Администрирование контроллера RODC

При присоединении к домену Эллес для контроллера может быть выбрана роль RODC (Read-Only Domain Controller).

Для администрирования контроллера RODC в домене Эллес с помощью утилиты samba-tool используется группа подкоманд rodc.

При выполнении операций с помощью группы подкоманд rodc рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Особенности контроллера RODC

Контроллер RODC имеет следующие отличия от обычных контроллеров домена, присоединенных в роли DC:

  • копия базы данных службы каталогов на контроллере RODC доступна только для чтения;

  • контроллер RODC не реплицирует данные на другие контроллеры домена (используется односторонняя репликация);

  • контроллер RODC хранит полную копию базы данных службы каталогов, за исключением хешей паролей объектов и других атрибутов, содержащих «чувствительную» информацию;

  • контроллер RODC перенаправляет запросы на аутентификацию от пользователей на ближайший обычный контроллер;

  • контроллер RODC может кэшировать учетные данные некоторых пользователей для ускорения процесса аутентификации и обеспечения возможности авторизации при отсутствии связи с обычными контроллерами;

  • служба DNS на контролере RODС работает только на чтение.

Предварительная загрузка данных учетных записей

Для предварительной загрузки данных учетных записей на контроллере RODC в домене Эллес используется следующий формат вызова:

samba-tool rodc preload (<SID>|<DN>|<accountname>)+ ... [options]

Подкоманда запускает процесс репликации данных указанных объектов с переданного в параметре --server обычного контроллера домена.

Для идентификации объектов могут использоваться идентификаторы безопасности (SID), DN или имена учетных записей SAM (samAccountName).

Для передачи списка объектов может использоваться:

  • перечисление объектов списком через пробел;

  • файл (одна строка соответствует одному объекту);

  • stdin (одна строка соответствует одному объекту).

Параметры

Параметры вызова:

  • --server=SERVER — обычный контроллер домена, который будет выступать источником данных при репликации;

  • --file=FILE — имя файла со списком реплицируемых объектов либо - для ввода списка через стандартный поток ввода (stdin);

  • --ignore-errors — игнорировать ошибки репликации при загрузке нескольких объектов;

  • --force — отключение локальной проверки возможности репликации объекта (по умолчанию проверка включена).

    Параметр позволяет игнорировать значения атрибутов msDS-RevealOnDemandGroup (определяет список субъектов безопасности, для которых разрешено кэширование паролей на RODC) и msDS-NeverRevealGroup (определяет список субъектов безопасности, для которых запрещено кэширование паролей на RODC) при определении возможности кэширования пароля субъекта безопасности на контроллере домена RODC.

Примеры

Пример тестирования репликации пароля пользователя на контроллере RODC после присоединения:

  1. На обычном контроллере домена (DC1 в данном примере) создается пользователь в группе Allowed RODC Password Replication Group. Пароли участников данной группы разрешено реплицировать на контроллеры RODC.

  2. На контроллере RODC выполняется команда:

    samba-tool rodc preload ivanov --server=dc1.samdom.example.com
Replicating DN CN=Иван Иванов,CN=Users,DC=samdom,DC=example,DC=com
Exop on[CN=Иван Иванов,CN=Users,DC=samdom,DC=example,DC=com]
objects[1] linked_values[0]