Включена в реестр
российского ПО
На главную страницу На главную страницу		 Помоги больным детям! Их можно спасти!
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Государственная автоматизированная система (ГАС) «Выборы» 2.0. впервые применялась в полном объёме, сообщил ЦИК России в субботу. Как сказано в сообщении, система спроектирована с нуля под конкретные задачи на оборудовании отечественной сборки. Всё программное обеспечение на этой IT-инфраструктуре также разработано российскими программистами. Как сообщил Владимир Волков, вице-президент ПАО «Ростелеком», ГАС «Выборы» 2.0 это: 19 подсистем; более […] Сообщение Опубликованы количественные данные о ГАС «Выборы»... 
Церемония запуска облачного доступа к российскому гибридному квантово-классическому вычислительному комплексу и обеспечивающих его работу российских криостатов сверхнизких температур состоялась во вторник в МГТУ им. Н.Э. Баумана, сообщило правительство России.+ До 2020 года российские учёные использовали импортные установки, после введения западных санкций потребность в отечественном оборудовании стала критической. Теперь состоялся запуск российских решений. Отечественный гибридный квантово-классический […]... 
«Умные» китайские роботы были представлены на Всемирной выставке интеллектуальной индустрии-2025 в городе Чунцин на юго-западе Китая, сообщает агентство Синьхуа во вторник – в частности, демонстрировалось устройство, способное действовать подобно руке опытного массажиста. Робот-массажист «Дабай» разработки пекинской компании Agile Robots оснащён тактильными датчиками для определения мышечного напряжения и ИИ-системой. Предназначен для домашнего использования. По заявлению производителей, […] Сообщение В Кит... 
«Аскон» представил новую версию PLM-решения (Product Lifecycle Management) для управления жизненным циклом изделия на промышленном предприятии: обновлены все продукты, входящие в состав решения: система управления инженерными данными и жизненным циклом изделия «Лоцман:PLM», система проектирования технологических процессов «Вертикаль», система управления нормативно-справочной информацией промышленного предприятия «Полином:MDM», сообщает компания во вторник. Среди ключевых новинок версии 23.3 — автоматическая... 
У открывшегося в понедельник канала президента России «Кремль. Новости» в мессенджере Max к 18 часам оказалось 72 тысячи подписчиков. Это минимальное количество читателей канала – поскольку сведения о подписчиках Max обновляет не в реальном времени, а с некоторой задержкой, настоящее число должно быть больше, вероятно, существенно больше. Канал дублирует аналогичный Telegram-канал, чья аудитория составляет почти […] Сообщение Канал Кремля в мессенджере Max к концу первого рабочего дня собрал 72 тыс подписчи... 
Глава Хабаровского края Дмитрий Демешин и президент, председатель правления ПАО Сбербанк Герман Греф заключили на Восточном экономическом форуме соглашение о сотрудничестве в сфере подготовки IT-кадров, сообщает региональное Минцифры в пятницу. Соглашение направлено на совместную реализацию проектов, создающих благоприятные условия для профессиональной подготовки высококвалифицированных IT-кадров, что обеспечит потребности экономики региона и будет способствовать ее стабильному развитию. […] Сообщение «Школ... 
В гимназии № 10 Новосибирска состоялось открытие «Клуба программистов 1С»: новое IT-пространство с двумя компьютерными классами и коворкингом создано в рамках соглашения о сотрудничестве, подписанном Губернатором Новосибирской области Андреем Травниковым и директором фирмы «1С» Борисом Нуралиевым на Петербургском международном экономическом форуме, сообщает региональное Минцифры в пятницу. Соглашение направлено в том числе на развитие кадрового потенциала […] Сообщение «Клуб программистов 1С» открылся в Нов... 
Первый заместитель председателя правительства Денис Мантуров в ходе рабочей поездки в Красноярский край ознакомился с производственными возможностями компании АО «Решетнёв» (входит в ГК «Роскосмос»), сообщает сайт правительства. На предприятии создана и запущена первая отечественная конвейерная линия сборки космических аппаратов массой до 300 кг и их составных элементов. На линии применяются системы роботизации и автоматизированного контроля, […] Сообщение Правительство сообщило о первой отечественной поточ... 
Ежегодный конкурс на соискание премий в сфере науки и техники начался в Волгоградской области; срок приёма заявок — до 17 сентября 2025 года, сообщает региональный комитет информационных технологий в четверг. Размер премии составляет 500 тысяч рублей. Премия проводится в рамках государственной программы «Развитие образования в Волгоградской области», регионального плана мероприятий Десятилетия науки и технологий и […] Сообщение В Волгоградской области стартовал ежегодный конкурс на соискание премий в сфере ... 
Победителями конкурса «Студенческий стартап» за 2025 год стали 2,5 тысячи студентов, ординаторов и аспирантов из России и ещё 11 стран, в том числе Египта, Индии и Сирии, сообщает сайт правительства в четверг. Каждый из них, напомним, получит грант размером в 1 миллион рублей на реализацию своих бизнес-проектов. География конкурса в этом году охватила 75 регионов […] Сообщение Подведены итоги конкурса «Студенческий стартап» появились сначала на Digital Russia. 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2025
Работает система управления сайтом «Публикатор 1.9» © 2004−2025