Задача: запустить файловый сервер под управлением Debian 7 и Samba с интеграцией в AD, т.е. с прозрачной аунтификацией клиентов с ОС семейства Windows, авторизованных в домене.

Имеем: домен domain.local, серверная ОС Windows Server 2012, режим работы домена и леса 2012(хотя работает и со всем предыдущими режимами), два DC: dc1.domain.local и dc2.domain.local, будующий файловый сервер fileserver.

1. В DNS домена регистрируем fileserver, в итоге получаем fqdn: fileserver.domail.local

2. На файловом сервере настраиваем разрешение имен, правим /etc/resolv.conf:

domain domail.local
search domail.local
nameserver 192.168.0.2
nameserver 192.168.0.3

После чего обязательно тестируем, чтобы все имена корректно разрешались: fileserver.domail.local, dc1.domail.local, dc2.domail.local и сам домен domail.local

Также обязательно надо синхронизировать время между DC и файловым сервером, иначе в случае расхождения времени более чем на 5 минут аунтификация работать не будет. Иногда под большими нагрузками время на файловых серверах любит рассинхронизороваться, чтобы этого не происходило рекомендуется запустить и настроить ntp-клиент.

3. На файловом стервере ставим все необходимо ПО:

# apt-get install samba winbind krb5-user

4. Редактируем /etc/krb5.conf:

[libdefaults]
        default_realm = DOMAIN.LOCAL
        clockskew = 300
        v4_instance_resolve = false

[realms]
        BURUT.ORG = {
                kdc = dc1.domail.local
                kdc = dc2.domail.local
                admin_server = dc1.domail.local
                default_domain = DOMAIN.LOCAL
        }

[domain_realm]
        .domail.local. = DOMAIN.LOCAL.
        

Получаем тикет керберос:

# kinit admin
Password for admin@DOMAIN.LOCAL:

Проверяем, что все ОК:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.LOCAL

Valid starting       Expires              Service principal
20.03.2014 15:48:19  21.03.2014 01:52:22  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 21.03.2014 15:48:19

Этот тикет нам нужен только для подключения самбы к доменту, так что не страшно, что он истекает через такой маленький промежуток времени.

5. Редактируем /etc/samba/smb.conf:

[global]
        security = ads
        netbios name = fileserver
        server string =
        realm = DOMAIN.LOCAL
        workgroup = DOMAIN
        idmap config * : range = 3000-20000
        idmap config * : backend = tdb
        client use spnego = yes
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes

        domain master = no
        local master = no
        preferred master = no
        os level = 1

        unix charset = UTF-8
        dos charset = CP866
        display charset = UTF-8

        load printers = no
        show add printer wizard = no
        printcap name = /dev/null
        disable spoolss = yes