Это старая версия документа!
Задача: запустить файловый сервер под управлением Debian 7 и Samba с интеграцией в AD, т.е. с прозрачной аунтификацией клиентов с ОС семейства Windows, авторизованных в домене.
Имеем: домен domain.local, серверная ОС Windows Server 2012, режим работы домена и леса 2012(хотя работает и со всем предыдущими режимами), два DC: dc1.domain.local и dc2.domain.local, будующий файловый сервер fileserver.
1. В DNS домена регистрируем fileserver, в итоге получаем fqdn: fileserver.domail.local
2. На файловом сервере настраиваем разрешение имен, правим /etc/resolv.conf:
domain domail.local search domail.local nameserver 192.168.0.2 nameserver 192.168.0.3
После чего обязательно тестируем, чтобы все имена корректно разрешались: fileserver.domail.local, dc1.domail.local, dc2.domail.local и сам домен domail.local
Также обязательно надо синхронизировать время между DC и файловым сервером, иначе в случае расхождения времени более чем на 5 минут аунтификация работать не будет. Иногда под большими нагрузками время на файловых серверах любит рассинхронизороваться, чтобы этого не происходило рекомендуется запустить и настроить ntp-клиент.
3. На файловом стервере ставим все необходимо ПО:
# apt-get install samba winbind krb5-user
4. Редактируем /etc/krb5.conf:
[libdefaults] default_realm = DOMAIN.LOCAL clockskew = 300 v4_instance_resolve = false [realms] BURUT.ORG = { kdc = dc1.domail.local kdc = dc2.domail.local admin_server = dc1.domail.local default_domain = DOMAIN.LOCAL } [domain_realm] .domail.local. = DOMAIN.LOCAL.
Получаем тикет керберос:
# kinit admin Password for admin@DOMAIN.LOCAL:
Проверяем, что все ОК:
# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: admin@DOMAIN.LOCAL Valid starting Expires Service principal 20.03.2014 15:48:19 21.03.2014 01:52:22 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL renew until 21.03.2014 15:48:19
Этот тикет нам нужен только для подключения самбы к доменту, так что не страшно, что он истекает через такой маленький промежуток времени.
5. Редактируем /etc/samba/smb.conf:
[global] security = ads netbios name = fileserver server string = realm = DOMAIN.LOCAL workgroup = DOMAIN idmap config * : range = 3000-20000 idmap config * : backend = tdb client use spnego = yes winbind enum users = yes winbind enum groups = yes winbind use default domain = yes domain master = no local master = no preferred master = no os level = 1 unix charset = UTF-8 dos charset = CP866 display charset = UTF-8 load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes