Samba szerver beállítása aktív címtárengedélyezéssel a debianban, a Dobryansky blogjában
A probléma megfogalmazása a következő:
Van olyan kiszolgáló a hálózaton, amely fájl-porozó funkciókat hajt végre, Linux futtatásával. A hálózaton lévő szerveren kívül vannak olyan Windows gépek is, amelyeknek tárolniuk kell a fájlokat ezen a szerveren. A szerveren minden felhasználónak rendelkeznie kell egy személyes mappával, és minden felhasználónak meg kell osztania az összes felhasználót.
Minden úgy tűnik, hogy egyszerű - a Samba-t, a felhasználókat a Windows-hoz hasonlóan, és élvezni az életet. Tehát elvileg ez volt egy ideig, de akartam változtatni - úgy döntött, egy kicsit, hogy automatizálják és adminisztráció egyszerűsítése az faylopomoyki mert a felhasználók úgy növesztenek, mint a gombák és "meg kell csinálni shoto".
Ebből kiindulva úgy döntöttek, hogy ilyen rendszert hoznak létre:
telepítse az AD-t és csavarja be a Samba fájlkiszolgálóba az Active Directory segítségével való hitelesítéssel. Ebben az esetben, amikor a felhasználó először csatlakozik a kiszolgálóhoz, automatikusan létrehoz egy személyes mappát, amely csak egy adott felhasználó számára elérhető.
A vérnyomás beállításával minden tiszta (unalmas). De a Samba beállításával kellett játszani. Hogyan csináljam ezt a Debian lenny-ben?
Várakozásaink szerint a tartományvezérlő és a DNS már beállított.
A Winbind egy olyan démon, amely lehetővé teszi a Samba számára, hogy felismerje az AD felhasználókat, és kommunikáljon velük helyi felhasználóként.
A Kerberos a Samba integrálására szolgál az Active Directory-ban. Nyissa meg a konfigurációt és helyettesíti paramétereit (pirosan kiemelve):
Ellenőrizzük a beállítások helyességét:
A domain_user domain-bejelentkezési jogosultsággal rendelkező felhasználó. Ha minden helyes, akkor a parancs befejeződik a képernyő nélkül. Számomra minden hiba nélkül telt el, de itt a legelterjedtebb:
kinit: krb5_get_init_creds: Client ([email protected]) ismeretlen
Helytelen felhasználónév vagy jelszó a domain_user számára.
Érdemes ellenőrizni a DNS konfigurációját és konfigurációját.
Idő-eltérés a tartományvezérlőn és a szerveren. Az időt az Active Directory segítségével az alábbi paranccsal szinkronizálhatja:
Most konfigurálja a Sambu és a Winbind. A működő beállítások alacsonyabbak, csak az adatok kicserélésével helyettesítheti (pirosan kiemelve):
Figyelem! A domain név nagybetűs.
A [Homes] rész és a megosztott mappák eltérhetnek a megjelöltek közül. A konfigurációmban a cikk elején leírt követelmények szerint konfigurálva vannak.
Az én esetemben a smbusers az Active Directory egyik csoportja, amelynek felhasználói hozzáférhetnek a megosztott mappához és a személyes mappákhoz. Bármi home könyvtár automatikusan létrejön a / home / samba / felhasználónév amikor a felhasználó először csatlakozik a Samba szerver, amellett, hogy a beállításokat a /etc/samba/smb.conf regisztrálnia kell egy egyedi tételként /etc/pam.d/samba:
umask = 0077 - megfelel a 0700 hozzáférési jogoknak.
skel = / etc / samba / skel / - a mappához vezető út, amelynek tartalmát a létrehozott könyvtárba másolja.
Ezután nyissa meg a /etc/nsswitch.conf fájlt, és módosítsa a megadott sorokat:
A számítógépet a tartományba helyezzük:
A domain_user egy olyan tartományi felhasználó, aki rendelkezik elegendő jogosultsággal ahhoz, hogy csatlakozzon a számítógéphez a tartományhoz.
Ellenőrizzük a winbindd munkáját:
Ezeknek a parancsoknak meg kell adniuk a felhasználókat és a csoportlistát.
Annak ellenőrzésére, hogy a tartományi felhasználók helyiek-e, akkor a következő paranccsal használható:
Kell valami hasonló:
Most, ha csatlakozunk a szerver a Windows tartományi fiók alatti domain_user, meg kell látni 2 megosztott mappák - «domain_user» és «Public». Ebben az esetben a / home / samba könyvtárban a domain_user mappát hozza létre, ha korábban nem létezett.