На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Импортозамещение
Предлагаем вашему вниманию текст, подготовленный руководителем ООО «Мигратех» Михаилом Дубовым и сотрудником ООО «ЦИБ» Евгением Поздериным. В соответствии с указом президента РФ от 07.05.2018 г. № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» правительство в рамках реализации с российскими регионами программы «Цифровая экономика» должно обеспечить «использование преимущественно […] Сообщение Миграция на отечественное ПО – это просто появились сначал... 
Для общественного обсуждения опубликован проект постановления, которым утверждаются методики расчета показателей для оценки эффективности деятельности высших должностных лиц (руководителей высших исполнительных органов государственной власти) субъектов РФ и деятельности органов исполнительной власти субъектов РФ за отчётный период (прошедший год), методики расчёта показателей на период до 2030 года включительно, в том числе на отчётный период (текущий год) […] Сообщение Минэкономразвития разработало методик... 
Голосовой переводчик с русского языка на эвенкийский AYANA, работающий на основе искусственного интеллекта, представили в Якутии в пятницу, сообщает министерство инноваций, цифрового развития и инфокоммуникационных технологий Республики Саха (Якутия). По словам создателя переводчика Николая Апросимова, на сегодня приложение может «переводить речь, шутить и включать эвенкийские песни». В ближайших планах – «научить» его правильно ставить ударения. […] Сообщение Русско-эвенкийский голосовой переводчик разрабо... 
Финал хакатона по разработке пользовательских интерфейсов на платформе голосового помощника «Алиса», который проводился компанией «Яндекс» совместно с министерством цифрового развития и информационно-коммуникационных технологий Новгородской области и Университетом 20.35, состоялся 12 февраля, сообщило министерство в пятницу. С 13 января по 12 февраля около 300 участников со всех регионов РФ придумывали для «Алисы» специализированные «новгородские» голосовые интерфейсы, […] Сообщение В Новгородской области п... 
В 2020 году компания «Базальт СПО» поставила более 110 тысяч лицензий операционных систем семейства «Альт» (в том числе – сертифицированных ФСТЭК России) организациям государственного и коммерческого секторов, основная доля поставок пришлась на объекты критической информационной инфраструктуры; общая стоимость лицензий составила 491,5 миллиона рублей, сообщает компания. Операционные системы семейства «Альт» работают на девяти аппаратных платформах и […] Сообщение Госкомпании и коммерческий сектор приобрели ... 
Российский разработчик «РЕД СОФТ» выпустил новый релиз операционной системы – РЕД ОС 7.3, она основана на самом свежем ядре Linux 5.10, что является на данный момент премьерой для отечественного рынка операционных систем; РЕД ОС выпускается не только для архитектуры x86_64, но и для архитектуры ARM (Huawei, «Байкал», RPi). «Новая версия РЕД ОС ориентирована в первую […] Сообщение Объявлена новая версия РЕД ОС на основе самого свежего ядра Linux появились сначала на Digital Russia. 
Доступ к единому порталу госуслуг (ЕПГУ) стал возможен и по ГОСТу через браузеры «Спутник», «Яндекс», Internet Explorer, Chromium GOST, сообщил в среду директор по продажам и развитию бизнеса компании «КриптоПро» Павел Луцик, имея в виду использование отечественных средств криптозащиты при реализации протокола защиты данных в канале «браузер – веб-сервер», TLS. Представитель «КриптоПро» поблагодарил за проделанную […] Сообщение ЕПГУ заработал с отечественными алгоритмами криптозащиты данных появились сначал... 
Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Максим Паршин встретился с представителями отраслевых ассоциаций и компаний-разработчиков для обсуждения их предложений по оптимизации порядка включения программных продуктов в реестр отечественного программного обеспечения (ПО), сообщило Минцифры в среду – договорённость достигнута, соблюдение условий лицензирования ПО, распространяемого в открытых кодах, не обсуждалась. Ранее министерство представило соответствующий […] Сообщение Ми... 
Опубликовано отрицательное заключение Минэкономразвития на пакет документов «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры (КИИ)», включающий проект указа президента и соответствующий проект постановления правительства. Проект указа президента, напомним, предписывал субъектам КИИ до 1 января 2023 года осуществить переход на преимущественное использование российского […] ... 
Объем несырьевого неэнергетического экспорта из России в 2020 году вырос почти на 4% по сравнению с показателем за 2019 год и составил 161,3 миллиарда долларов, сообщает в среду Российский экспортный центр (РЭЦ). Основную часть несырьевого неэнергетического экспорта составили металлопродукция (20,8%), продукция машиностроения (17,7%), продовольствие (17,3%) и химические товары (16%). В экспорте АПК наибольший рост показали […] Сообщение Несырьевой экспорт из РФ в 2020 году вырос, но без участия IT-индустрии... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2021
Работает система управления сайтом «Публикатор 1.9» © 2004−2021