GNU файлов сървър удостоверяване

1. Конфигурационни файлове.

Нека проверим дали всичко работи:

Естествено, във вашия случай имената ще бъдат различни. Не забравяйте да направите DNS запис в домейна lab.local, сочещ към нашия нов сървър. DNS запис не означава, че нашият GNU/Linux сървър е включен в домейна. Да проверим:

Тук посочваме съкратеното име на нашия домейн (LAB) и мястото, където се съхраняват паролите - passdb backend параметър, който показва, че паролите се намират на LDAP сървъра, който е домейн контролер. Между другото, можете да посочите няколко сървъра, като ги посочите разделени с интервал. Това ще бъде полезно, ако имаме няколко домейн контролера. Редът потребителско споделяне позволява на гостите = Да позволява на потребителите да контролират достъпа до своите папки, като ги отварят за гости. Останалите редове се отнасят до управлението на печата и процеса на регистрация. В нашия случай те не са задължителни и са мигрирани от конфигурационния файл на дистрибуцията на Samba. Нека продължим да редактираме раздела [global] на файла smb.conf.

Тези редове са свързани с управлението на връзката към LDAP сървъра. Обърнете внимание, че формата на записа на администраторското DN е във формата потребител@домейн - трябва да съответства на това, което посочихме при тестването на Kerberos. Останалите редове показват суфиксите на различни местоположения в AD. Следните редове вече се отнасят за Kerberos:

Тук посочваме REALM и метода за удостоверяване Kerberos. Сега редовете, които се отнасят до настройката на winbind:

Ето различните опции за това как работи Winbind - формата за разделяне на имената на домейни и потребители, позволявайки на winbind да изброява имена на потребители и групи, позволявайки офлайн удостоверяване и т.н. Тези настройкипрепоръчан от разработчиците на Samba. Секцията за глобални настройки е завършена. Обърнете внимание, че нямаме сървъра за пароли и бекенда на idmap, които виждате в други уроци. Samba трябва да разбере откъде идват паролите. Нека да преминем към настройка на директории. Тук всичко е просто:

Към стандартния списък със споделени директории, разпространяван с дистрибуцията на Samba, добавихме само раздела [SRV], публичната директория. Конфигурирането на всички необходими файлове е завършено и ние продължаваме да проверяваме производителността на нашия сървър.

2. Проверка на ефективността.

Тук ще проверим коректността на нашите настройки и ще включим новия ни сървър в домейна на Windows. Първо, нека проверим коректността на конфигурацията на Samba: l Както можете да видите, нямаме сериозни предупреждения или грешки в конфигурацията. Сега стартирайте последователно демоните smbd, nmbd и winbindd. Ще направим това чрез файловете /etc/init.d/smb, /etc/init.d/nmb и /etc/init.d/winbind. Можете също да направите това ръчно, което може да бъде полезно за получаване на различна допълнителна информация. Можете да прочетете вградените ръководства (man) за smbd, nmbd и winbindd как да направите това. Нека проверим състоянието на нашия домейн и нашия сървър в домейна. Състоянието на домейна може да се получи с командата net ads info

Както можете да видите, всичко е наред. Ако някои параметри, показани от командата, не отговарят на нашия план, трябва да потърсим причината. Сега нека проверим състоянието на нашия сървър в домейна: l Следва, че нашият сървър не е включен в домейна. Заявката към домейн контролера се прави от името на администратора, като паролата трябва да бъде посочена от администраторския акаунт на Windows домейн. Сега трябва да присъединим нашия сървър към домейна: l И така, новият ни сървър е присъединен към домейна, за коеторедовете свидетелстват:

Динамичната промяна на DNS не работи за нас. Няма страшно, защото не е било планирано. Сега се препоръчва да рестартирате всички наши процеси - smbd, nmbd и winbindd. Обърнете внимание, че след рестартиране трябва да изминат няколко минути преди допълнителни проверки. Проверете състоянието на нашия сървър в домейна:

В отговор ще получим разпечатка за състоянието на новия ни сървър в домейна. Той ще изброи различни AD полета, свързани с нашия сървър. Също така ще видим нашия GNU / Linux сървър в раздела Компютри, като стартираме AD администраторския инструмент на домейн контролера.

Можете да проверите списъка с потребители на домейна: l И проверете работата на winbind:

удостоверяване

Сега можем да преминем към по-нататъшни процедури за настройка на нашия сървър. В бъдеще ще разгледаме някои от нюансите на описания процес в зависимост от дистрибуцията на GNU / Linux и ще разгледаме по-подробно настройката на правата за достъп до сървъра Samba. Работата е извършена на базата на Информационно-изчислителния център на MPEI.

И тук можете да получите грант за тестов период на Yandex.Cloud. Необходимо е само да въведете "Habr" в полето "секретна парола".