На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Еще два офисных пакета - «Р7-офис» и «Циркон-офис» - включены в реестр отечественного ПО, свидетельствуют материалы на сайте реестра (выложенные в немашиночитаемом формате). Согласно протоколу заседания Экспертного совета по программному обеспечению от 8 февраля 2019 года, продукты частично не соответствуют дополнительным требованиям. Поэтому правообладателям «Р7-Офис Профессиональный», а также «Программный комплекс «Циркон-офис» поручено провести доработку ПО в течение 30 календарных дней с даты проведени... 
Участники 14-й ежегодной конференции «Свободное программное обеспечение в высшей школе», которая состоялась в конце января в Переславле-Залесском, обсудили задачи и перспективы использования цифровых технологий в образовании. Мероприятие организовано компанией «Базальт СПО» в партнерстве с Институтом программных систем имени А. К. Айламазяна РАН (ИПС РАН) и АНО «Национальный суперкомпьютерный форум». Преподаватели вузов и школ, студенты и аспиранты, разработчики ПО и эксперты отрасли поделились своим виден... 
Единственная отечественная мобильная операционная система (МОС) получила новое русскоязычное название – «Аврора» (ранее Sailfish), сообщает «Ростелеком», контролирующий компании ООО «Открытая мобильная платформа» и ООО «Вотрон», которые занимаются разработкой МОС. «Аврора» поддерживает все стандартные функции мобильной операционной системы – управление контактами, звонками и сообщениями, почтовый клиент, браузер, просмотр медиа, календарь, заметки, камера и галерея, часы и таймеры, диктофон, работа с докум... 
«Микрон» освоил в серийное производство новые универсальные радиочастотные идентификационные (RFID) метки для маркировки объектов, сообщает компания. «RFID метка разработана нашей лабораторией под конкретные задачи клиента, но благодаря своим функциональным свойствам является достаточно универсальным средством маркировки для применения в различных отраслях, – комментирует начальник RFID-лаборатории ПАО «Микрон» Алексей Маркин. – При необходимости можем разработать любую конфигурацию метки под запросы заказ... 
В Федеральной антимонопольной службе D-Russia.ru рассказали, в чём суть претензий ФАС к отменённому тендеру РЖД по закупке серверов – одной из причин отмены закупки стали преференции для отечественных производителей. «Российские железные дороги» не смогли осуществить закупку серверного оборудования со стартовой ценой в 1,66 миллиарда рублей, сообщили СМИ на прошлой неделе, поскольку условия конкурса были успешно обжалованы в ФАС ООО «Технолегион». В решении ФАС говорится следующее: 1. Признать в действиях ... 
Совет директоров «Газпрома» поручил председателю правления Алексею Миллеру обеспечить в двухмесячный срок подготовку и утверждение советом директоров плана перехода на отечественное программное обеспечение (ПО), передает ТАСС со ссылкой на сообщение компании. План мероприятий перехода ПАО «Газпром» на преимущественное использование отечественного программного обеспечения в 2018-2021 годах должен быть согласован с АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий».... 
Российская компания SPIRIT, коммуникационными программными продуктами которой пользуется более 1 миллиарда человек в 100 странах мира, и отечественный разработчик «РЕД СОФТ» объявили об успешном завершении испытаний совместимости своих продуктов. По итогам работ была подтверждена совместимость и корректность работы программного сервера для видеоконференций VideoMost от SPIRIT с операционной системой «РЕД ОС 7.1 МУРОМ», производства «РЕД СОФТ». Подписан сертификат совместимости. «РЕД ОС» — многопользователь... 
Приказ Минкомсвязи от 19.12.2018 №725 «Об утверждении формы и порядка представления в 2019 году информации о потребности, формирования потребности в осуществлении централизованных закупок офисного программного обеспечения и программного обеспечения в сфере информационной безопасности» опубликован в среду на официальном портале правовой информации. Он определяет состав, сроки и процедуры представления (уточнения) федеральными органами исполнительной власти (ФОИВ) информации о потребности в офисном ПО и ПО д... 
Исполнение плана перехода в 2016-2018 годах федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения в соответствии с распоряжением правительства РФ от 26 июля 2016 года №1588-р «Об утверждении плана перехода в 2016-2018 годах федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения» проверено Счётной палатой. Аудиторы констатирова... 
Министерство цифрового развития, связи и массовых коммуникаций опубликовало в среду на портале общественных обсуждений проект собственного приказа об утверждении положения ?об Экспертном совете по программному обеспечению при Минкомсвязи. Новый приказ должен заменить аналогичный приказ Минкомсвязи ?от 20.06.2016 №269 и предусматривает в том числе полномочия Экспертного совета ?по проведению экспертизы заявлений о включении сведений о ПО из государств-членов Евразийского экономического союза (ЕАЭС; в органи... 
    Наверх       На главную страницу       Адрес электропочты   Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2019
Работает система управления сайтом «Публикатор 1.7» © 2004−2019