Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации

Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации Хостинг
На чтение 21 мин Просмотров 58 Опубликовано
Содержание
  1. Настройка Samba с интеграцией в AD через sssd
  2. Исходные данные
  3. Назначение
  4. Описание возможных параметров Назначения
  5. Назначение Samba в интерактивном режиме
  6. Назначение Samba в автоматическом режиме
  7. Параметры описанного стенда
  8. Материалы для дальнейшего изучения
  9. Настройка Samba AD DC
  10. Создание реверсивных зон
  11. Подключение к домену
  12. Some Pre-requisites
  13. Некоторые опции Samba
  14. Hosts allow
  15. Hosts deny
  16. Interfaces
  17. Force User/Group
  18. Установка пакетов.
  19. Использование контроллера домена как файлового сервера
  20. Сетевая корзина
  21. Установка Samba
  22. Задача
  23. Using SSSD
  24. Установка и запуск Samba
  25. Настройка хостов — участников домена для входа доменных пользователей
  26. Подготовительные команды
  27. Test
  28. Если Samba уже была установлена (настроена)
  29. Подготовка к инсталляции

Настройка Samba с интеграцией в AD через sssd

Устанавливаем сам файловый сервер самба.

# yum install samba

Рисуем ему примерно такой конфиг.

# cat /etc/samba/smb.conf

Запускаем службу smb.service и добавляем в автозагрузку.

# systemctl start smb.service
# systemctl enable smb.service

Теперь идем проверять подключение к сетевому диску с какой-нибудь виндовой машины. Здесь меня ждало полное разочарование. Ничего не работало. Я бился над решение проблемы примерно 2 дня, но не смог победить. Перелопатил весь гугл по запросу «sssd samba», но не смог заставить работать эту связку.

Через поиск нашел как людей, которые бились над решением проблемы с теми же ошибками, что и у меня, так и тех у кого все работало нормально. Я проверил все гайды и конфиги, где люди говорили, что такая связка работает, но у меня она все равно не работала. Видел сообщения людей, которые так же как я, не смогли победить ошибки. Думаю, проблема кроется в различных версиях софта.

Мне стало жаль тратить время на поиски готового решения с sssd, хотя мне очень хотелось получить рабочий вариант, так как с winbind достаточно часто возникают проблемы. Я надеялся от них избавиться переходом на sssd, но не получилось. Статью не стал переделывать, сохранив то, что уже настроил. Может быть у вас заработает.

Попутно узнал, что sssd не поддерживает NTLM авторизацию, только kerberos. Я не знаю, по какой причине, но у меня самба, судя по логам, упорно пыталась авторизовать пользователя по ntlm. В итоге, я прекратил попытки и вернулся к старому проверенному варианту с winbind. Далее расскажу, как настроить файловый сервер samba для работы в домене windows с помощью winbind.

Исходные данные

Для понимания того, что тут будет происходить, настоятельно рекомендую ознакомиться с о статьями:

Созданный ниже сервер вполне неплохо справлялся со своими задачами на следующей железке с конфигурацией: CPU 800Mhz, ОЗУ 384Мб, HDD 100Гб.

Конфигурируемая сеть будет иметь следующие параметры:

  • имя домена NT4: domain
  • имя сервера — контроллера домена: samba
  • ip и маска интерфейса сервера: 192.168.3.1/24
  • клиенты будут получать сетевые настройки по DHCP.
  • сетевые имена будут выдаваться WINS сервером, которого для маленькой сети без доступа в интернет вполне предостаточно
  • хранилищем аутентификационных данных пользователей будет файл /etc/passwd (+shadow) и база паролей samba — smbpasswd
  • доступ к ресурсам сервера будет осуществляться на основе прав доступа пользователей и групп UNIX, присоединенных (to map или примапленных) к учетным данным SAMBA (читай — Windows).

Назначение

Назначение выполняется с помощью команды samba-tool domain provision. Эта команда поддерживает возможность выполнения настроек в интерактивном или автоматическом режимах. Подробности см.:

samba-tool domain provision —help

При создании нового домена AD рекомендуется сразу включить так называемые расширения NIS (NIS extensions), передав инструменту samba-tool domain provision параметр  —use-rfc2307.Это позволит хранить в AD специфические атрибуты Unix:

  • Числовые идентификаторы пользователей (UID);
  • Пути у домашним каталогам;
  • Идентификаторы групп.

Включение расширений NIS при установке не влечёт за собой никаких отрицательных побочных эффектов, а их включение в существующем домене требует ручного расширения схемы AD.

Подробности см. в:

Описание возможных параметров Назначения

При Назначении будут применяться следующие параметры:

Другие параметры, часто используемые в команде samba-tool domain provision:

—option=»interfaces=lo eth0″ —option=»bind interfaces only=yes»:  Если сервер имеет несколько сетевых интерфейсов, используйте эти параметры для привязки Samba к нужным интерфейсам. Это позволить команде samba-tool зарегистрировать корректный сетевой адрес  при настройке.

  • Не используйте NONE как службу DNS,  эта возможность больше не поддерживается;
  • При использовании в качестве службы DNS службы BiIND, не используйте вариант BIND9_FLATFILE,  эта возможность больше не поддерживается;
  • После назначения первого DC в домене AD не настраивайте больше таким способом никакие другие DC в этом домене, используйте процедуру присоединение (Join) для настройки остальных DC.

Назначение Samba в интерактивном режиме

Для выполнения Назначения в интерактивном режиме выполнить команду:

sudo samba-tool domain provision —use-rfc2307 —interactive

# Настройка автоматического запуска доменной службы Samba sudo systemctl unmask samba-ad-dcsudo systemctl enable samba-ad-dc

# Запуск доменной службы Samba sudo systemctl start samba-ad-dc

В процессе Назначения должен произойти примерно такой диалог:

Интерактивный режим настройки поддерживает различные параметры  команды samba-tool domain provision, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.

Назначение Samba в автоматическом режиме

Для примера назначения Samba в автоматическом режиме используем следующие параметры:

  • Роль сервера: dc
  • Расширения NIS: включены
  • Служба DNS: внутренний DNS
  • Область Kerberos и зона DNS AD: samdom.example.com
  • Имя домена для NetBIOS: SAMDOM
  • Пароль администратора: Passw0rd
  • Используется сеть 10.0.2.0/24
  • Адрес хоста Samba 10.0.2.254

Для указанных параметров команда назначения будет выглядеть так:

Параметры описанного стенда

Устанавливаем необходимы пакеты:

Для правильной работы kerberos необходима точная синхронизация времени с контроллером домена. Открываем файл /etc/ntp.conf, комментируем все теги server и добавляем наш контроллер домена:

Добавляем в автозапуск и запускаем сервис ntpd:

127.0.0.1            localhost
# IP сервера NetBios-имя DNS-имя
192.168.10.25        srv-smb  srv-smb.mydomain.local

Приводим файл /etc/krb5.conf к следующему виду:

Получаем тикет от контроллера домена:

Проверяем полученный тикет:

Устанавливаем необходимые пакеты:

Приводим файл /etc/samba/smb.conf к следующему виду:

global
dos charset = cp866 # Кодировка для работы с DOS-клиентами
unix charset = utf- # Кодировка для преобразования текстовых
# имен файлов, пользователей и групп между
# сервером и клиентом
display charset = utf- # Должен быть таким же как unix charset
workgroup = MYDOMAIN # Имя рабочей группы
realm = MYDOMAIN.LOCAL # Имя домена
netbios name = SRV-SMB # Имя сервера для NetBios
server string = Test File Server # Описание сервера
security = ADS # Указываем режим работы samba-сервера,
# как члена домена.
auth methods = winbind # Аутентификация через winbind
allow trusted domains = No # Запрещаем доступ к нашему серверу из
# других доменов и рабочих групп
password server = srv-dc.mydomain.local # Список контроллеров домена
server = No # Не использовать samba как сервер времени
domain master = No # Не использовать samba как мастер-браузер
# для домена
dns proxy = Yes # Если имя не найдено в WINS, разрешаем его
# поиск на DNS-сервере
ldap ssl = no
idmap uid = — # Определяем диапазон uid для сопоставления
# с SID пользователей домена
idmap gid = — # Определяем диапазон gid для сопоставления
# с группами домена
winbind enum = Yes # Разрешаем Winbind перечислять пользовате-
# лей домена
winbind enum = Yes # Разрешаем Winbind перечислять доменные

Читайте также:  Установка и настройка в Apache на Ubuntu виртуальных хостов | Установка Ubuntu Apache | REG.RU

winbind use default domain = Yes # Не использовать доменное имя при аутенти-
# фикации доменных пользователей.
winbind refresh tickets = Yes # Разрешаем winbind обновлять тикеты
sensitive = No # Отключаем чувствительность файлов к

 
# для каждой расшаренной папки необходимо составить свою секцию описания
data
path = mntdata # Путь к папке на сервере, у поль-
# зователя должны быть права на эту
# папку, чтобы он мог получить дос-
# туп к ней через samba
valid = # Список пользователей или групп
# которые могут подключаться к
# папке, по умолчанию это любой

 
list = # Cписок пользователей или групп
# с разрешением только на чтение
list = # Список пользователей или групп
# с разрешением на чтение и запись
 
only = No # Разрешаем запись
create mask = 0644
guest ok = Yes # Разрешаем подключение анонимных

Для проверки правильности конфигурационного файла у самбы есть замечательная утилита testparm:

Вводим сервер в домен:

Включаем в автозапуск и запускаем сервисы smb и winbind:

Редактируем файлик /etc/nsswitch.conf и добавляем после следующих строчек слово winbind. Этим действием мы указываем в каком порядке и где системе искать имена-пароли пользователей и групп.

passwd:     files winbind
shadow:     files winbind
group:      files winbind

Теперь сервер готов к работе.

Материалы для дальнейшего изучения

См.  Пользовательская документация

Настройка Samba AD DC

В конфигурационном файле Samba  /etc/samba/smb.conf необходимо добавить настройки службы winbind и разрешение авторизоваться через эту службу (добавленные строки выделены жирным шрифтом):

template shell = /bin/bash    winbind use default domain = true    winbind offline logon = false    winbind nss info = rfc2307

После внесения изменений проверить правильность конфигурации командой

И перезапустить службы samba.

Создание реверсивных зон

С помощью команды samba-tool dns zonecreate можно добавить необязательную зону реверсивного поиска:

Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.

Подключение к домену

Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD согласно инструкции.

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

Процедуры установки и настройки клиентов Kerberos см. Kerberos

Во время процедуры назначения Samba автоматически создает конфигурационный файл клиентов Kerberos, настроенный на создаваемый DC.

Это файл должен быть скопирован в рабочую конфигурацию Kerberos на всех хостах, входящих в домен.

В автоматически создаваемом файле конфигурации Kerberos для поиска доменного контроллера Kerberos (KDC) используются  сервисные записи (SRV). Для того, чтобы такая конфигурация работала корректно, в домене должна быть правильно настроена и работать служба, в том числе созданы файлы зон, в которых размещены соответствующие сервисные записи  (см. статью DNS-сервер BIND9).

Some Pre-requisites

Создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. Инструкция

Добавим в keytab-файл принципала сервиса «CIFS»:

Скопируем /etc/krb5.keytab в /etc/samba/:

cp /etc/krb5.keytab /etc/samba/

Укажем в /etc/samba/smb.conf путь к keytab-файлу:

dedicated keytab file = /etc/samba/krb5.keytab
kerberos method = dedicated keytab

Внимание! Убедитесь в том, что сервисы smb, nmb, sssd и nscd работают.

После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ.

Некоторые опции Samba

Рассмотрим некоторые полезные опции, которые могут пригодится при настройке Samba.

Hosts allow

Пример использования параметра.

hosts allow = comp1, 192.168.1., 192.168.160.0/255.255.252.0

* в нашем примере мы разрешим доступ только для компьютера comp1, компьютеров из сетей 192.168.1.0/24 и 192.168.160.0/22.

Hosts deny

Параметр аналогичный hosts allow, только он наоборот — запрещает доступ для хостов и сетей. Например:

hosts deny = comp2, 192.168.2., 192.168.164.0/255.255.252.0

hosts deny = ALL EXCEPT 192.168.3.

Interfaces

По умолчанию samba использует все сетевые интерфейсы, кроме локальной петли (127.0.0.1). Параметр interfaces позволит указать, на каком сетевом адаптере файловый сервер должен принимать запросы. Пример:

interfaces = ens32 192.168.1.15/24 192.168.2.15/255.255.255.0

Force User/Group

Прописывается для шары:

* данная настройка позволит подключаться к шаре под пользователем apache.

Установка пакетов.

Одной только Samba нам будет недостаточно. Для аутентификации пользователей понадобится Kerberos, о котором уже говорилось ранее, для синхронизации времени — NTP, для управления правами доступа — ACL (система, многим известная как «виндовые галочки»). Если в сети присутствуют принтеры, которыми нужно управлять удаленно, придется установить и настроить СUPS. Samba 4 содержит встроенный DNS с ограниченной функциональностью, поэтому я буду использовать именно его. Если требуется полноценный DNS-сервер, добавьте в список BIND.

Устанавливаем минимальный набор, необходимый для нашей задачи:

Пакет acl, вероятно, уже установлен у вас в системе, поскольку он входит в стандартный набор Ubuntu 16.04, 16.10 и 17.04. Весьма вероятно, что он никуда не денется и в следующих версиях.

Kerberos попросит указать область по умолчанию. Можно оставить поля пустыми, позже мы все равно получим сгенерированный автоматически конфиг Kerberos.

Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации

Использование контроллера домена как файлового сервера

Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчики Samba не рекомендуют использовать DC как файловый север по следующим причинам:

  • Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
  • Отсутствие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
  • Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
  • Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моменты времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
  • mandatory smb signing is enforced on the DC.
Читайте также:  Будьте в курсе: уведомления о триггерах Zabbix по электронной почте

Если вы изучаете возможность использовать Samba DC как файловый сервер, рассмотрите вместо этого возможность использовать на DC виртуальную машину VM, содержащую отдельного участника домена.

Если вы вынуждены использовать Samba DC как файловый сервер, помните, что виртуальная файловая система (virtual file system, VFS) позволяет настраивать разделяемые ресурсы только со списками управления доступом access (control lists, ACL) Windows.Разделяемые ресурсы с ACL POSIX на Samba DC не поддерживаются, и не работают.

Для предоставления сетевх разделяемых ресурсов с полными возможностями Samba, используйте  отдельного участника домена Samba.

Если у вас маленький домен (маленький офис, домашняя сеть), нет желания следовать рекомендациям разработчиков Samba, и  DC используется как файловый сервер, настройте Winbindd до начала настройки разделяемых ресурсов.Подробности см.: Configuring Winbindd on a Samba AD DC.

Сетевая корзина

При удалении файлов из общей папки, данные удаляются навсегда. Но мы можем настроить сетевую корзину — скрытый каталог, в который будут перемещаться удаляемые с самбы объекты.

Открываем конфигурационный файл:

  • vfs objects = recycle — использовать подсистему recycle.
  • recycle:repository — где хранить удаленные объекты. В данном примере удаленные файлы попадут в скрытый каталог .recycle к котором создастся каталог с именем пользователя, удалившего файл или папку.
  • recycle:keeptree — удалять объекты с сохранение дерева каталогов.
  • recycle:touch — изменить ли дату изменения файла при его перемещении в корзину.
  • recycle:versions — при удалении файлов с совпадающими именами, добавлять номер версии.
  • recycle:maxsize — не помещать в корзину файлы, размер которых больше заданного параметра (в байтах). В данном примере, помещать файлы любого размера.
  • recycle:exclude — исключить файлы.
  • recycle:exclude_dir — исключить каталог.

Создаем каталог и задаем права:

systemctl restart smb

Пробуем зайти в сетевой каталог Recycle и создать, а после удалить файл. Он должен оказаться к скрытой папке .recycle.

Для автоматической чистки сетевой корзины можно создать скрипт:

* в данном скрипте мы ищем все файлы в каталоге /data/recycle/.recycle, которые старше 30 дней и удаляем их.

Разрешаем запуск скрипта:

chmod +x /scripts/cleanrecycle.sh

Создаем задание в планировщике:

0 5 * * * /scripts/cleanrecycle.sh

* в данном примере мы будем запускать скрипт по очистке сетевой корзины каждый день в 05:00.

Установка Samba

Пакет samba входит в дистрибутивы Astra Linux, и может быть установлен с помощью Графический менеджер пакетов synaptic, или из командной строки командой

После установки пакета samba сервис smbd будет запущен автоматически с настройками «по умолчанию».

Отдельно установленный пакет samba может быть использован как файловый сервер или сервер печати. Для использования samba в качестве домена AD нужно установить пакет samba и дополнительные пакеты:

Обратите внимание — указанная команда устанавливает также и пакет bind9 — сервер DNS.

Задача

Настроить доменную авторизацию уровня NT4 в сети Windows. Организовать 2 группы пользователей с полным доступом к своим каталогам, одному пользователю предоставить полный доступ ко всем каталогам.

1. Настраиваем имя машины на samba

2. Добавляем запись для сервера samba в файл /etc/hosts (так же возможно добавление и других сетевых ресурсов, например принетров):

samba:~# cat /etc/hosts
127.0.0.1       localhost
192.168.3.1     samba

3. Устанавливаем пакеты samba и dhcp сервер.

4. Настраиваем сетевой интерфейс:

samba:~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 08:00:27:bf:0d:02
inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:febf:d02/64 Scope:Link
UP BROADCAST MULTICAST  MTU:1500  Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:89 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:356 (356.0 B)  TX bytes:13070 (12.7 KiB)

5. Настраиваем DHCP сервер в соответствии с конфигом:

6. Настраиваем конфиг SAMBA (например с помощью редактора vim) в соответствии со следующим содержимым:

В основном, все параметры были рассмотрены в прошлых статьях о SAMBA. В данном конфиге добавились следующие параметры:

  • name resolve order — указывает порядок разрешения имен (в нашем случае имена обнаруживаются сначала в WINS базе, затем через broadcast запрос, затем файл hosts),
  • logon script — задает путь загрузочного скрипта,
  • logon drive — заставляет подключить домашний каталог пользователя как диск Х:,
  • domain logons — это, собственно, и есть тот параметр, заставляющий самбу действовать как контроллер домена,
  • preferred master — заставляет самбу работать мастер браузером в своей рабочей группе,
  • interfaces — указывает самбе на каких интерфейсах работать (слушать о отвечать на запросы).

7. Добавляем пользователя root в базу smbpasswd:

Пароль root’а должен соответствовать паролю учетной записи UNIX. Данный пользователь будет администратором домена Windows NT4. Никогда не удаляйте эту учетную запись из базы smbpasswd после того, как будут инициализированы группы домена Windows. Если удалить эту учетную запись, система будет не функциональна и Samba не сможет больше управляться.

9. Создаем и присоединяем группы домена Windows к группам UNIX:

10.  Для каждого пользователя домена, необходимо создать его учетную запись в UNIX и SAMBA с ОДИНАКОВЫМИ ПАРОЛЯМИ И ИМЕНАМИ! А так же, пользователей необходимо добавить в соответствующие группы:

11. Подготавливаем набор каталогов общего доступа и назначаем прав и владельцев (если необходимо, можно подключить отдельный раздел и прописать в /etc/fstab для автоматического монтирования):

12. Устанавливаем запуск Samba и DHCP при старте системы и перезапускаем их теми способами, которые актуальны для вашей системы. На примере Debian:

Читайте также:  Сервера Майнкрафт с модами и лаунчером - мониторинг, ip адреса, топ серверов Minecraft

13. Настраиваем NSS (диспетчер разрешения имен, name service switch), чтобы обрабатывать разрешение имен, основанное на WINS:

На этом настройка закончена.

Using SSSD

Also, after CVE-2020-25717 patches, it is necessary to properly set up the idmap settings because fallback behavior ignoring the domain was removed.

  • Install required packages:# zypper in samba samba-winbind
  • Configure idmap settings:idmap config * : backend = tdb
    idmap config * : range = 10000-19999
    idmap config EXAMPLE : backend = nss
    idmap config EXAMPLE : range = 200000-2000200000

Установка и запуск Samba

Установка выполняется из репозитория одной командой:

dnf install samba

Разрешаем автостарт сервиса и запускаем его:

systemctl enable smb —now

И проверим, что сервис запустился:

systemctl status smb

Проверяем, что сервер самба позволяет к себе подключиться. Для этого можно с компьютера обратиться к серверу по SMB, например, на компьютере с Windows это можно сделать из проводника, прописав путь к серверу с двух слэшей:

Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации

Если мы настроили сервер правильно, система должна запросить пароль на подключение к Samba. Отказываемся его вводить. На данном этапе проверка закончена.

Разберем самый простой пример предоставления доступа к папке — анонимный доступ всем пользователям без запроса пароля.

Открываем на редактирование конфигурационный файл samba:

И добавляем настройку для общей папки:

  • path — путь на сервере, где будут храниться данные.
  • public — для общего доступа. Установите в yes, если хотите, чтобы все могли работать с ресурсом.
  • writable — разрешает запись в сетевую папку.
  • read only — только для чтения. Установите no, если у пользователей должна быть возможность создавать папки и файлы.
  • guest ok — разрешает доступ к папке гостевой учетной записи.
  • create mask, directory mask, force create mode, force directory mode — при создании новой папки или файла назначаются указанные права. В нашем примере права будут полные.

Создаем каталог на сервере и назначим права:

mkdir -p /data/public

chmod 777 /data/public

Применяем настройки samba, перезагрузив сервис:

Теперь создадим каталог, в который вход будет разрешен только авторизованным пользователям.

Открываем конфигурационный файл samba:

Добавляем настройку для новой папки:

* эти настройки, во многом, похожи на те, что использовались в примере выше. Вот основные различия:

  • path = /data/staff — используем новый путь до папки.
  • public = no — запрещаем публичный доступ.
  • guest ok = no — не разрешаем гостевое подключение.

Создаем каталог для новой папки:

Задаем права на созданный каталог:

chmod 777 /data/staff

Создаем пользователя в системе Linux:

* где staff1 — имя пользователя.

Задаем пароль для пользователя:

Теперь создадим пользователя в samba:

Если мы авторизованы на компьютере, с которого пытаемся подключиться к серверу, под той же учетной записью, что создали для доступа к папке, samba может и не потребовать аутентификации.

Теперь создадим папку, доступ к которой будут иметь ограниченное количество пользователей.

* стоит обратить внимание на следующие настройки:

  • path = /data/private — используем новый путь до папки.
  • writable = no и read only = yes — в данном примере мы разрешим запись в каталог только некоторым пользователям. Поэтому общие настройки, разрешающие запись в папку, должны быть запрещены.
  • inherit owner — опция позволяем включить наследование владельца при создании папок и файлов.

* если мы хотим, чтобы доступ к каталогу был полный у определенных пользователей (без разделения на тех, кто может только читать и тех, кто может также писать в папку), то опцию write list можно не указывать, а опции writable и read only оставить как в примерах выше.

chmod 777 /data/private

Для применения настроек перезапускаем samba:

Проверяем возможность работы с новым каталогом.

Настройка хостов — участников домена для входа доменных пользователей

По умолчанию, пользователи домена AD не могут выполнять вход в Linux-системы.Для обеспечения входа в Linux-системы с учетными записями  Active Directory необходимо внести следующие изменения в настройки Samba AD DC в настройки пользовательских компьютеров.

Создадим директорию на файл-сервере, куда будем предоставлять доступ доменным пользователям:

Изменим группу владельцев папки на доменных пользователей:

Установим пакет samba:

# apt-get install samba

Отредактируем /etc/samba/smb.conf, указав доступность папки:

Подготовительные команды

Перед Назначением останавливаем далее ненужные службы, запрещаем их запуск, и удаляем установленную по умолчанию конфигурацию Samba:

sudo systemctl stop winbind smbd nmbd krb5-kdcsudo systemctl mask winbind smbd nmbd krb5-kdcsudo rm /etc/samba/smb.conf

Test

This Support Knowledgebase provides a valuable tool for SUSE customers and parties interested in our products and solutions to acquire information, ideas and learn from one another. Materials are provided for informational, personal or non-commercial use within your organization and are presented «AS IS» WITHOUT WARRANTY OF ANY KIND.

< Back to Support Search

Если Samba уже была установлена (настроена)

Если Samba уже была установлена (настроена):

sudo systemctl stop smbd nmbd winbind krb5-kdcsudo systemctl mask smbd nmbd winbind krb5-kdc

  • Пакет (apt install winbind) называется winbind с одним ‘d’;
  • Сервис (sytemsctl status winbind) называется winbind с одним ‘d’;

LOCKDIR: /usr/local/samba/var/lock/STATEDIR: /usr/local/samba/var/locks/CACHEDIR: /usr/local/samba/var/cache/PRIVATE_DIR: /usr/local/samba/private/

Только полная очистка настроек поможет предотвратить ошибки, и гарантирует, что никакие файлы из предыдущей настройки Samba не попадут в новые настройки DC.

Подготовка к инсталляции

  • Выберите имя хоста для вашего AD DC. Не рекомендуется использовать в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 . Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;
  • Выберите DNS-имя для доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;Для создания домена AD используйте DNS-имя, которое не понадобится изменять. Samba не поддерживает переименование зон DNS AD и областей Kerberos.Назначьте хосту полное доменное имя (FQDN), например dc2.samdom.example.com:sudo hostnamectl set-hostname dc2.samdom.example.com
  • Используйте для контроллера домена статический адрес.  Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD;
  • Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Если в сети нет других серверов DNS, то файл /etc/resolv.conf должен указывать адрес самого сервера:search samdom.example.comnameserver 10.0.2.254
  • 127.0.0.1 localhost.localdomain localhost 10.0.2.254 DC.samdom.example.com DC
Оцените статью
Хостинги
© 2025 Хостинги