|
Ключевые слова: samba, win, auth, domain, (найти похожие документы)
From: Городецкий Денис <denik27@nm.ru.> Newsgroups: email Date: Mon, 30 Mar 2005 14:31:37 +0000 (UTC) Subject: SAMBA с авторизацией в домене с win2003 сервером Задача: Организация файлового сервера Авторизация пользователей через домен контроллер Дано: Red Hat 9.0 Samba 3.0.13 DC win 2003 server Вступление. Взяться за написание данной статьи меня побудило то, что когда возникла задача о которой написано выше , то статьи описывающей решение данной проблемы полностью я не нашел вот и решил написать такую статью в которой было бы готовое решние Основная часть. Первым делом устанавливаем самбу . Решено было использовать последню версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим сложностей ни у кого не возникает, док по данному вопросу полно и потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий конфиг, может там и есть что лишнее, но после того как все заработало я убирать оттуда ничего не стал. [global] realm = bryusov.iasnet.ru # Workgroup = имя NT-домена (или рабочей группы): workgroup = DOMAIN # NetBIOS-имя, под которым будет виден сервер остальным машинам сети. netbios name = NAU # Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows. server string = Samba Server # Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с # указанными IP-адресами присоединяться к Samba-серверу. hosts allow = 172.18. 172.17. 127. # если подставить %m то для каждой машины подключенной к Samba-серверу будет # использоваться свой log-файл. log file = /var/log/samba/log.smbd #это кому скока не жалко max log size = 500 #определяет, каким образом будет осуществляться проверка пароля (нам надо через # DC ) security = domain # Параметр Password server используется только совместно с опцией # security = domain. password server = <IP домен контролера> #для репликации всех доменов входящих в траст с вашим доменом allow trusted domains = yes # включаем поддержку шифрованных паролей. encrypt passwords = yes # Используя следующий параметр можно создать отдельную конфигурацию для # каждой машины домена. # Вместо пары символов %m при входе подставляется NetBIOS-имя машины. # Я Такого не делал хотя поэксперементровать можно. # include = /usr/local/samba/lib/smb.conf.%m #данные строчки можно не включать в работающий конфиг они определяют место #хранения , порядок обновления Unix паролей и какой программой все это производится smb passwd file = /etc/samba/smbpasswd unix password sync = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully* # В документации говорится, что с помощью этого параметра # можно повысить производительность Samba-сервера. socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 #по дефолту слушаются все интерфейсы, здесь можно указать конкретно interfaces = <ip или название интерфейса> #строчки которых не было в стандартном конфиге и были добавлены руками для #pепликации NT-юзеpов: winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum groups = yes winbind enum users = yes #описываем шары [FILES] comment = share path = /share/FILES public = no writable = yes valid users = DOMAIN\users create mask = 0744 #натсройка кирилицы по желанию Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = PDC.DOMAIN.NAME.RU dns_lookup_realm = false dns_lookup_kdc = false [realms] DOMAIN.NAME.RU = { kdc = pdc.domain.name.ru:88 admin_server = kerberos.domain.name.ru:749 default_domain = domain.name.ru } [domain_realm] .domain.name.ru = DOMAIN.NAME.RU domain.name.ru = DOMAIN.NAME.RU [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false Все остальное оставлено без изменений. Теперь заводим самба сервер в домен, делаем со стороны домен контролера двусторонние доверительные отношения, запускаем getent group и видим что все работает. Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной настройки файл сервера. Принимаются отзывы и замечания на мой мейл или ICQ 256224038. Благодарности: Огромное спасибо всем кто писал статьи про самбу почти все их прочитал и почерпнул много полезного , в том числе не только для решения своих задач.
|
Обсуждение | [ RSS ] |
|
Добавить комментарий |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |