Samba/Fileserver/AD-auth

Материал из ALT Linux Wiki
< Samba
Версия от 11:34, 10 мая 2017; Andrey Pinchuk (обсуждение | вклад)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом SSO.

Параметры описанного стенда

Имя домена:  TEST.ALT
Рабочая группа: TEST
Имя компьютера в netbios: DC
Имя пользователя-администратора: Administrator
Пароль администратора: Pa$$word
Контроллер домена: dc.test.alt				

Файл-сервер samba: fileserver.test.alt 			
       

Подключение к домену

Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD. Инструкция по настройке: https://www.altlinux.org/SSSD/AD

Настройка Samba

Создадим директорию на файл-сервере, куда будем предоставлять доступ доменным пользователям:

# mkdir  /mnt/share/sambashare

Изменим группу владельцев папки на доменных пользователей:

# chown  :"TEST\domain users" /mnt/share/sambashare

Установим пакет samba:

# apt-get install samba

Отредактируем /etc/samba/smb.conf, указав доступность папки:

[sambashare] 
comment=shared files 
path=/mnt/share/sambashare 
read only=no 
browseable=yes

Настройка SSO

Для работы SSO создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. Инструкция

Добавим в keytab-файл принципала сервиса "CIFS":

# net ads keytab add CIFS -U Administrator     
Processing principals to add…

Скопируем /etc/krb5.keytab в /etc/samba/:

cp /etc/krb5.keytab /etc/samba/

Укажем в /etc/samba/smb.conf путь к keytab-файлу:

dedicated keytab file = /etc/samba/krb5.keytab
kerberos method = dedicated keytab
Внимание! Убедитесь в том, что сервисы smb, nmb, sssd и nscd работают.


Попробуем зарегистрироваться с помощью keytab-файла:

# kinit -V -k CIFS/fileserver.test.alt -t /etc/samba/krb5.keytab 
Using default cache: persistent:0:0 
Using principal: CIFS/fileserver.test.alt@TEST.ALT 
Using keytab: /etc/samba/krb5.keytab 
Authenticated to Kerberos v5

После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ.