Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

Как известно система лицензирования Microsoft штука не дешевая и поэтому рассмотрим как установить файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch.

 

Исходные данные:

  • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
  • Система по файловый сервер (datastore1) на Debian 9 Stretch

 

Подготовка системы (Debian 9 Stretch)

Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

 

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

 

Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

 

Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

 

Настройка Active Directory (Windows Server 2012 R2)

В DNS зону (JAKONDA.LOCAL), добавляем A-запись файлового сервера:

 

Создаем служебного пользователя (прим. datastore1), с бесконечным срок действия пароля.

 

Создаем KEYTAB-файл (необходим для аутентификации пользователей в Active Directory). В командной строке с правами администраторы выполняем команду (соблюдая регистр):

 

Полученный KEYTAB-файл, передаем любым удобным способом на файловый сервер (расположение KEYTAB-файла на моем файловом сервере — /root/datastore1.keytab). Как передать файл посредством утилиты PuTTY можно прочитать тут

 

Настройка Kerberos

Установка пакетов для поддержки аутентификации Kerberos:

В ходе установки может появится запрос указать область по-умолчанию для Kerberos, область необходимо его указать в заглавном виде (прим. JAKONDA.LOCAL)

 

Файл конфигурации Kerberos (/etc/krb5.conf), приводим к виду:

Соответственно подставляем название своего домена вместо jakonda.local/JAKONDA.LOCAL

 

Проверка работы Kerberos, выполним авторизацию в Active Directory:

Удаляем полученный билет:

 

Установка и настройка Samba, Winbind

Устанавливаем необходимые пакеты:

 

Конфигурационный файл Samba (/etc/samba/smb.conf) приводим к виду:

Обращаю внимание что в параметрах realm, workgroup указываем название своего домена. Подробное описание используемых параметров можно по этой ссылке

 

Так как в Linux по-умолчанию установлен лимит на 1024 одновременно открытых файлов, а в Windows он 16384, поэтому увеличим лимит в Debian до значения 16384.

 

В файле (/etc/security/limits.conf) дописываем в самый конец строки:

Перезагружаем систему для применения изменений:

 

Выполним проверку конфигурации на ошибки, командой:

 

Проверка заданной конфигурации Samba правильная, ошибок и предупреждений нет, а поэтому можно вводить систему в домен, выполняем команду:

Вывод об успешном присоединении к домену:

 

Теперь чтобы система использовала winbind для поиска пользователей и групп в файле (/etc/nsswitch.conf) к параметрам passwd, group добавляем параметр winbind:

 

Перезапускаем службы Samba и Winbind для применения изменений:

 

Проверим, что Winbind установил доверительные отношения с Active Directory, выполним команду:

Для проверки видит ли Winbind пользователей и группы из Active Directory, выполним команды:

Если в ходе выполнения данных команд в консоль были выведены пользователи и группы из Active Directory, то это значит что Winbind работает правильно.

 

Так же удостоверится в корректной работе Winbind можно запросив данные по доменному пользователю (прим. ранее созданного пользователя datastore1):

 

 

Общие папки (Shared Folders)

Так как мы интегрируем Samba с Active Directory, то и управление правами доступа на общие папки будет гораздо удобней назначать из ОС Windows.

 

Учетные записи которые могут настраивать права на общие папки, нуждаются в привилегиях SeDiskOperatorPrivilege. Чтобы посмотреть текущий список привилегий на хосте, выполним команду:

Результат выполнения:

 

Выдадим разрешение SeDiskOperatorPrivilege группе «Администраторы домена» (Domain Admins), командой:

 

Теперь можно приступать к созданию общих папок. Для примера рассмотрим создание общей папки PUBLIC.

 

Создаем папку и выставляем права доступа на нее:

 

В файле конфигурации Samba (/etc/samba/smb.conf) описываем параметры общей папки:

Если необходимо сделать общую папку невидимой, то в параметрах необходимо в название общей папки символ $ — [PUBLIC$]. В этом случае общая папка не будет видна при обзоре сети и войти в нее можно будет указав полный путь к ней.
Если необходимо задать наследование владельца от родительской папки для создаваемых файлов и папок, то делается это параметром: inherit owner = yes

 

Для применения изменений перечитываем конфигурацию Samba, командой:

 

Далее все настройку прав доступа выполняем из оснастки Управление компьютером (Computer Manager).

 

Запускаем от администратора Управление компьютером (Computer Manager) (Меню ПУСК -> Выполнить -> compmgmt.msc). Подключится к другому компьютеру… и указываем компьютер

 

После подключения к системе, переходим в «Общие папки» — «Общие ресурсы» и видим нашу общую папку PUBLIC, далее привычным методом выставляем все необходимые права доступа на нее.

Так же через оснастку Управление компьютером (Computer Manager) удобно смотреть активные пользовательские сеансы и какие файлы открыты в общих папках. При необходимости можно завершить пользовательский сеанс или закрыть открытый файл.

 

Для тех у кого есть желание поблагодарить, могут воспользоватся формой ниже:

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Оставить ответ

один × один =

© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика