Ульяновск.BSD (ULBSD) - операционная система для персонального компьютера. Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory? -

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

Имя машины c samba-сервером (hostname): ulbsd
IP-адрес машины c samba-сервером: 192.168.0.248
Полное имя Windows-домена: EXAMPLE.LOCAL
IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1

Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

Последнее изменение: 17.03.2020 22:07:07

Импортозамещение

Среди IT-специалистов есть сомнения в возможности полного перехода на отечественное ПО в КИИ к 2025 году – отраслевые ассоциации

Согласно указу президента, подписанному в марте 2022 года, с 1 января 2025 года органам государственной власти, заказчикам запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах критической информационной инфраструктуры (КИИ). Спустя год после подписания указа IT-специалисты выражают сомнения о возможности 100% его исполнения. Сначала такое мнение было высказано в начале марта на конференции «Руссофт», […] Сообщение Среди IT-специалистов есть сомнения в возможност... →

Вышло мобильное приложение «МойОфис» для ОС «Аврора»

«МойОфис», российская компания-разработчик офисного программного обеспечения, объявила о выпуске мобильного приложения «МойОфис Документы» для российской мобильной ОС «Аврора». Решение позволяет работать с текстовыми и табличными документами, а также с презентациями на смартфонах и планшетах под управлением защищённой операционной системой «Аврора 4.0», сказано в сообщении. Приложение предназначено для сотрудников государственных организаций и крупных коммерческих предприятий, которым […] Сообщение Вышло мо... →

В 2024 году должен быть обеспечен полный цикл производства оптического волокна – поручение президента

Президент России поручил правительству РФ совместно с госкорпорацией развития «ВЭБ.РФ» принять меры для запуска на территории Российской Федерации в 2024 году полного цикла производства оптического волокна. Необходимо предусмотреть обеспечение финансирования таких проектов и возможность компенсации инвесторам из федерального бюджета до 25% затрат кредитных (заемных) средств, направленных на капитальные вложения, в том числе на приобретение основных […] Сообщение В 2024 году должен быть обеспечен полный цикл... →

VK сообщила о ежесуточной проверке приложений в RuStore на предмет их безопасности с помощью решений «Лаборатории Касперского»

Технологии «Лаборатории Касперского» интегрированы в официальный российский магазин приложений для Android – RuStore; автоматическая проверка ПО на наличие вредоносных программ будет запускаться раз в сутки, сообщает пресс-служба VK в понедельник. Пользователь в любое время может запустить диагностику вручную или отключить проверку в профиле в приложении RuStore. Если устройство заражено, при запуске последней версии магазина в […] Сообщение VK сообщила о ежесуточной проверке приложений в RuStore на предмет... →

«Базальт СПО» и SPIRIT успешно протестировали совместимость своих программных продуктов

Компании «Базальт СПО» и SPIRIT успешно протестировали совместимость программного сервера видеоконференций VideoMost 9.0 с операционными системами «Альт Рабочая станция» 10 и «Альт Сервер» 10, сообщают компании. Заказчики смогут внедрить надежную, производительную систему унифицированных коммуникаций под управлением российской операционной системы. VideoMost позволяет проводить совещания и переговоры с сотрудниками, клиентами, партнерами из различных геолокаций, повышать эффективность рабочих […] Сообщение ... →

Промышленности должна быть компенсирована часть затрат на внедрение российского ПО – поручение вице-премьера

Заместитель председателя правительства Дмитрий Чернышенко поручил Минпромторгу по согласованию с Минцифры подготовить предложения по предоставлению субсидий российским предприятиям и организациям на возмещение части затрат на внедрение российских программных решений, разработанных в рамках деятельности индустриальных центров компетенций (ИЦК), сообщает правительство в пятницу. «Мы не можем зависеть от иностранных IТ-решений к 2024 или 2025 году», – отметил […] Сообщение Промышленности должна быть компенсиро... →

Huawei совершила прорыв в производстве микросхем — СМИ

Находящаяся под санкциями США китайская Huawei Technologies добилась успеха в области средств автоматизированного проектирования (EDA) для электроники, применяемых в производстве чипов по технологии 14 нм, сообщает в пятницу Reuters со ссылкой на китайские СМИ. В общей сложности Huawei разработала 78 инструментов производства микросхем по технологии 14 нм, относящихся непосредственно к оборудованию и к программному обеспечению […] Сообщение Huawei совершила прорыв в производстве микросхем — СМИ появились сн... →

Московская область приняла закон об инвестиционном налоговом вычете за установку произведённого в регионе ПО

Мособлдума приняла закон, позволяющий организациям получить налоговый вычет при установке, тестировании, адаптации, модификации программного обеспечения (ПО) подмосковных разработчиков, сообщает министерство инвестиций, промышленности и науки Московской области в четверг. В сообщении отмечается, что закон о налоговым вычете при установке отечественного ПО Московская область приняла первой среди российских регионов. Налоговый вычет можно будет заявить в отношении налога […] Сообщение Московская область приня... →

Что председатель правительства сказал об IT выступая в Госдуме

В ежегодном отчёте правительства в Госдуме, состоявшемся накануне, премьер-министр Михаил Мишустин доложил депутатам о достижениях отечественной отрасли IT. Из доклада премьер-министра: «Из-за давления западных стран Россию покинули крупнейшие иностранные поставщики софта. И в таких условиях мы усилили поддержку наших разработчиков, чтобы по поручению президента обеспечить самодостаточность отечественных цифровых решений. Предусмотрены льготные кредиты для IТ-предприятий. Мы […] Сообщение Что председатель п... →

Подписано соглашение о внедрении «Лигой Цифровой Экономики» мобильных решений на базе ОС «Аврора»

Компании «Философия.ИТ» (входит в «Лигу Цифровой Экономики») и «Открытая мобильная платформа» подписали соглашение о сотрудничестве, которое позволит «Лиге» предлагать заказчикам решения на платформе «Аврора», сообщают компании в четверг. Мобильная ОС «Аврора» входит в реестр отечественного ПО, сертифицирована ФСТЭК России и ФСБ России и необходима для построения независимой от зарубежных технологий, доверенной мобильной инфраструктуры в государственных […] Сообщение Подписано соглашение о внедрении «Лигой ... →