Саратов + 26 °C 

Храмы Высота ЧБ Люди Вокзалы Парк Зима. Снег Саратов Сад-огород. Хлеба Грибы Лес Зима. Снег Цветы Живность Кошки Река Хлеба Лес Зима. Снег Новый Год Небо. Облака Радуга Курьезы Река Хлеба Лес Зима. Снег Небо. Облака Курьезы Астро Зима. Снег Новый Год Шарм Эль Шейх. Тропикана Гранд Азур Кошки Ящерица Йошкар-Ола. Казань. Чебоксары Гуамское ущелье Майкоп Грибы Зима. Снег Лошади Сад-огород. Зима. Снег Должанка Египет Люди Санкт-Петербург Санкт-Петербург Финляндия Финляндия Греция. Родос. Детский Сад 158 Новый Год Авто Мото Макро Карта Дети Питание Шарм Эль Шейх. Тропикана Гранд Азур Астро Набережная Петрозаводска Карелия. Путешествия. Весна Макро Карта Отдых Лыжные прогулки Стихи CentOS Oracle SAMBA GlassFish LAMP Motion EJabberd Postfix. Dovecot. Amavisd Perl Jabber VLC M3U Ubuntu
Твоя картинка. YouPict.Ru. Загрузи и Покажи
ДНЕВНИКИ


Назад >> Сергей ШИБКА >> CentOS


01.07.2014 CentOS 6, Samba и Win2008AD R2.

CentOS 6, Samba и Win2008AD R2. Интеграция и Жизнь доменных пользователей из AD в Samba.

Имеем домен DEVELOPER.COM, контроллер домена SERVER-DC.DEVELOPER.COM (IP: 192.168.151.2) на базе Win2008ADR2, файловый сервер CENTOS.DEVELOPER.COM (IP: 192.168.153.17) на базе CentOS 6 Samba.

Отключаем SELinux:

Редактируем файл /etc/selinux/config и устанавливаем SELINUX=disabled, SETLOCALDEFS=0.

Перезагружаем сервер:

reboot

Редактируем файл /etc/sysconfig/network приводим к виду:

NETWORKING=yes
HOSTNAME=centos.developer.com
NTPSERVERARGS=iburst


Редактируем файл /etc/hosts приводим к виду:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
192.168.153.17 centos centos.developer.com
192.168.151.2 developer developer.com server-dc server-dc.developer.com


Проверяем вывод команд hostname, hostname -f, nslookup developer.com не должно быть ошибок.

Обязательно синхронизируем время на контроллере и файловом сервере, не должно быть расхождения во времени (максимум 5 минут).

Устанавливаем необходимые пакеты для интеграции:

yum install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation pam_krb5 ntp

Приводим файл /etc/krb5.conf к виду:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DEVELOPER.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
DEVELOPER.COM = {
kdc = server-dc.developer.com
admin_server = server-dc.developer.com
default_domain = developer.com
}

[domain_realm]
.developer.com = DEVELOPER.COM
developer.com = DEVELOPER.COM


Производим инициализацию и получения тикета от контроллера домена (от имен пользователя, который имеет права на добавление в домен, необходимо будет ввести его пароль):

kinit ssh

Просмотр полученного тикета:

klist

Результат:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ssh@DEVELOPER.COM
Valid starting Expires Service principal
07/01/14 08:44:36 07/01/14 18:44:44 krbtgt/DEVELOPER.COM@DEVELOPER.COM
renew until 07/08/14 08:44:36


Создаем папки для шаров:

mkdir /home/samba/ADM -m 777
mkdir /home/samba/OTD2 -m 777

Приводим файл /etc/samba/smb.conf к виду:

[global]

workgroup = DEVELOPER
realm = DEVELOPER.COM
server string = Test File Server
security = ads

auth methods = winbind
allow trusted domains = no
password server = server-dc.developer.com

idmap config * : backend = tdb
idmap config * : range = 100000-299999

idmap config DEVELOPER : backend = rid
idmap config DEVELOPER : range = 10000-99999

winbind separator = ^
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes

time server = no
dns proxy = yes
ldap ssl = no
case sensitive = no
domain master = no
local master = no
preferred master = no
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072
use sendfile = true

client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2

log file = /var/log/samba/log.%m
max log size = 50

dos charset = cp866
unix charset = utf-8
display charset = utf-8

[ADM]

comment = ADM
path = /home/samba/ADM
read only = no
valid users = "@DEVELOPER^Администраторы домена"
read list = "@DEVELOPER^Администраторы домена"
write list = "@DEVELOPER^Администраторы домена"
create mask = 0777
directory mask = 0777
inherit permissions = Yes
inherit acls = Yes


[OTD2]

comment = OTD2
path = /home/samba/OTD2
read only = no
valid users = "@DEVELOPER^Пользователи домена"
read list = "@DEVELOPER^Пользователи домена"
write list = "@DEVELOPER^Пользователи домена"

create mask = 0777
directory mask = 0777
inherit permissions = Yes
inherit acls = Yes


Проверяем конфиг на ошибки:

testparm

Редактируем файл /etc/nsswitch.conf, приводим строки к виду:

passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns wins


Пробуем ввести в домен наш сервер (от имен пользователя, который имеет права на добавление в домен, необходимо будет ввести его пароль):

net ads join -U ssh
(или рассширенный ввод, если контроллер не один: net ads join -U ssh -D DEVELOPER.COM -S SERVER-DC)

Результат:

Using short domain name -- DEVELOPER
Joined 'CENTOS' to dns domain 'DEVELOPER.COM'


Добавляем в автозапуск и запускаем сервисы smb, nmb и winbind:

chkconfig smb on && chkconfig nmb on && chkconfig winbind on
service smb start && service nmb start && service winbind start

Проверяем соединение с доменом, получение списка пользователей и групп из домена:

wbinfo -t
wbinfo -u
wbinfo -g

Добавляем правила для iptables, если используем его:

/sbin/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 135 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

И так, у нас получилось следующее, мы загнали наш Samba сервер в домен DEVELOPER и она теперь может брать списки пользователей и группы из домена. Samba будет в сеть отдавать две шары, ADM и OTD2. Шара ADM будет доступна для всех, кто находиться в группе "Администраторы домена". Шара OTD2 будет доступна для всех, кто находиться в группе "Пользователи домена".

Утилиты тестирования nsswitch:

getent passwd
getent group

Утилиты тестирования samba:

net ads info
net ads lookup
net ads status -U administrator | less


комментарии (0)


[ Назад ]


© 2005 - 2018 * Сергей Шибка