Справочный центр

Дерево страниц

Сравнение версий

Старая версия 21

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 22

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Включение службы доверительных отношений

Предупреждение
После установки службы доверительных отношений чтение конфигурации samba на сервере будет доступно только суперользователю. Обращения к Samba от имени простых пользователей, выполняемые на сервере, работать не будут.

Включаем службу доверительных отношений во FreeIPA командой

...

Command
ipa dnsforwardzone-add windomain.ad --forwarder= WIN_IP <IP-адрес_контроллера_AD> --forward-policy=only

Проверки успешного выполнения команды:

...

Предупреждение

Использование ключа -k налагает обязательное условие:
команда должна выполняться из сессии (от имени) пользователя, на которого получается принципалбыл полчен билет Kerberos. При этом, как указано выше, обращения к samba от имени непривилегированных пользователей не работают.
Например, если зайти локальным пользователем localuser и сделать из сессии локального пользователя localadmin получить билет kinit admin@ipadomain.ipa, а потом попробовать выполнить команду smbclient с опцией -k, результатом будет ошибка доступа.
Если же зайти пользователем admin@ipadomain.ipa и выполнить эту же команду - все отработает корректно., так как localadmin не имеет билета Kerberos.
Если команда выполняется от имени пользователя admin@ipadomain.ipa (доменного администратора) - опять будет ошибка, так как пользовватель admin не является суперпользователем.

При этом на других (клиентских) компьютерах привилегии суперпользователя для выполнения обращений к samba не требуются.

Последовательность действия для проверки:

  1. Получить принципал admin (администратора домена) для суперпользователя;
  2. Войти в сессию пользователя admin, что позволит использовать принципал admin;
  3. Выполнить команду с правами суперпользователя, чтобы получить доступ к конфигурации samba.

Последовательность команд для сессии локального администратора:

Command

sudo login admin
sudo kinit
sudo smbclient -k -L ipaserver.ipadomain.ipa
exit

Последовательность команд для сессии доменного администратора (admin):

Command

sudo kinit
sudo

Command

kvno cifs/ipasever.ipadomain.ipa@IPADOMAIN.IPA
smbclient -k -L ipaserver.ipadomain.ipa

...