Включена в реестр
российского ПО
На главную страницу На главную страницу		 Помоги больным детям! Их можно спасти!
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Об авторе: Игорь Фетисов, министр информационных технологий, связи и цифрового развития Челябинской области Министерство информационных технологий, связи и цифрового развития Челябинской области обеспечивает развитие сферы цифровых технологий региона, внедрение электронных государственных сервисов, направленных на улучшение качества жизни людей и ведение предпринимательской деятельности, создаёт благоприятные условия для развития конкурентной среды для организаций, предоставляющих услуги в сфере […] Сообщен... 
С 21 по 23 мая 2026 года в Нижнем Новгороде пройдёт второй городской технологический фестиваль «Тех-Френдли Викенд», организованный в рамках конференции ЦИПР, сообщает оргкомитет мероприятия. Центральной темой фестиваля станет разговор о будущем — и о том, как его контуры формируются уже сегодня. Эксперты обсудят долгосрочные технологические тренды с горизонтом в несколько десятилетий: как изменения в […] Сообщение Объявлена программа проводящегося в ходе ЦИПР фестиваля «Тех-Френдли Викенд» появились сначал... 
Мессенджер Max начал тестировать создание стикеров вместе с авторами публичных каналов – блогерами, звёздами и СМИ, сообщает пресс-служба Max в среду. Присоединиться к тестированию могут авторы категории «А+» с помощью чат-бота «Стикеры в МАХ». Для создания набора стикеров в МАХ необходимо: открыть чат-бот и нажать на кнопку «Начать»; нажать на кнопку «Открыть» в левом нижнем […] Сообщение Max разрешил пользователям создавать свои стикеры появились сначала на Digital Russia. 
Обновлена единая цифровая стратегия госкорпорации «Росатом», которая будет определять цифровую трансформацию компании до 2027 года включительно, сообщила компания во вторник. Обновлённый документ согласован с Минцифры РФ и Минэнерго РФ. Его необходимость обусловлена обновленными методическими рекомендациями по цифровой трансформации государственных корпораций и компаний с государственным участием, сказано в сообщении. Обновлённая стратегия базируется на достижениях «Росатома» в […] Сообщение «Росатом» сообщ... 
Московский инновационный кластер открыл первый в России испытательный центр полного цикла, предназначенный для тестирования коммунальных, складских, логистических, транспортных, мониторинговых, строительных и многих других беспилотных роботизированных систем, сообщает мэр Москвы Сергей Собянин. Подать заявку на проведение испытаний можно на сайте i.moscow. Основная площадка испытательного центра расположена в инновационном центре «Сколково», также будет использоваться полигон Федерального центра […] Сообщен... 
Новые нормативные и экономические реалии и возможные точки роста обсуждали во вторник на пресс-конференции ассоциации «Руссофт» в Москве с участием представителей IT-компаний. Там побывала и корреспондент D-Russia.ru. Как следует из обсуждения, на IT-бизнес в настоящее время более всего влияют новые налоги, сокращение инвестиций, тренд на внутреннюю разработку ПО крупными заказчиками, развитие ИИ-технологий (государство и бизнес […] Сообщение Рост налогов и сокращение инвестиций – что 2026 год преподнёс оте... 
Региональная индустриальная лаборатория микроэлектроники и радиофизики официально открылась на базе Челябинского государственного университета, сообщает Минцифры Челябинской области во вторник. Лаборатория призвана стать центром развития микроэлектроники, приборостроения и Интернета вещей (IoT). Ключевые направления: подготовка кадров через практико-ориентированное обучение (студенты будут осваивать полный цикл разработки электронных изделий на промышленном оборудовании, работая с реальными запросами бизнес... 
Пользователям Max стала доступна англоязычная версия приложения, сообщает пресс-служба национального мессенджера во вторник. Для того, чтобы сменить версию интерфейса на английскую, необходимо обновить приложение и изменить языковые настройки. Пользователи операционной системы Android могут сделать это в профиле мессенджера в разделе «Язык приложения». Пользователям iOS необходимо изменить язык в настройках смартфона. См. также: Зарегистрироваться в Max […] Сообщение Национальному мессенджеру Max сделали ан... 
Об авторе: Анатолий Шалыто, профессор, д.т.н., Университет ИТМО Третьего января 2026 года я, наконец-то, увидел дело рук своих: «Зачётную квалификационную книжку спортсменов первого разряда, кандидатов в мастеров России, мастеров спорта в России, мастеров спорта России международного класса», а также соответствующий книжке почётный знак. В книжке указано, что Руслану Белькову (Иннополис) присвоено звание «Кандидат в мастера […] Сообщение Возможно, им надоест… появились сначала на Digital Russia. 
Об авторе: Дмитрий Ухов, министр цифрового развития государственного управления, информационных технологий и связи Донецкой Народной Республики Подвижная радиотелефонная связь В 2025 году на территории ДНР тремя операторами подвижной радиотелефонной связи — ГУП ДНР «РОС», ООО «Миранда-Медиа» и ООО «К-Телеком» — запущено в работу 1619 базовых станций при плановом показателе 1080 базовых станций. Фактическое выполнение плана […] Сообщение Итоги работы Минцифры Донецкой Народной Республики за 2025 год появилис... 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2026
Работает система управления сайтом «Публикатор 1.9» © 2004−2026