From: Городецкий Денис <denik27@nm.ru.>
Newsgroups: email
Date: Mon, 30 Mar 2005 14:31:37 +0000 (UTC)
Subject: SAMBA с авторизацией в домене с win2003 сервером
Задача:
Организация файлового сервера
Авторизация пользователей через домен контроллер
Дано:
Red Hat 9.0
Samba 3.0.13
DC win 2003 server
Вступление.
Взяться за написание данной статьи меня побудило то, что когда возникла
задача о которой написано выше , то статьи описывающей решение данной проблемы
полностью я не нашел вот и решил написать такую статью в которой было бы
готовое решние
Основная часть.
Первым делом устанавливаем самбу . Решено было использовать последню
версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим
сложностей ни у кого не возникает, док по данному вопросу полно и
потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий
конфиг, может там и есть что лишнее, но после того как все заработало я убирать
оттуда ничего не стал.
[global]
realm = bryusov.iasnet.ru
# Workgroup = имя NT-домена (или рабочей группы):
workgroup = DOMAIN
# NetBIOS-имя, под которым будет виден сервер остальным машинам сети.
netbios name = NAU
# Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows.
server string = Samba Server
# Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с
# указанными IP-адресами присоединяться к Samba-серверу.
hosts allow = 172.18. 172.17. 127.
# если подставить %m то для каждой машины подключенной к Samba-серверу будет
# использоваться свой log-файл.
log file = /var/log/samba/log.smbd
#это кому скока не жалко
max log size = 500
#определяет, каким образом будет осуществляться проверка пароля (нам надо через
# DC )
security = domain
# Параметр Password server используется только совместно с опцией
# security = domain.
password server = <IP домен контролера>
#для репликации всех доменов входящих в траст с вашим доменом
allow trusted domains = yes
# включаем поддержку шифрованных паролей.
encrypt passwords = yes
# Используя следующий параметр можно создать отдельную конфигурацию для
# каждой машины домена.
# Вместо пары символов %m при входе подставляется NetBIOS-имя машины.
# Я Такого не делал хотя поэксперементровать можно.
# include = /usr/local/samba/lib/smb.conf.%m
#данные строчки можно не включать в работающий конфиг они определяют место
#хранения , порядок обновления Unix паролей и какой программой все это производится
smb passwd file = /etc/samba/smbpasswd
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
# В документации говорится, что с помощью этого параметра
# можно повысить производительность Samba-сервера.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#по дефолту слушаются все интерфейсы, здесь можно указать конкретно
interfaces = <ip или название интерфейса>
#строчки которых не было в стандартном конфиге и были добавлены руками для
#pепликации NT-юзеpов:
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
#описываем шары
[FILES]
comment = share
path = /share/FILES
public = no
writable = yes
valid users = DOMAIN\users
create mask = 0744
#натсройка кирилицы по желанию
Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = PDC.DOMAIN.NAME.RU
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
DOMAIN.NAME.RU = {
kdc = pdc.domain.name.ru:88
admin_server = kerberos.domain.name.ru:749
default_domain = domain.name.ru
}
[domain_realm]
.domain.name.ru = DOMAIN.NAME.RU
domain.name.ru = DOMAIN.NAME.RU
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
Все остальное оставлено без изменений.
Теперь заводим самба сервер в домен, делаем со стороны домен контролера
двусторонние доверительные отношения, запускаем getent group и видим что
все работает.
Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной
настройки файл сервера.
Принимаются отзывы и замечания на мой мейл или ICQ 256224038.
Благодарности:
Огромное спасибо всем кто писал статьи про самбу почти все их прочитал и
почерпнул много полезного , в том числе не только для решения своих задач.
Источник