Ульяновск.BSD (ULBSD) - операционная система для персонального компьютера. Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory? -

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

Имя машины c samba-сервером (hostname): ulbsd
IP-адрес машины c samba-сервером: 192.168.0.248
Полное имя Windows-домена: EXAMPLE.LOCAL
IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1

Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

Последнее изменение: 17.03.2020 22:07:07

Импортозамещение

Китай создал открытую платформу для ускорения разработки собственной настольной ОС

В стремлении снизить зависимость от американских операционных систем (ОС) – Windows и MacOS – китайцы создали открытую платформу openKylin для ускорения разработки собственной настольной ОС, сообщило в пятницу издание South China Morning Post. Дочерняя компания государственной China Electronics Corp — Kylinsoft — в партнёрстве с ещё 10 организациями, включая Центр исследования и разработок в области […] Сообщение Китай создал открытую платформу для ускорения разработки собственной настольной ОС появились сн... →

ИРИ объявил о приёме заявок на конкурс на создание «национального интернет-контента»

Автономная некоммерческая организация «Институт развития интернета» объявила о начале приёма заявок на конкурс на создание государственного (национального) контента в цифровой среде. Заявку можно подать с 1 июля по 1 августа (до 18:00 по московскому времени), итоги [отбора заявок] подведут осенью. Нововведение нового конкурса – авансирование проектов на счета, открытые в банках. Решения о таком авансировании […] Сообщение ИРИ объявил о приёме заявок на конкурс на создание «национального интернет-контента» п... →

В Смоленской области ввели региональные меры поддержки для операторов связи

Смоленская областная Дума приняла изменения в областной закон «Об инвестиционном налоговом вычете по налогу на прибыль организаций на территории Смоленской области», инициированные по итогам совещания с представителями телекоммуникационной отрасли, сообщает департамент цифрового развития региона в четверг. Согласно закону, телекоммуникационные компании Смоленской области могут получить вычет из налога на прибыль в размере 70% от вложений в […] Сообщение В Смоленской области ввели региональные меры поддержки... →

Опубликован список вузов, на базе которых будут созданы инженерные школы

Совет по грантам на оказание государственной поддержки создания и развития передовых инженерных школ отобрал 30 высших учебных заведений, сообщает сайт правительства в четверг. В проект «Передовые инженерные школы», запущенный в ходе Десятилетия науки и технологий и направленный на подготовку квалифицированных инженерных кадров для высокотехнологичных отраслей экономики, попали 25 вузов, подведомственных Минобрнауки, три вуза Минздрава, один […] Сообщение Опубликован список вузов, на базе которых будут созд... →

ПМЭФ-2022 прошёл с использованием российской ВКС Vinteo

Для организации подключений онлайн-участников юбилейного XXV Петербургского международного экономического форума (ПМЭФ) использовалось российское решение видеоконференцсвязи (ВКС) класса telepresence от Vinteo, сообщила компания в среду. Онлайн-спикерам деловой программы, представителям СМИ на пресс-конференциях и удалённым зрителям мероприятия была предоставлена высококачественная видеосвязь с полноценным «эффектом присутствия», возможностью безопасного подключения с любого устройства и автоматическими син... →

Запущена единая база знаний по работе с кириллическими доменами и email-адресами

Проект Поддерживаю.РФ запустил единую базу знаний о внедрении универсального принятия интернационализированных доменных имен и адресов электронной почты, сообщают организаторы проекта в среду. Новый wiki-ресурс (вики.поддерживаю.рф) предназначен для разработчиков программного обеспечения, системных администраторов и всех заинтересованных IT-специалистов. В базе знаний собраны практические рекомендации и обучающие материалы по разработке и настройке ПО для полноценной поддержки российских кириллических […] С... →

Подписан закон о легализации параллельного импорта

Президент РФ Владимир Путин подписал закон от 28.06.2022 № 213-ФЗ, легализующий параллельный импорт. Документ вступает в силу со дня его официального опубликования. Напомним, изменения в законодательство, давшие правительству в 2022 году право формировать перечень товаров, в отношении которых могут не применяться отдельные положения Гражданского кодекса о защите исключительных прав на результаты интеллектуальной деятельности, были приняты […] Сообщение Подписан закон о легализации параллельного импорта появ... →

Президент РФ подписал закон об упрощённой процедуре трудоустройства иностранных IT-специалистов

Подписан и опубликован закон от 28.06.2022 № 207-ФЗ, вносящий изменения в федеральный закон «О правовом положении иностранных граждан в Российской Федерации». Документ, напомним, направлен на упрощение процедур трудоустройства иностранных граждан, являющихся специалистами в сфере информационных технологий и привлекаемых для работы в аккредитованных организациях, осуществляющих деятельность в области информационных технологий, и получения этими гражданами и членами […] Сообщение Президент РФ подписал закон о... →

Программа развития авиатранспортной отрасли РФ до 2030 года — что предстоит сделать по части IT

Правительство утвердило комплексную программу развития авиатранспортной отрасли Российской Федерации до 2030 года – в числе предпосылок для её утверждения указан «отказ ряда иностранных поставщиков на предоставление возможности использования программного обеспечения и цифровых сервисов, обеспечивающих в том числе безопасность полетов». В документе отмечен текущий низкий уровень проникновения отечественных цифровых сервисов и решений основных критически важных технологических […] Сообщение Программа развития... →

В казахстанской нефтяной компании «Эмбамунайгаз» внедрили продукт «РТК-Солар»

Компания «РТК-Солар» реализовала проект внедрения системы предотвращения утечек информации Solar Dozor в казахстанской нефтяной компании АО «Эмбамунайгаз»: за два месяца система была развернута в четырёх производственных структурных подразделениях и двух управлениях компании, мониторингом охвачено 1000 рабочих станций пользователей, сообщает «РТК-Солар» во вторник. АО «Эмбамунайгаз» — активно развивающаяся нефтяная компания Казахстана, осуществляющая геологоразведку, разработку нефтегазовых месторождений, [... →

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2022
Работает система управления сайтом «Публикатор 1.9» © 2004−2022