Pentru a intra pe serverul Linux în domeniul AD, trebuie să configurați clientul Kerberos, Samba și Winbind. Vom instala aceste componente:
yum -y instala krb5-utilizator samba winbind PNT samba-winbind-clienti-samba winbind pam_krb5
Configurarea DNS
Este necesar să configurați serverul DNS al mașinii Linux astfel încât serverul primar DNS să fie exact același cu cel al controlerului de domeniu, iar ca domeniu să specificați numele domeniului. (numele domeniului este scris cu litere mici). Pentru acești parametri în sistem fișierul
/etc/resolv.conf
dar în mașinile moderne Linux fișierul este creat automat și modificarea manuală va schimba parametrii numai până la repornirea următoare. Pentru a adăuga parametrii necesari în acest fișier, trebuie să modificați directivele corespunzătoare din fișier pentru interfața dorită din director:
/ etc / sysconfig / script-uri de rețea / ifcfg- "nume de interfață de rețea"
Dacă se utilizează DHCP, toți parametrii necesari vor fi primiți de la server. Ca rezultat, fișierul /etc/resolv.conf ar trebui să aibă o formă aproximativă:
căutare domain.com
nameserver 192.168.0.1
nameserver 192.168.0.2
Apoi, trebuie să specificați numele de domeniu al serverului mașinii locale în fișierul / etc / hosts:
# Numele acestui computer
127.0.0.1 localhost
127.0.1.1 smbsrv.domain.com smbsrv
Verificăm disponibilitatea controlerului de domeniu:
ping dc
ping dc.domain.com
Reportim serverul pentru ca schimbările să devină efective.
Configurați sincronizarea timpului
Dacă diferența de timp este mai mare de 5 minute cu timpul controlerului de domeniu, serverul nu va putea să primească foaia din Kerberos. Pentru a verifica timpul, puteți folosi comanda:
net time set domain.com
dacă există un server de timp exact în rețea:
ntpdate ntpservername
Pentru a sincroniza automat timpul serverului cu serverul de timp din rețea, adăugați următoarele în fișierul /etc/ntp.conf:
ntpservername server
Reporniți serviciul ntpd:
restartarea sistemului ntpd
[Realms]
DOMAIN.COM = kdc = dc
kdc = dc2
admin_server = dc
default_domain = DOMAIN.COM
>
[Domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[Autentificare]
krb4_convert = false
krb4_get_tickets = false
Comanda nu afișează mesaje cu privire la executarea cu succes. Pentru a verifica dacă un bilet este primit de la domeniu pentru Kerberos, trebuie să executați următoarea comandă:
klist
Erori comune kinit
kinit (v5): Ceasul este prea mare în timp ce obțineți acreditările inițiale
Aceasta înseamnă că computerul nu este sincronizat cu controlerul de timp (vezi mai sus).
kinit (v5): Autentificarea anterioară a eșuat în timpul obținerii acreditărilor inițiale
Ați introdus o parolă incorectă.
kinit (v5): răspunsul KDC nu a corespuns așteptărilor în timp ce obține acreditările inițiale
Cea mai bizară greșeală. Asigurați-vă că numele domeniului din site-ul krb5.conf, precum și domeniul din comanda kinit sunt introduse cu majuscule:
DOMAIN.COM = # ...
kinit [email protected]
kinit (v5): Clientul nu a fost găsit în baza de date Kerberos în timp ce obține acreditările inițiale
Utilizatorul specificat nu există în domeniu.
Setarea numărului de fișiere deschise pentru operarea Windows
Setarea standard Linux permite numărul maxim de fișiere deschise să fie 1024, deși Windows necesită 16384. Prin urmare, poate apărea un avertisment:
"Rlimit_max: rlimit_max (1024) sub limita minimă a Windows (16384)"
Fără a reporni sistemul pentru o sesiune, pur și simplu rulați comanda:
ulimit -n 16384
Pentru a nu introduce această comandă de fiecare dată când trebuie să editați fișierul /etc/security/limits.conf
# Adăugați linii la sfârșitul fișierului:
* - nofile 16384
rădăcină - nofile 16384
Configurarea unui server Samba
Pentru a configura serverul, trebuie să faceți corecții la fișierul /etc/samba/smb.conf
[Global]
# Trebuie să vă reamintim că numele domeniului trebuie scris cu majuscule
workgroup = DOMAIN
domeniu = DOMAIN.COM
dns proxy = nr
socket options = TCP_NODELAY
# Vom forța serverul Samba să nu participe la alegerile controlorului de domeniu
domeniu master = nr
maestrul local = nr
master preferat = nr
os nivel = 0
domeniu logons = nr
# Dacă pe server există numai resurse de fișiere, serviciul de imprimare ar trebui să fie dezactivat
încărcarea imprimantelor = nr
arată adăugați vrăjitor imprimantă = nu
printcap nume = / dev / null
dezactivați spoolss = da
Pentru a verifica corectitudinea scrierii fișierului de configurare, utilizați comanda:
testparm
Configurarea Winbind
Pentru ca utilizatorii domeniului să aibă acces limitat la dosarele și fișierele serverului samba, este necesar să configurați corect Winbind. Acesta vă permite să proiectați toți utilizatorii și grupurile de AD pe un sistem Linux, aducându-le ID dintr-un anumit interval. Astfel, este posibil să se atribuie utilizatorilor de domeniu și proprietarii de fișiere dosarele de pe server, și de a efectua orice alte operațiuni legate de utilizatori și grupuri, cum ar fi autentificare pentru a face Log on.
Pentru a configura Winbind, se folosește același fișier /etc/samba/smb.conf. Adăugați următoarele linii în secțiunea [global]:
# Opțiuni pentru maparea utilizatorilor de domenii și a utilizatorilor virtuali în sistem prin Winbind.
# Intervale de identitate pentru utilizatori și grupuri virtuale.
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
# Aceste opțiuni nu ar trebui să fie oprite.
winbind enum groups = da
winbind enum users = da
# Utilizați domeniul implicit pentru numele de utilizator. Fără această opțiune, numele utilizatorilor și grupurilor
# va fi utilizat cu domeniul, adică în loc de username - DOMAIN \ username.
# Aceasta este probabil ceea ce aveți nevoie, dar este de obicei mai ușor să includeți această opțiune.
winbind utilizează domeniul implicit = da
# Dacă doriți să permiteți utilizarea liniei de comandă pentru utilizatorii de domeniu, atunci
# adăugați următoarea linie, altfel shell-ul va fi numit / bin / false
șablon șablon = / bin / bash
# Pentru a actualiza automat biletul Kerberos cu modulul pam_winbind.so, trebuie să adăugați o linie
winbind refresh bilete = da
Introduceți serverul samba în domeniu
Pentru aceasta, introduceți următoarea comandă cu utilizatorul specificat, care are dreptul de a adăuga la domeniu
anunțurile nete se alăture - numele de utilizator U.
Pentru a verifica conectarea cu succes la domeniu, utilizați comanda:
reclame net testjoin
Acum reporniți Winbind și Samba în următoarea ordine:
systemctl stop winbind
systemctl restart smb
sistemctl start winbind
adăugați începutul acestor servicii la pornirea automată atunci când boot-ul sistemului:
systemctl permite smb
enablectl enable nmb
systemctl permite winbind
Pentru a verifica dacă a fost stabilită o relație de încredere între serverul samba și controlerul de domeniu, trebuie să executați următoarea comandă:
wbinfo -t
Pentru a verifica dacă serverul samba primește o listă de utilizatori și o listă de grupuri, trebuie să executați următoarea comandă:
wbinfo -u
wbinfo -g
Adăugarea Winbind ca sursă de utilizator și de grup
Pentru ca sistemul Linux să funcționeze cu grupurile de poloneză și de domeniu, trebuie să utilizați Winbind ca o sursă suplimentară de informații despre utilizatori și grupuri.
Pentru aceasta, trebuie să adăugați următoarele fișiere în fișierul /etc/nsswitch.conf:
Adăugați la sfârșit directivele passwd și grupul "winbind":
passwd: winbind
grup: winbind
editați directiva fișierelor sau adăugați-o dacă lipsesc:
fișiere: dns mdns4_minimal [NotFound = return] mdns4
Pentru a verifica primirea utilizatorilor din BP, trebuie să utilizați următoarea comandă:
gevent passwd
pentru grupuri:
grup îngust
Să acordăm accesul unui dosar utilizatorilor domeniului
Determinați spațiul liber pe disc
df -h
Avem următoarea concluzie:
Sistem de fișiere Dimensiune Utilizat Dost Utilizat% Montat în
/ dev / mapper / cl_ito-server-rădăcină 50G 6,0G 45G 12% /
devtmpfs 1,9G 0 1,9G 0% / dev
tmpfs 1,9G 0 1,9G 0% / dev / shm
tmpfs 1,9G 8,5M 1,9G 1% / rula
tmpfs 1.9G 0 1.9G 0% / sys / fs / grupa
/ dev / md126p1 1014M 145M 870M 15% / cizme
/ dev / mapper / cl_ito-server-home 411G 33M 411G 1% / home
tmpfs 379M 0 379M 0% / execută / utilizator / 0
deoarece în / home cel mai liber spațiu, creați folderul "samba"
mkdir / home / samba
atribuiți drepturi pentru acest dosar și atribuiți proprietarului grupul de domenii
chmod -R 775 / home / samba
chown-r utilizator. "domain users" / home / samba
Să indicăm serverul samba în acest dosar. Pentru aceasta, adăugați următoarele fișiere în fișierul /etc/samba/smb.conf:
[Public]
comentariu = Samba împărtășesc ITO-SERVER
cale = / home / samba
utilizatori valabili = @ »utilizatori de domeniu»
scriere = da
forța de creare a forței = 775
director masca = 775
oaspete ok = nu
Configurație de securitate
În mod implicit, sistemul de securitate blochează toate conexiunile și, prin urmare, nimic nu va funcționa. Pentru a face acest lucru, efectuați ajustările corespunzătoare în paravanul de protecție:
firewall-cmd -permanent -zone = public -add-service = samba
firewall-cmd -reload
Să permitem accesul utilizatorilor domeniului la dosarul / home / sambaselinux
chcon -t samba_share_t / home / samba
Configurația SAMBA a serverului de fișiere CentOS 7 este acum completă.
Articole similare
Trimiteți-le prietenilor: