Ульяновск.BSD (ULBSD) - операционная система для персонального компьютера. Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory? -

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

Имя машины c samba-сервером (hostname): ulbsd
IP-адрес машины c samba-сервером: 192.168.0.248
Полное имя Windows-домена: EXAMPLE.LOCAL
IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1

Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

Последнее изменение: 17.03.2020 22:07:07

Импортозамещение

Окружной хакатон по ИИ с призовым фондом 3 млн руб стартовал в Новосибирске

В Новосибирске в пятницу начался пятый окружной хакатон проекта «Цифровой прорыв. Сезон: Искусственный интеллект», входящего в президентскую платформу «Россия – страна возможностей»; он закончится 1 октября, сообщают организаторы мероприятия. Более 1000 IT-специалистов будут соревноваться за призовой фонд 3 миллиона рублей. Командам программистов от трёх до пяти человек предстоит решить пять задач (кейсов) на основе методов […] Сообщение Окружной хакатон по ИИ с призовым фондом 3 млн руб стартовал в Новосиб... →

На отечественную систему бронирования авиабилетов совершена DDoS-атака

Отечественная автоматизированная информационная система оформления воздушных перевозок «Леонардо» подверглась массированной DDoS-атаке из-за рубежа, сообщает РИА Новости со ссылкой на Telegram-канал «Ростеха». Сообщение было опубликовано в 11.44 мск. В 12.08 «Ростех» написал, что «работоспособность системы бронирования авиабилетов «Леонардо» полностью восстановлена. DDoS-атака успешно отбита». СМИ отмечали, что из-за атаки в аэропортах была затруднена регистрация на рейсы. Напомним, […] Сообщение На отечест... →

Инновационная технология производства пластин из оксида галлия разработана в Москве

Столичная компания «Рокор» организует массовое производство пластин из оксида галлия; изделие представляет собой полупроводниковый материал современного поколения, сообщает mos.ru во вторник. Компания находится на последней стадии подготовки к производству монокристаллических пластин оксида галлия, говорится в сообщении. В течение полутора лет планируется вывести пластины из оксида галлия на внешний рынок. Инновационность московской технологии получения оксида галлия […] Сообщение Инновационная технология п... →

Успешно введены в эксплуатацию отечественные двигатели низкоорбитальных спутников

«Бюро 1440», разработчик отечественных низкоорбитальных спутников связи, сообщило во вторник об успешном вводе в эксплуатацию двигательных установок космических аппаратов «Рассвет-1». Напомним, в начале июля с космодрома «Восточный» были запущены три отечественных низкоорбитальных спутника связи, разработанные «Бюро 1440» (входит в «ИКС-холдинг»). Практическая демонстрация технологии успешно прошла в середине августа. В сообщении компании говорится о надёжной работе системы […] Сообщение Успешно введены в э... →

В системе Directum RX появилась поддержка полного цикла работы с машиночитаемыми доверенностями

Компания Directum выпустила интеграционный модуль к сервису «Контур.Доверенность» – узлу распределенной блокчейн-сети; теперь пользователи Directum RX могут в едином информационном пространстве выпускать машиночитатемые доверенности (МЧД) и управлять их жизненным циклом, сообщает Directum в среду. Интеграция поддерживается с версии 4.6 Directum RX. Решение подходит компаниям, которые планируют создавать МЧД прямо в корпоративной системе, где хранятся данные […] Сообщение В системе Directum RX появилась подд... →

Правительству поручено обновить Национальную стратегию развития ИИ — премьер

Президент России поручил обновить Национальную стратегию развития искусственного интеллекта (ИИ) до 2030 года, сообщил председатель правительства Михаил Мишустин во время стратегической сессии по ИИ. Правительству необходимо внести в стратегию изменения, которые предусматривают в том числе реализацию комплекса мер, направленных на повсеместное внедрение таких технологий в отраслях экономики и социальной сферы и в системе государственного управления, […] Сообщение Правительству поручено обновить Национальную... →

Минцифры предложило переименовать «офисные приложения» в «офисное программное обеспечение»

Проект приказа Минцифры, вносящего изменения в структуру единого реестра отечественного и евразийского программного обеспечения (ПО), опубликован для общественного обсуждения во вторник. Наименование раздела «Офисные приложения» предложено заменить на «Офисное программное обеспечение». Делается это «в целях оптимизации структуры» реестров, а также для облегчения заказчикам поиска необходимых программных решений в реестрах. Также для уточнения требований к ПО, […] Сообщение Минцифры предложило переименовать ... →

Huawei презентовала новые продукты – электромобиль вошёл, сенсационный смартфон без подробностей

Во время презентации новых продуктов на мероприятии Huawei Connect в Шанхае Huawei не стала раскрывать технические характеристики своего флагмана Mate 60 Pro, сообщил в понедельник телеканал CNN. Презентованы многие новые изделия, в частности, разрабатывавшийся 10 лет «самый лёгкий и тонкий в мире» планшет, заявлено об электромобиле, который «по всем параметрам» превосходит Tesla Model S (машина […] Сообщение Huawei презентовала новые продукты – электромобиль вошёл, сенсационный смартфон без подробностей по... →

Directum и «Инфосистемы Джет» объявили о партнерстве

Системный интегратор «Инфосистемы Джет» и Directum заключили соглашение о сотрудничестве: главным направлением совместной работы станет поддержка бизнеса при переходе на отечественное ПО, сообщают компании в понедельник. Вместе компании готовы предложить рынку передовые программные продукты для цифровизации бизнес-процессов. Обе компании обладают многолетним опытом развития IT-технологий, разработки и внедрения прогрессивных решений, бизнес-консультирования и аналитики. Задача импортозамещения зарубежного [... →

Объявлены победители хабаровского хакатона по искусственному интеллекту

В Хабаровске наградили победителей четвертого окружного хакатона проекта «Цифровой прорыв. Сезон: Искусственный интеллект», сообщает президентская платформа «Россия – страна возможностей». По итогам соревнования 12 команд-победителей разделили призовой фонд в 2 400 000 рублей. Напомним, организатором проекта является Минэкономразвития. Хакатон проводится в рамках федерального проекта «Искусственный интеллект» национального проекта «Цифровая экономика». Участники хакатона по искусственному интеллекту […] Соо... →