увеличить время жизни билета для автономного входа

Я использую дистрибутив Mint 18.1. Я настраиваю свой ноутбук для присоединения к домену AD на сервере Windows 2008R2.

вот моя конфигурация:

/etc/krb5.conf

[libdefaults]
    default_realm     =     ACMEAD.COM
    clockskew     =     300
    ticket_lifetime    =    60d
    forwardable     =       true
    proxiable       =       true
    dns_lookup_realm =      true
    dns_lookup_kdc  =       true
    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1

  [realms]
   PRIMEURAD.COM = {
    kdc     =     AD.ACME.COM:88
    admin_server = AD.ACME.COM:749
     default_domain = ACMEAD.COM
    ticket_lifetime    =    60d

    }

   [domain_realm]
    .kerberos.server = ACMEAD.COM
.acmead.com = ACMEAD.COM
acmead.com = ACMEAD.COM
acmead    = ACMEAD.COM
ticket_lifetime    =    60d

[appdefaults]
  pam = {
     ticket_lifetime     = 60d
     renew_lifetime         = 60d
     forwardable         = true
     proxiable         = false
     retain_after_close     = false
     minimum_uid         = 0
     debug             = false
 }

 [logging]
    default         = FILE:/var/log/krb5libs.log
    kdc             = FILE:/var/log/kdc.log
    admin_server            = FILE:/var/log/kadmind.log
 [login]
    krb4_convert = true
    krb4_get_tickets = false

/etc/samba/smb.conf

[global]
workgroup = primeurad
realm = primeurad.com
netbios name = lap-pc-1976
security = ADS
dns forwarder = 172.16.0.3
idmap config * : backend = tdb
idmap config *:range = 50000-1000000

template homedir = /home/%D/%U
template shell = /bin/bash

winbind use default domain = true
winbind offline logon = yes
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
winbind cache time = 300
winbind refresh tickets = yes

vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
preferred master = no
dns proxy = no
wins server = ad.primeur.com
wins proxy = no
inherit acls = Yes
acl group control = yes

load printers = no
debug level = 3
use sendfile = no

/etc/security/pam_winbind.conf

[global]
  debug = no
  debug_state = no
  try_first_pass = yes
  krb5_auth = yes
  krb5_ccache_type = FILE
  cached_login = yes
  silent = no
# mkhomedir = yes

Я могу войти в систему и аутентифицировать себя. Я добавляю свой компьютер в домен без проблем. И я также могу войти в систему, когда я не в сети, чего я больше всего хочу. Я пытаюсь увеличить срок жизни тикета до 60 дней, теперь, если я наберу klist, вот что я увижу

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
07/11/2017 12:25:02  07/11/2017 22:25:02  krbtgt/[email protected]
    renew until 07/18/2017 12:24:59

Мне кажется, что по умолчанию занимает 10ч вместо 60 дней. Как я могу увеличить его?


authentication linux active-directory kerberos samba
person NiBE    schedule 11.07.2017    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Здесь приоритет имеют значения по умолчанию для домена Active Directory.

Лучшей практикой было бы оставить максимальное время жизни билета службы Kerberos по умолчанию равным 10 часам. В различных технических руководствах и групповой политике Active Directory вы увидите это значение, записанное как 600 минут, что составляет 10 часов, но вместо этого отображается как 600 минут. Я никогда не знал, почему они это сделали. Если вы хотите изменить значение, вам придется открыть инструмент консоли управления групповой политикой домена Active Directory (GPMC.msc) и отредактировать объект групповой политики «Политика домена по умолчанию». После того, как этот объект групповой политики открыт, перейдите по следующему пути и измените 600 минут на его 60-дневный эквивалент, который будет равен 86400.

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos\Максимальное время жизни билета службы

Ссылка: Максимум срок действия билета службы

Обратите внимание, что изменение этого параметра будет считаться угрозой безопасности, поскольку это дает потенциальным хакерам гораздо больше времени для потенциальной расшифровки билета службы и использования его для себя. Просто погуглите "атака серебряных билетов". Вот почему 10 часов установлено по умолчанию. Он также используется по умолчанию для всех основных реализаций управления идентификацией, использующих Kerberos, а не только для Active Directory. Это считается компромиссом между безопасностью и удобством использования. Вы также спросили: «Я вижу, что мне нужно также увеличить основную часть kerberos, но не знаю, как это сделать». Что вы имели в виду? Вы имели в виду "имя субъекта-службы"? Или билет на выдачу билетов? Или учетная запись пользователя? Что вы подразумеваете под "увеличить его"? Если вы имели в виду увеличение срока действия других билетов Kerberos, таких как билет на предоставление билетов, также известный как «билет пользователя», вы также можете изменить их в той же области объекта групповой политики, упомянутой выше. В этом объекте групповой политики билет на предоставление билетов (TGT) записывается как «билет пользователя». Он имеет тот же срок службы 10 часов. Скриншот ниже из моей лаборатории, показывающий все по умолчанию:

введите здесь описание изображения

РЕДАКТИРОВАТЬ/ОБНОВИТЬ: Чтобы разрешить автономный вход на ПК с Windows, присоединенный к домену AD, когда он не подключен к сети, или в случае, если контроллер домена недоступен, вам необходимо разрешить так называемые «кэшированные учетные данные». . Это позволяет ПК повторно использовать сервисный билет и не получать запрос на получение нового. Вы можете сделать это либо разово для одной машины, либо для всего домена через объект групповой политики. Оба метода описаны ниже:

Для одной машины просто отредактируйте реестр

Для метода на уровне домена используйте объект групповой политики

Примечание к сказанному выше: этот параметр будет игнорироваться в ОС Linux, присоединенной к AD, поскольку в Linux нет реестра. Короче говоря, вы не можете разрешить кешированный (автономный) вход в домен AD для ноутбуков с Linux — это функция только для ОС Windows.

person T-Heron    schedule 11.07.2017
comment
большое спасибо за ваш четкий ответ. Чего мне хотелось бы добиться, так это повысить возможность входа в систему на моем ПК в автономном режиме. Насколько я понял, мои извинения я новичок в этом вопросе, это всего лишь 10ч, или я ошибаюсь? О принципале kerberos я был введен в заблуждение, читая без четкого знания - person NiBE; 11.07.2017
comment
Без проблем. Я собираюсь ответить на ваш вопрос о возможности входа в систему на вашем компьютере в автономном режиме, отредактировав свой существующий ответ, чтобы также ответить на этот вопрос. - person T-Heron; 11.07.2017
comment
Ну, я использую клиент Linux, а не клиент Windows, он ведет себя так же? - person NiBE; 11.07.2017
comment
Этот параметр будет игнорироваться в клиенте Linux, поскольку в Linux нет реестра. Я также обновил свой ответ на этот вопрос. - person T-Heron; 11.07.2017
comment
Если клиент Linux подключен к AD и клиент Linux использует sssd для аутентификации клиентского сеанса в отношении AD, то кэширование учетных данных можно включить с помощью директивы cache_credentials = true в файле /etc/sssd/sssd.conf. Когда он включен, клиент Linux ведет себя так же, как клиент Windows. - person Beef Eater; 14.11.2019