На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Импортозамещение
В Новосибирске в пятницу начался пятый окружной хакатон проекта «Цифровой прорыв. Сезон: Искусственный интеллект», входящего в президентскую платформу «Россия – страна возможностей»; он закончится 1 октября, сообщают организаторы мероприятия. Более 1000 IT-специалистов будут соревноваться за призовой фонд 3 миллиона рублей. Командам программистов от трёх до пяти человек предстоит решить пять задач (кейсов) на основе методов […] Сообщение Окружной хакатон по ИИ с призовым фондом 3 млн руб стартовал в Новосиб... 
Отечественная автоматизированная информационная система оформления воздушных перевозок «Леонардо» подверглась массированной DDoS-атаке из-за рубежа, сообщает РИА Новости со ссылкой на Telegram-канал «Ростеха». Сообщение было опубликовано в 11.44 мск. В 12.08 «Ростех» написал, что «работоспособность системы бронирования авиабилетов «Леонардо» полностью восстановлена. DDoS-атака успешно отбита». СМИ отмечали, что из-за атаки в аэропортах была затруднена регистрация на рейсы. Напомним, […] Сообщение На отечест... 
Столичная компания «Рокор» организует массовое производство пластин из оксида галлия; изделие представляет собой полупроводниковый материал современного поколения, сообщает mos.ru во вторник. Компания находится на последней стадии подготовки к производству монокристаллических пластин оксида галлия, говорится в сообщении. В течение полутора лет планируется вывести пластины из оксида галлия на внешний рынок. Инновационность московской технологии получения оксида галлия […] Сообщение Инновационная технология п... 
«Бюро 1440», разработчик отечественных низкоорбитальных спутников связи, сообщило во вторник об успешном вводе в эксплуатацию двигательных установок космических аппаратов «Рассвет-1». Напомним, в начале июля с космодрома «Восточный» были запущены три отечественных низкоорбитальных спутника связи, разработанные «Бюро 1440» (входит в «ИКС-холдинг»). Практическая демонстрация технологии успешно прошла в середине августа. В сообщении компании говорится о надёжной работе системы […] Сообщение Успешно введены в э... 
Компания Directum выпустила интеграционный модуль к сервису «Контур.Доверенность» – узлу распределенной блокчейн-сети; теперь пользователи Directum RX могут в едином информационном пространстве выпускать машиночитатемые доверенности (МЧД) и управлять их жизненным циклом, сообщает Directum в среду. Интеграция поддерживается с версии 4.6 Directum RX. Решение подходит компаниям, которые планируют создавать МЧД прямо в корпоративной системе, где хранятся данные […] Сообщение В системе Directum RX появилась подд... 
Президент России поручил обновить Национальную стратегию развития искусственного интеллекта (ИИ) до 2030 года, сообщил председатель правительства Михаил Мишустин во время стратегической сессии по ИИ. Правительству необходимо внести в стратегию изменения, которые предусматривают в том числе реализацию комплекса мер, направленных на повсеместное внедрение таких технологий в отраслях экономики и социальной сферы и в системе государственного управления, […] Сообщение Правительству поручено обновить Национальную... 
Проект приказа Минцифры, вносящего изменения в структуру единого реестра отечественного и евразийского программного обеспечения (ПО), опубликован для общественного обсуждения во вторник. Наименование раздела «Офисные приложения» предложено заменить на «Офисное программное обеспечение». Делается это «в целях оптимизации структуры» реестров, а также для облегчения заказчикам поиска необходимых программных решений в реестрах. Также для уточнения требований к ПО, […] Сообщение Минцифры предложило переименовать ... 
Во время презентации новых продуктов на мероприятии Huawei Connect в Шанхае Huawei не стала раскрывать технические характеристики своего флагмана Mate 60 Pro, сообщил в понедельник телеканал CNN. Презентованы многие новые изделия, в частности, разрабатывавшийся 10 лет «самый лёгкий и тонкий в мире» планшет, заявлено об электромобиле, который «по всем параметрам» превосходит Tesla Model S (машина […] Сообщение Huawei презентовала новые продукты – электромобиль вошёл, сенсационный смартфон без подробностей по... 
Системный интегратор «Инфосистемы Джет» и Directum заключили соглашение о сотрудничестве: главным направлением совместной работы станет поддержка бизнеса при переходе на отечественное ПО, сообщают компании в понедельник. Вместе компании готовы предложить рынку передовые программные продукты для цифровизации бизнес-процессов. Обе компании обладают многолетним опытом развития IT-технологий, разработки и внедрения прогрессивных решений, бизнес-консультирования и аналитики. Задача импортозамещения зарубежного [... 
В Хабаровске наградили победителей четвертого окружного хакатона проекта «Цифровой прорыв. Сезон: Искусственный интеллект», сообщает президентская платформа «Россия – страна возможностей». По итогам соревнования 12 команд-победителей разделили призовой фонд в 2 400 000 рублей. Напомним, организатором проекта является Минэкономразвития. Хакатон проводится в рамках федерального проекта «Искусственный интеллект» национального проекта «Цифровая экономика». Участники хакатона по искусственному интеллекту […] Соо... 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2023
Работает система управления сайтом «Публикатор 1.9» © 2004−2023
   
  samsung саундбар . VPS с Windows