Заметки на память

Инструменты пользователя

Инструменты сайта

Вы посетили:
samba_ad

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
samba_ad [2014/06/10 12:55]
metallic 		samba_ad [2023/10/02 16:40] (текущий)
metallic [Настройка]
Строка 3: Строка 3:
 ===== Введение ===== ===== Введение =====
  
-Задача: запустить файловый сервер под управлением Debian 7 и Samba с интеграцией в AD, т.е. с прозрачной аунтификацией клиентов с ОС семейства Windows, авторизованных в домене.+Задача: запустить файловый сервер под управлением Debian 8/Centos 7 и Samba с интеграцией в AD, т.е. с прозрачной аунтификацией клиентов с ОС семейства Windows, авторизованных в домене.
  
 Имеем: домен domain.local, серверная ОС Windows Server 2012, режим работы домена и леса 2012(хотя работает и со всем предыдущими режимами), два DC: dc1.domain.local и dc2.domain.local, будующий файловый сервер fileserver. Имеем: домен domain.local, серверная ОС Windows Server 2012, режим работы домена и леса 2012(хотя работает и со всем предыдущими режимами), два DC: dc1.domain.local и dc2.domain.local, будующий файловый сервер fileserver.
Строка 22: Строка 22:
 Также обязательно надо синхронизировать время между DC и файловым сервером, иначе в случае расхождения времени более чем на 5 минут аунтификация работать не будет. Иногда под большими нагрузками время на файловых серверах любит рассинхронизороваться, чтобы этого не происходило рекомендуется запустить и настроить ntp-клиент. Также обязательно надо синхронизировать время между DC и файловым сервером, иначе в случае расхождения времени более чем на 5 минут аунтификация работать не будет. Иногда под большими нагрузками время на файловых серверах любит рассинхронизороваться, чтобы этого не происходило рекомендуется запустить и настроить ntp-клиент.
  
-3. На файловом стервере ставим все необходимо ПО:+3. На файловом сервере ставим все необходимо ПО
 +Debian 8:
  
-  # apt-get install samba winbind krb5-user+  # apt-get install samba winbind krb5-user libpam-krb5 libnss-winbind 
 +   
 +Centos 7: 
 + 
 +  # yum install samba samba-winbind krb5-workstation samba-winbind-clients
      
 4. Редактируем /etc/krb5.conf: 4. Редактируем /etc/krb5.conf:
Строка 34: Строка 39:
      
   [realms]   [realms]
-          BURUT.ORG = {+          DOMAIN.LOCAL = {
                   kdc = dc1.domail.local                   kdc = dc1.domail.local
                   kdc = dc2.domail.local                   kdc = dc2.domail.local
Строка 104: Строка 109:
 6. Подключаемся к домену: 6. Подключаемся к домену:
  
-  # net ads join -U admin+  # net ads join -U admin --no-dns-updates
   Enter admin's password:   Enter admin's password:
   Using short domain name -- DOMAIN   Using short domain name -- DOMAIN
   Joined 'FILESERVER' to realm 'DOMAIN.LOCAL'   Joined 'FILESERVER' to realm 'DOMAIN.LOCAL'
-  No DNS domain configured for fileserver. Unable to perform DNS Update. 
-  DNS update failed! 
  
-На ругань про не возможность обновить DNS запись не обращаем внимания.+Опция --no-dns-updates говорит не обновлять днс-запись, иначе будет ошибка. Другой вариант - включить в настройках доменного ДНС небезопасное обновление зоны.
  
 7. Теперь чтобы система использовала winbind для поиска пользователей и групп редактируем /etc/nsswitch.conf: 7. Теперь чтобы система использовала winbind для поиска пользователей и групп редактируем /etc/nsswitch.conf:
Строка 131: Строка 134:
 Тут всего лишь добавлено ключевое слово winbind в поля passwd и group. Тут всего лишь добавлено ключевое слово winbind в поля passwd и group.
  
-Вот и все. Теперь еще раз на всякий случай перезапускаемся:+Вот и все. Теперь еще раз на всякий случай перезапускаемся.
  
 +
 +Debian 8:
   # service samba restart   # service samba restart
   [ ok ] Stopping Samba daemons: nmbd smbd.   [ ok ] Stopping Samba daemons: nmbd smbd.
Строка 140: Строка 145:
   [ ok ] Stopping the Winbind daemon: winbind.   [ ok ] Stopping the Winbind daemon: winbind.
   [ ok ] Starting the Winbind daemon: winbind.   [ ok ] Starting the Winbind daemon: winbind.
 +
 +Centos 7:
 +  # systemctl enable smb
 +  # systemctl enable winbind
 +  # systemctl restart smb
 +  # systemctl restart winbind
  
 И тестируем: И тестируем:
Строка 167: Строка 178:
   администраторы домена   администраторы домена
   ...   ...
 +
 +  # net ads testjoin
 +  Join is OK
 +
 +  # net ads info
 +  LDAP server: X.X.X.X
 +  LDAP server name: DC1.domain.org
 +  Realm: DOMAIN.ORG
 +  Bind Path: dc=DOMAIN,dc=ORG
 +  LDAP port: 389
 +  Server time: Птн, 17 Июл 2015 18:29:53 MSK
 +  KDC server: X.X.X.X
 +  Server time offset: -32
 +
 +
  
 Если все ОК, система видит доменных пользователей и группы, можно попробовать зайти на сервер. Пример шары с прописанными доменными пользователями и группами приведен ниже: Если все ОК, система видит доменных пользователей и группы, можно попробовать зайти на сервер. Пример шары с прописанными доменными пользователями и группами приведен ниже:
Строка 197: Строка 223:
 В случае каких либо глюков, например после переименования доменных учетных записей, можно попробовать удалить это все и перезапустить самбу с винбиндом: В случае каких либо глюков, например после переименования доменных учетных записей, можно попробовать удалить это все и перезапустить самбу с винбиндом:
  
 +  net cache flush
   rm /var/lib/samba/*.tdb   rm /var/lib/samba/*.tdb
  
Строка 210: Строка 237:
 В redhat редактируем файл /etc/sysconfig/samba и добавляем туда строку: В redhat редактируем файл /etc/sysconfig/samba и добавляем туда строку:
   WINBINDOPTIONS="-n"   WINBINDOPTIONS="-n"
 +</note>
 +
 +<note>
 +Для сопоставления доменных идентификаторов пользователей локальным удобно использовать вместо бакенда tdb(локальная база данных) бакэнд rid, в таком случае они будут вычисляться на лету исходя из доменного SID пользователя(последних цифр) и будут всегда одинаковыми на всех серверах(при неизменности конфигурации). Пример конфигурации:
 +
 +  idmap config DOMAIN : base_rid = 0
 +  idmap config DOMAIN : range = 2000-999999
 +  idmap config DOMAIN : backend = rid
 +  idmap config DOMAIN : default = yes
 +  idmap config * : range = 1300000-1999999
 +  idmap config DOMAIN : backend = rid
 +  
 +Локальный ID пользователя будет вычисляться по формуле:
 +  ID = RID - BASE_RID + LOW_RANGE_ID
 +где 
 +RID - последние цифры SID пользователя домена, например для встроенной учетной записи администратора это обычно 500(S-1-5-21-ХХХХХХХХХ-ХХХХХХХХХ-ХХХХХХХХХ-500) и для в дальнейшем создаваемых пользователей в домене эта цифра увеличивается
 +BASE_RID - это конфигурируемый параметр, это цифра, на которую уменьшается ID пользователя в системе, если его надо подкорректировать, в нашем случае 0
 +LOW_RANGE_ID - это нижняя граница диапазона, в нашем случае 2000
 +И таким образом ID встроенного админа при такой конфигурации будет рассчитан так: 500 - 0 + 2000 = 2500 и это значение будет неизменным для всех серверов при условии, что вышеуказанная конфигурация не меняется. Аналогично для других пользователей, локальное значение всегда будет на 2000 больше, чем доменное.
 +
 +Чтобы идентификаторы пользователей точно соответствовал доменным, можно настроить так:
 +  ...
 +  idmap config DOMAIN : base_rid = 100
 +  idmap config DOMAIN : range = 100-999999
 +  ...
 +Но в этом случае они могут пересекаться с локальными.
 +  
 +Дополнительная информация по [[https://www.samba.org/samba/docs/man/manpages-3/idmap_rid.8.html|ссылке]].
 </note> </note>
  
samba_ad.1402390533.txt.gz · Последнее изменение: 2022/03/25 17:04 (внешнее изменение)

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki