMOIRE.
Re: RODC desconectado de AD
Publicado: 22 de abril de 2022 - 9:33 a. m.
por dcardon
Hola Thierry,
todavía hay varios errores en el RODC, particularmente con la precarga de hash de contraseña y el reenvío de autenticación NTLM.
Una vez que tengas los usuarios en el grupo `rodc allow replication group`, es mejor forzar la precarga en el RODC. Normalmente, el RODC recuperará las credenciales del RWDC si no las tiene (y el usuario forma parte del grupo `rodc allow replication group`), pero esto no funciona para la autenticación NTLM (y otros casos inusuales).
¿Tu autenticación SSD usa NTLM o Kerberos?
Además, ten cuidado al actualizar las contraseñas de las máquinas usando WinBind; había/había un error por el cual un cambio de contraseña fallaba en un RODC, pero el cliente aún guardaba su contraseña localmente (en lugar de revertirla).
No creo que haya habido muchos cambios en el RODC desde la versión 4.13, pero se han corregido muchos otros errores, y le recomiendo que actualice a una versión más reciente (al menos la 4.15 para producción, o incluso la 4.16 para pruebas; la versión 4.16 también incluye compatibilidad con djoin).
Saludos cordiales,
Denis
Re: RODC desconectado de AD
Publicado: 25 de abril de 2022 - 17:01
por TLa
Buen día,
Gracias Denis por este comentario.
"Lo mejor es forzar la precarga" => con
Código: Seleccionar todo
samba-tool rodc preload one_user --server=srv-dc1.xxxxxx.yyy --username admin --password admin_password
¿Solo es posible para un usuario a la vez?
"¿Su autenticación SSD utiliza NTLM o Kerberos?"
Kerberos, creo:
Código: Seleccionar todo
[sssd]
domains = xxxxxx.yyy
config_file_version = 2
reconnection_retries = 2
sbus_timeout = 30
services = nss, pam
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/xxxxxx.yyy]
default_shell = /bin/bash
ad_server = t001-mc11-cpu2.xxxxxx.yyy,t001-mc12-cpu2.xxxxxx.yyy,srv-dc1.xxxxxx.yyy
#krb5_store_password_if_offline = True
krb5_store_password_if_offline = False
#cache_credentials = True
cache_credentials = False
krb5_realm = XXXXXX.YYY
realmd_tags = manages-system joined-with-samba
id_provider = ad
fallback_homedir = /var/home/%u@%d
ad_domain = xxxxxx.yyy
use_fully_qualified_names = True
#use_fully_qualified_names = False
ldap_id_mapping = True
#ldap_id_mapping = False
access_provider = ad
auth_provider = ad
ad_gpo_access_control = permissive
dns_resolver_server_timeout = 500
dns_resolver_op_timeout = 1
dns_resolver_timeout = 2
entry_cache_timeout = 60
ldap_search_timeout = 1
ldap_connection_expire_timeout = 60
Ubuntu 22.04 acaba de ser lanzado con
Código: Seleccionar todo
Package: samba
Architecture: amd64
Version: 2:4.15.5~dfsg-0ubuntu5
Voy a intentarlo de nuevo con esta versión.
Estado del RODC
¿Hay alguna manera de ver el estado de sincronización de contraseñas en el RODC y en qué archivo se guardan (incluso si están cifradas)?
Intenté averiguarlo en las 2,5 millones de líneas de código fuente, ¡pero no está claro quién hace qué!
Atentamente,
Thierry.
Re: RODC desconectado de AD
Publicado: 10 de mayo de 2022 - 13:42
por TLa
Buen día,
Yo respondo mis propias preguntas
:
- Problema de replicación de contraseña:
Es muy importante prestar atención a los grupos
--
Grupo de replicación cuya contraseña RODC está autorizada
--
Grupo de replicación cuya contraseña RODC es rechazada
Esto se aplica a los usuarios
Y computadoras.
atención,
Los administradores de dominio están en el grupo denegado de forma predeterminada.
El problema se puede detectar iniciando manualmente Samba y precargando un usuario:
Código: Seleccionar todo
sudo systemctl stop samba-ad-dc
sudo samba --foreground --no-process-group -d 5 --debug-stderr &
sudo samba-tool rodc preload user --server=dc.example.com --username user --password pass
[...]
../../source4/dsdb/repl/drepl_secret.c:49: repl secret disallowed for user CN=dc,OU=Domain Controllers,DC=example,DC=com - not in allowed replication group
- Estado de replicación de contraseña:
Las contraseñas se almacenan en /var/lib/samba/private/sam.ldb.d/DC=example,DC=com.ldb
y podemos verificar las entradas con una contraseña:
Código: Seleccionar todo
sudo ldbsearch --url /var/lib/samba/private/sam.ldb '(unicodePwd=*)' dn
Atentamente,
Thierry.