A samba kiszolgáló beírása a Windows hirdetési domainbe, minniakhmetov ravil jurisovich
Ahhoz, hogy belépjen a Linux szerverbe az AD tartományba, be kell állítania a Kerberos, a Samba és a Winbind klienst. Telepítjük ezeket az összetevőket:
yum -y telepítés krb5-felhasználó samba winbind ntp samba-winbind samba-winbind-kliens pam_krb5
A DNS beállítása
A Linux-gép DNS-kiszolgálóját úgy kell beállítani, hogy az elsődleges DNS-kiszolgáló pontosan ugyanaz legyen, mint a tartományvezérlő és a tartomány, adja meg a tartománynevet. (a tartománynév kis betűkkel van írva). Ezeket a paramétereket a rendszerben a fájl
/etc/resolv.conf
de a modern linuxos gépeknél a fájl automatikusan létrehozásra kerül, és kézzel szerkesztve a paramétereket csak a következő újraindításig változtatja. A szükséges paraméterek hozzáadásához ehhez a fájlhoz módosítani kell a megfelelő irányelveket a fájlban a kívánt felülethez a könyvtárban:
/ etc / sysconfig / network-scripts / ifcfg- "hálózati felület neve"
Ha DHCP-t használ, az összes szükséges paramétert a szerver fogadja. Ennek eredményeképpen a /etc/resolv.conf fájlnak hozzávetőleges formában kell lennie:
keresés domain.com
névszerver 192.168.0.1
névszerver 192.168.0.2
Ezután adja meg a helyi gépszerver tartománynevét az / etc / hosts fájlban:
# A számítógép nevei
127.0.0.1 localhost
127.0.1.1 smbsrv.domain.com smbsrv
Ellenőrizzük a tartományvezérlő elérhetőségét:
ping dc
ping dc.domain.com
A kiszolgálót újraindítjuk, hogy a módosítások életbe lépjenek.
Időszinkronizálás beállítása
Ha az időeltolódás több mint 5 perc a tartományvezérlő idejével, akkor a szerver nem lesz képes lekérni a lapot a Kerberos-ból. Az idő ellenőrzéséhez a következő parancsot használhatja:
net time set domain.com
ha pontos időszerver van a hálózatban:
ntpdate ntpservername
A szerveridõ automatikus szinkronizálása a hálózathoz tartozó idõkiszolgálóval, a következõket az /etc/ntp.conf fájlhoz adja meg:
szerver ntpservername
Indítsa újra az ntpd szolgáltatást:
systemctl restart ntpd
[Realms]
DOMAIN.COM = kdc = dc
kdc = dc2
admin_server = dc
default_domain = DOMAIN.COM
>
[Domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[Belépés]
krb4_convert = hamis
krb4_get_tickets = hamis
A parancs nem jelenít meg semmilyen üzenetet a sikeres végrehajtás során. Annak ellenőrzéséhez, hogy a Kerberos tartományból érkezett-e jegy, akkor a következő parancsot kell futtatnia:
klist
Közös hibák kinit
kinit (v5): Az óra elcsúszása túl nagy, miközben megkapja a kezdő hitelesítő adatokat
Ez azt jelenti, hogy a számítógép nem szinkronizálva van az időtartomány-vezérlővel (lásd fent).
kinit (v5): Előzetes hitelesítés sikertelen a kezdeti hitelesítő adatok beszerzése közben
Helytelen jelszót adott meg.
kinit (v5): A KDC válasz nem egyezik a várakozásokkal, miközben megkapta a kezdeti megbízásokat
A legbizarrabb hiba. Győződjön meg róla, hogy a krb5.conf tartomány neve, valamint a kinit parancs tartománya nagybetűkkel van megadva:
DOMAIN.COM = # ...
kinit [email protected]
kinit (v5): A Kerberos adatbázisban nem található ügyfél a kezdeti hitelesítő adatok beszerzése közben
A megadott felhasználó nem létezik a domainben.
A megnyitott fájlok számának beállítása a Windows operációhoz
A standard Linux beállítás lehetővé teszi, hogy a nyílt fájlok maximális száma 1024 legyen, bár a Windows 16384-et igényel. Ezért egy figyelmeztetés jelenhet meg:
"Rlimit_max: rlimit_max (1024) a minimális Windows korlátnál (16384)"
Ha újraindítja a rendszert egy munkamenethez, egyszerűen futtassa a parancsot:
ulimit -n 16384
Annak érdekében, hogy ne írja be ezt a parancsot minden alkalommal, amikor módosítani kell a /etc/security/limits.conf fájlt
# Sorok hozzáadása a fájl végére:
* - nofile 16384
root - nofile 16384
Samba szerver beállítása
A kiszolgáló konfigurálásához javítania kell a /etc/samba/smb.conf fájlt
[Global]
# Nem szabad elfelejteni, hogy a domain nevet nagybetűvel kell írni
munkacsoport = DOMAIN
realm = DOMAIN.COM
dns proxy = nem
socket options = TCP_NODELAY
# A Samba kiszolgálót arra kényszerítjük, hogy ne vegyen részt a tartományvezérlő választásain
domain master = nem
helyi mester = nem
előnyben részesített master = nem
os szint = 0
domain logons = nincs
# Ha csak a fájl erőforrásai vannak a kiszolgálón, akkor a nyomtatási szolgáltatást le kell tiltani
terhelésnyomtatók = nem
Add hozzá a nyomtató varázslóját = nem
printcap name = / dev / null
tiltás spoolss = igen
A konfigurációs fájl írásának helyességének ellenőrzéséhez használja a következő parancsot:
testparm
Winbind beállítása
Annak érdekében, hogy a tartományi felhasználók korlátozott hozzáférést kapjanak a mappákhoz és a samba kiszolgáló fájlokhoz, szükséges a Winbind megfelelő beállítása. Lehetővé teszi, hogy az AD összes felhasználóját és csoportját kivetítjük egy Linux rendszeren, és egy megadott tartományból azonosítót adunk nekik. Ily módon kijelölheti a tartományi felhasználókat a mappák és fájlok tulajdonosai számára a kiszolgálón, és elvégezheti a felhasználókhoz és a csoportokhoz kapcsolt egyéb műveleteket, például a bejelentkezési hitelesítést.
A Winbind beállításához ugyanazt az /etc/samba/smb.conf fájlt kell használni. Adja hozzá a következő sorokat a [globális] szakaszhoz:
# A tartományi felhasználók és a virtuális felhasználók rendszeren keresztüli leképezésének lehetőségei a Winbinden keresztül.
# Azonosító tartományok a virtuális felhasználók és csoportok számára.
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
# Ezeket a beállításokat nem szabad kikapcsolni.
winbind enum csoportok = igen
winbind enum users = igen
# Használja a felhasználói nevek alapértelmezett tartományát. E lehetőség nélkül a felhasználók és a csoportok nevei
# fogják használni a domain, azaz. helyett a felhasználónév - DOMAIN \ felhasználónév.
# Ez valószínűleg az, amire szükséged van, de általában könnyebb beilleszteni ezt a lehetőséget.
winbind használja az alapértelmezett tartományt = igen
# Ha engedélyezni szeretné a parancssor használatát a tartományi felhasználók számára, akkor
# adjuk hozzá a következő sort, ellenkező esetben a shell meghívódik / bin / false
sablon shell = / bin / bash
# A kerberos jegy frissítéséhez a pam_winbind.so modul segítségével automatikusan hozzá kell adnia egy sort
winbind refresh tickets = igen
Adja meg a samba kiszolgálót a tartományban
Ehhez írja be a következő parancsot a megadott felhasználóval, amely jogosultságot adni a tartományhoz
a net-hirdetések csatlakoznak a -U felhasználónévhez
A sikeres bejelentkezés ellenőrzéséhez használja a következő parancsot:
net ads testjoin
Most indítsd újra a Winbindet és a Samba-t a következő sorrendben:
systemctl stop winbind
systemctl restart smb
systemctl start winbind
add meg ezeknek a szolgáltatásoknak a kezdetét az automatikus indításhoz a rendszer indításakor:
systemctl lehetővé teszi smb
systemctl engedélyezi az nmb
systemctl lehetővé teszi a winbind-et
Annak ellenőrzésére, hogy a samba kiszolgáló és a tartományvezérlő közötti bizalmi kapcsolat létrejött-e, a következő parancsot kell futtatni:
wbinfo -t
Annak ellenőrzéséhez, hogy a samba kiszolgáló megkapja-e a felhasználók listáját és a csoportok listáját, a következő parancsot kell futtatni:
wbinfo -u
wbinfo -g
A Winbind felhasználó és csoportforrás hozzáadása
Annak érdekében, hogy a Linux rendszer együttműködjön a lengyel és a tartományi csoportokkal, a Winbindet további információforrásként kell felhasználnia a felhasználókról és a csoportokról.
Ehhez az alábbi irányelveket kell hozzáadnia az /etc/nsswitch.conf fájlhoz:
Adja hozzá végül a passwd és a "winbind" csoportok utasításait:
passwd: winbind
csoport: winbind
szerkesztheti a fájlok direktíváját, vagy hozzáadhatja, ha hiányzik:
fájlok: dns mdns4_minimal [NotFound = vissza] mdns4
Ahhoz, hogy ellenőrizze a felhasználók átvételét a BP-től, a következő parancsot kell használnia:
getent passwd
csoportok számára:
getent csoport
Engedélyezzünk hozzáférést egy mappához a domain felhasználóihoz
Határozza meg az ingyenes lemezterületet
df-h
Az alábbi következtetést kapjuk:
Fájlrendszer Méret Használt Dost Használt% Beépített
/ dev / mapper / cl_ito-kiszolgáló-gyökér 50G 6,0G 45G 12% /
devtmpfs 1,9G 0 1,9G 0% / dev
tmpfs 1,9G 0 1,9G 0% / dev / shm
tmpfs 1,9G 8,5M 1,9G 1% / futás
tmpfs 1.9G 0 1.9G 0% / sys / fs / cgroup
/ dev / md126p1 1014M 145M 870M 15% / boot
/ dev / mapper / cl_ito-kiszolgáló-otthon 411G 33M 411G 1% / home
tmpfs 379M 0 379M 0% / fut / felhasználó / 0
mert in / home a legtöbb szabad területet, hozd létre a "samba"
mkdir / home / samba
hozzárendelhet jogokat ehhez a mappához és hozzárendelheti a tartománycsoportot a tulajdonoshoz
chmod -R 775 / home / samba
chown -R felhasználó. "domain users" / home / samba
Mutassuk a samba kiszolgálót erre a mappára. Ehhez az alábbi sorokat kell hozzáadni az /etc/samba/smb.conf fájlhoz:
[Public]
comment = Samba megosztja az ITO-SERVER-t
path = / home / samba
érvényes felhasználók = @ »domain felhasználók»
írható = igen
erő létrehozási mód = 775
könyvtármaszk = 775
vendég ok = nem
Biztonsági konfiguráció
Alapértelmezés szerint a biztonsági rendszer blokkolja az összes kapcsolatot, és ezért semmi sem fog működni. Ehhez hajtsa végre a megfelelő beállításokat a tűzfalon:
tűzfal-cmd -permanent -zone = public -add-service = samba
tűzfal-cmd -reload
Engedjük meg, hogy a domain felhasználók hozzáférjenek a / home / sambaselinux mappához
chcon -t samba_share_t / home / samba
A CentOS 7 fájlkiszolgáló SAMBA konfigurációja most már teljes.