Различия

Показаны различия между двумя версиями страницы.

--- doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] – dbehterev
+++ doc:os:freebsd:samba:install_samba_as_backend_for_authorization_in_active_directory [d.m.Y H:i] (текущий) – [Правим /etc/hosts] dbehterev
@@ Строка 9: / Строка 9: @@
   * Установить SAMBA __только__ для целей аутентификации пользователей
-В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций авторизации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :).
+В случае внедрения кеширующего прокси-сервера Squid с поддержкой авторизации пользователей Active Directory зачастую используется Samba как промежуточный механизм для выполнения функций аутентификации. В сети море информации на эту тему, однако решил еще раз написать больше для себя, чтобы не забыть :).
 ===== Какую версию самбы ставить? =====
@@ Строка 32: / Строка 32: @@
 ===== Начальные настройки =====
-==== /etc/krb5.conf ====
+==== Правим /etc/krb5.conf ====
@@ Строка 74: / Строка 74: @@
 </box>
-==== /etc/nsswitch.conf ====
+==== Правим /etc/nsswitch.conf ====
 <box 100% blue|/etc/nsswitch.conf>
@@ Строка 88: / Строка 88: @@
 Все остальные опции у меня закомментированы.
-==== Самый главный конфиг. файл /usr/local/etc/smb.conf ====
+==== Правим /etc/hosts ====
+Что туда добавляем? Добавляем записи для ваших контроллеров домена.
+==== Правим самый главный конфиг. файл /usr/local/etc/smb.conf ====
 <box 100% blue|/usr/local/etc/smb5.conf>
@@ Строка 150: / Строка 155: @@
 </code>
 </box>
+==== Правим /etc/rc.conf ====
+Собственно, нам нужно добавить:
+<box 100% blue|/etc/rc.conf>
+<code>
+winbindd_enable="YES"
+samba_enable="YES"
+</code>
+</box>
+==== Получаем билет Керберос и включаем машину в домен Active Directory ====
+Выполняем команду
+<code>
+# kinit DomainAdminUser
+DomainAdminUser@YOUR_DOMAIN's Password:
+</code>
+Признаком того, что не было никаких ошибок - как впрочем, и в большинстве команд Unix - отсутствие какого-либо вывода.
+Если у вас идет ругань, то тщательно проверяйте файл /etc/krb5.conf.
+Проверяем, что билет получен:
+<code>
+# klist
+Credentials cache: FILE:/tmp/krb5cc_0
+        Principal: DomainAdminUser@YOUR_DOMAIN
+  Issued           Expires          Principal
+Nov 13 19:44:50  Nov 14 05:44:50  krbtgt/YOUR_DOMAIN@YOUR_DOMAIN
+</code>
+Видно, что билет успешно получен, видна дата, когда срок действия билета истекает.
+Теперь включаем машину в домен:
+<code>
+# net ads join -U DomainAdminUser
+</code>
+Признаком успеха является вывод:
+<code>
+Joined 'GW2' to realm 'YOUR_DOMAIN'
+</code>
+Если ошибка, то тщательно проверяем файл smb.conf, в частности, имя домена, к которому выполнить подключение, определяется в опциях: workgroup и realm.
+Проверить, что все успешно, можно командой:
+<code>
+# net ads testjoin
+</code>
+Если все правильно, получим вывод:
+<code>
+Join is OK
+</code>
+==== Выполняем начальное тестирование ====
+Запустим Самбу, если еще не сделали:
+<code>
+# /usr/local/etc/rc.d/samba start
+</code>
+Нам из всей портянки, нужен только WINBIND, проверяем, что он отвечает:
+<code>
+# wbinfo -p
+Ping to winbindd succeeded
+</code>
+Выводим список доменных пользователей:
+<code>
+# wbinfo -u
+</code>
+Выводим список доменных групп:
+<code>
+# wbinfo -g
+</code>
+Запрашиваем системный вызов:
+<code>
+# getent passwd
+</code>
+Смотрим, как SID'ы доменных пользователей видны во FreeBSD.
+Выполняем аутентификацию по открытому паролю:
+<code>
+# wbinfo --authenticate=DomainAdminUser
+Enter DomainAdminUser's password:
+plaintext password authentication succeeded
+</code>
+В принципе, на этом можно завершить. Дальше можно приступать к установке Squid.
+TAG: {{tag>samba FreeBSD}}