Организация сервера резервных копий Time Machine для клиентских систем macOS с централизованным хранилищем на системах macOS, Linux Debian 10 Buster или Windows Server 2012 R2
На предприятии с большим количеством компьютеров на базе ОС Apple macOS может возникнуть необходимость развёртывания централизованного сервера для хранения резервных копий на базе пакета Time Machine с интеграцией в механизмы доменной авторизации на базе каталога Active Directory (AD). В данной заметке мы рассмотрим три варианта организации сетевого ресурса (SMB) под задачу резервного копирования компьютеров macOS, а также поговорим о разных вариантах настройки клиентов macOS для подключения к такому ресурсу.
Сразу стоит отметить, что по причине появления Apple File System (APFS) протокол Apple Filling Protocol (AFP) стал считаться устаревшим, поэтому рассматривать AFP в контексте данной заметки мы не будем.
Организация сетевого ресурса для Time Machine на macOS
С тех пор, как Apple отказались развивать «серверные» продукты в пакете Server.app оставив только Profile manager, многие стали задаваться вопросом, а как же сейчас организовывать Time Machine Server?
На мой взгляд, Apple сделали лучше, чем было ранее, потому что перенесли возможность организации сетевого хранения резервных копий macOS в базовые настройки ОС, и поэтому теперь не требуется ничего устанавливать дополнительно.
Рассмотрим пример создания сетевого каталога для Time Machine на macOS Mojave.
1. Откроем настройки и перейдём в общий доступ;
2. Добавим каталог, который будет использоваться для Time Machine;
3. Вызываем контекстное меню на каталоге и откроем «дополнительные параметры…»
Разрешим использовать каталог для резервного копирования Time Machine.
Если macOS введён в домен, то на каталог можно применить необходимую группу безопасности AD для ограничения доступа к резервным копиям.
Общие ресурсы для Time Machine не поддерживаются на разделах APFS.
Организация сетевого ресурса для Time Machine на Linux Debian 10
Поддержка Apple Time Machine появилась в Samba 4.8, но в репозитории Debian 9 имеется только версия 4.5, поэтому необходимо либо собирать Samba в ручную, либо установить пред-релизную сборку Debian 10 Buster, в репозитория которого Samba 4.9.5.
В нашем примере на базе хоста виртуализации с Windows Server 2012 R2 разворачивается виртуальная машина Hyper-V Gen2 c гостевой ОС Debian 10 Buster. Описанная далее процедура базовой настройки Debian 10 не имеет прямого отношения к нашей задаче резервного копирования и добавлена для полноты описания. Поэтому знатоки Debian могут переместиться в конец этого раздела, где идёт речь о создании сетевого ресурса на базе Samba.
Итак, выполним вход под супер-пользователем и начнём настраивать систему.
Первым делом необходимо настроить сеть:
Если в сети не используется IPv6, то отключим его:
Если для доступа в Интернет используется прокси-сервер, настроим его, чтобы была возможность устанавливать и обновлять пакеты:
Настоим репозитории Debian 10:
Установим обновления пакетов:
Установим пакеты, необходимые в рамках нашей задачи:
Настроим sudo, разрешив всем пользователям повышающим привилегии, использовать ранее заданные переменные с настройками прокси:
Разрешим пользователю user1 выполнять повышение привилегий. Добавим пользователя user1 в группу sudo
Теперь можно завершить сеанс пользователя root и в дальнейшем пользоваться учётной записью user1.
Так как система будет добавлена в домен, необходимо, чтобы на нашем сервере с Debian 10 было правильное время. Настроим NTP-клиент на получение времени с контроллеров домена:
Добавляем в файл записи о NTP-серверах:
Настраиваем поддержку Kerberos под свой домен AD:
Настраиваем конфигурацию SSSD под свой домен AD:
Установим права на конфигурационный файл
Система ещё не в домене, поэтому работа службы sssd невозможна, отключим и остановим её, а так же выполним очистку кэша:
Отключаем и останавливаем nmbd:
Выполняем настройку Samba:
Проверяем корректность настроек
Система выдаст предупреждение о лимите открытых файлов который в Linux и Windows отличается
Для того, чтобы изменения применялись после каждой загрузки сервера, необходимо отредактировать конфигурацию системы, добавив строки:
Выполним настройку автоматического создания каталога пользователя:
Разрешим выполнение скрипта:
Попробуем получить билет Kerberos пользователя, учётные данные которого будут использоваться для ввода сервера в домен:
Проверим билет Kerberos:
Присоединим сервер к домену, используя ранее полученный билет Kerberos :
Получим и проверим билет Kerberos для учётной записи сервера:
Если ввод в домен осуществлялся не с правами учётной записи администратора домена, то для учётной записи сервера необходимо отдельно зарегистрировать запись SPN, которая требуется для работы протокола Kerberos. Сделать это можно на любой Windows-системе, присоединённой к домену следующей командой:
Включаем и запускаем SSSD:
Теперь настроим Linux для работы с доменными пользователями, чтобы в дальнейшем использовать свои административные учётные записи Active Directory для администрирования сервера.
Автоматическое создание домашнего каталога для доменных пользователей:
Настройка PAM для ограниченного входа в систему группам пользователей:
Установим права на файл:
Опишем в PAM использование нашего файла с перечнем разрешённых логинов/групп:
Настройка sudo для группы доменных пользователей:
Настройка PAM для SSH-подключений:
Настроим конфигурацию SSH-сервера:
Изменим следующие строки:
Перезапустим службу SSH-сервера:
Напоследок подключим диск, на котором будут хранится резервные копии.
Посмотрим, какой диск виртуальной машины доступен
В нашем примере будет использоваться диск /dev/sdb . Выполним на этом диске разметку:
n — создаём новый раздел
p — проверяем результат
w — записываем изменения
Форматируем созданный раздел в файловую систему ext4:
Создаём точку монтирования:
Узнаём необходимый для монтированная идентификатор UUID диска:
Настраиваем авто-монтирование диска при каждой загрузке сервера:
Применяем изменения в fstab
Установим доменную группу на каталог резервных копий:
Перезапустим службу Samba:
Организация сетевого ресурса для Time Machine на Windows Server
По умолчанию, Time Machine не поддерживает SMB ресурсы организованные на Windows Server, так как Windows Server не имеет расширения F_FULLSYNC. Поэтому мы вручную создадим, так называемый (в терминологии локализованной версии macOS), «рассеянный» (sparsebundle) пакетный образ диска и разместим его на этом сетевом ресурсе.
Подключим сетевой ресурс и создадим на нём рассеянный пакетный образ диска с помощью Disk Utility.app
- Имя файла: имя хоста
- Имя раздела: Резервные копии Time Machine
- Размер устанавливаем в зависимости от потребностей
- Файловая система: Mac OS Extended (Чувствительный к регистру символов, журналируемый)
- Шифрование: устанавливаем если мы хотим иметь зашифрованную резервную копию
- Раздел: Одиночный раздел — Схема разделов GUID
- Формат: Рассеянный пакетный образ диска
Создать образ sparsebundle можно и с помощью Terminal.app:
Отдельное внимание можно уделить ключу » -imagekey sparse-band-size= «, который по умолчанию имеет значение 16384 . С помощью него можно регулировать размер части диска, с учётом 512 байт на сектор. То есть по умолчанию размер части равен 8 Мб, а в примере 512 Мб.
После создания образа дисковой утилитой, он автоматически подключится в систему. Теперь необходимо включить на этом образе параметр enableOwnership, для того, чтобы Time Machine мог управлять разрешениями.
Откроем Terminal.app и узнаем каким устройством подключен образ:
Включим управление владением
Проверить состояние параметра можно как в терминале, так и в дисковой утилите
В Disk Utility.app информация об этом параметре «Владельцы включены» обновится только после переподключения образа. Однако, необходимо иметь ввиду, что данный параметр хранится на той системе, где он был включен и находится в файле /var/db/volinfo.database . Это можно проверить, но сперва узнаем идентификатор тома:
Затем прочтём файл
Для того, чтобы метод работал, необходимо заранее монтировать образ в систему при входе пользователя, создадим приложение на Apple Script:
Экспортируем его как «Программа», затем добавляем в автозагрузку при входе пользователя.
Для подобного метода резервного копирования на sparsebundle-диск можно использовать и другие и другие сетевые ресурсы, например NFS.
Подключение сетевого ресурса к Time Machine
При относительно небольшом количестве клиентов подключения можно выполнить вручную, используя утилиту терминала tmutil.
Если подключаемся к сетевому расположению, то пример команды будет выглядеть так:
Несмотря на то, что клиентская машина с macOS в домене и у нас имеется сквозная аутентификация, здесь необходимо будет явным образом указать имя пользователя и пароль.
Если подключаемся к смонтированному HOSTNAME.sparsebundle на сетевом ресурсе:
Посмотреть информацию о существующих расположениях Time Machine:
Если в компании много компьютеров на базе macOS, то настраивать каждый из них вручную будет не совсем интересно. В таком случае для массовой настройки можно воспользоваться Profile Manager.
В группе macOS, секции Login Items, настроим аутентификацию пользователя на сетевом ресурсе.
В секции Time Machine укажем путь до сетевого каталога и параметры резервного копирования.
Для вступления параметров в силу необходим релогин. После применения параметров, пользователь сможет управлять только исключениями каталогов из резервного копирования.
Проверка восстановления из резервной копии
После того, как создана хотя бы одна резервная копия, мы можем проверить восстановление файлов.
Перейдём в каталог, в котором хотим выполнить восстановление, вызовем spotlight сочетанием клавиш ⌘+пробел и откроем Time Machine. Остаётся выбрать файлы или каталоги, которые необходимо восстановить.
Подобным образом можно восстанавливать удалённые письма в приложении Mail.app.
Для восстановления операционной системы после критических сбоев, замены HDD/SSD или переноса конфигурации на новый Mac, необходимо воспользоваться macOS Recovery. После загрузки macOS Recovery переходим в Time Machine, выполняем подключение к «Другой сервер», прописываем сетевой путь до каталога с резервными копиями:
При необходимости, система запросит учетные данные для подключения к сетевому ресурсу и ключ для зашифрованной резервной копии.
Как заставить Time Machine бэкапить на сетевой диск
Недавно решил отделиться от «Wi-Fi соседей» и перебраться в 5 Ghz, для чего был приобретен роутер Cisco Linksys EA4500. К роутеру можно подсоединить USB Storage, который раздается через SMB и FTP. Захотелось заставить Time Machine делать бэкапы на это чудо устройство. В результате гугления долго не получалось заставить Time Machine от Mac OS X Mountain Lion порадовать меня, пока не наткнулся на одну статью, адаптивный перевод которой и представляю вам для ознакомления ниже.
Допустим у вас имеется NAS, роутер с жестким диском или даже старая Windows машина со свободным дисковым пространством. Вы хотите использовать это дисковое пространство для резервных копий Time Machine. Вы открываете настройки вашей Time Machine и оказывается, что добавить сетевой диск вы можете только если он подключен к AirPort маршрутизатору или добавить TimeCapsule. Что дальше? Если вы обладатель Mac OS X Lion (или Mountain Lion — прим. переводч.) то выход имеется. Продолжаем читать.
Для создания резервных копий на сторонних сетевых дисках с помощью Time Machine, необходимо проделать следующие шаги:
1) Создать образ диска HFS+ и поместить его на сетевой диск. Это может быть, как SMB (Windows) или AFP (Mac) лишь бы ваш Mac мог туда писать.
2) Примонтировать данный образ и с помощью утилиты tmutil рассказать Time Machine, где он находится.
3) Дать команду вашей Time Machine начать резервное копирование и убедиться, что всё в порядке.
А теперь подробнее.
Создание образа диска
1) Открываем дисковую утилиту
2) Нажимаем Файл > Новый > Пустой образ диска
3) Указываем размер образа, тип файловой системы “Mac OS X Extended (Journaled)” и тип образа «растущий пакет-образ диска»
Говорим Time Machine использовать образ диска
1) Открываем Finder
2) Переходим на сетевой диск куда вы сохранили образ
3) Монтируем образ двойным щелчком
4) Открываем терминал и вводим команду:
sudo tmutil setdestination /Volumes/имя-вашего-образа
Вот и всё! Теперь запускаем в работу Time Machine. Таким образом можно делать резервные копии и на NTFS дисках, если у вас установлены MacFUSE+NTFS-3g или Tuxera’s NTFS драйвер.
