...
Информация |
---|
cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf |
Служба После выполнения вышеуказанных операций служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba командой:
...
Во время процедуры назначения Samba создает конфигурационный файл /usrvat/locallib/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:
Информация |
---|
cp -b /usrvar/locallib/samba/private/krb5.conf /etc/krb5.conf |
Предупреждение |
---|
Не используйте символическую ссылку на созданный файл krb5.conf file. Начиная с версии Samba 4.7 каталог /usr/local/samba/private/ недоступен никаким пользователям, кроме пользователя root. Если файл будет симолической ссылкой, другие пользователи не смогут его прочитать, и, например, динамические обновления DNS при использовании BIND_DLZ DNS станут невозможны. |
Автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC).
Тестирование Samba AD DC
Для ручного запуска сервиса samba в режиме AD DC используйте команду:
Информация |
---|
samba |
Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.
Если Samba была установлена с использованием системы пакетов, то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.
Тестирование файлового сервера
Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
Информация |
---|
smbclient -L localhost -U% |
Так как автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC),
в домене должна быть правильно настроена и работать служба DNS.
Тестирование Samba AD DC
Для ручного запуска сервиса samba в режиме AD DC используйте команду:
Информация |
---|
samba |
Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.
Если Samba была установлена с использованием системы пакетов, то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.
Тестирование файлового сервера
Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
Информация |
---|
smbclient -L localhost -U% |
Раскрыть | ||
---|---|---|
| ||
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z] Sharename Type Comment | ||
Раскрыть | ||
| ||
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z] Sharename Type Comment Server Comment Workgroup Master |
...
Kerberos требует синхронизации времени от всех участников домена. Подробности см. в Настройка NTP или в Синхронизация времени.
Управление Samba AD DC из командной строки
Инструмент samba-tool
Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.
Основные команды иструмента:
Команда | Описание |
---|---|
dbcheck | Проверка локальной базы данных AD на наличие ошибок |
delegation | Управление делегированием |
dns | Управление параметрами доменной службы DNS |
domain | Управление параметрами домена |
drs | Управление службой репликации каталогов (Directory Replication Services, DRS) |
dsacl | Управление списками контроля доступа DS |
fsmo | Управление ролями (Flexible Single Master Operations, FSMO) |
gpo | Управление групповыми политиками |
group | Управление группами |
ldapcmp | Сравнение двух баз данных ldap |
ntacl | Управление списками контроля доступа ACL |
processes | Вывод списвка процессов (для упрощения отладки без использования setproctitle). |
rodc | Управление контроллером домена (Read-Only Domain Controller, RODC) |
sites | Управление сайтами |
spn | Управление службой принципалов (Service Principal Name, SPN) |
testparm | Проверка конфигурационного файла на корректность синтаксиса |
time | Получение показаний текущего времени сервера |
user | Управление пользователями |
visualize | Графическое представление состояния сети Samba |
Подробная информация об инструменте доступна в справочнике man:
Информация |
---|
man samba-tool |
Краткую справку по работе инструмента можно получить командой
Информация |
---|
samba-tool -h |
Инструмент wbinfo
При установке пакета samba автоматически устанавливается служба winbindd.
Для работы с этой службой используется инструмент командной строки wbinfo,
позволящий получать информацию о пользователях и группах AD.
Примеры команд:
Команда | Описание |
---|---|
wbinfo -u | Вывести список пользователей |
wbinfo -g | Вывести список групп |
wbinfo -i имя_пользователя | Вывести подробную информацию о пользователе |
wbinfo -? wbinfo --help | Вывести справку по командам |
Настройка хостов - участников домена для входа доменных пользователей
По умолчанию, пользователи домена AD не могут выполнять вход в Linux-системы.
Для обеспечения входа в Linux-системы с учетными записями Active Directory необходимо внести следующие изменения в настройки Samba AD DC в настройки пользовательских компьютеров.
Настрока Samba AD DC
В конфигурационном файле Samba /etc/samba/smb.conf необходимо добавить настройки службы winbind и разрешение авторизоваться через эту службу (добавленные строки выделены жирным шрифтом):
Информация |
---|
[global] template shell = /bin/bash winbind enum users = yes |
После внесения изменений проверить правильность конфигурации командой
Информация |
---|
testparm |
И перезапустить службы samba.
Настройка пользовательских компьютеров
На пользовательском компьютере использовать команду
Информация |
---|
pam-auth-update |
И убедиться, что включены все профили PAM.
При необходимости - включить аутентификацию winbind, используя клавишу "пробел".
По окончании нажать клавишу "Tab", перейти на "ОК", и записать изменения.
В файле /etc/nsswitch.conf добавить слово winbind параметры password и group:
Информация |
---|
# /etc/nsswitch.conf passwd: compat winbind hosts: files dns protocols: db files netgroup: nis |
Чтобы пользователи AD после аутентификации могли менять свой пароль из командной строки
в файле /etc/pam.d/common-password из строки password [success=1 default=ignore] pam_winbind.so use_authtok try_first_passfile
убрать слово use_authtok statement:
Информация |
---|
password [success=1 default=ignore] pam_winbind.so |
Предупреждение: Использование контроллера домена как файлового сервера
Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:
...