ActiveDirectory/FileShare: различия между версиями
Klark (обсуждение | вклад) (Новая страница: «== Member-сервер SMB == 1. Вводим компьютер в домен, как написано в ActiveDirectory/Login. 2. Создаём SPN (с…») |
|||
Строка 1: | Строка 1: | ||
== | == Доменный файловый сервер == | ||
1. Вводим компьютер в домен, как написано в [[ | 1. Вводим компьютер в домен, как написано в [[ActiveDirectory/Login]]. | ||
2. Создаём SPN (см. [[ | 2. Создаём SPN (см. [[Создание SPN и Keytab файла]]). | ||
< | <source lang="text" highlight="1"># samba-tool spn add cifs/ws1 petrov</source> | ||
# samba-tool spn add cifs/ws1 petrov | |||
</ | |||
где | |||
;petrov | |||
:имя доменного пользователя | |||
;cifs | |||
:тип службы | |||
;ws1 | |||
:имя хоста | |||
< | 3. Импортируем в keytab: | ||
<source lang="text" highlight="1,2"> | |||
# samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1 | # samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1 | ||
# klist -ke ws1.keytab | # klist -ke ws1.keytab | ||
Строка 23: | Строка 26: | ||
2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) | 2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) | ||
2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc) | 2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc) | ||
</ | </source> | ||
4. Передаём ws1.keytab на хост ws1. | 4. Передаём {{path|ws1.keytab}} на хост ''ws1''. | ||
5. Включаем ws1.keytab в системный /etc/krb5.keytab на хосте ws1. | 5. Включаем {{path|ws1.keytab}} в системный {{path|/etc/krb5.keytab}} на хосте ''ws1''. | ||
5.1 Устанавливаем пакет krb5-kadmin. | 5.1 Устанавливаем пакет {{pkg|krb5-kadmin}}. | ||
5.2 Запускаем ktutil из пакета krb5-kadmin: | 5.2 Запускаем {{cmd|ktutil}} из пакета {{pkg|krb5-kadmin}}: | ||
< | <source lang="text" highlight="1"># ktutil | ||
# ktutil | |||
ktutil: rkt /etc/krb5.keytab | ktutil: rkt /etc/krb5.keytab | ||
ktutil: rkt ws1.keytab | ktutil: rkt ws1.keytab | ||
ktutil: wkt /etc/krb5.keytab | ktutil: wkt /etc/krb5.keytab | ||
ktutil: quit | ktutil: quit | ||
</ | </source> | ||
5.3 Проверяем, что службы включены в системный keytab: | 5.3 Проверяем, что службы включены в системный keytab: | ||
< | <source lang="text" highlight="1"># klist -ke /etc/krb5.keytab | grep cifs/ | ||
# klist -ke /etc/krb5.keytab | grep cifs/ | |||
2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac) | 2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac) | ||
2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) | 2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5) | ||
2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc) | 2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc) | ||
</ | </source> | ||
6. Перезапускаем smb: | 6. Перезапускаем {{cmd|smb}}: | ||
<source lang="text" highlight="1"># service smb restart</source> | |||
7. Проверяем доступность службы с аутентификацией по Kerberos: | 7. Проверяем доступность службы с аутентификацией по Kerberos: | ||
< | <source lang="text" highlight="1,3,10,27,36,37"> | ||
# kinit petrov | # kinit petrov | ||
Password for petrov@TEST.ALTLINUX: | Password for petrov@TEST.ALTLINUX: | ||
# klist | # klist | ||
Ticket cache: KEYRING:persistent:0:0 | Ticket cache: KEYRING:persistent:0:0 | ||
Строка 67: | Строка 67: | ||
25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX | 25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX | ||
renew until 02.10.2017 13:24:27 | renew until 02.10.2017 13:24:27 | ||
# smbclient -k -L ws1 | # smbclient -k -L ws1 | ||
OS=[Windows 6.1] Server=[Samba 4.6.7] | OS=[Windows 6.1] Server=[Samba 4.6.7] | ||
Строка 85: | Строка 84: | ||
--------- ------- | --------- ------- | ||
TEST WS1 | TEST WS1 | ||
# klist | # klist | ||
Ticket cache: KEYRING:persistent:0:0 | Ticket cache: KEYRING:persistent:0:0 | ||
Строка 95: | Строка 93: | ||
25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX | 25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX | ||
renew until 02.10.2017 13:24:27 | renew until 02.10.2017 13:24:27 | ||
# kdestroy | # kdestroy | ||
# smbclient -k -L ws1 | # smbclient -k -L ws1 | ||
SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT | SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT | ||
session setup failed: NT_STATUS_INTERNAL_ERROR | session setup failed: NT_STATUS_INTERNAL_ERROR | ||
</ | </source> | ||
[[Категория:HOWTO]] | [[Категория:HOWTO]] |
Версия от 17:36, 25 сентября 2017
Доменный файловый сервер
1. Вводим компьютер в домен, как написано в ActiveDirectory/Login.
2. Создаём SPN (см. Создание SPN и Keytab файла).
# samba-tool spn add cifs/ws1 petrov
где
- petrov
- имя доменного пользователя
- cifs
- тип службы
- ws1
- имя хоста
3. Импортируем в keytab:
# samba-tool domain exportkeytab ws1.keytab --principal=cifs/ws1
# klist -ke ws1.keytab
Keytab name: FILE:ws1.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac)
2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)
2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)
4. Передаём ws1.keytab на хост ws1.
5. Включаем ws1.keytab в системный /etc/krb5.keytab на хосте ws1.
5.1 Устанавливаем пакет krb5-kadmin.
5.2 Запускаем ktutil из пакета krb5-kadmin:
# ktutil
ktutil: rkt /etc/krb5.keytab
ktutil: rkt ws1.keytab
ktutil: wkt /etc/krb5.keytab
ktutil: quit
5.3 Проверяем, что службы включены в системный keytab:
# klist -ke /etc/krb5.keytab | grep cifs/
2 cifs/ws1@TEST.ALTLINUX (arcfour-hmac)
2 cifs/ws1@TEST.ALTLINUX (des-cbc-md5)
2 cifs/ws1@TEST.ALTLINUX (des-cbc-crc)
6. Перезапускаем smb:
# service smb restart
7. Проверяем доступность службы с аутентификацией по Kerberos:
# kinit petrov
Password for petrov@TEST.ALTLINUX:
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: petrov@TEST.ALTLINUX
Valid starting Expires Service principal
25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
renew until 02.10.2017 13:24:27
# smbclient -k -L ws1
OS=[Windows 6.1] Server=[Samba 4.6.7]
Sharename Type Comment
--------- ---- -------
public Disk Public
IPC$ IPC IPC Service (Samba 4.6.7)
Cups-PDF Printer Cups-PDF
petrov Disk Home Directories
OS=[Windows 6.1] Server=[Samba 4.6.7]
Server Comment
--------- -------
Workgroup Master
--------- -------
TEST WS1
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: petrov@TEST.ALTLINUX
Valid starting Expires Service principal
25.09.2017 13:24:55 25.09.2017 23:24:33 cifs/ws1@TEST.ALTLINUX
renew until 02.10.2017 13:24:27
25.09.2017 13:24:33 25.09.2017 23:24:33 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX
renew until 02.10.2017 13:24:27
# kdestroy
# smbclient -k -L ws1
SPNEGO: Could not find a suitable mechtype in NEG_TOKEN_INIT
session setup failed: NT_STATUS_INTERNAL_ERROR