Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 4 Следующий »



Исходные данные

Предполагается, что у нас уже есть установленный сервер FreeIPA.
При стандартной установке FreeIPA на таком сервере уже установлены службы samba и winbind.

Донастройка сервера FreeIPA

Если при установке сервера не была применена опция --setup-adtrust (установка компонент для работы с samba и Windows AD), то доустановить необходимые компоненты:

sudo kinit admin
sudo ipa-adtrust-install --add-sids --add-agents
После этого сервис samba будет переведён под управление FreeIPA.

После установки ipa-adtrust-install чтение конфигурации samba на сервере будет доступно только суперпользователю.
Монтирование и авторизацией через samba на сервере для простых пользователей сервере работать не будут.
Монтировать разделяемые ресурсы следует только с компьютеров-клиентов.

Службы samba и winbind теперь будут управляться командой ipactl:

sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
smb Service: RUNNING
winbind Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

В конфигурационном файле сервиса samba /etc/samba/smb.conf останется только отсылка в БД "registry", куда будут перенесены все конфигурационные параметры:

### Added by IPA Installer ###
[global]
debug pid = yes
config backend = registry

Опция "config backend = registry" указывает, что все конфигурационные параметры будут храниться в БД registry, а параметры, указанные в файле /etc/samba/smb.conf после этой опции будут игнорироваться.
Можно создать комбинированную конфигурацию, заменив "config backend = registry" на "include = registry", что позволит задавать параметры в файле /etc/samba/smb.conf.


Проверить конфигурацию можно стандартной командой testparm, однако теперь только от имени суперпользователя:

sudo testparm
Редактировать БД "registry" можно с помощью специальной утилиты samba-registry (устанавливается автоматически при установке пакета samba):
sudo samba-registry
При этом параметры samba хранятся в ветке /HKEY_LOCAL_MACHINE/SOFTWARE/Samba/smbconf:

Все секции конфигурационного файла samba (в том числе разделяемые ресурсы, включая ресурс homes) могут быть указаны в этой ветке. Все параметры имеют одинаковый тип REG_SZ.

ipa service-add cifs/cifs.ipadomain.le

ipa permission-add "CIFS server can read user passwords" --attrs={ipaNTHash,ipaNTSecurityIdentifier} --type=user --right={read,search,compare} --bindtype=permission
ipa privilege-add "CIFS server privilege"
ipa privilege-add-permission "CIFS server privilege" --permission="CIFS server can read user passwords"
ipa role-add "CIFS server"
ipa role-add-privilege "CIFS server" --privilege="CIFS server privilege"
ipa role-add-member "CIFS server" --services=cifs/cifs.ipadomain.le

sudo kinit -kt /etc/krb5.keytab
sudo ipa-getkeytab -s ipa.ipadomain.le -p cifs/cifs.ipadomain.le -k /etc/samba/samba.keytab
kinit admin
ldapsearch -Y gssapi "(uid=admin)"
ldapsearch -Y gssapi "(uid=ipauser)"
kdestroy -A
kinit -kt /etc/samba/samba.keytab cifs/ipa.ipadomain.le
ldapsearch -Y gssapi "(ipaNTHash=*)" ipaNTHash
  • Нет меток