Справочный центр

Дерево страниц

Сравнение версий

Старая версия 10

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 11

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Информация

cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf

Служба После выполнения вышеуказанных операций служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba командой:

...

Во время процедуры назначения Samba создает конфигурационный файл /usrvat/locallib/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:

Информация

cp -b /usrvar/locallib/samba/private/krb5.conf /etc/krb5.conf

Предупреждение
Не используйте символическую ссылку на созданный файл krb5.conf file.
Начиная с версии  Samba 4.7  каталог /usr/local/samba/private/ недоступен никаким пользователям, кроме пользователя root.
Если файл будет симолической ссылкой, другие пользователи не смогут его прочитать, и, например, динамические обновления DNS при использовании BIND_DLZ DNS станут невозможны.

Автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование  сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC).

Тестирование Samba AD DC

Для ручного запуска сервиса samba в режиме AD DC используйте команду:

Информация

samba

Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.

Если Samba была установлена с использованием системы пакетов, то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.

Тестирование файлового сервера

Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все  разделяемые файловые ресурсы, предоставляемые DC:

Информация

smbclient -L localhost -U%

Так как автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование  сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC),
в домене должна быть правильно настроена и работать служба DNS.

Тестирование Samba AD DC

Для ручного запуска сервиса samba в режиме AD DC используйте команду:

Информация

samba

Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.

Если Samba была установлена с использованием системы пакетов, то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.

Тестирование файлового сервера

Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все  разделяемые файловые ресурсы, предоставляемые DC:

Информация

smbclient -L localhost -U%


Раскрыть
titleНажмите, чтобы развернуть

Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba x.y.z

Раскрыть
titleНажмите, чтобы развернуть

Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba x.y.z)
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]

Server Comment
--------- -------

Workgroup Master
--------- -------

...

Kerberos требует синхронизации времени от всех участников домена. Подробности см. в Настройка NTP или в Синхронизация времени.

Управление Samba AD DC из командной строки

Инструмент samba-tool

Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.

Основные команды иструмента:

КомандаОписание

dbcheck

Проверка локальной базы данных AD на наличие ошибок
delegationУправление делегированием
dnsУправление параметрами доменной службы DNS
domainУправление параметрами домена
drsУправление службой репликации каталогов (Directory Replication Services, DRS)
dsaclУправление списками контроля доступа DS
fsmoУправление ролями (Flexible Single Master Operations, FSMO)
gpoУправление групповыми политиками
groupУправление группами
ldapcmpСравнение двух баз данных ldap
ntaclУправление списками контроля доступа ACL
processesВывод списвка процессов (для упрощения отладки без использования setproctitle).
rodcУправление контроллером домена (Read-Only Domain Controller, RODC)
sitesУправление сайтами
spnУправление службой принципалов (Service Principal Name, SPN)
testparmПроверка конфигурационного файла на корректность синтаксиса
timeПолучение показаний текущего времени сервера
userУправление пользователями
visualizeГрафическое представление состояния сети Samba

Подробная информация об инструменте доступна в справочнике man:


Информация

man samba-tool

Краткую справку по работе инструмента можно получить командой


Информация

samba-tool -h 

Инструмент wbinfo

При установке пакета samba автоматически устанавливается служба winbindd.

Для работы с этой службой используется инструмент командной строки wbinfo,
позволящий получать информацию о пользователях и группах AD.

Примеры команд:

КомандаОписание
wbinfo -uВывести список пользователей
wbinfo -gВывести список групп
wbinfo -i имя_пользователяВывести подробную информацию о пользователе
wbinfo -?
wbinfo --help		Вывести справку по командам

Настройка хостов - участников домена для входа доменных пользователей

По умолчанию, пользователи домена AD не могут выполнять вход в Linux-системы.
Для обеспечения входа в Linux-системы с учетными записями  Active Directory необходимо внести следующие изменения в настройки Samba AD DC в настройки пользовательских компьютеров.

Настрока Samba AD DC

В конфигурационном файле Samba  /etc/samba/smb.conf необходимо добавить настройки службы winbind и разрешение авторизоваться через эту службу (добавленные строки выделены жирным шрифтом):



Информация

[global]
    netbios name = DHCP
    realm = SAMDOM.EXAMPLE.COM
    server role = active directory domain controller
    server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
    workgroup = SAMDOM
    idmap_ldb:use rfc2307 = yes

    template shell = /bin/bash
    winbind use default domain = true
    winbind offline logon = false
    winbind nss info = rfc2307

    winbind enum users = yes
    winbind enum groups = yes


После внесения изменений проверить правильность конфигурации командой 

Информация
testparm

И перезапустить службы samba.

Настройка пользовательских компьютеров

На пользовательском компьютере использовать команду


Информация

pam-auth-update

И убедиться, что включены все профили PAM.
При необходимости - включить аутентификацию winbind, используя клавишу "пробел". 
По окончании нажать клавишу "Tab", перейти на "ОК", и записать изменения.

В файле  /etc/nsswitch.conf добавить слово winbind параметры password и group:


Информация

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat winbind
group: compat winbind
shadow: compat

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis


Чтобы пользователи AD после аутентификации могли менять свой пароль из командной строки
в файле /etc/pam.d/common-password из строки password [success=1 default=ignore]      pam_winbind.so use_authtok try_first_passfile убрать слово  use_authtok statement:


Информация
password      [success=1 default=ignore]      pam_winbind.so use_authtok try_first_pass


Предупреждение: Использование контроллера домена как файлового сервера

Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:

...