На главную страницу На главную страницу Помоги больным детям! Их можно спасти!
 
Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

  • Имя машины c samba-сервером (hostname): ulbsd
  • IP-адрес машины c samba-сервером: 192.168.0.248
  • Полное имя Windows-домена: EXAMPLE.LOCAL
  • IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
  • IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1


Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

 

Последнее изменение: 17.03.2020 22:07:07
Импортозамещение
В Шанхае официально введён в эксплуатацию научно-исследовательский центр Huawei — Lianqiu Lake R&D Center — работать в котором будут около 35 тысяч учёных и инженеров, сообщил в воскресенье tomshardware.com. Стоимость проекта составила 10 миллиардов юаней, на его реализацию ушло три года. Центр, отмечает издание, больше штаб-квартиры Microsoft и Apple вместе взятых и занимает площадь свыше […] Сообщение Huawei официально открыла гигантский исследовательский центр в Шанхае появились сначала на Digital Russia... 
Российский производитель офисного ПО «МойОфис» внедрил в мобильное приложение «МойОфис Документы» GigaChat API для быстрой и эффективной работы с текстовым контентом, сообщает компания в понедельник. До 31 августа функциональность доступна всем пользователям в режиме бета-тестирования, по его итогам наиболее востребованные сценарии будут включены в продукт на постоянной основе. Технология расширяет возможности «МойОфис Документы», позволяя оперативно […] Сообщение «МойОфис» запустил тестирование функциональ... 
Нидерландская компания Yandex N.V. закрыла сделку по продаже бизнеса «Яндекса» и полностью вышла из состава акционеров группы, сообщает международная компания акционерное общество (МКАО) «Яндекс» в понедельник. Как уже объявлялось ранее, до 31 июля 2024 года Yandex N.V. сменит название и прекратит использовать бренды «Яндекса», говорится в сообщении. Напомним, МКПАО «Яндекс» стала новым владельцем основного юридического […] Сообщение «Яндекс» объявил о завершении реструктуризации появились сначала на Digita... 
Ряд крупных российских разработчиков потеряли доступ к облачному сервису американского разработчика систем автоматизированного проектирования (САПР), а вместе с этим и доступ к своей проектной документации, которая там хранилась, т.е. к рабочим материалам проектирования объектов строительства, сообщает РБК со ссылкой на источники среди застройщиков. Напомним, Autodesk официально объявила о приостановке работы в России ещё в марте […] Сообщение Autodesk начала выборочное отключение пользователей из РФ – СМИ ... 
Разработчик российской офисной среды с расширенным функционалом для совместной работы и коммуникации «Р7-Офис» выпустил обновление десктопных редакторов для работы с документами, сообщает компания в пятницу. Основные изменения коснулись редактора таблиц. Добавлены опции для пользователей, которые взаимодействуют с таблицами на профессиональном уровне. Новый релиз понравится продвинутым пользователям, которые много работают со сложными таблицами и формулами. Появилась […] Сообщение «Р7-Офис» объявил о разраб... 
С начала запуска программы субсидирования высокотехнологичных компаний Подмосковья, стартовавшей в июне 2022 года, правительство региона подписало 21 соглашение с IT-компаниями, а общая сумма грантов превысила 1,5 миллиарда рублей, сообщает министерство государственного управления, информационных технологий и связи Московской области в пятницу. Благодаря грантам IT-компаниям Подмосковья удалось нанять более 3,5 тысячи новых сотрудников, говорится в сообщении. Напомним, […] Сообщение Общая сумма выданных IT-... 
Стратегическая сессия по национальным проектам «Эффективная транспортная система» и «Беспилотные авиационные системы» (БАС) прошла в правительстве в понедельник. Как сообщил председатель правительства Михаил Мишустин, в 2030 году количество беспилотной техники, произведённой в России, должно вырасти более чем в пять раз. Глава правительства подчеркнул, что при этом важно активно внедрять собственные передовые технологии, энергетические и силовые […] Сообщение Правительство опубликовало планы развития беспил... 
Компания «Открытая мобильная платформа», разработчик защищённой отечественной мобильной платформы «Аврора», объявила в понедельник о выходе пятой версии «Аврора Центр» – платформы единого управления корпоративными устройствами на базе различных ОС. Платформа удалённого управления «Аврора Центр» 5.0 — это отечественное решение, заменяющее VMWare AirWatch, MobileIron, Citrix или SOTI и предназначенное для упрощения и централизации управления корпоративными мобильными […] Сообщение Объявлено о выходе новой вер... 
Компания Postgres Professional, разработчик российской СУБД Postgres Pro, выпустила обновление утилиты pg_probackup – приложения для резервного копирования и восстановления кластеров баз данных, сообщает компания в понедельник. Новая версия 2.8.2 содержит ряд важных изменений. Исправлена ошибка парсинга oid, в результате чего базы и табличные пространства с relfilenode больше одного миллиарда не попадали в резервную копию. Исправлена […] Сообщение Обновлена утилита для резервного копирования СУБД Postgres P... 
Глава правительства РФ Михаил Мишустин дал поручения по итогам IX конференции «Цифровая индустрия промышленной России» (ЦИПР), сообщается на сайте government.ru, сами поручения при этом пока не опубликованы. Конференция проходила в Нижнем Новгороде с 21 по 24 мая 2024 года. Правительство планирует снизить расходы предприятий и компаний при реализации комплексных проектов по внедрению российского программного обеспечения […] Сообщение Председатель правительства дал поручения по итогам ЦИПР 2024 появились сна... 
    Наверх       На главную страницу       Адрес электропочты Рейтинг@Mail.ru
Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.

Сергей Волков – эксперт в области информационных технологий © 2011−2024
Работает система управления сайтом «Публикатор 1.9» © 2004−2024