Samba CentOS AD
Статья требует проверки!!!
Задача - настроить SAMBA сервер с авторизацией в Active Directory и возможностью выдачи прав на каталоги через штатные виндовые инструменты.
Настраиваем синхронизацию времени
Ставим и настраиваем Chrony на синхронизацию времени с контроллером домена. Инструкция
Ставим требуемый софт
yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common-tools samba sssd-libwbclient krb5-workstation cifs-utils
Настраиваем SSSD
Для начала требуется запустить службу:
systemctl start sssd && systemctl enable sssd
После чего можем ввести наш сервер в домен
realm join -U Administrator EXAMPLE.COM
И проверяем:
id user@example.com realm list adcli info example.com getent group "EXAMPLE.COM\\somegroup"
Настраиваем Samba
Пишем нечто подобное:
cat /etc/samba/smb.conf
[global] workgroup = EXAMPLE security = ads passdb backend = tdbsam idmap config * : range = 16777216-33554431 printcap name = /dev/null load printers = no cups options = raw log file = /var/log/samba/log.%m log level =3 max log size = 500 encrypt passwords = yes realm = EXAMPLE.COM [Shara] comment = Test shared folder path = /mnt/shara public = no writable = yes guest ok = no valid users = @"Group_for_users@EXAMPLE.COM"
Проверяем конфиг
testparm
Запускаем службу
systemctl start smb && systemctl enable smb
Прописываем права
Сначала создадим каталог
mkdir /mnt/shara
Iptables
Открываем порты для Samba. По настройке IpTables отправлю к статье
iptables -I INPUT 1 -p tcp --dport 445 -j ACCEPT iptables -I INPUT 1 -p tcp --dport 139 -j ACCEPT
service iptables save
Настраиваем SELinux
Нюанс - после команды setenforce 0
требуется в шаре создать папку, создать файл, назначить какие-нибудь права и удалить всё это. Данные действия требуются, чтобы в файл audit.log записались все действия, которые планируется производить в данном окружении.
Links
- https://serveradmin.ru/nastroyka-samba-s-integratsiey-v-ad/
- http://www.k-max.name/windows/samba-in-domain-active-directory/
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-file_and_print_servers#setting_up_samba_as_a_domain_member
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/