На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Объединенное медицинское IT-решение, создаваемое при участии «Ростелекома», внедрено в 37 регионах страны, а отдельные компоненты присутствуют практически в каждом субъекте, сказал в четверг первый вице-президент ПАО «Ростелеком» Владимир Кириенко на форуме «Взгляд в цифровое будущее». «Совместно с компанией Ростехнологии мы участвуем в создании единого цифрового контура в здравоохранении. Мы разрабатываем новую платформу, которая позволит создавать новые сервисы для медицины. С этой целью мы объединили ли... 
Для общественного обсуждения опубликован проект приказа об утверждении порядка взаимодействия Минкомсвязи с федеральными органами исполнительной власти, руководство деятельностью которых осуществляет правительство Российской Федерации, при осуществлении централизованных закупок офисного программного обеспечения, программного обеспечения в сфере информационной безопасности и услуг, связанных с сопровождением и технической поддержкой офисного программного обеспечения. Проектом приказа предлагается установить... 
Федеральная служба по надзору в сфере транспорта России (Ространснадзор) определила победителя аукциона на поставку и внедрение отечественного или открытого программного обеспечения для IT-инфраструктуры ведомства, сейчас работающей на софте Microsoft, пишет CNews. Начальная (максимальная) цена контракта составляла 26,9 миллиона рублей. Победитель – компания «Инфолэнд» - выиграла с предложением 26,6 миллиона. Теперь «Инфолэнду» предстоит поставить и внедрить необходимый софт до 23 декабря 2019 года. Номенк... 
Подписан протокол заседания рабочей группы Государственного совета Российской Федерации по направлению «Коммуникации, связь, цифровая экономика», состоявшегося в ходе проведения VII Всероссийского форума региональной и муниципальной информатизации «ПРОФ-1Т.2019» в Белгороде 12 сентября 2019 года. Напомним, на заседании председательствовали руководитель рабочей группы - губернатор Московской области Андрей Воробьев и полномочный представитель президента Российской Федерации в Центральном федеральном округе ... 
Группа компаний Astra Linux и компания Huawei заключили соглашение о сотрудничестве с целью разработки совместных комплексных решений на территории Российской Федерации, сообщает Astra Linux. Партнерство было ознаменовано подписанием сертификата совместимости флагманских продуктов компаний. По результатам испытаний была подтверждена корректность функционирования серверов Huawei TaiShan 100/200 2280 в среде операционной системы Astra Linux релиз «Новороссийск». Ранее, напомним, совместимость своих продуктов... 
Власти Пермского края передали права на использование Единой краевой автоматизированной системы открытого правительства Пермского края – проекта «Управляем вместе» – Оренбургской области и Ставропольскому краю, сообщает региональное министерство информационного развития и связи. Как писал D-Russia.ru, в июле этого года аналогичные соглашения о передаче прав на использование системы «Управляем вместе» были подписаны с Забайкальским краем, Республикой Саха (Якутия) и Нижегородской областью. Портал «Управляем... 
Компании «Базальт СПО» и Huawei подписали сертификат совместимости операционных систем «Альт Сервер» v.9 и «Альт Сервер Виртуализация» с серверами Huawei TaiShan 100/200 2280 на архитектуре ARMv8 64 бит. Компании также заключили договор о долгосрочном технологическом сотрудничестве, в ходе которого предполагается продолжение работы по портированию ОС «Альт» на вычислительную технику Huawei, сообщает «Базальт СПО». В настоящее время «Базальт СПО» и Huawei уже ведут совместную работу по формированию экосисте... 
В Единый реестр российских программ для электронных вычислительных машин и баз данных 20 сентября добавлены 154 новых продукта, соответствующий приказ Минкомсвязи опубликован на сайте реестра. По решению Экспертного совета по программному обеспечению при Минкомсвязи РФ во включении в реестр отказано 49 программным продуктам. Напомним, во вторник был опубликован приказ Минкомсвязи о внесении изменения в Классификатор программ для электронных вычислительных машин и баз данных. Документом раздел 4 Классификат... 
На официальном портале правовой информации во вторник опубликован приказ Минкомсвязи о внесении изменения в Классификатор программ для электронных вычислительных машин и баз данных. Документом раздел 4 Классификатора («Прикладное программное обеспечение») дополняется новым классом – «Специализированное ПО органов исполнительной власти Российской Федерации, государственных корпораций, компаний и юридических лиц с преимущественным участием Российской Федерации для внутреннего использования». Описание класса ... 
Компании ЭОС и НТЦ ИТ РОСА (разработчик системного ПО) подписали соглашение о технологическом партнерстве, сообщают компании. По условиям партнерства планируется более тесное взаимодействие специалистов компаний, разработка специализированных комплексных решений, а также регулярное проведение испытаний по совместимости продуктов. К настоящему моменту завершено тестирование системы электронного документооборота «ДЕЛО-Web» и линейки операционных и линейки операционных систем РОСА (создана на базе Linux и пре... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2019
Работает система управления сайтом «Публикатор 1.7» © 2004−2019
   
  Дилинговый центр - что выбрать? - https://vizerunok.com.ua/ лучшие обзоры . Ответы где отметить детский день рождения здесь. . Загрузить курсы и тесты Олимпокс в смартфон