Включена в реестр
российского ПО
На главную страницу На главную страницу		 Помоги больным детям! Их можно спасти!
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Крупнейший в Дании поставщик цифровой инфраструктуры TDC выиграл иск против правительства страны: суд постановил, что распоряжение, обязывающее компанию отказаться от оборудования Huawei Technologies Co., является экспроприацией, и обязал власти выплатить TDC компенсацию в размере 80 миллионов крон, пишет Bloomberg. Суд отметил, что хотя в 2023 году власти Дании имели законное право обязать TDC прекратить использование […] Сообщение В Дании компания отсудила у правительства 80 млн крон за отказ от телеком-о... 
Для общественного обсуждения опубликован разработанный Минэкономразвития проект постановления правительства «Об отнесении технологических компаний к технологическим лидерам, о прекращении статуса технологического лидера, о формировании и ведении реестра технологических лидеров…» Документ разработан во исполнение поручения президента России. Как следует из проекта постановления, компании, чтобы получить статус «технологического лидера», нужно соответствовать множеству формальных условий (пункты от «а» до […]... 
Владельцы устройств на операционной системе iOS могут настроить уведомления о новых сообщениях в мессенджере «Макс» при помощи установки веб-версии — это поможет оставаться на связи, пока приложение недоступно в App Store, сообщает пресс-служба «Макс» во вторник. Для того, чтобы уведомления о сообщениях приходили на iPhone, необходимо установить веб-версию «Макс» на домашний экран смартфона. Для этого: […] Сообщение Как настроить уведомления «Макс» на iPhone появились сначала на Digital Russia. 
Диапазон частот, поддерживаемых базовыми станциями (БС), предназначенными для российских операторов мобильной связи, расширен: первые образцы оборудования, совместимого с частотами 800, 900, 1800, 2100, 2300 и 2600 МГц, выпущены на производственной площадке НПО «Российские телекоммуникационные технологии» (РТТ, ГК «Ростелеком»), сообщает «Булат» (также входит в ГК «Ростелеком». Одновременно увеличена мощность блока обработки сигналов, что позволит применять оборудование […] Сообщение «Булат» сообщил о расши... 
Несколько российских IT-компаний работают над созданием сертификата подписи программного кода, стало известно РБК. Работа идёт в рамках рабочей группы «Единое пространство доверия», которая действует на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК. В состав рабочей группы входят «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» […] Сообщение Софтверные компании объединились для решения... 
XVII Международный IT-Форум с участием стран БРИКС и ШОС завершил работу в Ханты-Мансийске; площадка форума объединила около пяти тысяч участников из 43 регионов России и 40 зарубежных государств, из которых 23 страны были представлены очно; по итогам деловой программы подписано 16 соглашений, включая одно международное, сообщает оргкомитет мероприятия. Традиционная выставка в конгрессно-выставочном центре «Югра-Экспо» собрала […] Сообщение Итоги XVII Международного IT-Форума в Югре: 5 тыс участников и 16 с... 
Об авторе: Сергей Педченко, руководитель по технологическому развитию «Яндекс 360» После 2022 года IT-ландшафт российских компаний заметно усложнился. Ушли зарубежные провайдеры, государственные требования к информационной безопасности усилились, а цены на услуги российских поставщиков выросли на 60-80%. В поисках баланса между гибкостью облака и контролем над данными бизнес перешел к сочетанию разных моделей развёртывания, и гибридная […] Сообщение Новая архитектура корпоративного IT: что приходит на смену... 
Основная судебная информационная система ГАС «Правосудие» технически и морально устарела и уже не может обеспечить эффективную поддержку деятельности судов, рассказал на круглом столе в Совете федерации заместитель гендиректора судебного департамента при Верховном суде Сергей Бессчасный, пишет «Коммерсант». ГАС «Правосудие» была создана 15 лет назад с использованием зарубежных программно-технических решений, которые более не поддерживаются разработчиками на […] Сообщение ГАС «Правосудие» подлежит замене — с... 
Министерство торговли Китая и семь других правительственных ведомств в четверг опубликовали руководящий документ «ИИ плюс потребление» с целью ускорить развитие искусственного интеллекта в стране за счёт расширения производства «умных» товаров, сообщает gov.cn. Документ содержит описание 17 мер в пяти областях. Меры направлены на более глубокую интеграцию искусственного интеллекта в потребительские товары и создание новых сценариев […] Сообщение Китай объявил план «ИИ+потребление» появились сначала на Digit... 
Президент США Дональд Трамп сообщил в своей соцсети Truth Social, что Apple согласилась работать с Intel над проектированием и производством микросхем в США, пишет CNBC в четверг. «Глупые президенты воспринимали нашу экономику как должное и позволили Тайваню и другим украсть наши заводы по производству полупроводников», – написал Трамп. См. также: Intel назван одним из заказчиков […] Сообщение «Apple согласилась сотрудничать с Intel» – президент США появились сначала на Digital Russia. 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2026
Работает система управления сайтом «Публикатор 1.9» © 2004−2026