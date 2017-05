Материал из ALT Linux Wiki

Задача: поднять файловый сервер на samba с авторизацией доменных пользователей и беспарольным доступом SSO.

Параметры описанного стенда

Имя домена: TEST.ALT Рабочая группа: TEST Имя компьютера в netbios: DC Имя пользователя-администратора: Administrator Пароль администратора: Pa$$word Контроллер домена: dc.test.alt Файл-сервер samba: fileserver.test.alt

Подключение к домену

Вводим файл-сервер в домен, настраиваем аутентификацию и авторизацию SSSD. Инструкция по настройке: https://www.altlinux.org/SSSD/AD

Настройка Samba

Создадим директорию на файл-сервере, куда будем предоставлять доступ доменным пользователям:

# mkdir /mnt/share/sambashare

Изменим группу владельцев папки на доменных пользователей:

# chown :"TEST\domain users" /mnt/share/sambashare

Установим пакет samba:

# apt-get install samba

Отредактируем /etc/samba/smb.conf, указав доступность папки:

[sambashare] comment=shared files path=/mnt/share/sambashare read only=no browseable=yes

Настройка SSO

Для работы SSO создадим keytab-файл и пропишем в /etc/samba/smb.conf kerberos-аутентификацию. Инструкция

Добавим в keytab-файл принципала сервиса "CIFS":

# net ads keytab add CIFS -U Administrator Processing principals to add…

Скопируем /etc/krb5.keytab в /etc/samba/:

cp /etc/krb5.keytab /etc/samba/

Укажем в /etc/samba/smb.conf путь к keytab-файлу:

dedicated keytab file = /etc/samba/krb5.keytab kerberos method = dedicated keytab

Внимание! Убедитесь в том, что сервисы smb, nmb, sssd и nscd работают.



Попробуем зарегистрироваться с помощью keytab-файла:

# kinit -V -k CIFS/fileserver.test.alt -t /etc/samba/krb5.keytab Using default cache: persistent:0:0 Using principal: CIFS/fileserver.test.alt@TEST.ALT Using keytab: /etc/samba/krb5.keytab Authenticated to Kerberos v5

После выполненных действий при открытии сетевого окружения с хоста, где выполнен вход от доменного пользователя, нам без дополнительного ввода пароля будет доступен наш файл-сервер и папка, к которой мы открывали доступ.