CentOS 5.4 в качестве файлового сервера в AD

Для чего это может потребоваться? Ну допустим у нас есть уже машина с линукс в сети, и хочется на неё перекидывать файлы по сетке без ввода лишний раз логина и пароля. Ну или просто в сети AD решили добавить новый файл сервер. Поднять файл сервер на CentOS'e гораздо дешевле чем покупать новую ОСь с Windows Server.

 

Определимся с настройками:
IP-адрес машины — 192.168.8.114
Имя машины — filesrv
Домен — data8.local
Контролёр домена — server


Прописываем имя нашего сервера и контролёра домена в /etc/hosts:

# Do not remove the following line, or various programs 
# that require network functionality will fail. 
127.0.0.1 filesrv.DATA8.LOCAL filesrv 
192.168.8.114 filesrv.DATA8.LOCAL filesrv 
192.168.8.2 server.DATA8.LOCAL server



Устанавливаем Самбу и Керберос


yum install samba samba-client samba-common krb5-server krb5-workstation krb5-libs



Настраиваем Керберос:

nano /etc/krb5.conf

[logging]default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log

[libdefaults]
default_realm = DATA8.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
DATA8.LOCAL = {
kdc = server.data8.local
default_domain = data8.local
}

[domain_realm]
.data8.local = DATA8.LOCAL
data8.local = DATA8.LOCAL

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}


* Обратите внимание на регистр символов!

Правим настройки авторизации с учётом пользователей домена:

nano /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_sudata8.localeed_if.so uid >= 500 quiet
auth sufficient pam_smb_auth.so use_first_pass nolocal
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so

adata8.localount required pam_unix.so broken_shadow
adata8.localount sufficient pam_localuser.so
adata8.localount sufficient pam_sudata8.localeed_if.so uid < 500 quiet
adata8.localount [default=bad sudata8.localess=ok user_unknown=ignore] pam_winbind.so
adata8.localount required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_mkhomedir.so
session [sudata8.localess=1 default=ignore] pam_sudata8.localeed_if.so service in crond quiet use_uid
session required pam_unix.so

Сейчас пользователи домена могут спокойно авторизоваться на сервере.

Минимально настроим самбу. В прочем это вполне рабочий конфиг:

 [global]
dos charset = 866
workgroup = DATA8
realm = DATA8.LOCAL
netbios name = FILESRV
server string = Samba File Server
interfaces = 192.168.8.114/255.255.255.0
security = ADS
auth methods = winbind
allow trusted domains = No
null passwords = Yes
obey pam restrictions = Yes
password server = server
log level = 2
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = hosts wins bcast lmhosts
client signing = Yes
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap backend = idmap_rid:DATA8.LOCAL=10000-20000
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
hosts allow = 192.168.8., 192.168.10., 127.0.0.1
case sensitive = No

[upload]
comment = Global Upload Folder
path = /srv/ARRAY0/smb/upload/
valid users = "@DATA8.LOCAL\пользователи домена"
read only = No
create mask = 0666
directory mask = 0777



* SELinux — выключен!

Настраиваем nsswitch, для того чтобы он мог использовать данные AD с помощью winbind-сервиса:

nano /etc/nsswitch.conf

passwd: files winbind
shadow: files winbind
group: files winbind


Стартуем сервисы:

service smb start
service winbind start
 

* Время между машиной и контролёром домена должно быть синхронизировано!

Проверяем подключение к домену: 


# kinit Administrator
Password for Administrator@DATA8.LOCAL: 
# klist
Ticket cache: FILE:/tmp/krb5data8.local_0
Default principal: Administrator@DATA8.LOCAL

Valid starting Expires Service principal
11/23/09 15:14:02 11/24/09 01:14:52 krbtgt/DATA8.LOCAL@DATA8.LOCAL
renew until 11/24/09 15:14:02



Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached



Если нет ошибок, то входим в домен:

net ads join -U Аdministrator
Аdministrator's password:
Using short domain name -- DATA8
Joined 'filesrv' to realm 'DATA8.LOCAL'



Проверяем пользователей и группы домена:

wbinfo -u
wbinfo -g


Ну и напоследок сервисы в автозапуск:

chkconfig --level 345 smb on
chkconfig --level 345 winbind on

  

Источник: Блог

Zo2 Framework Settings

Select one of sample color schemes

Google Font

Menu Font
Body Font
Heading Font

Body

Background Color
Text Color
Link Color
Background Image

Header Wrapper

Background Color
Modules Title
Text Color
Link Color
Background Image
Background Color
Modules Title
Text Color
Link Color
Background Image
 
Top of Page