суббота, 18 декабря 2010 г.

Как я подключал Fedora Core 12 к Active Directory

Введение

  Настройку контроллера домена произвели другие люди, поэтому о тех подробностях не знаю. Ниже приведена настройка моей клиентской машины.

Kerberos

  Предварительно графическими средствами был настроен Kerberos и kinit-ом получен билет. Пункт меню “Система”\”Администрирование”\”Аутентификация” на вкладке Аутентификация уст галочку “Включить поддержку Kerberos”. Далее рядом кнопка “Настроить Kerberos”. Заполнить поля “Область” - БОЛЬШИМИ БУКВАМИ, “Сервера KDC”, “Сервера управления”. Когда вы впервые откроете это окно, все эти три поля уже заполнены примерами, которые надо изменить по вашему усмотрению. 2 галочки “Использовать DNS ...” у меня сняты, но в вашем случае может быть иначе. Признаком что все правильно станет получение билета  командой kinit.

Время

  Графическими средствами федоры была произведена настройка на внутренние NTP-сервера нашей сети. В меню “Система”\”Администрирование”\”Дата и время” на вкладке “Синхронизация часов” были добавлены наши сервера и убраны сервера интернета.

Содержимое smb.conf

  Первоначально графическим средством “Система”\”Администрирование”\”SAMBA” был первоначально настроен. Тут был добавлен: рабочая группа, сервера паролей. Кроме того это средство само добавило в  smb.conf параметры idmap uid = и idmap gid =, которые я потом не менял. Далее настройки правились ручками и в результате получилось так.

[global]
   workgroup = home
   password server = 10.10.10.10 10.10.10.1
   realm = KERBEROS.EXAMPLE.COM
   security = domain
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
;    template shell = /bin/false
   winbind use default domain = true
   winbind offline logon = false
  winbind separator = +
   winbind enum users = yes
   winbind enum groups = yes
   winbind nested groups = yes
   winbind expand groups = 3
   winbind use default domain = yes
   restrict anonymous = 0
   domain master = no
   encrypt passwords = yes
   guest ok = yes
   guest account = smbguest
   map to guest = bad user

   wide links = no

   server string = Ivanov Ivan Ivanivich 33-33-33

   netbios name = it-ivanov

   interfaces = lo eth0

   log file = /var/log/samba/log.%m
   max log size = 50
;    passdb backend = tdbsam

   local master = no
   os level = 33
;    preferred master = no
;     wins support = no
   wins server = 10.10.10.20 10.10.10.21

   cups options = raw

[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
;    guest ok = no
;    writable = No
   printable = yes

[for_guests]
   path = /media/data/for_guests
   public = yes
   writable = yes

[install]
   path = /media/data/install
   public = yes
    writable = No


Здесь параметр
workgroup = короткое имя домена
password server = IP-адреса контроллеров домена
REALM = должен совпадать с параметром “Область” в том месте где мы настраивали
Kerberos
Группа параметров restrict anonymous =, guest ok =, guest account =, map to guest = отвечают за то как самба будет реагировать, когда на нее попытается зайти юзер не принадлежащий к домену и отсутствующий в /etc/passwd.

wins server = ip-адреса серверов wins

Локальные пользователи SAMBA

smbguest - создавалась  для гостей. См выше параметр guest account = в файле smb.conf
Cначала эта  учетка были созданы командой useradd, потом применена команда smbpasswd -a - создать юзера в САМБЕ, smbpasswd -e - разрешить юзера в САМБЕ
useradd smbguest
smbpasswd -a smbguest
smbpasswd -e smbguest
 
Подсоединение к домену 
   Учетная запись компа в домене уже была
   ПК подсоединил к домену командой
/usr/bin/net ads join member -U i.ivanov -S kerberos.example.com
   Юзер i.ivanov имеет право добавлять ПК в домен, kerberos.example.com - контроллер домена с полным доменным именем.

 

Результаты

  После перезагрузки nmb и smb я стал виден в домене, на меня могут заходить юзеры как подключенные в AD так и не подключенные. Стало возможным указывать права на шары  юзерам из домена вида valid users = "@DOMAIN+i.ivanov". Если в шаре вместо юзера указать группу домена, то почему-то перестает пускать всех. С этим еще предстоит разобраться.