Salve,
abbiamo bisogno di un RODC per l'autenticazione degli utenti su Linux che funzioni anche quando Active Directory di Windows non è raggiungibile.
Qualcuno è riuscito a ottenere questo risultato? (Ci ho già dedicato molto tempo!)
Active Directory è un server Windows 2019,
Samba4 2:4.13.17~dfsg-0ubuntu0.21.04.1 è in esecuzione su Ubuntu 20.04
, SSS e PAM sono configurati
e SSH per un utente registrato in Active Directory funziona correttamente. Tuttavia,
se aggiungo una regola iptables tra Active Directory e Linux, smette di funzionare.
Dato che l'implementazione del RODC è piuttosto recente, Samba 4.13.17 è sufficiente?
Grazie per aver condiviso le vostre esperienze.
Cordiali saluti,
Thierry LARMOIRE.
RODC disconnesso da AD
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao Thierry,
ci sono ancora diversi bug nel RODC, in particolare con il precaricamento dell'hash della password e l'inoltro dell'autenticazione NTLM.
Una volta che gli utenti sono nel gruppo `rodc allow replication`, è consigliabile forzare il precaricamento sul RODC. Normalmente, il RODC recupera le credenziali dal RWDC se non le possiede (e l'utente fa parte del gruppo `rodc allow replication`), ma questo non funziona per l'autenticazione NTLM (e altri casi particolari).
L'autenticazione SSD utilizza NTLM o Kerberos?
Inoltre, fai attenzione all'aggiornamento delle password delle macchine tramite WinBind; c'era/c'è un bug per cui un cambio di password non riusciva su un RODC, ma il client salvava comunque la password localmente (invece di ripristinarla).
Non credo ci siano stati molti cambiamenti al RODC dalla versione 4.13, ma sono stati corretti molti altri bug e ti incoraggio ad aggiornare a una versione più recente (almeno la 4.15 per la produzione, o anche la 4.16 per i test; la versione 4.16 include anche il supporto per djoin).
Cordiali saluti,
Denis
ci sono ancora diversi bug nel RODC, in particolare con il precaricamento dell'hash della password e l'inoltro dell'autenticazione NTLM.
Una volta che gli utenti sono nel gruppo `rodc allow replication`, è consigliabile forzare il precaricamento sul RODC. Normalmente, il RODC recupera le credenziali dal RWDC se non le possiede (e l'utente fa parte del gruppo `rodc allow replication`), ma questo non funziona per l'autenticazione NTLM (e altri casi particolari).
L'autenticazione SSD utilizza NTLM o Kerberos?
Inoltre, fai attenzione all'aggiornamento delle password delle macchine tramite WinBind; c'era/c'è un bug per cui un cambio di password non riusciva su un RODC, ma il client salvava comunque la password localmente (invece di ripristinarla).
Non credo ci siano stati molti cambiamenti al RODC dalla versione 4.13, ma sono stati corretti molti altri bug e ti incoraggio ad aggiornare a una versione più recente (almeno la 4.15 per la produzione, o anche la 4.16 per i test; la versione 4.16 include anche il supporto per djoin).
Cordiali saluti,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Buongiorno,
Grazie Denis per questo feedback.
"La cosa migliore da fare è forzare il precaricamento" => con
È possibile farlo solo per un utente alla volta?
"L'autenticazione SSD utilizza NTLM o Kerberos?"
Kerberos, credo:
"versioni"
Ubuntu 22.04 è appena stato rilasciato con
Ci riproverò con questa versione.
Stato RODC
Esiste un modo per visualizzare lo stato di sincronizzazione delle password sul RODC e in quale file vengono salvate (anche se crittografate)?
Ho provato a scoprirlo nei 2,5 milioni di righe di codice sorgente, ma non è chiaro chi fa cosa!
Distinti saluti,
Thierry.
Grazie Denis per questo feedback.
"La cosa migliore da fare è forzare il precaricamento" => con
Codice: Seleziona tutto
samba-tool rodc preload one_user --server=srv-dc1.xxxxxx.yyy --username admin --password admin_password
"L'autenticazione SSD utilizza NTLM o Kerberos?"
Kerberos, credo:
Codice: Seleziona tutto
[sssd]
domains = xxxxxx.yyy
config_file_version = 2
reconnection_retries = 2
sbus_timeout = 30
services = nss, pam
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/xxxxxx.yyy]
default_shell = /bin/bash
ad_server = t001-mc11-cpu2.xxxxxx.yyy,t001-mc12-cpu2.xxxxxx.yyy,srv-dc1.xxxxxx.yyy
#krb5_store_password_if_offline = True
krb5_store_password_if_offline = False
#cache_credentials = True
cache_credentials = False
krb5_realm = XXXXXX.YYY
realmd_tags = manages-system joined-with-samba
id_provider = ad
fallback_homedir = /var/home/%u@%d
ad_domain = xxxxxx.yyy
use_fully_qualified_names = True
#use_fully_qualified_names = False
ldap_id_mapping = True
#ldap_id_mapping = False
access_provider = ad
auth_provider = ad
ad_gpo_access_control = permissive
dns_resolver_server_timeout = 500
dns_resolver_op_timeout = 1
dns_resolver_timeout = 2
entry_cache_timeout = 60
ldap_search_timeout = 1
ldap_connection_expire_timeout = 60
Ubuntu 22.04 è appena stato rilasciato con
Codice: Seleziona tutto
Package: samba
Architecture: amd64
Version: 2:4.15.5~dfsg-0ubuntu5
Stato RODC
Esiste un modo per visualizzare lo stato di sincronizzazione delle password sul RODC e in quale file vengono salvate (anche se crittografate)?
Ho provato a scoprirlo nei 2,5 milioni di righe di codice sorgente, ma non è chiaro chi fa cosa!
Distinti saluti,
Thierry.
Buongiorno,
Rispondo alle mie domande
:
È molto importante prestare attenzione ai gruppi
-- Gruppo di replicazione la cui password RODC è autorizzata
-- Gruppo di replica la cui password RODC è stata rifiutata
Questo vale per gli utenti E computer.
Attenzione, Per impostazione predefinita, gli amministratori di dominio sono nel gruppo degli utenti negati.
Il problema può essere rilevato avviando manualmente Samba e precaricando un utente:
Le password sono memorizzate in /var/lib/samba/private/sam.ldb.d/DC=example,DC=com.ldb
e possiamo verificare le voci con una password:
Distinti saluti,
Thierry.
Rispondo alle mie domande
:- problema di replicazione della password:
È molto importante prestare attenzione ai gruppi
-- Gruppo di replicazione la cui password RODC è autorizzata
-- Gruppo di replica la cui password RODC è stata rifiutata
Questo vale per gli utenti E computer.
Attenzione, Per impostazione predefinita, gli amministratori di dominio sono nel gruppo degli utenti negati.
Il problema può essere rilevato avviando manualmente Samba e precaricando un utente:
Codice: Seleziona tutto
sudo systemctl stop samba-ad-dc
sudo samba --foreground --no-process-group -d 5 --debug-stderr &
sudo samba-tool rodc preload user --server=dc.example.com --username user --password pass
[...]
../../source4/dsdb/repl/drepl_secret.c:49: repl secret disallowed for user CN=dc,OU=Domain Controllers,DC=example,DC=com - not in allowed replication group
- Stato di replicazione della password:
Le password sono memorizzate in /var/lib/samba/private/sam.ldb.d/DC=example,DC=com.ldb
e possiamo verificare le voci con una password:
Codice: Seleziona tutto
sudo ldbsearch --url /var/lib/samba/private/sam.ldb '(unicodePwd=*)' dn
Thierry.
