Пятница, 2024-11-08, 2:57 PM
 
Начало Форум Регистрация Вход
Вы вошли как Гость
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: denix  
SAMBA с авторизацией в домене с win2003 сервером
denixДата: Четверг, 2006-06-29, 2:17 AM | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 531
Репутация: 0
Статус: Offline
Задача:

Организация файлового сервера
Авторизация пользователей через домен контроллер

Дано:

Red Hat 9.0
Samba 3.0.13
DC win 2003 server

Вступление.

Взяться за написание данной статьи меня побудило то, что когда возникла
задача о которой написано выше , то статьи описывающей решение данной проблемы
полностью я не нашел вот и решил написать такую статью в которой было бы
готовое решние

Основная часть.

Первым делом устанавливаем самбу . Решено было использовать последню
версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим
сложностей ни у кого не возникает, док по данному вопросу полно и
потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий
конфиг, может там и есть что лишнее, но после того как все заработало я убирать
оттуда ничего не стал.

[global]

realm = bryusov.iasnet.ru
# Workgroup = имя NT-домена (или рабочей группы):
workgroup = DOMAIN

# NetBIOS-имя, под которым будет виден сервер остальным машинам сети.
netbios name = NAU

# Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows.
server string = Samba Server

# Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с
# указанными IP-адресами присоединяться к Samba-серверу.
hosts allow = 172.18. 172.17. 127.

# если подставить %m то для каждой машины подключенной к Samba-серверу будет
# использоваться свой log-файл.
log file = /var/log/samba/log.smbd

#это кому скока не жалко
max log size = 500

#определяет, каким образом будет осуществляться проверка пароля (нам надо через
# DC )
security = domain

# Параметр Password server используется только совместно с опцией
# security = domain.
password server = <IP домен контролера>

#для репликации всех доменов входящих в траст с вашим доменом
allow trusted domains = yes

# включаем поддержку шифрованных паролей.
encrypt passwords = yes

# Используя следующий параметр можно создать отдельную конфигурацию для
# каждой машины домена.
# Вместо пары символов %m при входе подставляется NetBIOS-имя машины.
# Я Такого не делал хотя поэксперементровать можно.
# include = /usr/local/samba/lib/smb.conf.%m

#данные строчки можно не включать в работающий конфиг они определяют место
#хранения , порядок обновления Unix паролей и какой программой все это производится
smb passwd file = /etc/samba/smbpasswd
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*

# В документации говорится, что с помощью этого параметра
# можно повысить производительность Samba-сервера.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

#по дефолту слушаются все интерфейсы, здесь можно указать конкретно
interfaces = <ip или название интерфейса>

#строчки которых не было в стандартном конфиге и были добавлены руками для
#pепликации NT-юзеpов:

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes

#описываем шары

[FILES]
comment = share
path = /share/FILES
public = no
writable = yes
valid users = DOMAIN\users
create mask = 0744

#натсройка кирилицы по желанию

Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = PDC.DOMAIN.NAME.RU
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
DOMAIN.NAME.RU = {
kdc = pdc.domain.name.ru:88
admin_server = kerberos.domain.name.ru:749
default_domain = domain.name.ru
}

[domain_realm]
.domain.name.ru = DOMAIN.NAME.RU
domain.name.ru = DOMAIN.NAME.RU

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

Все остальное оставлено без изменений.

Теперь заводим самба сервер в домен, делаем со стороны домен контролера
двусторонние доверительные отношения, запускаем getent group и видим что
все работает.

Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной
настройки файл сервера.

 
  • Страница 1 из 1
  • 1
Поиск:


Бесплатный хостинг uCoz