|
|
|
ДНЕВНИКИ
Назад >>
Сергей ШИБКА
>>
CentOS
01.07.2014 CentOS 6, Samba и Win2008AD R2.
CentOS 6, Samba и Win2008AD R2. Интеграция и Жизнь доменных пользователей из AD в Samba.
Имеем домен DEVELOPER.COM, контроллер домена SERVER-DC.DEVELOPER.COM (IP: 192.168.151.2) на базе Win2008ADR2, файловый сервер CENTOS.DEVELOPER.COM (IP: 192.168.153.17) на базе CentOS 6 Samba.
Отключаем SELinux:
Редактируем файл /etc/selinux/config и устанавливаем SELINUX=disabled, SETLOCALDEFS=0.
Перезагружаем сервер:
reboot
Редактируем файл /etc/sysconfig/network приводим к виду:
NETWORKING=yes
HOSTNAME=centos.developer.com
NTPSERVERARGS=iburst
Редактируем файл /etc/hosts приводим к виду:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
192.168.153.17 centos centos.developer.com
192.168.151.2 developer developer.com server-dc server-dc.developer.com
Проверяем вывод команд hostname, hostname -f, nslookup developer.com не должно быть ошибок.
Обязательно синхронизируем время на контроллере и файловом сервере, не должно быть расхождения во времени (максимум 5 минут).
Устанавливаем необходимые пакеты для интеграции:
yum install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation pam_krb5 ntp
Приводим файл /etc/krb5.conf к виду:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DEVELOPER.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DEVELOPER.COM = {
kdc = server-dc.developer.com
admin_server = server-dc.developer.com
default_domain = developer.com
}
[domain_realm]
.developer.com = DEVELOPER.COM
developer.com = DEVELOPER.COM
Производим инициализацию и получения тикета от контроллера домена (от имен пользователя, который имеет права на добавление в домен, необходимо будет ввести его пароль):
kinit ssh
Просмотр полученного тикета:
klist
Результат:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ssh@DEVELOPER.COM
Valid starting Expires Service principal
07/01/14 08:44:36 07/01/14 18:44:44 krbtgt/DEVELOPER.COM@DEVELOPER.COM
renew until 07/08/14 08:44:36
Создаем папки для шаров:
mkdir /home/samba/ADM -m 777
mkdir /home/samba/OTD2 -m 777
Приводим файл /etc/samba/smb.conf к виду:
[global]
workgroup = DEVELOPER
realm = DEVELOPER.COM
server string = Test File Server
security = ads
auth methods = winbind
allow trusted domains = no
password server = server-dc.developer.com
idmap config * : backend = tdb
idmap config * : range = 100000-299999
idmap config DEVELOPER : backend = rid
idmap config DEVELOPER : range = 10000-99999
winbind separator = ^
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
time server = no
dns proxy = yes
ldap ssl = no
case sensitive = no
domain master = no
local master = no
preferred master = no
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072
use sendfile = true
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50
dos charset = cp866
unix charset = utf-8
display charset = utf-8
[ADM]
comment = ADM
path = /home/samba/ADM
read only = no
valid users = "@DEVELOPER^Администраторы домена"
read list = "@DEVELOPER^Администраторы домена"
write list = "@DEVELOPER^Администраторы домена"
create mask = 0777
directory mask = 0777
inherit permissions = Yes
inherit acls = Yes
[OTD2]
comment = OTD2
path = /home/samba/OTD2
read only = no
valid users = "@DEVELOPER^Пользователи домена"
read list = "@DEVELOPER^Пользователи домена"
write list = "@DEVELOPER^Пользователи домена"
create mask = 0777
directory mask = 0777
inherit permissions = Yes
inherit acls = Yes
Проверяем конфиг на ошибки:
testparm
Редактируем файл /etc/nsswitch.conf, приводим строки к виду:
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns wins
Пробуем ввести в домен наш сервер (от имен пользователя, который имеет права на добавление в домен, необходимо будет ввести его пароль):
net ads join -U ssh
(или рассширенный ввод, если контроллер не один: net ads join -U ssh -D DEVELOPER.COM -S SERVER-DC)
Результат:
Using short domain name -- DEVELOPER
Joined 'CENTOS' to dns domain 'DEVELOPER.COM'
Добавляем в автозапуск и запускаем сервисы smb, nmb и winbind:
chkconfig smb on && chkconfig nmb on && chkconfig winbind on
service smb start && service nmb start && service winbind start
Проверяем соединение с доменом, получение списка пользователей и групп из домена:
wbinfo -t
wbinfo -u
wbinfo -g
Добавляем правила для iptables, если используем его:
/sbin/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 135 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
И так, у нас получилось следующее, мы загнали наш Samba сервер в домен DEVELOPER и она теперь может брать списки пользователей и группы из домена. Samba будет в сеть отдавать две шары, ADM и OTD2. Шара ADM будет доступна для всех, кто находиться в группе "Администраторы домена". Шара OTD2 будет доступна для всех, кто находиться в группе "Пользователи домена".
Утилиты тестирования nsswitch:
getent passwd
getent group
Утилиты тестирования samba:
net ads info
net ads lookup
net ads status -U administrator | less
• комментарии (0)
[ Назад ]
|
|
|
