- Как подружить Samba и контроллер домена Windows 2003
- Содержание
- Стандартный метод [ править ]
- Графическая интеграция [ править ]
- Ручная интеграция [ править ]
- Требования [ править ]
- Настройка разрешения имен [ править ]
- Настройка Kerberos [ править ]
- Настройка Samba [ править ]
- Входим в Active Directory [ править ]
- Настройка Winbind [ править ]
- Настройка PAM [ править ]
- Поддержка SSH [ править ]
- Заключение [ править ]
- Samba для windows 2003
Как подружить Samba и контроллер домена Windows 2003
ВНИМАНИЕ: команды предваряемые символом ‘ # ‘ должны выполняться с правами root (Суперпользователь). Открыв терминал (или находясь в консоли) с правами обычного пользователя, введите команду $ su — для повышения уровня привелегий. Символы ‘ $ ‘ и ‘ # ‘ в начале строки не являются частью команды и не должны вводится. Прочие команды могут выполняться с правами обыкновенного пользователя.
Содержание
Стандартный метод [ править ]
- Установить samba-winbind, samba, krb5-workstation, authconfig-gtk, sssd, sssd-client
- запустить system-config-authentication
- ввести настройки и выполнить вход:
Графическая интеграция [ править ]
Ручная интеграция [ править ]
Требования [ править ]
Samba собранная с опциями: —with-ldap —with-ads —with-krb5 —with-pam —with-winbind
или просто установите из rpm.
192.168.0.1 – server.domain.com – это сервер Windows 2003
192.168.0.10 – client.domain.com – клиентская машина Linux с Samba
Настройка разрешения имен [ править ]
Надеюсь что на вашем контроллере домена поднят DNS (Domain Names Server) с зонами прямого и обратного просмотра. Если поднят, то в файле /etc/resolv.conf прописываем следующее:
Если же в сети нет DNS (что вряд ли) сервера — можно воспользоваться файлами hosts на обеих машинах.
На машине в файл /etc/hosts добавляем:
На контроллере домена в файле %Systemroot%\
System32\drivers\etc\hosts пишем следующее:
%Systemroot% — папка WINNT или WINDOWS(на системном диске)
Настройка Kerberos [ править ]
Часть этого документа использует DOMAIN.COM прописными буквами. Удостоверьтесь, что в вашем конфиге krb5.conf правильный регистр!
Приводим файл krb5.conf в соответствие с настройками вашей сети(не забывайте про регистр!).
После этого выполняем команду(необходимо знать пароль администратора КД):
Возможные проблемы на этом этапе:
Надо проверить правильность ввода логина\пароль админа.
Проверьте правильность настроек DNS и конфига krb5.conf
Рассинхронизация времени на КД и клиенте – выполните команду net time set(в linux) Желательно выполнять данную команду раз в неделю(можно через cron).
Настройка Samba [ править ]
Пожалуй, самая легкая часть настройки.
Выкладываю уже готовый к эксплуатации конфиг (с комментариями к тому, на что надо обратить внимание):
Входим в Active Directory [ править ]
Убедившись, что на контроллере домена нет машин с именем, которое мы использовали в конфиге. Выполняем команду:
Настройка Winbind [ править ]
1. Откроем файл /etc/nsswitch.conf для редактирования и найдем следующие строчки:
2. Заменим их на:
3. Перезапустим сервис winbind:
4. Проверим работу:
значит доверительная учетная запись компьютера в домене создана.
5. Проверка пользователей и групп:
должно вывести пользователей домена и группы домена.
6. Проверяем аутентификацию в домене:
где user — пользователь домена, 123 — пароль. Если ответ:
значит аутентификация в домене работает.
7. Проверяем, чтобы наш Linux видел пользователей домена:
должно вывести id пользователя домена и к каким группам он относится.
Настройка PAM [ править ]
Перед выполнением нижеперечисленных действий рекомендуется сделать бэкап всех редактируемых файлов.
Файл /etc/pam.d/samba не требует редактирования, т.к. он уже содержит необходимое. Редактируем /etc/pam.d/login
Теперь на машину с linux можно заходить используя доменные аккаунты(DOMAIN\User).
Поддержка SSH [ править ]
Для того, чтобы можно было использовать доменные аккаунты для входа через ssh в файле /etc/pam.d/sshd делаем изменения аналогично /etc/pam.d/login.
Заключение [ править ]
Ну вот и все. Теперь можно запустить Samba:
Samba для windows 2003
Добрый день
Все вроде бы настроил верно
Самба вошла в домен без каких либо проблем
files# net join -U myuser
Enter a.shalin’s password:
Using short domain name — KNPC
Joined ‘FILES’ to realm ‘knpc.local’
Если заходить на самбу с компа, который не в домене KNPC — он запрашивает пароль и логинится
если пытаться зайти на самбу-шару с компа, который в домене KNPC — Аккаунт не авторизован для входа с этой станции
wbinfo -g
wbinfo -u
показывает все верно.. никак не могу найти куда рыть..
| Оглавление |
|
| Сообщения по теме | [Сортировка по времени | RSS] |
| 1. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – |  |
| Сообщение от Сергей (??) on 22-Мрт-11, 09:12 | ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
 | ||
| 2. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от Сергей (??) on 22-Мрт-11, 09:15 | ||
| ||
| Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 3. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – |  |
Сообщение от HappyAlex  (ok) on 22-Мрт-11, 09:26 | ||
пробовал со всех аккаунтов.. которые есть в AD — никаких ограничений нету -( нету у него ограничений .. захожу с этого аккаунту и других | ||
| Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 4. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 22-Мрт-11, 09:42 | ||
Запустил WhiteSHark на AD среди прочего нашел | ||
| Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору | ||
| 5. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – |  |
| Сообщение от boykov (ok) on 22-Мрт-11, 09:55 | ||
как верно? В частности, как настроен, если настроен, мапинг юзверей. | ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
| ||
| 6. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 22-Мрт-11, 10:03 | ||
Если бы настройках самбы была не верной, но я бы не смог получить список юзеров и групп с АД.. Мне кажется это так wbinfo -t работаю верно и выдают то, что и нужно В логах ничего нету.. в логах smbd — ничего [2011/03/22 13:01:46, 4] nmbd/nmbd_workgroupdb.c:170(find_workgroup_on_subnet) при попытке с виндоуз с AD сделать коннект к самбе C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\ The account is not authorized to log in from this station. в логах ничего не появляется | ||
| Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 7. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – |  |
| Сообщение от Static (ok) on 22-Мрт-11, 10:41 | ||
команда # id имя_доменного_пользователя | ||
| Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору | ||
| ||
| 8. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 22-Мрт-11, 10:48 | ||
files# id KNPC\\a.shalin | ||
| Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору | ||
| ||
| 9. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 22-Мрт-11, 10:52 | ||
files# id a.shalin files# id Administrator | ||
| Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору | ||
| ||
| 10. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 22-Мрт-11, 15:02 | ||
Вообщем сделал так Поднял Jail окружение и подцепился к другом домену с AD без каких либо проблем (на другом домене windows 2003 SP2) при попытке зайти с компа, который в домене — подключение не происходит — все ОК поднял еще один JAIL и скопировал конфиги с первого жайла. исправил все что нужно.. вогнал самбу в домен wbinfo -t,u,g — работает отлично при попытке зайти с компа, который в домене — подключение не происходит — Этот аккаунт не авторизован для входа Делаем Вывод, что что-то не то в с виндой.. основные настройки одинаковые.. и еще на втором сервере, откуда нет доступа есть несколько MAIN Contolleroв но они все на этом сервере у кого есть какие либо идеи ? | ||
| Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору | ||
| ||
| 11. «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от Сергей (??) on 22-Мрт-11, 16:49 | ||
Какие тут могут быть идеи, сравнивайте политики, которые наложены на контроллеры домена, наверняка стоит авторизовать только NTLMv2, либо что-нибудь в этом роде. | ||
| Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору | ||
| ||
| 12 . «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 23-Мрт-11, 05:44 | ||
Уже вроде все сравнил.. все везде одинаковое .. буду еще раз внимательно смотреть | ||
| Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору | ||
| ||
| 13 . «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от Аноним (??) on 23-Мрт-11, 06:00 | ||
> при попытке с виндоуз с AD сделать коннект к самбе Ответ тут 🙂 Бери словарь и рой. | ||
| Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору | ||
| ||
| 14 . «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 23-Мрт-11, 07:00 | ||
а почитать не судьба, что Выше описано ?! Выше уже описано было, что параметры ветке lanserver, lanworkstation и включение и выключение запросов сертификатов уже отключалось и подключалось .. это не помогает и это не решение .. | ||
| Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору | ||
| ||
| 15 . «Samba 3.4 + Windows 2003 (ServicePack 1) + AD» | + / – | |
| Сообщение от HappyAlex (ok) on 29-Мрт-11, 12:03 | ||
Сбросил все политики в дефаул + поставил Service Pack 2 и все работает, как надо | ||
