Samba/Fileserver/AD-auth: различия между версиями
мНет описания правки |
|||
Строка 14: | Строка 14: | ||
= Подключение к домену = | = Подключение к домену = | ||
Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD | Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD согласно [[SSSD/AD|инструкции]]. | ||
= Настройка Samba = | = Настройка Samba = |
Версия от 13:23, 6 августа 2017
Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом к общей папке.
Параметры описанного стенда
Имя домена: TEST.ALT Рабочая группа: TEST Имя компьютера в netbios: DC Имя пользователя-администратора: Administrator Пароль администратора: Pa$$word Контроллер домена: dc.test.alt Файл-сервер samba: fileserver.test.alt
Подключение к домену
Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD согласно инструкции.
Настройка Samba
Создадим директорию на файл-сервере, куда будем предоставлять доступ доменным пользователям:
# mkdir /mnt/share/sambashare
Изменим группу владельцев папки на доменных пользователей:
# chown :"TEST\domain users" /mnt/share/sambashare
Установим пакет samba:
# apt-get install samba
Отредактируем /etc/samba/smb.conf, указав доступность папки:
[sambashare] comment=shared files path=/mnt/share/sambashare read only=no browseable=yes
Настройка доменной аутентификации
Создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. Инструкция
Добавим в keytab-файл принципала сервиса "CIFS":
# net ads keytab add CIFS -U Administrator Processing principals to add…
Скопируем /etc/krb5.keytab в /etc/samba/:
cp /etc/krb5.keytab /etc/samba/
Укажем в /etc/samba/smb.conf путь к keytab-файлу:
dedicated keytab file = /etc/samba/krb5.keytab kerberos method = dedicated keytab
Попробуем зарегистрироваться с помощью keytab-файла:
# kinit -V -k CIFS/fileserver.test.alt -t /etc/samba/krb5.keytab Using default cache: persistent:0:0 Using principal: CIFS/fileserver.test.alt@TEST.ALT Using keytab: /etc/samba/krb5.keytab Authenticated to Kerberos v5
После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ.