SambaAD — различия между версиями
(Новая страница: «Внимание! Статья не завершена! ==Установка== *CentOS/Fedora yum install samba4 *Debian/Ubuntu apt -y install samba krb5-config…») |
|||
| Строка 1: | Строка 1: | ||
Внимание! Статья не завершена! | Внимание! Статья не завершена! | ||
| + | =Контроллер домена= | ||
==Установка== | ==Установка== | ||
*CentOS/Fedora | *CentOS/Fedora | ||
| Строка 146: | Строка 147: | ||
{{Attention|Для серверов, не внесённых в зону обратного просмотра DNS, авторизация через nslcd по GSSAPI будет вылетать с диагностикой: <source lang="text">Local error: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)</source>}} | {{Attention|Для серверов, не внесённых в зону обратного просмотра DNS, авторизация через nslcd по GSSAPI будет вылетать с диагностикой: <source lang="text">Local error: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)</source>}} | ||
| + | |||
| + | =Клиент= | ||
| + | Проверьте соединение с Samba 4: | ||
| + | |||
| + | [root@centos7 ~]# realm discover my.domain | ||
| + | my.domain | ||
| + | type: kerberos | ||
| + | realm-name: my.domain | ||
| + | domain-name: my.domain | ||
| + | configured: kerberos-member | ||
| + | server-software: active-directory | ||
| + | client-software: sssd | ||
| + | required-package: oddjob | ||
| + | required-package: oddjob-mkhomedir | ||
| + | required-package: sssd | ||
| + | required-package: adcli | ||
| + | required-package: samba-common-tools | ||
| + | login-formats: %U | ||
| + | login-policy: allow-realm-logins | ||
| + | [root@centos7 ~]# | ||
| + | |||
| + | Присоединение к домену. | ||
| + | |||
| + | [root@centos7 ~]# realm join my.domain | ||
| + | Password for Administrator: | ||
| + | [root@centos7 ~]# | ||
| + | |||
| + | Проверьте, способны ли мы получить пользователя от samba4.. | ||
| + | |||
| + | [root@centos7 ~]# id SUNIL\\testuser | ||
| + | uid=1570001104(testuser@my.domain) gid=1570000513(domain users@my.domain) groups=1570000513(domain users@my.domain) | ||
| + | [root@centos7 ~]# | ||
| + | |||
Источники: [https://www.altlinux.org/SambaDC altlinux.org] [http://www.samba4.ru/?p=8 samba4.ru] | Источники: [https://www.altlinux.org/SambaDC altlinux.org] [http://www.samba4.ru/?p=8 samba4.ru] | ||
{{Samba}} | {{Samba}} | ||
Версия 01:27, 10 января 2020
Внимание! Статья не завершена!
Содержание
[убрать]Контроллер домена
Установка
- CentOS/Fedora
yum install samba4
- Debian/Ubuntu
apt -y install samba krb5-config winbind smbclient
- ALT Linux
apt-get install task-samba-dc
Так как Samba в режиме контроллера домена (Doman Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, несовместимый с MIT Kerberos, перед установкой остановите конфликтующие службы krb5kdc, slapd и Шаблон:Cmd:
for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done
Настройка
Восстановление к начальному состоянию samba
Очищаем базы и конфигурацию Samba (если уже создавался домен):
rm -f /etc/samba/smb.conf rm -rf /var/lib/samba rm -rf /var/cache/samba mkdir -p /var/lib/samba/sysvolОбязательно удаляйте /etc/samba/smb.conf перед созданием домена:
rm -f /etc/samba/smb.conf
Выбор имени домена
Имя домена для разворачиваемого DC должно состоять минимум из двух компонентов, разделённых точкой.
При этом должно быть установлено правильное имя узла и домена для сервера:
- HOSTNAME=dc.git.ru в /etc/sysconfig/network
- # hostname dc.git.ru
- # domainname git.ru
Внимание! При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon.
Создание домена одной командой
Создание контроллера домена git.ru с паролем администратора Pa$$word:
samba-tool domain provision --realm=git.ru --domain school --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --use-rfc2307
Интерактивное создание домена
У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.
В примере показано создание домена git.ru.
Запустите Шаблон:Cmd:
# samba-tool domain provision Realm [SCHOOL.ALT]: Domain [SCHOOL]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: Administrator password: Retype password:
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).
Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Запуск службы
Установите службу по умолчанию и запустите её:
chkconfig samba on service samba start
Настройка Kerberos
Откройте от имени суперпользователя файл /etc/krb5.conf.
Раскомментируйте строку "default realm" и введите название области.
Ниже, под строкой [realms] вместо EXAMPLE.COM введите название области, а вместо example.com в "default domain" введите IP-адрес сервера с Samba.
Под строкой [domain_realm] example.com и EXAMPLE.COM замените на ваш домен сохраняя регистр.
Проверка работоспособности
1. Общая информация о домене:
# samba-tool domain info 127.0.0.1 Forest : school.alt Domain : school.alt Netbios domain : SCHOOL DC name : c228.school.alt DC netbios name : C228 Server site : Default-First-Site-Name Client site : Default-First-Site-Name
2. Просмотр предоставляемых служб:
# smbclient -L localhost -U administrator
Enter administrator's password:
Domain=[SCHOOL] OS=[Unix] Server=[Samba 4.0.21]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.21)
Domain=[SCHOOL] OS=[Unix] Server=[Samba 4.0.21]
Server Comment
--------- -------
Workgroup Master
--------- -------
SCHOOL.ALT C228
WORKGROUP HOST-153. Проверка конфигурации DNS
3.1 Убедитесь в наличии nameserver 127.0.0.1 в Шаблон:Path:
host school.alt
3.2 Проверяем имена хостов:
- адрес _kerberos._udp.*адрес домена с точкой
# host -t SRV _kerberos._udp.school.alt. _kerberos._udp.school.alt has SRV record 0 100 88 c228.school.alt.
- адрес _ldap._tcp.*адрес домена с точкой
# host -t SRV _ldap._tcp.school.alt. _ldap._tcp.school.alt has SRV record 0 100 389 c228.school.alt.
- адрес хоста.*адрес домена с точкой
# host -t A c228.school.alt. c228.school.alt has address 192.168.1.1
Если имена не находятся, проверяйте выключение службы Шаблон:Cmd.
4. Проверка Kerberos: Шаблон:Attention
# kinit administrator Password for administrator@SCHOOL.ALT: Warning: Your password will expire in 41 days on Вт 11 ноя 2014 08:58:30
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SCHOOL.ALT
Valid starting Expires Service principal
30.09.2014 10:23:54 30.09.2014 20:23:54 krbtgt/SCHOOL.ALT@SCHOOL.ALT
renew until 01.10.2014 10:23:45Клиент
Проверьте соединение с Samba 4:
[root@centos7 ~]# realm discover my.domain my.domain
type: kerberos realm-name: my.domain domain-name: my.domain configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U login-policy: allow-realm-logins
[root@centos7 ~]#
Присоединение к домену.
[root@centos7 ~]# realm join my.domain Password for Administrator: [root@centos7 ~]#
Проверьте, способны ли мы получить пользователя от samba4..
[root@centos7 ~]# id SUNIL\\testuser uid=1570001104(testuser@my.domain) gid=1570000513(domain users@my.domain) groups=1570000513(domain users@my.domain) [root@centos7 ~]#
Источники: altlinux.org samba4.ru
Samba  | |||
|---|---|---|---|
| Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
| Служба каталогов | |||
| Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
| Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
| Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
| Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
| Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
| Информация | SSSD vs Winbind • Установка Samba | ||
