Пятница, 19.04.2024, 06:24
Приветствую Вас Гость | RSS
Главная | Каталог статей | Регистрация | Вход
Меню сайта
Категории раздела
Разное [2]
Linux [17]
Windows [4]
Поиск
Облако тегов
Rdesktop RDP Active Directory Free Freeware mail server mail client Manitou-mail linux cluster GlusterFS ubuntu Сеть file system crypt LUKS шифрование Samba CIFS anonymous Windows e-mail hMailServer Mercury/32 mail Postfix PostfixAdmin CIM Pegasus WBEM WMI acl Owner subinacl PostgreSQL DBMail VirtualBox DRBD OCFS2 zimbra Zarafa email GroupOffice WebMail
Block title
[16.08.2010][Linux]
Шифрованная файловая система на основе LUKS (0)
[26.07.2010][Linux]
Замена сетевой карты в Ubuntu (0)
[18.12.2011][Linux]
CAD, CAM и CNC под Linux (0)
[16.08.2010][Linux]
Анонимная шара Samba (0)
[08.12.2010][Linux]
Установка и настройка DBMail + PostgreSQL (1)
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Block title
Продажа компьютеров и ноутбуков, прайс лист на комплектующие. периферия, мониторы, расходные материалы
Записки админа
Главная » Статьи » Linux
Создание файлового сервера на Samba с аутентификацией через Active Directory
Дано:
Linux машина на Ubuntu 9.10, Samba 3.4.0 (так же проверено на Ubuntu 10.04, samba 3.4.7)
Домен Windows 2003
Параметры: Админ - Administrator, Домен: domain.local, PDC: pdc.domain.local

Задача:
Создать файловый сервер с доступными для пользователей домена шарами.

Решение:
Для начала, обновляем список пакетов и саму систему до текущего состояния:
sudo apt-get update && sudo apt-get upgrade

Потом ставим необходимые пакеты:
# sudo apt-get install samba krb5-user winbind

Если керберос ставится первый раз, то появится окно конфигурации, в котором будут заданы несколько вопросов по нахождению сервера(ов) керберос и сервера паролей (в 10.04 меня спросили только про домен). Вписываем туда соответственно все контроллеры домена и контроллер с ролью PDC.

Все, подготовка закончена. Начинаем настраивать. Чтобы каждый раз не набирать sudo, переходим в админ-шелл:
# sudo -i

Итак, поехали. Для начала настраиваем керберос.
Правим файл настроек /etc/krb5.conf
Прописываем указанное, если его нет. Остальное пока не трогаем.

[libdefaults]
     default_realm = DOMAIN.LOCAL
..
[realms]
     DOMAIN.LOCAL = {
     admin_server = pdc.domain.local
     default_domain = domain.local
     }
[domain_realm]
     domain.local = DOMAIN.LOCAL
     .domain.local = DOMAIN.LOCAL


Получаем тикет керберос:
     # kinit Administrator
Password for Administrator@DOMAIN.LOCAL:
вводим пароль доменного админа

Проверяем полученный билет керберос:
     # klist

Если все в порядке, то мы получим список полученных/имеющихся у нас билетов.

Переходим к конфигурации самбы.
Открываем /etc/samba/smb.conf  и правим примерно так:

workgroup = DOMAIN
realm = DOMAIN.LOCAL
security = ads
# Добавляем себя любимых в админы:
admin users = DOMAIN\Administrator DOMAIN\Vasya
# Если не делаете PDC, перестраховываемся, указав:
domain logons = no
# Раскомментируем это:
idmap uid = 10000-20000
idmap gid = 10000-20000
# ...и это:
winbind enum groups = yes
winbind enum users = yes
# Добавляем автообновление тикетов:
winbind refresh tickets = yes

#Остальное, типа, socket options, printing и т.д. - по вкусу
# Дальше добавляем шары:
[SHARENAME]
  path = /opt/usershare
  read only = no
  browsable = yes
  guest ok = yes
  .. и т.д.

Проверяем что у нас получилось:
     # testparm
Заодно, можно эту инфу использовать для бэкапа настроек самбы, т.к. эта команда выводит только измененные относительно установок по умолчанию параметры.

Если с конфигом самбы все в порядке, добавляем машину в домен:
     # net ads join -U Administrator
     Enter Administrator's password:

Проверяем:
     # net ads info

И еще один шаг, который я периодически забываю сделать - редактирование файла /etc/nsswitch.conf, в котором хранится информация о службах, отвечающих за аутентификацию. Если не прописать туда winbind, предыдущие команды будут правильно отображать пользователей и группы из домена, но сама система о них ничего знать не будет и залогиниться на шары этого сервера будет невозможно.

Итак, правим /etc/nsswitch.conf:
     passwd:        compat  winbind
     group:          compat  winbind
Делаем финальный рестарт служб с соблюдением порядка:
     # /etc/init.d/winbind stop
     # /etc/init.d/samba restart
     # /etc/init.d/winbind start

Проверяем работу winbind по нахождению пользователей домена
     # wbinfo -u
..должен отобразиться список пользователей домена (в том числе доверительных, если есть)
     # wbinfo -g
..соответственно отображает группы


И проверяем разрешение имен пользователей домена в локальные:
     # id DOMAIN\\Administrator
..или весь список:
     # getent passwd

Теперь вроде все. Можно приступать к допиливанию самбы напильником до желаемого результата, например, прикручивания к шарам vfs-модулей.

PS. Не забываем выйти из админ-шелла...
Категория: Linux | Добавил: Admin (21.04.2010)
Просмотров: 4396 | Теги: Active Directory, ubuntu, Samba, linux, CIFS | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Сделать бесплатный сайт с uCozCopyright MyCorp © 2024