SambaGPO

Материал из Русский WINE
Перейти к: навигация, поиск

Групповые политики

Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию. Групповые политики в реализации Active Directory - это часть интегрированного решения.

Решения Samba

Политики применяются winbind с произвольным интервалом от 90 до 120 секунд. Политики могут быть применены принудительно с помощью команды samba-gpupdate --force. Чтобы включить управление групповой политикой в winbind, установите глобальный параметр apply group policies в значение yes.

apply group policies = yes

Чтобы настроить групповые политики Samba, сначала необходимо установить шаблоны ADMX, предоставляемые Samba.

samba-tool gpo admxload -U Administrator

Команда samba-tool gpo admxload скопирует шаблоны Samba ADMX в каталог <domain>/Policies/PolicyDefinitions на общем ресурсе SYSVOL.

Утилита GPO Applier

Разработчиками дистрибутива ALT Linux для применения групповых политик был создан инструмент GPO Applier. Он рассчитан на работу на машине, введённой в домен Samba.

Несмотря на то, что изначально инструмент создавался для ALT Linux, он может работать и в других дистрибутивах. Утилита опубликована под лицензией GNU GPL v3.0. [1][2]

Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:

Настройка Статус Комментарий
Установка домашней страницы браузера Firefox Экспериментальная Возможно установить при использовании ADMX файлов Mozilla Firefox: https://github.com/mozilla/policy-templates/releases
Установка домашней страницы браузера Chromium Экспериментальная Возможно установить при использовании ADMX файлов Google Chrome: https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
Запрет на подключение внешних носителей данных Стабильная Стандартные средства RSAT
Включение или выключение различных служб (сервисов systemd) Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Управление control framework Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Генерация ярлычков запуска программ Стабильная Стандартные средства RSAT. С некоторыми ограничениями. Также можно делать ярлычки типа URL и делать, например, URI-ссылки smb:// для открытия Samba shares.
Подключение сетевых дисков Экспериментальная Стандартные средства RSAT
Создание директорий Стабильная Стандартные средства RSAT

Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT.

Установка

ALT Linux

На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория 241549 (для p9) или 241548 (для Sisyphus):

  • oddjob-gpupdate
  • gpupdate

Подключение репозитория и установка производится командами:

apt-repo add 241549
apt-get update
apt-get install gpupdate

Другие дистрибутивы

?

Развёртывание

Включение работы групповых политик и выбор локальной политики по-умолчанию выполняется командой /usr/sbin/gpupdate-setup от пользователя с правами администратора:

gpupdate-setup enable

и перезагрузите рабочую машину.

Состав локальной политики

Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге /usr/share/local-policy/default. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Состав локальной политики может меняться или адаптироваться системным администратором.

Описание Комментарий
Включение oddjobd.service Необходимо для обеспечения возможности запуска gpupdate для пользователя с правами администратора.
Включение gpupdate.service Необходимо для регулярного обновления настроек машины.
Включение sshd.service Необходимо для обеспечения возможности удалённого администрирования.
Включение аутентификации с помощью GSSAPI для sshd Необходимо для аутентификации в домене при доступе через SSH.
Ограничение аутентификации для sshd по группам wheel и remote Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
Открытие порта 22 Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier.

Internals

Групповые политики кэшируются в файле /var/cache/gpupdate/registry.sqlite (можно просматривать его командой sqlite3).

Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

Код Значение
E00001 Недостаточно прав для запуска программы gpupdate. Необходимо повысить уровень привилегий.
E00002 Программа gpupdate не будет запущена из-за предыдущих ошибок.

Конфигурирование с помощью RSAT

У Samba нет собственного интерфейса для настройки политик. Настройки производятся с помощью Remote Server Administration Tools. На сервер/клиент ставятся Средства удаленного администрирования сервера, вы подключаетесь к SambaDC и производите настройку.

Управление сервером Samba с помощью RSAT поддерживается в настольных Vista/7/8/8.1/Windows 10 и серверных ОС Windows 2008/2008R2/2012/2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).

Скачать RSAT для конкретной ОС вы можете с social.technet.microsoft.com.

Примечание: Для задания конфигурации с помощью RSAT и утилиты gpupdate необходимо скачать ADMX файлы ("административные шаблоны") из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории \\<DOMAIN>\SYSVOL\<DOMAIN>\policies\PolicyDefinitions. Корректно установленные административные шаблоны будут отображены в оснастке Group Policy Management Editor в разделе Computer Configuration > Policies > Administrative Templates > ALT System


Gpme.png

При выборе опции из списка справа возможно задать конфигурацию службы или параметра:

Chrony config.png

Конфигурирование Firefox

Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция URL for Home Page, позволяющая задать URL домашней страницы при старте браузера.

Rsat-mozilla-firefox-admx.png

Источники: ALT Linux wiki, Samba wiki

Ссылки

Samba
Search.png
Файловое хранилище Samba как файловый серверПодключение общей папкиSamba как файловый сервер в доменеSMB+LDAP
Служба каталогов
Сервер Samba как служба каталогов (AD)Изменение IP-адреса ADРепликация сервера ADРезервное копирование и восстановлениеУправление пользователямиГрупповые политикиГрупповая политика паролей
Клиент Подключение клиента AD Через WinbindЧерез SSSD
Бэкэнды идентификаторов winbind idmap config tdbidmap config adidmap config rididmap config autorid
Прочее Samba как сервер печатиПроверка конфигурационного файлаУтилиты командной строки
Информация SSSD vs WinbindУстановка Samba