doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory
Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия | ||
doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] – dbehterev | doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] (текущий) – [Правим /etc/hosts] dbehterev | ||
---|---|---|---|
Строка 9: | Строка 9: | ||
* Установить SAMBA __только__ для целей аутентификации пользователей | * Установить SAMBA __только__ для целей аутентификации пользователей | ||
- | В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций авторизации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :). | + | В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций аутентификации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :). |
===== Какую версию самбы ставить? | ===== Какую версию самбы ставить? | ||
Строка 31: | Строка 31: | ||
===== Начальные настройки ===== | ===== Начальные настройки ===== | ||
+ | |||
+ | ==== Правим / | ||
+ | |||
Настраиваем конфиг. файл Керберос. Нам нужно очень внимательно отнестись к опциям в этом файле. | Настраиваем конфиг. файл Керберос. Нам нужно очень внимательно отнестись к опциям в этом файле. | ||
Строка 37: | Строка 40: | ||
* 192.168.111.111 и 192.168.111.114 - это IP адреса моих контроллеров домена. У меня их 2, поэтому в конфиге и две записи. | * 192.168.111.111 и 192.168.111.114 - это IP адреса моих контроллеров домена. У меня их 2, поэтому в конфиге и две записи. | ||
* 192.168.111.111 - имя основного контроллера домена | * 192.168.111.111 - имя основного контроллера домена | ||
- | < | + | * Обращаем внимание, |
+ | |||
+ | < | ||
+ | <code> | ||
[libdefaults] | [libdefaults] | ||
default_realm = YOUR_DOMAIN | default_realm = YOUR_DOMAIN | ||
Строка 52: | Строка 58: | ||
[domain_realms] | [domain_realms] | ||
- | .cord = YOUR_DOMAIN | + | .your_domain |
[appdefaults] | [appdefaults] | ||
Строка 65: | Строка 71: | ||
[logging] | [logging] | ||
default=SYSLOG: | default=SYSLOG: | ||
+ | </ | ||
</ | </ | ||
+ | |||
+ | ==== Правим / | ||
+ | |||
+ | <box 100% blue|/ | ||
+ | < | ||
+ | group: files winbind | ||
+ | hosts: files dns | ||
+ | networks: files | ||
+ | passwd: files winbind | ||
+ | shells: files | ||
+ | protocols: files | ||
+ | </ | ||
+ | </ | ||
+ | Все остальные опции у меня закомментированы. | ||
+ | |||
+ | ==== Правим /etc/hosts ==== | ||
+ | |||
+ | Что туда добавляем? | ||
+ | |||
+ | |||
+ | ==== Правим самый главный конфиг. файл / | ||
+ | |||
+ | <box 100% blue|/ | ||
+ | < | ||
+ | # прописываем основной контроллер домена | ||
+ | password server = 192.168.111.111 | ||
+ | |||
+ | # следующие параметры должны согласовываться с настройками в вашем домене | ||
+ | encrypt passwords = yes | ||
+ | client NTLMv2 auth = Yes | ||
+ | |||
+ | smb ports = 139 | ||
+ | |||
+ | client use spnego = Yes | ||
+ | |||
+ | preferred master = no | ||
+ | local master = no | ||
+ | domain master = no | ||
+ | |||
+ | # Один из наиболее важных параметров - тип безопасности | ||
+ | security = ADS | ||
+ | workgroup = YOUR_DOMAIN | ||
+ | realm = YOUR_DOMAIN | ||
+ | server string = | ||
+ | |||
+ | # Имя, под которым ваш Самба-сервер будет зарегистрирован в Active Directory | ||
+ | netbios name = GW2 | ||
+ | |||
+ | # У меня сеть 192.168.111.0/ | ||
+ | hosts allow = 192.168.111. 127. | ||
+ | |||
+ | idmap backend = tdb | ||
+ | idmap uid = 10000-99999 | ||
+ | idmap gid = 10000-99999 | ||
+ | idmap config YOUR_DOMAIN: | ||
+ | idmap config YOUR_DOMAIN: | ||
+ | |||
+ | winbind separator = + | ||
+ | winbind use default domain = yes | ||
+ | winbind enum users = yes | ||
+ | winbind enum groups = yes | ||
+ | winbind nested groups = Yes | ||
+ | winbind refresh tickets = yes | ||
+ | |||
+ | # запрещаем печать, | ||
+ | printcap name = /dev/null | ||
+ | load printers = no | ||
+ | printing = bsd | ||
+ | show add printer wizard = no | ||
+ | disable spoolss = yes | ||
+ | |||
+ | # включаем протоколирование | ||
+ | log level = 0 | ||
+ | log file = / | ||
+ | # max log size = 50 | ||
+ | |||
+ | wins support = no | ||
+ | # В сети у меня есть WINS сервер | ||
+ | wins server = 192.168.111.110 | ||
+ | dns proxy = no | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | ==== Правим / | ||
+ | |||
+ | Собственно, | ||
+ | <box 100% blue|/ | ||
+ | < | ||
+ | winbindd_enable=" | ||
+ | samba_enable=" | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | ==== Получаем билет Керберос и включаем машину в домен Active Directory ==== | ||
+ | |||
+ | Выполняем команду | ||
+ | < | ||
+ | # kinit DomainAdminUser | ||
+ | DomainAdminUser@YOUR_DOMAIN' | ||
+ | </ | ||
+ | Признаком того, что не было никаких ошибок - как впрочем, | ||
+ | |||
+ | Если у вас идет ругань, | ||
+ | |||
+ | Проверяем, | ||
+ | < | ||
+ | # klist | ||
+ | Credentials cache: FILE:/ | ||
+ | Principal: DomainAdminUser@YOUR_DOMAIN | ||
+ | |||
+ | Issued | ||
+ | Nov 13 19: | ||
+ | </ | ||
+ | Видно, что билет успешно получен, | ||
+ | |||
+ | Теперь включаем машину в домен: | ||
+ | < | ||
+ | # net ads join -U DomainAdminUser | ||
+ | </ | ||
+ | Признаком успеха является вывод: | ||
+ | < | ||
+ | Joined ' | ||
+ | </ | ||
+ | Если ошибка, | ||
+ | |||
+ | Проверить, | ||
+ | < | ||
+ | # net ads testjoin | ||
+ | </ | ||
+ | Если все правильно, | ||
+ | < | ||
+ | Join is OK | ||
+ | </ | ||
+ | |||
+ | ==== Выполняем начальное тестирование ==== | ||
+ | |||
+ | Запустим Самбу, если еще не сделали: | ||
+ | < | ||
+ | # / | ||
+ | </ | ||
+ | Нам из всей портянки, | ||
+ | < | ||
+ | # wbinfo -p | ||
+ | Ping to winbindd succeeded | ||
+ | </ | ||
+ | |||
+ | Выводим список доменных пользователей: | ||
+ | < | ||
+ | # wbinfo -u | ||
+ | </ | ||
+ | |||
+ | Выводим список доменных групп: | ||
+ | < | ||
+ | # wbinfo -g | ||
+ | </ | ||
+ | |||
+ | Запрашиваем системный вызов: | ||
+ | < | ||
+ | # getent passwd | ||
+ | </ | ||
+ | Смотрим, | ||
+ | |||
+ | Выполняем аутентификацию по открытому паролю: | ||
+ | < | ||
+ | # wbinfo --authenticate=DomainAdminUser | ||
+ | Enter DomainAdminUser' | ||
+ | plaintext password authentication succeeded | ||
+ | </ | ||
+ | |||
+ | В принципе, | ||
+ | |||
+ | TAG: {{tag> |
/var/www/wiki.itcall.ru/data/attic/doc/os/freebsd/samba/install_samba_as_backend_for_authorization_in_active_directory.1352819678.txt.gz · Последнее изменение: d.m.Y H:i — dbehterev