Samba/Fileserver/AD-auth: различия между версиями
Нет описания правки |
мНет описания правки |
||
(не показаны 3 промежуточные версии 3 участников) | |||
Строка 1: | Строка 1: | ||
Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом | Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом к общей папке. | ||
= Параметры описанного стенда = | = Параметры описанного стенда = | ||
Строка 14: | Строка 14: | ||
= Подключение к домену = | = Подключение к домену = | ||
Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD | Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD согласно [[SSSD/AD|инструкции]]. | ||
= Настройка Samba = | = Настройка Samba = | ||
Строка 34: | Строка 34: | ||
browseable=yes | browseable=yes | ||
= Настройка | = Настройка доменной аутентификации = | ||
Создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. [https://www.altlinux.org/%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_SPN_%D0%B8_Keytab_%D1%84%D0%B0%D0%B9%D0%BB%D0%B0 Инструкция] | |||
Добавим в keytab-файл принципала сервиса "CIFS": | Добавим в keytab-файл принципала сервиса "CIFS": | ||
Строка 59: | Строка 59: | ||
После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ. | После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ. | ||
=Ссылки= | |||
[[SambaDC/Squid]] | |||
[[Категория:Active_Directory]] | [[Категория:Active_Directory]] | ||
[[Категория:Samba]] | [[Категория:Samba]] | ||
[[Категория:Домен]] | [[Категория:Домен]] |
Текущая версия от 14:51, 28 ноября 2017
Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом к общей папке.
Параметры описанного стенда
Имя домена: TEST.ALT Рабочая группа: TEST Имя компьютера в netbios: DC Имя пользователя-администратора: Administrator Пароль администратора: Pa$$word Контроллер домена: dc.test.alt Файл-сервер samba: fileserver.test.alt
Подключение к домену
Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD согласно инструкции.
Настройка Samba
Создадим директорию на файл-сервере, куда будем предоставлять доступ доменным пользователям:
# mkdir /mnt/share/sambashare
Изменим группу владельцев папки на доменных пользователей:
# chown :"TEST\domain users" /mnt/share/sambashare
Установим пакет samba:
# apt-get install samba
Отредактируем /etc/samba/smb.conf, указав доступность папки:
[sambashare] comment=shared files path=/mnt/share/sambashare read only=no browseable=yes
Настройка доменной аутентификации
Создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. Инструкция
Добавим в keytab-файл принципала сервиса "CIFS":
# net ads keytab add CIFS -U Administrator Processing principals to add…
Скопируем /etc/krb5.keytab в /etc/samba/:
cp /etc/krb5.keytab /etc/samba/
Укажем в /etc/samba/smb.conf путь к keytab-файлу:
dedicated keytab file = /etc/samba/krb5.keytab kerberos method = dedicated keytab
Попробуем зарегистрироваться с помощью keytab-файла:
# kinit -V -k CIFS/fileserver.test.alt -t /etc/samba/krb5.keytab Using default cache: persistent:0:0 Using principal: CIFS/fileserver.test.alt@TEST.ALT Using keytab: /etc/samba/krb5.keytab Authenticated to Kerberos v5
После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ.