Trust di due domini Samba

From RVM Wiki
Jump to navigation Jump to search

Per poter far accedere gli utenti di due domini diversi ai vicendevoli pdc sena riautenticarli, è necessario stabilire un trust tra i due domini. ATTENZIONE: se i domini sono in due subnet differenti, bisogna attivare la propagazione wins come in Browsing di due domini in due subnet separate

Si supponga che :

LAN1: Dominio CROSS, PDC crosrv01

LAN2: Dominio CROMEN, PDC crosrv02

Attivazione del primo trusting account

Verificare che non ci siano altre relazioni di trust: 

 net rpc trustdom list -Uadministrator%arabafenice
Trusted domains list:

none

Trusting domains list:

none

Prima si deve creare un account su crosrv01 per poter accogliere il dominio CROMEN: 

net rpc trustdom add CROMEN password -Uadministrator%arabafenice

Se dà l'errore: 

[2006/03/10 10:28:54, 0] utils/net_rpc.c:rpc_trustdom_add_internals(4422)
 Could not set trust account password: NT_STATUS_ACCESS_DENIED

Verificare che sia stato creato l'account unix: 

cat /etc/passwd | grep 'cromen\$'
cromen$:x:1117:100::/home/cromen$:

Verificare l'account Samba: 

pdbedit -Lw CROMEN\$
cromen$:1117:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[DU         ]:LCT-00000000:

Il problema è che l'account è disabilitato, ed è un account user.

Abilitarlo, sena inserire NESSUNA PASSWORD (invio): 

smbpasswd -e cromen\$
New SMB password:
Retype new SMB password:
Enabled user cromen$.


Trasformarlo in account di Interdomani Trust: 

smbpasswd -ei cromen
Enabled user cromen$.

Verificarlo: 

pdbedit -Lw CROMEN\$
cromen$:1117:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:[I          ]:LCT-441153B0:

Verificare ora se CROMEN appare nella lista dei trusting domains: 

net rpc trustdom list -Uadministrator%arabafenice
Trusted domains list:

none

Trusting domains list:

CROMEN              S-1-5-21-554765556-2967324569-2728440080

Se si usa User Manager for domains, ora lo si vede anche lì in Policies ... Trust Relationships (certo che non funzionava crearlo da lì...)

Fare la stessa cosa sul PDC2

Attivazione del TRUST

Sul PDC1, battere invio quando viene chiesta la password: 

net  rpc trustdom establish CROMEN
Password:
Could not connect to server CROSRV02
Trust to domain CROMEN established

Verificare: 

net rpc trustdom list -Uadministrator%arabafenice
Trusted domains list:

CROMEN              S-1-5-21-554765556-2967324569-2728440080

Trusting domains list:

CROMEN              S-1-5-21-554765556-2967324569-2728440080

Sul PDC2 battere invio quando viene chiesta la password: 

net  rpc trustdom establish CROSS
Password:
Could not connect to server CROSRV01
Trust to domain CROSS established

Verificare: 

net rpc trustdom list -Uadministrator%muuocugd
Trusted domains list:

CROSS               S-1-5-21-2127181584-2096053586-1845911597

Trusting domains list:

CROSS               S-1-5-21-2127181584-2096053586-1845911597


Ora è possibile accedere ad entrambi i domini senza che venga richiesta la password, se si è autenticati in uno.

Cioè gli account di un dominio valgono anche in quello di un altro.


Riferimenti

Retrieved from "https://kb.rvmgroup.it/index.php?title=Trust_di_due_domini_Samba&oldid=1485"