База знаний

www. IT-Mehanika .ru --  журнал доброго админа

Хочу самбу под АД (записки что бы не забыть)

Задача ввести машину под Убунтой в домен и брать права
и прочую лабуду с контроллера домена.
apt-get install samba krb5-user winbind
nano /etc/krb5.conf
правим в соответствии :
[logging]  
default = FILE:/var/log/krb5.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
 
 
[libdefaults]
default_realm = EXAMPLE.NET
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24000
 
[realms]
EXAMPLE.NET = {
kdc = yourdomaincontroller.example.net
admin_server = yourdomaincontroller.example.net
default_domain = EXAMPLE.NET
}
 
[domain_realm]
.example.net = EXAMPLE.NET
example.net = EXAMPLE.NET
 
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
 
[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = false
krb4_convert = false
}
правим /etc/samba/smb.conf
 
[global]
 
 
workgroup = EXAMPLE
realm = EXAMPLE.NET
netbios name = yourservername
server string = %h server (Samba %v, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ADS
domain master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
winbind separator = +
usershare allow guests = yes
password server = yourdomaincontroller.example.net
passdb backend = tdbsam
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
##### (!пишем в одну строчку!)
wins server = yourdomaincontroller.example.net
unix password sync = Yes
 
root@ubuntuserver:/home/username# /etc/init.d/winbind stop
root@ubuntuserver:/home/username# /etc/init.d/samba restart #(может быть smbd)
root@ubuntuserver:/home/username# /etc/init.d/winbind start
 
проверяем :
kinit Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. # типа дай билетик
если пароль спросила и не ругалась, значит дала.
смотрим командой klist , выдать должно что-то вроде
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Valid starting Expires Service principal
08/06/09 12:09:34 08/06/09 22:09:39 krbtgt/Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
renew until 08/07/09 12:09:34
 
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
 
теперь самое интересное, вводим в домен:
net ads join -U Administrator # имя домена не нужно оно по умолчанию стоит @EXAMPLE.NET
если ругнулась DNS update failed! - Парадокс, но вы в домене.
Ручками впишите машину в виндовый ДНС
Что бы логинились виндопользователи
nano /etc/nsswitch.conf
# /etc/nsswitch.conf
 
passwd: compat winbind
group: compat winbind
shadow: compat winbind
 
hosts: files dns wins
networks: files dns
 
protocols: db files
services: db files
ethers: db files
rpc: db files
 
netgroup: nis
 
 
проверяем:
wbinfo -u # список пользователей
wbinfo -g # список групп
net ads info # вообще о домене
 
дальше работаем и наслаждаемся.
как пример шары в самбе, всем кто в группе "члены кооператива" и товарищу пупкину лично заходить и писать разрешается ))) :
[public]
writeable = yes
valid users = @"EXAMPLE\члены кооператива","EXAMPLE\pupkin"
create mode = 777
path = /home/public
directory mode = 777
 
 
 
 
 

 

 

Комментарии   

0 #2 mrbublik 03.04.2015 17:10
Цитирую Nightknight:
за место EXAMPLE писать свой домен?

Кончно, если твой не называется EXAMPLE :)
0 #1 Nightknight 03.04.2015 10:58
за место EXAMPLE писать свой домен?

You have no rights to post comments