Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Включение службы доверительных отношений

Warning
После установки службы доверительных отношений чтение конфигурации samba на сервере будет доступно только суперользователю. Обращения к Samba от имени простых пользователей, выполняемые на сервере, работать не будут.

Включаем службу доверительных отношений во FreeIPA командой

...

Command
ipa dnsforwardzone-add windomain.ad --forwarder= WIN_IP <IP-адрес_контроллера_AD> --forward-policy=only

Проверки успешного выполнения команды:

...

Warning

Использование ключа -k налагает обязательное условие:
команда должна выполняться из сессии (от имени) пользователя, на которого получается принципалбыл полчен билет Kerberos. При этом, как указано выше, обращения к samba от имени непривилегированных пользователей не работают.
Например, если зайти локальным пользователем localuser и сделать из сессии локального пользователя localadmin получить билет kinit admin@ipadomain.ipa, а потом попробовать выполнить команду smbclient с опцией -k, результатом будет ошибка доступа.
Если же зайти пользователем admin@ipadomain.ipa и выполнить эту же команду - все отработает корректно.

Command

kvno cifs/ipasever.ipadomain.ipa@IPADOMAIN.IPA
, так как localadmin не имеет билета Kerberos.
Если команда выполняется от имени пользователя admin@ipadomain.ipa (доменного администратора) - опять будет ошибка, так как пользовватель admin не является суперпользователем.

При этом на других (клиентских) компьютерах привилегии суперпользователя для выполнения обращений к samba не требуются.

Последовательность действия для проверки:

  1. Получить принципал admin (администратора домена) для суперпользователя;
  2. Войти в сессию пользователя admin, что позволит использовать принципал admin;
  3. Выполнить команду с правами суперпользователя, чтобы получить доступ к конфигурации samba.

Последовательность команд для сессии локального администратора:

Command

sudo login admin
sudo kinit
sudo smbclient -k -L ipaserver.ipadomain.ipa
exit

Последовательность команд для сессии доменного администратора (admin):

Command

sudo kinit
sudo smbclient -k -L ipaserver.ipadomain.ipa

...