Samba CentOS AD

Материал из Записки на полях
Перейти к навигации Перейти к поиску

Статья требует проверки!!!

Задача - настроить SAMBA сервер с авторизацией в Active Directory и возможностью выдачи прав на каталоги через штатные виндовые инструменты.

Настраиваем синхронизацию времени

Ставим и настраиваем Chrony на синхронизацию времени с контроллером домена. Инструкция

Ставим требуемый софт

yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common-tools samba sssd-libwbclient krb5-workstation cifs-utils

Настраиваем SSSD

Для начала требуется запустить службу: 

systemctl start sssd && systemctl enable sssd

После чего можем ввести наш сервер в домен 

realm join -U Administrator EXAMPLE.COM

И проверяем: 

id user@example.com
realm list
adcli info example.com
getent group "EXAMPLE.COM\\somegroup"

Настраиваем Samba

Пишем нечто подобное: 

cat /etc/samba/smb.conf

[global]
    workgroup = EXAMPLE
    security = ads

    passdb backend = tdbsam
    idmap config * : range = 16777216-33554431

    printcap name = /dev/null
    load printers = no
    cups options = raw

    log file = /var/log/samba/log.%m
    log level =3
    max log size = 500
    encrypt passwords = yes
    realm = EXAMPLE.COM

[Shara]
    comment = Test shared folder
    path = /mnt/shara
    public = no
    writable = yes
    guest ok = no
    valid users = @"Group_for_users@EXAMPLE.COM"

Проверяем конфиг 

testparm

Запускаем службу 

systemctl start smb && systemctl enable smb

Прописываем права

Сначала создадим каталог 

mkdir /mnt/shara

Iptables

Открываем порты для Samba. По настройке IpTables отправлю к статье 

iptables -I INPUT 1 -p tcp --dport 445 -j ACCEPT
iptables -I INPUT 1 -p tcp --dport 139 -j ACCEPT

service iptables save

Настраиваем SELinux

Статья по настройке SELinux

Нюанс - после команды setenforce 0 требуется в шаре создать папку, создать файл, назначить какие-нибудь права и удалить всё это. Данные действия требуются, чтобы в файл audit.log записались все действия, которые планируется производить в данном окружении.

Links

  1. https://serveradmin.ru/nastroyka-samba-s-integratsiey-v-ad/
  2. http://www.k-max.name/windows/samba-in-domain-active-directory/
  3. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-file_and_print_servers#setting_up_samba_as_a_domain_member
  4. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/
Источник — https://wiki.freezl.ru/index.php?title=Samba_CentOS_AD&oldid=892