SambaAD
Внимание! Статья не завершена!
Содержание
[убрать]Установка
- CentOS/Fedora
yum install samba4
- Debian/Ubuntu
apt -y install samba krb5-config winbind smbclient
- ALT Linux
apt-get install task-samba-dc
Так как Samba в режиме контроллера домена (Doman Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, несовместимый с MIT Kerberos, перед установкой остановите конфликтующие службы krb5kdc, slapd и Шаблон:Cmd:
for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done
Настройка
Восстановление к начальному состоянию samba
Очищаем базы и конфигурацию Samba (если уже создавался домен):
rm -f /etc/samba/smb.conf rm -rf /var/lib/samba rm -rf /var/cache/samba mkdir -p /var/lib/samba/sysvolОбязательно удаляйте /etc/samba/smb.conf перед созданием домена:
rm -f /etc/samba/smb.conf
Выбор имени домена
Имя домена для разворачиваемого DC должно состоять минимум из двух компонентов, разделённых точкой.
При этом должно быть установлено правильное имя узла и домена для сервера:
- HOSTNAME=dc.git.ru в /etc/sysconfig/network
- # hostname dc.git.ru
- # domainname git.ru
Внимание! При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon.
Создание домена одной командой
Создание контроллера домена git.ru с паролем администратора Pa$$word:
samba-tool domain provision --realm=git.ru --domain school --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --use-rfc2307
Интерактивное создание домена
У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.
В примере показано создание домена git.ru.
Запустите Шаблон:Cmd:
# samba-tool domain provision Realm [SCHOOL.ALT]: Domain [SCHOOL]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: Administrator password: Retype password:
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).
Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Запуск службы
Установите службу по умолчанию и запустите её:
chkconfig samba on service samba start
Настройка Kerberos
Откройте от имени суперпользователя файл /etc/krb5.conf.
Раскомментируйте строку "default realm" и введите название области.
Ниже, под строкой [realms] вместо EXAMPLE.COM введите название области, а вместо example.com в "default domain" введите IP-адрес сервера с Samba.
Под строкой [domain_realm] example.com и EXAMPLE.COM замените на ваш домен сохраняя регистр.
Проверка работоспособности
1. Общая информация о домене:
# samba-tool domain info 127.0.0.1 Forest : school.alt Domain : school.alt Netbios domain : SCHOOL DC name : c228.school.alt DC netbios name : C228 Server site : Default-First-Site-Name Client site : Default-First-Site-Name
2. Просмотр предоставляемых служб:
# smbclient -L localhost -U administrator
Enter administrator's password:
Domain=[SCHOOL] OS=[Unix] Server=[Samba 4.0.21]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.21)
Domain=[SCHOOL] OS=[Unix] Server=[Samba 4.0.21]
Server Comment
--------- -------
Workgroup Master
--------- -------
SCHOOL.ALT C228
WORKGROUP HOST-153. Проверка конфигурации DNS
3.1 Убедитесь в наличии nameserver 127.0.0.1 в Шаблон:Path:
host school.alt
3.2 Проверяем имена хостов:
- адрес _kerberos._udp.*адрес домена с точкой
# host -t SRV _kerberos._udp.school.alt. _kerberos._udp.school.alt has SRV record 0 100 88 c228.school.alt.
- адрес _ldap._tcp.*адрес домена с точкой
# host -t SRV _ldap._tcp.school.alt. _ldap._tcp.school.alt has SRV record 0 100 389 c228.school.alt.
- адрес хоста.*адрес домена с точкой
# host -t A c228.school.alt. c228.school.alt has address 192.168.1.1
Если имена не находятся, проверяйте выключение службы Шаблон:Cmd.
4. Проверка Kerberos: Шаблон:Attention
# kinit administrator Password for administrator@SCHOOL.ALT: Warning: Your password will expire in 41 days on Вт 11 ноя 2014 08:58:30
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SCHOOL.ALT
Valid starting Expires Service principal
30.09.2014 10:23:54 30.09.2014 20:23:54 krbtgt/SCHOOL.ALT@SCHOOL.ALT
renew until 01.10.2014 10:23:45Источники: altlinux.org samba4.ru
Samba  | |||
|---|---|---|---|
| Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
| Служба каталогов | |||
| Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
| Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
| Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
| Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
| Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
| Информация | SSSD vs Winbind • Установка Samba | ||
