[ новости /+++ | форум | теги | ]

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ключевые слова: samba, win, auth, domain,  (найти похожие документы)

From: Городецкий Денис <denik27@nm.ru.>
Newsgroups: email
Date: Mon, 30 Mar 2005 14:31:37 +0000 (UTC)
Subject: SAMBA  с авторизацией в домене с win2003 сервером


Задача:

      Организация файлового сервера 
      Авторизация пользователей через домен контроллер
     

Дано:
 
    Red Hat 9.0
    Samba 3.0.13
    DC win 2003 server


Вступление.

      Взяться за написание данной статьи меня побудило то, что когда возникла 
задача о которой написано выше , то статьи описывающей решение данной проблемы
полностью я не нашел вот и решил написать такую статью в которой было бы 
готовое решние


Основная часть.

      Первым делом устанавливаем самбу . Решено было использовать последню 
версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим
сложностей ни у кого не возникает, док по данному вопросу полно и 
потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий
конфиг, может там и есть что лишнее, но после того как все заработало я убирать
оттуда ничего не стал.


[global]

   realm = bryusov.iasnet.ru
# Workgroup = имя NT-домена (или рабочей группы): 
   workgroup = DOMAIN  

# NetBIOS-имя, под которым будет виден сервер остальным машинам сети.
   netbios name = NAU

# Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows.
   server string = Samba Server

# Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с 
# указанными IP-адресами присоединяться к Samba-серверу. 
   hosts allow = 172.18. 172.17.  127.

# если подставить %m то для каждой машины  подключенной к Samba-серверу будет 
# использоваться свой log-файл. 
   log file = /var/log/samba/log.smbd   

#это кому скока не жалко             
   max log size = 500    

#определяет, каким образом будет осуществляться проверка пароля (нам надо через
# DC )                                          
   security = domain

# Параметр Password server используется только совместно с опцией 
# security = domain. 
   password server =  <IP домен контролера>

#для репликации всех доменов входящих в траст с вашим доменом
   allow trusted domains = yes        	

#  включаем  поддержку шифрованных паролей. 
   encrypt passwords = yes

# Используя следующий параметр можно создать отдельную конфигурацию для 
# каждой машины домена. 
# Вместо пары символов %m при входе подставляется NetBIOS-имя машины. 
# Я Такого не делал хотя поэксперементровать можно.
# include = /usr/local/samba/lib/smb.conf.%m

#данные строчки можно не включать в работающий конфиг они определяют место
#хранения , порядок обновления Unix паролей и какой программой все это производится
  smb passwd file = /etc/samba/smbpasswd
   unix password sync = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*

# В документации  говорится, что с помощью этого параметра
# можно повысить производительность Samba-сервера.
  socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

#по дефолту слушаются все интерфейсы, здесь можно указать конкретно
  interfaces = <ip или название интерфейса>

#строчки которых не было в стандартном конфиге и были добавлены руками для 
#pепликации NT-юзеpов:

  winbind uid = 10000-20000
  winbind gid = 10000-20000
  winbind enum groups = yes
  winbind enum users = yes

#описываем шары

[FILES]
   comment = share
   path = /share/FILES
   public = no
   writable = yes
   valid users = DOMAIN\users
   create mask = 0744

#натсройка кирилицы по желанию




Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf


[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = PDC.DOMAIN.NAME.RU
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
DOMAIN.NAME.RU = {
  kdc = pdc.domain.name.ru:88
  admin_server = kerberos.domain.name.ru:749
  default_domain = domain.name.ru
 }

[domain_realm]
 .domain.name.ru = DOMAIN.NAME.RU
 domain.name.ru = DOMAIN.NAME.RU

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false




Все остальное оставлено без изменений.

Теперь заводим самба сервер в домен, делаем со стороны домен контролера 
двусторонние доверительные отношения, запускаем getent group и видим что
все  работает. 

Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной 
настройки файл сервера.

Принимаются отзывы и замечания на мой мейл или ICQ 256224038.


Благодарности:

  Огромное спасибо всем кто писал статьи про самбу почти все их прочитал и
почерпнул много полезного , в том числе не только для решения своих задач.

          

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

1.1, Andy (??), 16:45, 31/03/2005 [ответить]   +/– У меня без доверительных отношений всё авторизует.   1.2, Yura (??), 08:58, 01/04/2005 [ответить]   +/– У меня такой вопрос, возникнут ли проблемы если на компе с самбой стоит еще почтовый сервер sendmail, могут ли возникнуть проблемы с авторизацией по POP3 (dovecot)? хотя у меня еще используеться авторизация и по SMTP. и вообще хотелось бы при заведении пользователя в Windows домене у него появлялся почтовый ящик... Это возмоно?     2.8, gil (?), 17:54, 31/03/2006 [^] [^^] [^^^] [ответить]   +/– У меня стоит RH9, samba-3.0.0-2, сервер втянут в домен w2k (не контроллером), настроена авторизация через winbind/nss/pam, крутится sendmail и imapd (поддерживает IMAP и POP). Для существующего юзера (как локального, так и из домена) ящик создаётся, как только придёт первое письмо для него. Очень удобно, учитывая, что сервер обслуживает немаленькую организацию...   1.3, goal (ok), 19:52, 12/04/2005 [ответить]   +/– Господа гуру, может быть поможете, на форуме никто не отвечает. Как вы ставете Kerberos для того чтобы Samba работала с W2K или W2K3 доменом. У меня стоит Debian Woody, kernel 2.4.29. При всех попытках скомпелировать Heimdal-0.6.3 вылетают ошибки на этапе make (./configure проходит нормально). Пытался найти готовый deb пакет, нашел только heimdal-client под Debian, но он тянет за собой такое кол-во необходимых библиотек и других deb пакетов, что после их установки система не поднимается. Может быть все Kerberos библиотеки уже в составе Samba есть и не надо ставить Heimdal? Заранее спасибо.     2.4, Muxa (?), 08:50, 14/07/2005 [^] [^^] [^^^] [ответить]   +/– Такой вопрос: getent group показывает все группы на сервере, но авторизация не проходит, подскажите, пожалуйста, в чем может быть   1.5, Lynx (?), 03:36, 02/08/2005 [ответить]   +/– пробовал этот способ переложить на ASPLinux....не выщло...не нашел схожих файлов     2.7, Seltsam (?), 12:55, 09/02/2006 [^] [^^] [^^^] [ответить]   +/– ты какие имеешь ввиду файлы? krb5.conf? поставь пакет для кербероса - в альте libkrb5..... =)   1.6, Seltsam (?), 12:52, 09/02/2006 [ответить]   +/– Пробовал на ALT Linux Master 2.4 со стандартным набором пакетов в дистрибутиве - самба вошла в домен нормально, в др. статьях просто ни слова не было про Kerberos =) ВЕРИ БИГ СЕНКС!!! =)

Партнёры:

Хостинг: