Ульяновск.BSD (ULBSD) - операционная система для персонального компьютера. Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory? -

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Справочные материалы ←

Как ввести сервер samba в домен Windows для авторизации пользователей в Active Directory?

В сборку Ульяновск.BSD включён пакет программ samba. С помощью этого пакета, в частности, можно организовать сервер хранения данных. Если такой сервис развертывается в сети Windows с доменной структурой и централизованным управлением пользователями и компьютерами через Active Directory, то можно организовать доступ к нему пользователей с авторизацией в Active Directory. Одновременно с этим возможно раздавать права на доступ к хранимым данным в соответствии с доменными пользователями и группами.

Допустим имеются следующие исходные данные:

Имя машины c samba-сервером (hostname): ulbsd
IP-адрес машины c samba-сервером: 192.168.0.248
Полное имя Windows-домена: EXAMPLE.LOCAL
IP-адрес контроллера домена Windows Server 2012 R2 Standard, являющегося и DNS-сервером для домена: 192.168.0.135
IP-адрес шлюза в Интернет и резервного DNS-сервера: 192.168.0.1

Итак, в файле /etc/rc.conf на samba-сервере необходимо проверить наличие следующих строк:

samba_server_enable="YES"
winbindd_enable="YES"

А также в файле /etc/rc.conf на samba-сервере необходимо установить постоянный IP-адрес (вместо em0 нужно подставить имя своего интерфейса):

ifconfig_em0="inet 192.168.0.248 netmask 255.255.255.0"
defaultrouter="192.168.0.1"

В файл /etc/hosts на samba-сервере необходимо добавить строку:

192.168.0.248  ulbsd.example.local ulbsd

В файл /etc/resolv.conf на samba-сервере необходимо прописать следующее:

search example.local
nameserver 192.168.0.135
nameserver 192.168.0.1

В файле /etc/nsswitch.conf на samba-сервере необходимо изменить строки group и passwd следующим образом:

group: files winbind
passwd: files winbind

Конфигурационный файл /usr/local/etc/smb4.conf на samba-сервере необходимо привести к следующему виду:

[global]
    server string = ULBSD Samba Server

    workgroup = EXAMPLE
    security = ADS

    realm = EXAMPLE.LOCAL
    idmap config * : backend = tdb
    idmap config * : range = 100000-999999
    idmap config EXAMPLE : backend = rid
    idmap config EXAMPLE : range = 10000-99999
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    winbind offline logon = Yes

    domain master = No
    preferred master = No
    use sendfile = Yes
    logging = file
    create mask = 0664
    directory mask = 0775
    dos charset = cp866
    guest account = ftp
    map to guest = Bad User
    usershare allow guests = Yes
    usershare max shares = 100
    usershare owner only = No

[incoming]
    comment = Public read/write directory
    path = /var/ftp/incoming
    guest ok = Yes
    force user = ftp
    read only = No

[pub]
    comment = Public read directory
    path = /var/ftp/pub
    guest ok = Yes

[share]
    comment = Files exchange directory
    path = /var/ftp/share
    read only = No
    hide unreadable = Yes
    inherit acls = Yes
    inherit permissions = Yes
    map acl inherit = Yes

После изменения конфигурационных файлов нужно перезагрузить машину с samba-сервером.

После перезагрузки можно вводить samba-сервер в домен:

net ads join -U администратор

В случае успеха после ввода пароля администратора произойдет выход в командную строку без каких либо сообщений.

Для проверки ввода в домен можно воспользоваться следующей командой:

net ads testjoin

Свидетельством успешного ввода в домен должно быть сообщение "Join is OK".

После ввода в домен необходимо перезапустить samba:

service samba_server restart

Теперь можно проверить работоспособность. Команда wbinfo -u должна выдавать список доменных пользователей, команда wbinfo -g должна выдавать список доменных групп, команда getent passwd должна выдавать локальных и доменных пользователей одним списком, команда getent group должна выдавать локальные и доменные группы одним списком.

Создание каталога share и перезапуск samba:

mkdir -p /var/ftp/share
chown -R "администратор":"пользователи домена" /var/ftp/share
chmod 0770 /var/ftp/share
service samba_server restart

Для того, чтобы можно было устанавливать права на каталог для нескольких пользователей и групп и управлять ими непосредственно из Windows, необходимо включить для файловой системы на samba-сервере поддержку расширенных списков доступа (POSIX.1e ACL). Для этого необходимо загрузиться в однопользовательском режиме (выбрать при старте системы 2. Boot Single User) и выполнить команду:

tunefs -a enable /

После этого расширенный список доступа для какого-либо каталога или файла можно просмотреть командой:

getfacl имя_каталога_или_файла

Работа рассмотренных конфигураций проверена в Ульяновск.BSD в стандартной установке с версией samba 4.7 на файловой системе UFS и контроллером домена на базе Windows Server 2012 R2 Standard. Проект samba активно развивается, поэтому необходимо следить за изменениями.

Примечание 1: Чтобы не иметь проблем с доступом, назначение постоянного IP-адреса для samba-сервера крайне желательно. IP-адрес может быть установлен вручную или назначаться DHCP-сервером по MAC-адресу. В случае назначения DHCP-сервером, необходимо также, чтобы DHCP-сервер правильно выдавал адреса DNS-серверов.

Примечание 2: Пример установки и настройки Active Directory на Windows Server 2012 R2 Standard можно посмотреть, например, здесь.

Примечание 3: Время на samba-сервере и контроллере домена обязательно должно быть одинаковым. Допустима разница не более чем в 5 минут. В противном случае авторизация в домене может не работать.

Последнее изменение: 17.03.2020 22:07:07

Комментарии

Добавляя комментарий, убедитесь, что он соответствует теме. Подумайте, будет ли он интересен другим. Спам, умышленная реклама и личная переписка не допускаются. Соблюдайте правила русского языка. Комментарии публикуются после проверки модератором и могут быть удалены без объяснения причин. Ответы на заданные в комментариях вопросы могут исходить от любого пользователя и являются неофициальными.

Импортозамещение

Целесообразна ли поддержка IT-индустрии – бюрократический ответ в помощь очевидному

Опубликован приказ Минцифры, утверждающий методику оценки эффективности налоговых расходов Российской Федерации из-за льгот, предоставляемых аккредитованным IT-компаниям. Налоговые расходы иначе называют выпадающими доходами бюджета. Методикой предусмотрен расчёт нескольких показателей, призванных обосновать утверждение «льготы для IT-компаний экономически целесообразны, а попытка обложить программистов таким же налогом, что и у нефтяников, убьёт софтверную индустрию». Первый показатель – «востребованность ... →

Президент «Руссофт» категорично высказался о перспективах отечественной IT-индустрии

«В условиях переохлаждения экономики, вызванного санкциями и внутренней финансовой политикой, рассчитывать на развитие индустрии на сжимающемся внутреннем рынке не приходится. Спорадические нормативные решения, направленные на блокировку международных коммуникаций, на ужесточение условий ведения бизнеса в России и на повышение фискальной нагрузки, только усугубляют ситуацию. В условиях отсутствия равного диалога государства с организованным IT-бизнесом нет единого понимания, […] Сообщение Президент «Руссофт... →

«Ростелеком» сообщил о запуске интернет-магазина оборудования для операторов связи

Для операторов связи запущен специализированный онлайн-магазин, в котором доступно свыше десяти тысяч позиций профессионального сетевого и серверного оборудования, оптические и абонентские устройства, компоненты инженерной инфраструктуры, сообщает «Ростелеком» в среду. Для покупателей предусмотрена услуга «тестового полигона» — возможность протестировать оборудование до оформления закупки. Интернет-магазин предлагает широкий спектр оборудования в необходимом для конкретного запроса или проекта оператора […]... →

Доверенная платформа идентификации дронов создана в России – СМИ

ГК «Элемент» и АО «ГЛОНАСС» разработали первую российскую доверенную платформу для идентификации гражданских беспилотников, пишут «Ведомости» со ссылкой на представителей компаний. Напомним, в России действует единая система идентификации на базе системы экстренного реагирования при авариях «ЭРА-ГЛОНАСС». С 1 марта 2026 гражданские дроны должны быть оснащены оборудованием (аппаратно-программными средствами) удалённой идентификации, обеспечивающим формирование и передачу информации, […] Сообщение Доверенная ... →

Операторы «большой четверки» и мессенджер «Макс» договорились о технологическом взаимодействии

Операторы «Билайн», МТС, «Мегафон» и «Т2» подписали стратегические соглашения с MAX, сообщила пресс-служба мессенджера. Сотрудничество предполагает использование нацмессенджера для отправки пользователям авторизационных, сервисных и транзакционных сообщений, развитие совместных услуг и продуктов. Интеграция с платформой МАХ для отправки сообщений доступна всем российским операторам связи. Пользователи смогут получать в MAX сообщения от компаний и организаций, а также […] Сообщение Операторы «большой четверк... →

Индустрия ПО среди приоритетов импортозамещения не названа – интервью зампреда правительства

Предлагаем вниманию читателей основные конкретные сведения о состоянии, ближайших перспективах и планах развития отечественной экономики, сообщённые вице-премьером Александром Новаком в интервью «Ведомостям», опубликованном во вторник на сайте правительства. 1. Секторы, где импортозамещение необходимо прежде всего: станкостроение, химическая промышленность, транспортное и энергетическое машиностроение, радиоэлектроника, авиастроение, судостроение, автопром. В этих сферах доля импорта на момент введения санк... →

В 2026 году в Москве начнётся выпуск печатных плат для автомобилестроителей – мэр

В московском индустриальном парке «Руднево» появился новый резидент, в планах которого до конца 2026 года запустить производство печатных плат для автомобильной промышленности, сообщил мэр столицы Сергей Собянин во вторник. Это будет первое в стране крупносерийное контрактное производство печатных плат до 24 слоёв и до седьмого класса точности. Аналогов продукции среди российских производителей на данный момент […] Сообщение В 2026 году в Москве начнётся выпуск печатных плат для автомобилестроителей – мэр п... →

«Яндекс 360» запустил бота для переноса рабочих чатов из Telegram в корпоративный мессенджер

Интернет-сервис «Яндекс 360», рассчитанный на корпоративного заказчика, представил инструмент для автоматического переноса рабочих переписок из Telegram в корпоративный мессенджер – решение позволяет компаниям централизовать коммуникации сотрудников внутри единой цифровой среды, сообщила компания «Яндекс». Бот переносит чаты при условии, что рабочий аккаунт пользователя привязан к организации в «Яндекс 360». Сообщение «Яндекс 360» запустил бота для переноса рабочих чатов из Telegram в корпоративный мессендж... →

АПКИТ констатировала цифровую незрелость станкоинструментальных производств

Совет по развитию цифровых технологий для промышленности Ассоциации предприятий компьютерных и информационных технологий (АПКИТ) при содействии Минпромторга России завершил исследование цифровой зрелости станкоинструментальной отрасли: зафиксирован тревожный разрыв между амбициозными задачами отрасли и нынешним состоянием её цифровизации, сказано в сообщении АПКИТ. В опросе участвовали 39 предприятий. По объёму выручки за 2025 год 21 предприятие относится к […] Сообщение АПКИТ констатировала цифровую незрел... →

Хорошее враг единственного

Из 457 миллиардов, израсходованных Минцифры в 2025 году, 40 ушло «на создание, развитие, эксплуатацию и продвижение национальной видеоплатформы», уточнил «Коммерсант». «Национальная видеоплатформа» – это «VK Видео». Уже создана «связанная с VK» компания «Единое видео», руководит ею Андрей Бородин. Идея национализации видеохостинга для UGC (User-Generated Content) здравая, но запоздалая. Думать о бессмысленности создания более чем одного […] Сообщение Хорошее враг единственного появились сначала на Digital R... →

Общая информация | Частным клиентам | Корпоративным клиентам | Справочные материалы | Обратная связь

Данный интернет-сайт носит исключительно информационный характер, и ни при каких условиях информационные
материалы и цены, размещенные на сайте, не являются публичной офертой, определяемой положениями Статьи 437 ГК РФ.
Сергей Волков – эксперт в области информационных технологий © 2011−2026
Работает система управления сайтом «Публикатор 1.9» © 2004−2026