Samba może być członkiem domeny typu NT4 lub Active Directory. W artykule zaprezentujemy praktyczne ujęcie tego tematu, podając przepis na skuteczne podłączenie komputera z Linuksem do domeny typu Active Directory uruchomionej na serwerze Windows Server 2003. Skupimy się na jednej z najbardziej docenianych funkcji domeny, czyli tzw. logowania przy użyciu pojedynczego hasła (ang. single sign-on, SSO). Dzięki niej użytkownicy mają przypisane jeden login i hasło do wszystkich zasobów sieci niezależnie od tego, na której stacji roboczej lub serwerze pracują.

Do pełnej integracji z domeną Samba wymaga dwóch dodatkowych komponentów: demona Winbind oraz oprogramowania umożliwiającego przeprowadzenie uwierzytelniania użytkowników przez protokół Kerberos. W Debianie wymagane pakiety zainstalujemy poleceniem apt-get install winbind krb5-config krb5-user.

Kerberos

Kerberos jest protokołem zabezpieczeń stosowanym do uwierzytelniania (weryfikacji tożsamości) w domenach Windows użytkowników oraz serwerów. Użytkownik oraz serwer wzajemnie potwierdzają swoją tożsamość. Kerberos jest otwartym protokołem zaprojektowanym w laboratoriach MIT i z powodzeniem może być stosowany w heterogenicznych środowiskach IT. Elementem systemu Kerberos jest Centrum dystrybucji kluczy (KDC, Key distribution center) uruchamiane na każdym kontrolerze domeny.

Na potrzeby współpracy z serwerem Windows niezbędne jest poprawne skonfigurowanie klienta Kerberos. Główny plik konfiguracyjny Kerberosa to /etc/krb5.conf. Poniższy przykład ilustruje definicję nowej domeny uwierzytelniania (realm).

[libdefaults]
default_realm = DOMENA.LOCAL
[realms]
DOMENA.LOCAL = {
kdc = kontroler.domena.local
admin_server = kontroler.domena.local
default_domain = domena.local
}
[domain_realm]
.kerberos.server = DOMENA.LOCAL
.domena.pl = DOMENA.LOCAL

W ustawieniach wskazujemy nazwę domeny oraz określamy przyporządkowany do niej serwer kluczy Kerberos (opcja kdc = kontroler.domena.local). W zależności od konfiguracji Active Directory stosujemy tutaj lokalną (jak w przykładzie) lub pełną nazwę domeny (np. DOMENA.PL). Istotna jest natomiast wielkość liter użytych w definicji domeny w Kerberos. Możemy przeprowadzić próbę uwierzytelnienia do serwera Kerberos, wydając polecenie kinit -V administrator@DOMENA.LOCAL.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.