На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Минкомсвязь опубликовала в четверг проект правил предоставления в 2019 году субсидии из федерального бюджета в виде имущественного взноса Российской Федерации в государственную корпорацию развития «ВЭБ.РФ» с целью последующего вклада в уставный капитал ООО «ВЭБ Инновации» для осуществления в 2019, 2020 и 2021 годах финансовой поддержки проектов по созданию и модернизации отечественного программного обеспечения в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экон... 
Группа компаний Astra Linux, разработчик российского рынка операционных систем, сообщает об успешном завершении инспекционного контроля операционной системы специального назначения Astra Linux Special Edition (релиз «Ленинград») для процессорной архитектуры «Эльбрус» без использования механизма бинарной трансляции в системах сертификации средств защиты информации Министерства обороны Российской Федерации и ФСБ России, сообщила пресс-служба ГК Astra Linux. Операционная система Astra Linux Special Edition (р... 
Минкомсвязь ввела в эксплуатацию Единый реестр программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза (ЕАЭС), сообщило министерство во вторник поздно вечером. Включение в реестр программных продуктов позволяет их правообладателям участвовать в госзакупках в России наравне с российскими компаниями. Об этом заявил глава министерства Константин Носков, выступая на втором Евразийском цифровом форуме EADF’2019 в Минске. В организацию ЕАЭС кроме России вх... 
В правила, которым должно соответствовать российское программное обеспечение, теперь включается новое требование: «гарантийное обслуживание, техническая поддержка и модернизация программного обеспечения осуществляются российской коммерческой или некоммерческой организацией без преобладающего иностранного участия либо гражданином Российской Федерации». [su_pullquote]Минкомсвязь намерена разрешить SaaS для госзакупок ПО – проект постановления правительства[/su_pullquote] Кроме того, дополнено требование - пр... 
Постановление правительства РФ от 29.03.2019 № 380 «О внесении изменений в государственную программу Российской Федерации «Развитие здравоохранения», опубликованное на минувшей неделе, вносит изменения в правила предоставления и распределения субсидий бюджетам субъектов Российской Федерации на реализацию региональных проектов «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ)». Согласно новым положениям: • при закупке товаро... 
Как стало известно D-Russia.ru в пятницу, групповой онлайн-чат для оперативного общения сотрудников Минкомсвязи и руководителей, отвечающих за IT и цифровое развитие в региональных правительствах, перенесён из мессенджера Telegram в TamTam. Министр цифрового развития, связи и массовых коммуникаций РФ Константин Носков и его заместитель Олег Пак открыли учётные записи в ТамТам 26 марта, затем в первых числах апреля за ними последовали около 30 региональных IT-министров. В Минкомсвязи от официальных коммент... 
Департамент Смоленской области по информационным технологиям решил задачу организации централизованного защищенного доступа в Интернет с использованием нескольких различных механизмов аутентификации пользователей и фильтрации содержимого информационного обмена. Техническим решением стало внедрение прокси-сервера Dozor Web Proxy, сообщает компания «Ростелеком-Solar». ДИТ Смоленской области является органом исполнительной власти в сфере ИТ, связи, по вопросам обеспечения предоставления государственных и муни... 
Группа компаний Astra Linux, ведущий разработчик российского рынка операционных систем, сообщила об успешном завершении внедрения ОС Astra Linux Special Edition в 353 учебных учреждениях Республики Крым в рамках проекта ФИС ФРДО (Федеральный реестр сведений документов об образовании и (или) о квалификации, документах об обучении). Проект спроектирован и реализован телекоммуникационной компанией «Миранда-медиа»совместно с министерством образования, науки и молодежи Республики Крым. Построенная сеть связывае... 
В 2019 году минимальный индикатор эффективности перехода на отечественное ПО составит 40%. (Здесь и далее для всех примеров будут использоваться положения приказа Минкомсвязи России от 04.07.2018 №335 для органов исполнительной власти субъектов Российской Федерации. Приказ Минкомсвязи России от 25.09.2017 №495 для федеральных органов исполнительной власти и приказ Минкомсвязи России от 20.09.2018 №486 для государственных компаний отличается принципами подсчёта индикаторов эффективности – в 2019 году для фе... 
Отечественные разработчики «РЕД СОФТ» и «Новые коммуникационные технологии» заключили соглашение о технологическом сотрудничестве, которое предусматривает поддержку совместимости продуктов. Специалисты компаний провели успешные испытания, подтвердив полноценную и бесперебойную работу программного продукта «Р7-Офис» на российской операционной системе «РЕД ОС», сообщают компании. «Р7-Офис. Профессиональный» - редакторы документов, таблиц и презентаций для госучреждений и образования. «Р7-Офис» предлагает шир... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2019
Работает система управления сайтом «Публикатор 1.7» © 2004−2019