Различия

Показаны различия между двумя версиями страницы.

--- doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] – [/etc/nsswitch.conf] dbehterev
+++ doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] (текущий) – [Правим /etc/hosts] dbehterev
@@ Строка 9: / Строка 9: @@
   * Установить SAMBA __только__ для целей аутентификации пользователей
-В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций авторизации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :).
+В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций аутентификации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :).
 ===== Какую версию самбы ставить? =====
@@ Строка 32: / Строка 32: @@
 ===== Начальные настройки =====
-==== /etc/krb5.conf ====
+==== Правим /etc/krb5.conf ====
@@ Строка 42: / Строка 42: @@
   * Обращаем внимание, что в секции [domain_realms] имя домена начинается с точки и в нижнем регистре
-<box|/etc/krb5.conf>
+<box 100% blue|/etc/krb5.conf>
 <code>
 [libdefaults]
@@ Строка 74: / Строка 74: @@
 </box>
-==== /etc/nsswitch.conf ====
+==== Правим /etc/nsswitch.conf ====
-<box|/etc/nsswitch.conf>
+<box 100% blue|/etc/nsswitch.conf>
 <code>
 group: files winbind
@@ Строка 87: / Строка 87: @@
 </box>
 Все остальные опции у меня закомментированы.
+==== Правим /etc/hosts ====
+Что туда добавляем? Добавляем записи для ваших контроллеров домена.
+==== Правим самый главный конфиг. файл /usr/local/etc/smb.conf ====
+<box 100% blue|/usr/local/etc/smb5.conf>
+<code>
+# прописываем основной контроллер домена
+password server = 192.168.111.111
+# следующие параметры должны согласовываться с настройками в вашем домене
+encrypt passwords = yes
+client NTLMv2 auth = Yes
+smb ports = 139
+client use spnego = Yes
+preferred master = no
+local master = no
+domain master = no
+# Один из наиболее важных параметров - тип безопасности
+security = ADS
+workgroup = YOUR_DOMAIN
+realm = YOUR_DOMAIN
+server string =
+# Имя, под которым ваш Самба-сервер будет зарегистрирован в Active Directory
+netbios name = GW2
+# У меня сеть 192.168.111.0/24
+hosts allow = 192.168.111. 127.
+idmap backend = tdb
+idmap uid = 10000-99999
+idmap gid = 10000-99999
+idmap config YOUR_DOMAIN:backend = rid
+idmap config YOUR_DOMAIN:range = 10000-99999
+winbind separator = +
+winbind use default domain = yes
+winbind enum users = yes
+winbind enum groups = yes
+winbind nested groups = Yes
+winbind refresh tickets = yes
+# запрещаем печать, она не нужна как класс на FreeBSD сервере
+printcap name = /dev/null
+load printers = no
+printing = bsd
+show add printer wizard = no
+disable spoolss = yes
+# включаем протоколирование
+log level = 0
+log file = /var/log/samba/log.%m
+# max log size = 50
+wins support = no
+# В сети у меня есть WINS сервер
+wins server = 192.168.111.110
+dns proxy = no
+</code>
+</box>
+==== Правим /etc/rc.conf ====
+Собственно, нам нужно добавить:
+<box 100% blue|/etc/rc.conf>
+<code>
+winbindd_enable="YES"
+samba_enable="YES"
+</code>
+</box>
+==== Получаем билет Керберос и включаем машину в домен Active Directory ====
+Выполняем команду
+<code>
+# kinit DomainAdminUser
+DomainAdminUser@YOUR_DOMAIN's Password:
+</code>
+Признаком того, что не было никаких ошибок - как впрочем, и в большинстве команд Unix - отсутствие какого-либо вывода.
+Если у вас идет ругань, то тщательно проверяйте файл /etc/krb5.conf.
+Проверяем, что билет получен:
+<code>
+# klist
+Credentials cache: FILE:/tmp/krb5cc_0
+        Principal: DomainAdminUser@YOUR_DOMAIN
+  Issued           Expires          Principal
+Nov 13 19:44:50  Nov 14 05:44:50  krbtgt/YOUR_DOMAIN@YOUR_DOMAIN
+</code>
+Видно, что билет успешно получен, видна дата, когда срок действия билета истекает.
+Теперь включаем машину в домен:
+<code>
+# net ads join -U DomainAdminUser
+</code>
+Признаком успеха является вывод:
+<code>
+Joined 'GW2' to realm 'YOUR_DOMAIN'
+</code>
+Если ошибка, то тщательно проверяем файл smb.conf, в частности, имя домена, к которому выполнить подключение, определяется в опциях: workgroup и realm.
+Проверить, что все успешно, можно командой:
+<code>
+# net ads testjoin
+</code>
+Если все правильно, получим вывод:
+<code>
+Join is OK
+</code>
+==== Выполняем начальное тестирование ====
+Запустим Самбу, если еще не сделали:
+<code>
+# /usr/local/etc/rc.d/samba start
+</code>
+Нам из всей портянки, нужен только WINBIND, проверяем, что он отвечает:
+<code>
+# wbinfo -p
+Ping to winbindd succeeded
+</code>
+Выводим список доменных пользователей:
+<code>
+# wbinfo -u
+</code>
+Выводим список доменных групп:
+<code>
+# wbinfo -g
+</code>
+Запрашиваем системный вызов:
+<code>
+# getent passwd
+</code>
+Смотрим, как SID'ы доменных пользователей видны во FreeBSD.
+Выполняем аутентификацию по открытому паролю:
+<code>
+# wbinfo --authenticate=DomainAdminUser
+Enter DomainAdminUser's password:
+plaintext password authentication succeeded
+</code>
+В принципе, на этом можно завершить. Дальше можно приступать к установке Squid.
+TAG: {{tag>samba FreeBSD}}