Управление силосами политик аутентификации

Для работы с силосами политик аутентификации (authentication policy silo) с помощью утилиты samba-tool используется группа подкоманд domain auth silo.

Общие сведения

Силосы объединяют учетные записи пользователей, компьютеров и сервисов для применения к ним политик аутентификации. Одна учетная запись может принадлежать только одному силосу.

В рамках силоса ко всем типам учетных записей может применяться одна и та же политика аутентификации либо для каждого типа учетных записей может быть задана своя политика (см. подробнее о политиках аутентификации и работе с ними в разделе «Управление политиками аутентификации»).

Получение списка силосов политик аутентификации в домене

Формат вызова:

samba-tool domain auth silo list [-H <URL>] [options]

Подкоманда выводит простой список силосов политик аутентификации, доступных в контейнере CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=domain,DC=name, либо (при передаче параметра --json) — подробную информацию по каждому из настроенных силосов в формате JSON.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--json — вывод атрибутов силосов политик аутентификации в формате JSON.

Примеры

Пример получения списка силосов политик аутентификации в домене:

samba-tool domain auth silo list \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
AuthSilo1
AuthSilo2
AuthSilo3

Получение информации о силосе политик аутентификации

Формат вызова:

samba-tool domain auth silo view [-H <URL>] [options]

Подкоманда выводит атрибуты силоса политик аутентификации с указанным CN (--name) в формате JSON.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME (обязательный) — CN силоса политик аутентификации, атрибуты которого требуется вывести.

Примеры

Пример получения атрибутов силоса политик аутентификации:

samba-tool domain auth silo view \
   --name=AuthSilo1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
{
  "cn": "AuthSilo1",
  "distinguishedName": "CN=AuthSilo1,CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com",
  "dn": "CN=AuthSilo1,CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com",
  "instanceType": 4,
  "msDS-AuthNPolicySiloEnforced": true,
  "msDS-AuthNPolicySiloMembers": [
    "CN=User1,CN=Users,DC=samdom,DC=example,DC=com",
    "CN=User2,CN=Users,DC=samdom,DC=example,DC=com"
  ],
  "msDS-ComputerAuthNPolicy": "CN=AuthPolicy3,CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com",
  "msDS-ServiceAuthNPolicy": "CN=AuthPolicy3,CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com",
  "msDS-UserAuthNPolicy": "CN=AuthPolicy3,CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com",
  "name": "AuthSilo1",
  "objectCategory": "CN=ms-DS-AuthN-Policy-Silo,CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com",
  "objectClass": [
    "top",
    "msDS-AuthNPolicySilo"
  ],
  "objectGUID": "313bce1e-d72c-483b-aa27-731ac9d65e2c"
}

Создание силоса политик аутентификации

Формат вызова:

samba-tool domain auth silo create [-H <URL>] [options]

Подкоманда создает в контейнере AuthN Silos в каталоге новый силос политик аутентификации на основе переданных атрибутов.

Силос может создаваться в двух режимах:

в режиме аудита (--audit) — привязанные к силосу политики аутентификации фактически не применяются к объектам в домене; выполняется логирование потенциальных событий успешного или неуспешного выполнения аутентификации в соответствии с параметрами политик в силосе;

в режиме применения (--enforce) — привязанные к силосу политики аутентификации применяются к объектам в домене в соответствии с заданными параметрами (по умолчанию).

Режим работы силоса имеет более высокий приоритет, чем режим работы добавленных в него политик аутентификации. Таким образом, при создании силоса в режиме аудита добавленные в него политики будут также применяться в режиме аудита даже в том случае, если они созданы в режиме применения.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME(обязательный) — CN силоса политик аутентификации;
--description=DESCRIPTION — описание для силоса политик аутентификации;
защита силоса политик аутентификации от случайного удаления — одно из значений:
- --protect — запрет на удаление силоса политик аутентификации;
- --unprotect — снятие запрета на удаление силоса политик аутентификации;

режим применения политики аутентификации — одно из значений:

--audit — режим логирования потенциальных событий успешного или неуспешного выполнения аутентификации в соответствии с параметрами привязанных к силосу политик аутентификации;
--enforce — режим применения привязанных к силосу политик аутентификации;

--user-authentication-policy — CN политики аутентификации для применения к добавленным в силос учетным записям пользователей;
--computer-authentication-policy — CN политики аутентификации для применения к добавленным в силос учетным записям компьютеров;
--service-authentication-policy — CN политики аутентификации для применения к добавленным в силос сервисным учетным записям.

Примеры

Пример создания силоса политик аутентификации с указанием одной политики для всех типов учетных записей:

samba-tool domain auth silo create \
   --name=AuthSilo1 \
   --unprotect \
   --enforce \
   --user-authentication-policy=AuthPolicy1 \
   --computer-authentication-policy=AuthPolicy1 \
   --service-authentication-policy=AuthPolicy1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
Created authentication silo: AuthSilo1

Изменение силоса политик аутентификации

Формат вызова:

samba-tool domain auth silo modify [-H <URL>] [options]

Подкоманда изменяет атрибуты силоса политик аутентификации с указанным CN (--name) в соответствии с переданными значениями.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME — CN силоса политик аутентификации;
--description=DESCRIPTION — описание для силоса политик аутентификации;
защита силоса политик аутентификации от случайного удаления — одно из значений:
- --protect — запрет на удаление силоса политик аутентификации;
- --unprotect — снятие запрета на удаление силоса политик аутентификации;

режим применения политики аутентификации — одно из значений:

--audit — режим логирования потенциальных событий успешного или неуспешного выполнения аутентификации в соответствии с параметрами привязанных к силосу политик аутентификации;
--enforce — режим применения привязанных к силосу политик аутентификации;

--user-authentication-policy — CN политики аутентификации для применения к добавленным в силос учетным записям пользователей;
--computer-authentication-policy — CN политики аутентификации для применения к добавленным в силос учетным записям компьютеров;
--service-authentication-policy — CN политики аутентификации для применения к добавленным в силос сервисным учетным записям.

Примеры

Пример изменения атрибута --computer-authentication-policy силоса политик аутентификации:

samba-tool domain auth silo modify \
   --name=AuthSilo1 \
   --computer-authentication-policy=AuthPolicy2 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
Updated authentication silo: AuthSilo1

Удаление силоса политик аутентификации

Формат вызова:

samba-tool domain auth silo delete [-H <URL>] [options]

Подкоманда удаляет силос политик аутентификации с указанным CN (--name), если для него не установлен атрибут --protect. Если при вызове команды передается параметр --force, выполняется принудительное удаление силоса политик аутентификации.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME (обязательный) — CN силоса политик аутентификации, который требуется удалить;
--force — принудительное удаление силоса политик аутентификации.

Примеры

Пример удаления силоса политик аутентификации:

samba-tool domain auth silo delete \
   --name=AuthSilo1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
Deleted authentication silo: AuthSilo1

Получение списка учетных записей, которым предоставлен доступ к силосу политик аутентификации

Формат вызова:

samba-tool domain auth silo member list [-H <URL>] [options]

Подкоманда выводит список DN учетных записей, которым предоставлен доступ к указанному силосу политик аутентификации (--name), либо (при передаче параметра --json) — список атрибутов для каждого из них в формате JSON. Список соответствует значению атрибута msDS-AuthNPolicySiloMembers силоса.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME(обязательный) — CN силоса политик аутентификации;
--json — вывод атрибутов учетных записей, которым предоставлен доступ к силосу политик аутентификации, в формате JSON.

Примеры

Пример получения списка DN учетных записей, которым предоставлен доступ к силосу политик аутентификации:

samba-tool domain auth silo member list \
   --name=AuthSilo1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
CN=User1,CN=Users,DC=samdom,DC=example,DC=com
CN=User2,CN=Users,DC=samdom,DC=example,DC=com

Предоставление доступа к силосу политик аутентификации

Формат вызова:

samba-tool domain auth silo member grant [-H <URL>] [options]

Подкоманда предоставляет доступ к силосу политик аутентификации (--name) указанной учетной записи (--member).

При выполнении операции проверяется, назначен ли силос учетной записи:

assigned — силос назначен;
unassigned — силос не назначен.

См. описание подкоманды назначения силоса учетной записи в подразделе «Назначение силоса политик аутентификации».

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME(обязательный) — CN силоса политик аутентификации;
--member=MEMBER(обязательный) — CN учетной записи, которой должен быть предоставлен доступ к силосу.

Примеры

Пример предоставления пользователю доступа к силосу политик аутентификации:

samba-tool domain auth silo member grant \
   --name=AuthSilo1 \
   --member=User1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
User User1 granted access to the authentication silo AuthSilo1 (assigned).

Отзыв доступа к силосу политик аутентификации

Формат вызова:

samba-tool domain auth silo member revoke [-H <URL>] [options]

Подкоманда отзывает доступ к силосу политик аутентификации (--name) у указанной учетной записи (--member).

При выполнении операции проверяется, назначен ли силос учетной записи:

assigned — силос назначен;
unassigned — силос не назначен.

Параметры

Параметры вызова:

-H URL|--URL=URL — адрес сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--name=NAME(обязательный) — CN силоса политик аутентификации;
--member=MEMBER(обязательный) — CN учетной записи, у которой должен быть отозван доступ к силосу.

Примеры

Пример отзыва у пользователя доступа к силосу политик аутентификации:

samba-tool domain auth silo member revoke \
   --name=AuthSilo1 \
   --member=User1 \
   -H ldap://dc01.samdom.example.com \
   --use-kerberos=required
User User1 revoked from the authentication silo AuthSilo1 (assigned).