Включена в реестр
российского ПО
На главную страницу На главную страницу		 Помоги больным детям! Их можно спасти!
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Комментарии
Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.
Импортозамещение
Об авторе: Денис Земнухов, министр цифрового развития и связи Амурской области 2025 год стал важным этапом в реализации стратегии по построению современного, безопасного и комфортного цифрового пространства в Амурской области. Мы продолжили масштабную работу, которая напрямую влияет на качество жизни людей — от связи в отдаленных сёлах до внедрения передовых технологий искусственного интеллекта в медицине […] Сообщение Цифровое Приамурье: итоги 2025 года и планы на будущее появились сначала на Digital Russi... 
В Самарской области прошло совещание по вопросам цифрового развития региона под председательством заместителя председателя правительства – руководителя аппарата правительства Дмитрия Григоренко, сообщает government.ru. Вице-премьер отметил, что Самарская область – один из регионов, где активно развивается IT-отрасль. Суммарная выручка местных IT-компаний ежегодно растёт на 12% в среднем. В первую очередь такому росту способствует комплексная система развития, […] Сообщение Опыт Самарской области в развитии ... 
Об авторе: Алексей Сухих, министр информационных технологий и связи Кировской области По итогам 2025 года показатель «цифровой зрелости» Кировской области составил 62,9%. В числе сфер-лидеров: транспорт — 85%, здравоохранение — 75%, государственное и муниципальное управление — 71%. Сухой отчёт о деятельности министерства звучал бы именно так, но 2025 год стал для нас временем качественного переосмысления […] Сообщение Цифровая трансформация Кировской области в 2025 году появились сначала на Digital Russia. 
Во вторник начался отбор технологических компаний для возмещения затрат на выпуск и размещение ценных бумаг на бирже и инвестиционных платформах, сообщает Минэкономразвития. Механизм предполагает возмещение как ранее понесённых затрат по факту успешного размещения акций, так и будущих затрат при условии размещения акций в течение двух лет. Конкурс направлен на снижение издержек эмитентов и стимулирование привлечения […] Сообщение Стартовал конкурс на получение грантов на расходы при выходе технологических к... 
Государственная комиссия по радиочастотам (ГКРЧ) выделила полосы частот российским космическим компаниям «Бюро 1440» и «Спутникс», которые развивают собственные низкоорбитальные спутниковые группировки, сообщает Минцифры. Частоты выделены для создания: спутникового сегмента гибридной системы связи, которая позволит обычным пользовательским устройствам (смартфонам, планшетам, датчикам интернета вещей) напрямую подключаться к космическим аппаратам (технология «спутник-смартфон» — Direct-to-Device, D2D); компл... 
Порядка двух тысяч студентов Института информационных технологий и интеллектуальных систем (ИТИС) КФУ получили гранты на обучение по направлению «Программная инженерия» по профилю «Современная разработка программного обеспечения», сообщает Минцифры Республики Татарстан. Разработка программного обеспечения (ПО) остаётся самым масштабным сегментом на рынке республики с долей 52,3%. В 2025 году выручка IT-компаний Татарстана, занимающихся изданием ПО, выросла на […] Сообщение Около 2 тысяч студентов в Татарста... 
Подписано постановление о создании координационного совета, который будет заниматься вопросами развития креативных индустрий, и утверждено положение, регламентирующее его деятельность. За организационно-техническое обеспечение деятельности совета будет отвечать Минэкономразвития. Состав совета (у которого будут два сопредседателя) определит правительство. Среди основных задач координационного совета – рассмотрение предложений и подготовка рекомендаций по вопросам развития креативных индустрий и реализации с... 
По итогу 2025 года «Почта России» сократила чистый убыток с 20,6 до 18,7 миллиарда рублей, сообщила организация в понедельник. Долговая нагрузка снизилась на 11,1 миллиарда рублей. В январе, напомним, глава организации сообщил, что «Почта» тратит более 20 миллиардов рублей в год только на обслуживание долга. В 2025 году долг организации оценивался Счётной палатой в 128,3 […] Сообщение Убыток «Почты России» составил в 2025 году 18,7 млрд рублей появились сначала на Digital Russia. 
Об авторе: Михаил Хохлов, член правительства Ивановской области – директор Департамента развития информационного общества Ивановской области Достижение «цифровой зрелости» ключевых отраслей экономики и социальной сферы оценивается на основании индикаторов, перечень которых формируется индивидуально для каждой отрасли. По итогам 2025 года достижение уровня показателя «цифровой зрелости» по Ивановской области составило 52,84% при плановом значении 35,9%. В […] Сообщение Итоги работы в 2025 году Департамента р... 
Оргкомитет конференции ЦИПР и Альянс бизнес-структур и предпринимателей стран Юго-Восточной Азии (B2BАSЕАN) при поддержке правительства Нижегородской области заключили соглашение о сотрудничестве, сообщает оргкомитет в понедельник. Сотрудничество ЦИПР с B2BASEAN позволит реализовать совместные инициативы, расширить глобальные интеграции между Россией и странами АСЕАН для обмена технологиями и привлечения партнёров в совместные проекты. В состав АСЕАН входят Бруней, […] Сообщение Заключено соглашение о сотру... 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
   Общая информация   |  Частным клиентам   |  Корпоративным клиентам   |  Справочные материалы   |  Обратная связь
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2026
Работает система управления сайтом «Публикатор 1.9» © 2004−2026