За да влезе в Linux сървър в АД домейн, трябва да генерира конфигурация Kerberos клиент, Samba, Winbind. Ние извършваме монтаж на тези компоненти:
Yum -Y инсталирате krb5 потребител самба winbind NTP самба-winbind самба-winbind-клиенти pam_krb5
Ние правим настройките на DNS
Трябва да конфигурирате DNS сървър е Linux машината така, че основната DNS сървър е точно същата като на домейн контролера и да посочите името на домейна като домейн. (Име на домейн регистрира с малки букви). За тези параметри в системата реагира файл
/etc/resolv.conf
но в съвременните Linux машини файл автоматично се създава и редактира ръчно промените настройките само до най-близкия рестартиране. За да добавите необходимите параметри в този файл, трябва да промените съответните директиви за правилното интерфейс файла в директорията:
/ и т.н. / sysconfig / мрежа скриптове / ifcfg- «името на мрежовия интерфейс"
Ако използвате DHCP, а след това всички необходими параметри се изтеглят от сървъра. В резултат на това, файлът /etc/resolv.conf трябва да има приблизителна форма:
търсене domain.com
този сървър 192.168.0.1
този сървър 192.168.0.2
След това трябва да се уточни името на домейна на локалната машина сървър във файла / и т.н. / Домакините:
# Имената на компютъра
127.0.0.1 Localhost
127.0.1.1 smbsrv.domain.com smbsrv
Проверете за наличността на домейн контролер:
пинг гв
пинг dc.domain.com
Рестартирайте сървъра за промените.
Конфигуриране синхронизация на времето
Ако разликата във времето е повече от 5 минути от момента на домейн контролера, сървърът няма да бъде в състояние да получите списък с Kerberos. команда може да се използва за проверка на времето:
Нетната време набор domain.com
ако е наличен на сървъра време на мрежата:
ntpdate ntpservername
За автоматичното синхронизиране на времето на сървъра с времето на сървъра на мрежата, за да добавите към drektivu файла /etc/ntp.conf:
сървъра ntpservername
Рестартирането ntpd на услугата:
systemctl рестартирате ntpd
[Области]
DOMAIN.COM = KDC = DC
KDC = DC2
admin_server = DC
default_domain = DOMAIN.COM
>
[Domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[Вход]
krb4_convert = фалшива
krb4_get_tickets = фалшива
Екип на успех не издава никакви съобщения. За да проверите дали сте получили от домейна на билета Kerberos, изпълнете следната команда:
klist
Общи грешки kinit
kinit (v5): Часовник кос твърде голяма, а получаването на първоначалните пълномощията
Това означава, че вашият компютър не е синхронизиран с domenkontrollerom време (вж. По-горе).
kinit (v5): Preauthentication провали, докато получаването на първоначалните пълномощията
Въвели сте грешна парола.
kinit (v5): KDC отговор не съвпадна с очакванията, докато получаването на първоначалните пълномощията
Най-странното грешка. Уверете се, че името на сфера в krb5.conf, както и домейн в командата kinit, тип с главни букви:
DOMAIN.COM = # ...
kinit [email protected]
kinit (v5): Клиент не е намерен в базата данни Kerberos, докато получаването на първоначалните пълномощията
Посоченият потребител не съществува в домейна.
Задаване на броя на откритите файлове за Windows
Standard Linux конфигурация позволява максимален брой файлове otkryttyh до 1024, въпреки че се изисква за работата на Windows 16384. Следователно, може да излезе с предупреждение:
«Rlimit_max: rlimit_max (1024) под минималната граница Windows (16384)"
Без да рестартирате системата да изпълни една команда на сесията:
ulimit -N 16384
Всеки път, не за да въведете командата, която искате да редактирате файл /etc/security/limits.conf
# Добавяне в края на редовете във файла:
* - nofile 16384
корен - nofile 16384
Конфигуриране на Samba сървър
За да конфигурирате сървъра, трябва да се направят корекции в /etc/samba/smb.conf
[Global]
# Имайте предвид, че името на домейна трябва да бъде написано с главни букви
работна група = ОБЛАСТ
сфера = DOMAIN.COM
DNS прокси = няма
опции на сокет TCP_NODELAY
# Да направим сървъра Samba не участва в избора на домейн контролер
майстор домейн = няма
местен майстор = няма
предпочитано майстор = няма
ниво OS = 0
logons домейни = няма
# Ако вашият сървър ще подаде само акции, печат услуга е по-добре, за да изключите
натоварване принтери = няма
показват добавят съветника принтер = няма
Printcap име = / сътрудничество / нула
забраните SPOOLSS = да
За да проверите правописа на конфигурационния файл, използвайте командата:
testparm
Конфигуриране на Winbind
За потребители в домейна, за да имат едновременно достъп до файлове и папки, самба сървър, трябва да конфигурирате Winbind правилно. Тя ви позволява да прожектирате всички потребители и рекламна група към система Linux, то филизи ID от посочения диапазон. По този начин е възможно да се определи домейн потребители и собственици на папки файлове на сървъра, както и извършване на други операции, свързани с потребители и групи, като удостоверяване, за да влезете в.
За да настроите Winbind използва едни и същи /etc/samba/smb.conf файла. Добави раздела [глобални] следните редове:
# опциите за съвпадение на потребителите на домейни и виртуални потребители в системата чрез Winbind.
# ID диапазон за виртуални потребители и групи.
idmap UID = 10000-40000
idmap GID = 10000-40000
# Тези опции не са необходими, за да я изключите.
winbind ENUM групи = да
winbind потребители ENUM = да
# Използвайте домейн по подразбиране за потребителски имена. Без тази опция, ръководство и имена на групи
# Ще се използват с домейна, т.е. вместо потребителско име - DOMAIN \ потребителско име.
# Може би това е, което ви трябва, но обикновено е по-лесно да включите тази опция.
winbind домейн използване подразбиране = да
# Ако искате razreschit използвате командния ред за потребителите на домейна,
# Добавете следния ред, или като черупката ще се нарича / хамбар / невярно
шаблон черупка = / хамбар / Баш
# За да се актуализира автоматично на билета модул Kerberos pam_winbind.so трябва да добавите един ред
winbind опресняване билети = да
Въвеждане на самба сървър в домейна
За да направите това, въведете следната команда с потребителя, който притежава правата за добавяне на домейн
нетните обяви присъединят -U потребителско име
За да се уверите успешно влизане домейн, използвайте командата:
нетните обяви testjoin
Сега рестартирайте Winbind и самба в следния ред:
systemctl спре winbind
systemctl рестартирате някого
systemctl започне winbind
добавяне на услугата, за да се стартира автоматично изтегляне, когато системата ботуши данни:
systemctl позволи някому
systemctl позволи БМФ
systemctl позволи winbind
За да сте сигурни, че между самба сървър и домейн контролер отношенията на доверие на, изпълнете следната команда:
wbinfo -t
За да се гарантира, че сървърът на самба получава списък на потребители и групи в списъка, изпълнете следната команда:
wbinfo -u
wbinfo -g
Добавянето Winbind като потребител източника и група
За Linux система за работа с polschovatelyami и групи от домейна, трябва да използвате Winbind като допълнителен източник на информация за потребители и групи.
За да направите това, добавете следните директиви във файла /etc/nsswitch.conf:
добави direkttivam ако съществува и група «winbind»:
ако съществува: winbind
група: winbind
редактиране на директивата файлове или да го добавите, ако липсва:
файлове: DNS mdns4_minimal [NOTFOUND = връщане] mdns4
За проверка на рецепцията на потребители от АД трябва да използвате следната команда:
getent ако съществува
за групи:
getent група
Осигуряване на достъп до потребители Directory Domain
Ние дефинираме свободно дисково пространство
Рестартирайте
Ние получаваме следния изход:
Файлова система-голяма от използваната Използва Дост% през Cmontirovano
/ Dev / устройство за разполагане / cl_ito-сървъра корен 50G 6,0G 45g 12% /
devtmpfs 1,9G 1,9G 0 0% / Dev
tmpfs 1,9G 1,9G 0 0% / сътрудничество / SHM
tmpfs 1,9G 8,5M 1,9G 1% / серия
tmpfs 1,9G 1,9G 0 0% / сис / FS / cgroup
/ Dev / md126p1 1014M 145м 870M 15% / обувка
/ Dev / устройство за разполагане / cl_ito сървър дома 411G 33м 411G 1% / начало
tmpfs 379M 379M 0 0% / бягане / потребител / 0
защото в / у дома най-свободно пространство, създайте папка «самба»
защитен режим / Начало / самба
присвоите разрешения за тази папка и възлага собственик на домейн група
коригират -R 775 / Начало / самба
chown -R потребител. »домейн потребители» / Начало / самба
Ние говорим за самба сървър в тази папка. За да направите това в /etc/samba/smb.conf файл, добавете следните редове:
[Public]
коментар = Samba дял ITO-SERVER
път = / Начало / самба
валидни потребители = @ »домейн потребители»
писане = да
сила режим на създаване = 775
указател маска = 775
гост ОК = няма
Създаване на сигурност
По подразбиране, охранителна система блокира всички връзки и досега нищо няма да работи. За да направите това, трябва да се направят необходимите корекции в защитната стена:
защитна стена-ПМС -Трайно -zone = обществен -Add обслужване = самба
защитна стена-ПМС -reload
Разрешаване на достъпа до потребители в домейна на директорията / Начало / sambaselinux
chcon -t samba_share_t / Начало / самба
въз основа на CentOS 7 Конфигуриране на SAMBA файлов сървър е завършена.
Свързани статии