ActiveDirectory/FileShare: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «== Member-сервер SMB == 1. Вводим компьютер в домен, как написано в ActiveDirectory/Login. 2. Создаём SPN (с…»)
 
Строка 1: Строка 1:
== Member-сервер SMB ==
== Доменный файловый сервер ==


1. Вводим компьютер в домен, как написано в [[:ActiveDirectory/Login]].
1. Вводим компьютер в домен, как написано в [[ActiveDirectory/Login]].


2. Создаём SPN (см. [[:Создание SPN и Keytab файла]]).
2. Создаём SPN (см. [[Создание SPN и Keytab файла]]).


<pre>
<source lang="text" highlight="1"># samba-tool spn add cifs/ws1 petrov</source>
# samba-tool spn add cifs/ws1 petrov
petrov - имя доменного пользователя
cifs - тип службы
ws1 - имя хоста
</pre>


3. Импортируем в Keytab:
где
;petrov
:имя доменного пользователя
;cifs
:тип службы
;ws1
:имя хоста


<pre>
3. Импортируем в keytab:
 
<source lang="text" highlight="1,2">
# samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1
# samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1
# klist -ke ws1.keytab
# klist -ke ws1.keytab
Строка 23: Строка 26:
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)  
</pre>
</source>


4. Передаём ws1.keytab на хост ws1.
4. Передаём {{path|ws1.keytab}} на хост ''ws1''.


5. Включаем ws1.keytab в системный /etc/krb5.keytab на хосте ws1.
5. Включаем {{path|ws1.keytab}} в системный {{path|/etc/krb5.keytab}} на хосте ''ws1''.


5.1 Устанавливаем пакет krb5-kadmin.
5.1 Устанавливаем пакет {{pkg|krb5-kadmin}}.


5.2 Запускаем ktutil из пакета krb5-kadmin:
5.2 Запускаем {{cmd|ktutil}} из пакета {{pkg|krb5-kadmin}}:


<pre>
<source lang="text" highlight="1"># ktutil
# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  rkt /etc/krb5.keytab
ktutil:  rkt ws1.keytab
ktutil:  rkt ws1.keytab
ktutil:  wkt /etc/krb5.keytab
ktutil:  wkt /etc/krb5.keytab
ktutil:  quit
ktutil:  quit
</pre>
</source>


5.3 Проверяем, что службы включены в системный keytab:
5.3 Проверяем, что службы включены в системный keytab:


<pre>
<source lang="text" highlight="1"># klist -ke /etc/krb5.keytab | grep cifs/
# klist -ke /etc/krb5.keytab | grep cifs/
   2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac)  
   2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)  
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)  
</pre>
</source>


6. Перезапускаем smb:
6. Перезапускаем {{cmd|smb}}:


  service smb restart
<source lang="text" highlight="1"># service smb restart</source>


7. Проверяем доступность службы с аутентификацией по Kerberos:
7. Проверяем доступность службы с аутентификацией по Kerberos:


<pre>
<source lang="text" highlight="1,3,10,27,36,37">
# kinit petrov
# kinit petrov
Password for petrov@TEST.ALTLINUX:  
Password for petrov@TEST.ALTLINUX:  
# klist
# klist
Ticket cache: KEYRING:persistent:0:0
Ticket cache: KEYRING:persistent:0:0
Строка 67: Строка 67:
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
         renew until 02.10.2017 13:24:27
         renew until 02.10.2017 13:24:27
# smbclient -k -L ws1
# smbclient -k -L ws1
OS=[Windows 6.1] Server=[Samba 4.6.7]
OS=[Windows 6.1] Server=[Samba 4.6.7]
Строка 85: Строка 84:
         ---------            -------
         ---------            -------
         TEST                WS1
         TEST                WS1
# klist
# klist
Ticket cache: KEYRING:persistent:0:0
Ticket cache: KEYRING:persistent:0:0
Строка 95: Строка 93:
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
         renew until 02.10.2017 13:24:27
         renew until 02.10.2017 13:24:27
# kdestroy  
# kdestroy  
# smbclient -k -L ws1
# smbclient -k -L ws1
SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT
SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT
session setup failed: NT_STATUS_INTERNAL_ERROR
session setup failed: NT_STATUS_INTERNAL_ERROR
</pre>
</source>


[[Категория:HOWTO]]
[[Категория:HOWTO]]

Версия от 17:36, 25 сентября 2017

Доменный файловый сервер

1. Вводим компьютер в домен, как написано в ActiveDirectory/Login.

2. Создаём SPN (см. Создание SPN и Keytab файла).

# samba-tool spn add cifs/ws1 petrov

где

petrov
имя доменного пользователя
cifs
тип службы
ws1
имя хоста

3. Импортируем в keytab:

# samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1
# klist -ke ws1.keytab
Keytab name: FILE:ws1.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac) 
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) 
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)

4. Передаём ws1.keytab на хост ws1.

5. Включаем ws1.keytab в системный /etc/krb5.keytab на хосте ws1.

5.1 Устанавливаем пакет krb5-kadmin.

5.2 Запускаем ktutil из пакета krb5-kadmin:

# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  rkt ws1.keytab
ktutil:  wkt /etc/krb5.keytab
ktutil:  quit

5.3 Проверяем, что службы включены в системный keytab:

# klist -ke /etc/krb5.keytab | grep cifs/
   2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac) 
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) 
   2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)

6. Перезапускаем smb:

# service smb restart

7. Проверяем доступность службы с аутентификацией по Kerberos:

# kinit petrov
Password for petrov@TEST.ALTLINUX: 
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: petrov@TEST.ALTLINUX

Valid starting       Expires              Service principal
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
        renew until 02.10.2017 13:24:27
# smbclient -k -L ws1
OS=[Windows 6.1] Server=[Samba 4.6.7]

        Sharename       Type      Comment
        ---------       ----      -------
        public          Disk      Public
        IPC$            IPC       IPC Service (Samba 4.6.7)
        Cups-PDF        Printer   Cups-PDF
        petrov          Disk      Home Directories
OS=[Windows 6.1] Server=[Samba 4.6.7]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        TEST                 WS1
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: petrov@TEST.ALTLINUX

Valid starting       Expires              Service principal
25.09.2017 13:24:55  25.09.2017 23:24:33  cifs/ws1@TEST.ALTLINUX
        renew until 02.10.2017 13:24:27
25.09.2017 13:24:33  25.09.2017 23:24:33  krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
        renew until 02.10.2017 13:24:27
# kdestroy 
# smbclient -k -L ws1
SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT
session setup failed: NT_STATUS_INTERNAL_ERROR