Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Домен на centos

Системное администрирование Linux

2017-11-13 16:53:18 5136 0

Добавление CentOs 7 в домен Windows

В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.

Отключаем SELINUX

sed -i «s/SELINUX=enforcing/SELINUX=disabled/» /etc/selinux/config

Установка iptables

systemctl stop firewalld

systemctl disable firewalld

yum install -y iptables-services

После установки запускаем iptables

systemctl start iptables

systemctl enable iptables

Устанавливаем необходимые пакеты:

yum install -y authconfig samba samba-winbind samba-client

Настройка DNS

Указываем в качестве DNS сервера наш контроллер домена

Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена

Проверяем что имя домена резолвится

Присоединение сервера к домену

Запускаем утилиту authconfig-tui

Указываем:
Информация пользователя — Использовать Winbind
Аутентификация — Использовать Kerberos

Заполняем следующие поля:

  • Область — область kerberos, совпадает с именем домена в верхнем регистре;
  • KDC(Key Distribution Center ) — kerberos сервер, выступает как сервер по управлению и хранению билетов;
  • Сервер администратор — совпадает с KDC;
  • Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.

Заполняем следующие поля:

  • Модель защиты — выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
  • Домен — вводим NetBios имя домена, без конечно части;
  • Контроллеры домена — указываем адреса контроллеров домена;
  • Область ADS — совпадает с именем домена;
  • Оболочка шаблона — указывает какую оболочку будут иметь доменные пользователи на linux машине.

Запускаем демон Winbind

systemctl start winbind

systemctl enable winbind

Далее производим присоединение к домену

net ads join -U Administrator

Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:

Машина в домене

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки

Для проверки можно использовать утилиту wbinfo и getent

Покажет пользователей домена:

Покажет группы домена:

Команда «getent passwd» и «getent group» отобразит локальные учетные записи + доменные и точно так же группы соответственно

Для использования доменных учетных записей необходимо сделать следующее:

    Изменить значение директивы «winbind use default domain» в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.

    Добавить директиву «winbind separator» в файл /etc/samba/smb.conf

    Что указывает символ отделения имени домена от имени пользователя.

    Вики IT-KB

    Пошаговые руководства, шпаргалки, полезные ссылки.

    Инструменты пользователя

    Инструменты сайта

    Боковая панель

    Содержание

    CentOS Linux 7 — Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности

    Процедура присоединения Linux-системы к домену Active Directory с помощью SSSD (System Security Services Daemon) и RealmD (Realm Discovery) подробно рассматривалась ранее на примере Debian GNU/Linux 8.6. Данная статья является «выжимкой» основных этапов присоединения к домену Active Directory для системы на базе CentOS Linux 7.4.

    Предварительные условия

    На нашей Linux-системе, для успешного присоединения и членства в домене Active Directory, должно быть соблюдено как минимум два условия:

    Присоединение к домену Active Directory

    Устанавливаем необходимые для работы пакеты:

    Проверяем успешность обнаружения домена:

    Настраиваем параметры системы, которые будут использованы при присоединении к домену для заполнения атрибутов operatingSystem и operatingSystemVersion.

    Выполняем присоединение к домену (в ходе присоединения будет запрошен пароль доменного пользователя с правами на ввод в домен, указанного в опции –user ):

    Настройка Kerberos-клиента

    Настраиваем конфигурационный файл, ранее установленного клиента Kerberos. Это может быть нужно в случае если мы захотим использовать удалённое Single sign-on (SSO) подключение через сервер SSHD (например через клиент Putty с Windows-системы, как это было описано ранее)

    Пример готовой конфигурации:

    Настройка SSSD

    Настраиваем конфигурацию службы sssd

    Пример готовой конфигурации:

    Очищаем кэш sss и перезапускаем службу sssd:

    Проверка взаимодействия с AD

    Проверяем то, что в системе успешно зарегистрированы модули работы SSSD с PAM/NSS:

    Проверяем успешность получения информации о пользователе из AD по логину:

    Проверяем успешность получения информации о пользователе из AD по UPN:

    Проверяем успешность получения информации из AD о членах доменной группы безопасности:

    Пробуем войти в сессию доменного пользователя:

    Успешно войдя в сессию доменного пользователя пробуем получить информацию о текущем пользователе (должен быть возвращён набор доменных групп, в которые входит пользователь):

    Доступ к SUDO

    Настроим доступ к возможности вызывать команду sudo, основанный на членстве в доменной группе безопасности: Создадим в каталоге /etc/sudoers.d/ новый файл, в котором будут перчислены группы безопасности:

    Наполним файл (каждая отдельная группа с правилами доступа в отдельной строчке. в нашем примере используется одна группа с полным доступом):

    Войдём в сесcию доменного пользователя, входящего в группу, которой мы разрешили выполять sudo:

    Успешно войдя в сессию доменного пользователя пробуем выполнить любую команду с правами администратора системы используя sudo:

    Как видим, работает. Осталось ограничить доступ на редактирование файла, в котором описаны правила предоставления доступа к sudo:

    Настройка SSHD

    Насстроим службу sshd для того, чтобы можно было использовать SSO-подключение.

    Включим опции конфигурационного файла:

    Ограничение доступа к системе через PAM

    Чтобы ограничить доступ к CentOS Linux 7 на базе доменных групп безопасности, создадим новый конфигурационный файл, в котором будут перечислены группы (как локальные так и доменные), которым нужно обеспечить вход в систему:

    Обратите внимание на то, что настраивая ограничение локального входа лучше не забыть добавить локальные группы root и sudo, иначе с дальнейшем вход в систему под локальными административными учётными записями может стать невозможен.

    Ограничим доступ к файлу:

    Настроим в системном конфиге /etc/pam.d/login правила PAM таким образом, чтобы в ходе авторизации при локальном входе на консоль нашей Linux-системы использдвался созданный нами выше файл со списком разрешённых групп:

    Вставляем перед строкой « account include system-auth » вызов проверки нашего файла с группами:

    Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа в систему, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки.

    Теперь попробуем подключиться на консоль нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.

    Читать еще:  Перенос контроллера домена

    Теперь аналогичным образом настроим в конфиге, относящемся к обработке авторизации в SSHD ( /etc/pam.d/sshd ) правила PAM таким образом, чтобы в ходе авторизации при удалённом входе через SSH-сервер использовался созданный нами выше файл со списком разрешённых групп (в нашем примере используется тот же файл, что и для локального входа, хотя это могут быть разные файлы и группы доступа):

    Вставляем перед строкой « account include password-auth » вызов проверки нашего файла с группами:

    Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки

    Теперь попробуем удалённо подключиться к SSH-серверу нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.

    Если дополнительно требуется доменная аутентификация/авторизация в других сервисах CentOS Linux, например в веб-сервере Apache то, в качестве примера можно использовать статью Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD

    CentOS: Samba сервер в домене

    Всем нам, так или иначе, но приходится подниматься файловые сервера. И даже не важно — какого размера ваша компания или парк компьютеров — файловая шара пригодится всегда, как для обмена информации, или её централизованного хранения, либо как место хранения перемещаемых профилей доменных пользователей Windows (как пример — разберём именно эту ситуацию).

    Для работы нам понадобятся 3 ващи: samba, winbind и kerberos, и ntp — устанавливаем:

    Первым делом нам нужно синхронизировать время на нашем linux-сервере с контролером домена, для этого мы отредактируем конфигурационный файл ntp:

    После чего первый раз синхронизируем время вручную:

    и запустим ntpd, добавив его попутно в автозагрузку

    Теперь мы переходим к настройке kerberos:

    После чего пробуем получить тикет для входа в домен:

    Командой klist мы можем проверить выданный нам тикет

    Ну а теперь мы можем переходить к самому интересному — настройке samba:

    Вы можете создать и отдельную группу в AD для доступа к серверу. Список групп можно посмотреть командой wbinfo -g, а список пользователей — wbinfo -u (для того что бы команды начали работать, необходимо запустить winbind, что мы сделаем немного позже, после его конфигурирования).

    Теперь в файле nsswitch.conf нам нужно добавить что для доступа к AD мы будем использовать winbind (вообще winbind – это демон, работающий на клиентах samba и действующий как прокси для связи между PAM и NSS, работающими на компьютере linux, с одной стороны, и AD, работающей на контроллере домена, с другой. В частности, winbind использует kerberos для проверки подлинности с помощью AD и LDAP для получения информации о пользователях и группах).

    К моему сожалению, в CentOS 6 пакет samba-common не содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind). По этому нам придётся создать его самостоятельно:

    Так же, по непонятной мне причине, параметр session required pam_mkhomedir.so не работает из файла /etc/pam.d/system-auth-winbind, по этому нам придётся дополнительно его описать в файле /etc/pam.d/samba

    Теперь мы можем запустить samba и войти в домен:

    После чего мы должны получить сообщение о том, что наш сервер теперь является доменной машиной:

    Помните, что вы должны вводить сервер в домен под учётной записью администратора домена, либо пользователем, имеющим права на ввод компьютеров в домен. Теперь запустим winbind и проверим — всех ли мы видим:

    Если всё видно, значит всё хорошо, нам остаётся лишь настроить фаервол, что бы он не блокировал порт samba (я как всегда напомню о своём любимом псевдоинтерфейсе system-config-firewall-tui) и перезагрузиться. После этого наш сервер готов к работе и всё что нам остаётся — на контролере домена указать месторасположение профиля пользователя. Так же не забудьте в DNS прописать ваш linux сервер.

    т.к. в конфигурации samba мы указали path = /profiles/%U, то пользователь, при обращении к \fileserverprofile будет попадать сразу в собственную директорию, что упрощает нам жизнь при создании пользователя (пусть до профиля у всех пользователей будет одинаков), так и то, что другие пользователи, просто физически не видят что там есть данные других пользователей, что в какой то мере сможет остановить многих шалунов

    Надеюсь вам было интересно, полезно и у вас не возникнет проблем при настройке. Удачи.

    Добавить комментарий Отменить ответ

    Для отправки комментария вам необходимо авторизоваться.

    Ввод CentOS 7 в домен Active Directory и авторизация по SSH доменных пользователей

    Мне понадобилось настроить авторизацию доменный учетных записей Active Directory по ssh на linux сервер. В моем случае это будет система CentOS 7. Данная возможность будет очень удобна для организаций с внедренной доменной структурой Windows. С помощью групп доступа в AD вы сможете централизованно управлять доступом к linux серверам.

    • 1 Подготовка сервера
    • 2 Подключение CentOS 7 к домену
    • 3 Ограничение доступа ssh по группам и пользователям домена
    • 4 Ограничение доступа к sudo по доменным группам
    • 5 Заключение
    • 6 Дополнительные материалы по CentOS

    Подготовка сервера

    Если у вас еще нет готового сервера, то можете воспользоваться моими материалами на эту тему — установка и настройка centos 7. Так же рекомендую настроить iptables для корректной работы сервера с доменом windows. Далее я не буду каcаться этого вопроса, мы просто отключим фаерволл, потому что его настройка не тема этой статьи.

    Настроим синхронизацию времени с контроллером домена. Это важно, у вас должно быть одинаковое время с контроллером домена. Проверьте его и убедитесь, что стоят одинаковые часовые пояса.

    Устанавливаем утилиту для синхронизации времени chrony:

    Добавляем в конфиг /etc/chrony.conf адрес контроллера домена. И делаем его единственным сервером для синхронизации, остальные удаляем.

    Сохраняем конфиг, запускаем chrony и добавляем в автозагрузку.

    Проверим, что с синхронизацией.

    Все в порядке. Синхронизировали время с контроллером домена. По логу видно, что время на сервере убежало вперед на 56 минут, но мы это исправили.

    Подключение CentOS 7 к домену

    Устанавливаем софт, который нам понадобится, для корректного ввода centos в домен windows.

    Вводим Centos 7 в домен:

    Если не получили никакой ошибки, значит все прошло нормально. Можно зайти на контроллер домена и проверить, появился ли наш linux сервер в домене.

    Изменим немного конфиг sssd для того, чтобы не нужно было вводить полное имя домена при логине, а только username.

    Разрешаем доменным пользователям создавать домашние директории:

    Читать еще:  Как формируется доменная система имен

    Запускаем службу sssd и добавляем в автозагрузку:

    Проверяем авторизацию по ssh, подключившись по любой доменной учетной записи.

    Для пользователя будет создана домашняя директория /home/lin-user@xs.local.

    Ограничение доступа ssh по группам и пользователям домена

    На текущий момент подключиться к серверу может любой пользователь домена. Исправим это и разрешим подключаться только пользователям из группы gr_linux_adm. Для этого правим конфиг /etc/sssd/sssd.conf, добавляя туда новые параметры.

    Обращаю внимание, что параметр access_provider у вас уже будет установлен в другое значение. Надо это изменить. Вы можете добавить разрешение как для конкретного пользователя, так и для целых групп. Сохраняйте конфиг и перезапускайте sssd.

    Теперь подключиться по ssh к серверу сможет только пользователь домена user55 и все члены группы gr_linux_adm.

    Для разбора полетов и решения проблем нужно использовать лог файл — /var/log/secure. Вот пример успешного подключения:

    А вот кусок лога подключения доменного пользователя, для которого доступ по ssh закрыт.

    Здесь видно, что идентификация пользователя прошла корректно, но доступ к серверу запрещен.

    Ограничение доступа к sudo по доменным группам

    Ограничение доступа к ssh по группам и пользователям настроили, теперь надо разрешить доменным учетным записям получать права суперпользователя в системе. Сейчас у них нет такой возможности.

    Создаем новый файл в директории /etc/sudoers.d.

    Выставляем минимальные права на файл:

    Теперь вы можете зайти в систему доменной учетной записью из группы gr_linux_adm и получить полные права в системе.

    Реализовать то же самое можно было через настройки sssd. В его конфиге можно было указать группы, которым разрешен доступ к sudo. Но в целом это не принципиально. Так, как сделал я, мне показалось проще. Не нужно использовать полные имена объектов в AD, в которых легко запутаться, особенно тем, кто не очень в этом ориентируется. Мне же понадобились только конечные имена групп. Более подробно об этом можно почитать в руководстве redhat. Ссылку приведу в конце.

    Заключение

    На этом все. Я рассмотрел наиболее типовую ситуацию, которая может быть полезной при использовании структуры AD совместно с linux серверами. При написании статьи использовал официальные руководства:

    • Deployment, Configuration and Administration of Red Hat Enterprise Linux 6
    • sssd.conf — Linux man page

    Почему-то из руководства по RHEL 7 раздел, посвещенный SSSD убрали, хотя в 5 и 6 есть. Может просто я не заметил, так как структура сильно поменялась. Люблю я CentOS в первую очередь за отличную документацию Redhat. Там есть подробное описание практически всего, с чем приходилось сталкиваться. Надо только не лениться в английском языке разбираться.

    Доменный контроллер Samba4

    Samba позволяет организовать аналог контроллера домена Windows 2003/2008 на Linux системах. С выходом четвертой версии Samba появилась возможность использовать групповые политики и ряд других функций, стандартных для контроллеров на базе Microsoft Windows Server.

    В качестве DNS-backend можно использовать BIND9_DLZ. Однако настройка в связке с ним является довольно трудоемкой и “сырой”, поскольку в официальных версиях Samba4 отсутствует его поддержка. В то же время, Samba позволяет использовать свой штатный DNS-backend — SAMBA_INTERNAL, вполне пригодный для использования в небольших корпоративных сетях.

    В данной заметке будет рассмотрено, как настроить AD DC в Samba4 на CentOS 7.2 Minimal при использовании штатного DNS-backend — Samba_Internal.

    Настройка сети и hostname.

    Как правило, настройки сети и hostname задаются при установке CentOS, но если требуется изменить:

    Способ 1. Через мастер настройки Network Manager:

    Способ 2. Через редактирование текстовых конфигураций:

    Опеределяем имя файла с конфигурацией интерфейса:

    Значит искомый файл: /etc/sysconfig/network-scripts/ifcfg-eno16777984. Открываем:

    У меня сетевых интерфейса два и настройки выглядят так:

    Учтите, что служба network парсит все, что лежит в данной папке и начинается с ifcfg- *, добавляя эти настройки ввиде дополнительных IP-адресов к данному адаптеру. Например, если создать два файла: ifcfg-eno1 и ifcfg-eno1–2, то интерфейс будет иметь два айпи адреса и настройки содержащиеся в этих файлах.

    Разобраться с настройками можно с помощью команды:

    Зачастую при использовании AD DC в Samba возникают проблемы с поддержкой TCP/IP v6, поэтому отключаем поддержку :

    Применяем настройки ядра:

    и перезапускаем сеть:

    Поумолчанию net-tools не включены в CentOS7 Minimal. Устанавливаем, если нужно и проверяем настройки сети:

    Отключение selinux.

    Применяем настройки без перезагрузки:

    Установка и настройка samba.

    Самый простой способ — поставить из репозиториев. На текущий момент актуальная версия 4.2.3:

    Собрав Samba из исходников, можно получить более свежую версию. Но вместе с тем это приносит ряд неудобств ввиде дополнительных настроек и ручного создания скриптов.

    На данный момент актуальной версией samba была 4.3.5. У меня в виртуальной машине выделено восемь ядер CPU, поэтому команды я буду вызывать с ключем -j16. Собираем из исходников:

    Можно так же собрать из исходников c git, где обнвления бывают чуть чаще. На момент написания актуальной была версия 4.5.0pre1.

    Поднимаем домен. Предполагается, что это первый контроллер домена в новом домене Active Directory.

    Вариант 1.

    И далее указываем:

    Realm [DOMAIN.LOCAL]: (Enter)
    Domain [DOMAIN]: (Enter)
    Server Role (dc, member, standalone) [dc]: (Enter)
    DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE)[SAMBA_INTERNAL]: (Enter)
    DNS forwarder IP address (write ‘none’ to disable forwarding)
    [192.168.0.1]:
    8.8.8.8
    Administrator password:
    Retype password:

    По завершению увидим:

    Вариант 2.

    Далеко не все параметры доступны в интерактивном режиме, как, например, использование бэкэнда rfc2307, позволяющего использовать POSIX-атрибуты (UID / GID) всхеме AD. Поэтому для использования rfc2307 необходимо вызывать команду c ключем:

    rfc2307 необходим при аутентификации BSD, Linux и OS X машин, в дополнении к Windows. rfc2307 определяет возможность хранить данные о пользователях и группах в каталоге LDAP, а не в специальном текстовом файле в отличае от idmap_rid. При использовании двух контроллеров доменов нужно использовать rfc2307. В случае если у вас два контроллера домена, вам придется использовать winbind backend = ad.

    use-ntvfs позволяет использовать файловый сервис NTVFS (по умолчанию в Samba4 включен именно он), или вы можете указать файловый сервис от Samba3 — s3fs.

    use-xattrs позволяет расширенное использование атрибутов ACLs файлов, размещенных на linux машине. Файловые системы xfs и ext4 поддерживают эти параметры по умолчанию.

    Любые из этих параметров можно изменить позже, добавив нужные строчки в smb.conf. С полным списком можно ознакомиться здесь.

    Итак, запускаем Samba:

    При компиляции Samba4 из исходников придется создать скрипт инициализации вручную:

    Разрешаем его запуск:

    При компиляции из ихсодников для того, чтобы зарегистрировать службу samba4 и добавить в автозагрузку необходимо так же создать файл:

    и разрешить автозагрузку:

    Далее проверяем аутентификацию NT:

    Если все прошло успешно, то увидим:

    если нет — смотрим логи. Открываем /etc/resolv.conf, добавляем туда адрес нашего DNS:

    Читать еще:  Перенос контроллера домена на другой сервер

    и тестируем DNS:

    если все успешно, то результат будет наподобие:

    Добавляем линк на файл конфигурации kerberos:

    и сверяем настройки:

    вводим пароль и при правильных настрйках увидим что-то наподобие:

    Нас уведомляют о том, что срок действия пароля истечет через 41 день. По мере необходимости при создании учетных записей можно менять значение на “Password never expires”, а можно сменить дефолтное значение на 999 дней:

    Или вовсе сменить значение на бессрочное:

    Здесь помимо отключения срока действия пароля отменено требование к сложности пароля (complexity=off) и минимальная длина установлена в значение равное 6 символам (однако позже при создании пользователей через RSAT меня все равно попросило создать пароль точно такой же сложности, как и в MS Windows Server).

    Проверяем полученный ticket для учетной записи Administrator:

    Далее необходимо создать зону обратного просмотра для каждой подсети в среде DNS, поскольку она не создается автоматически:

    где: xxx.xxx.xxx — первые три байта подсети в обратном порядке (например: 192.168.0.0/24 станет 0.168.192):

    Теперь нужно добавить запись для сервера (если сервер multi-homed, то для каждой подсети):

    zzz будет замененён четвёртым октетом IP для сервера. Например:

    Возможно, вы получите сообщение об ошибке вида:

    но сама зона успешно создастся и будет видна в RSAT в менеджере DNS:

    Предпологаю, это баг Samba и как с ним бороться мне пока что неизвестно.

    Для того, чтобы каждый раз не вызывать Samba, используя полный путь, добавляем путь к samba в переменную PATH:

    На этом основная настройка Samba завершена и можно вводить компьютеры в домен.

    Установка и настройка ntp.

    Сервер NTP требуется для аутентификации Kerberos. Если время будет неправильным клиенты не смогут пройти аутентификацию на сервере.

    и добавляем/меняем параметры:

    Выставляем права и создаем линк:

    Ставим правильный часовой пояс:

    и проверяем время:

    Управление групповыми политиками.

    Для того, чтобы управлять доменными политиками на введенном в домен компьютере под управлением Windows 7 устанавливаем RSAT (Remote Server Administration Tools for Windows 7 with Service Pack 1).

    Заходим в панель управления, выбираем Programs and Features (Программы и компоненты) и далее — Turn Windows features on or off. В разделе Remote Server Administration Tools -> Role Administration Tools выбираем AD DS and AD LDS Tools.

    После этого консоль AUDC и другие оснастки появятся в панели управления в разделе Administrative Tools, а так же в Пуск -> Администрирование.

    Чтобы активировать оснастки Active Directory Users and Computers после установки RSAT из командной строки нужно выполнить:

    Однако при этом все равно необходимо установить RSAT.

    Настройка SSL.

    Active Directory испльзует LDAP (Lightweight Directory Access Protocol), шифрование которого по умолчанию отключено. Для обеспечения безопасности необходимо включить SSL/TSL. Сам сертификат был уже создан, когда поднимался домен:

    Поумолчанию сертификаты действительны в течение 700 дней с момента их создания. Чтобы использовать их в конфигурацию Samba следует добавить строки:

    и перезапустить Samba:

    Использование самозаверяющегося (self-signed) сертификата.

    Создайте ключь длинной 2048 байт сроком действия 9999 дней. Заполните все поля, особенно FQDN-имя вашего контроллера-домена:

    Далее следует задать права:

    добавить строки в конфигурацию:

    и перезапустите Samba:

    Использование доверенного (trusted) сертификата.

    Аналогично заполняем поля. Важно задать в поле “Common Name” FQDN домен контроллра (hostname -f). Добавляем строки в конфигурацию:

    и перезапускаем Samba.

    Проверка сертификата.

    Просмотреть данные о сертификате можно следюущей командой:

    Проверка сертификата локально:

    Есть используется CA, то используйте команду:

    Проверка сертфиката удаленно через TCP:

    Если используется, CA, то:

    Настройка iptables.

    После того как настройка и тестирование завершены можно задать правила и включить iptables. Но для начала убедимся, что альтернативный firewalld отключен:

    если активен, то убираем из автозагрузки и отключаем:

    По желанию можно так же отключить Network Manager (команда nmtui), поскольку все настройки сети можно производить, редактируя /etc/sysconfig/network-scripts/.

    Проверяем статус Network Manager:

    убираем из автозагрузки и отключаем:

    Для Enterprise Linux, возможно, потребуется убрать из автостарта ipchains:

    В минимальных дистрибутивах, таких как Centos 7.2 minimal пакет iptables поумолчанию может отсутствовать. Устанавливаем:

    и добавляем правила:

    Запускаем iptables и добавляем в автозагрузку:

    Листинг всех правил с номерами строк и портов можно получить по команде:

    Создание общих файловых ресурсов.

    Рассмотрим пример подключения раздела и создание CIFS (или сетевой share для Windows Networking) через Samba. Просмотрим список устройств:

    Возможны два варианта: создать раздел ext4 и примонтировать его, или расширить дисковое пространство через LVM. Оба метода расписаны здесь. Я буду использовать первый, поскольку данные пишутся туда, куда примонтирован жесткий диск.

    Вводим n, отвечаем на вопросы и сохраняем изменения при вводе w:

    На созданном разделе /dev/sdb1 создаем файловую систему и присваиваем метку SHAREDATA:

    Реузльтатом будет что-то наподобие:

    Список разделов можно посмотреть набрав команду:

    Cоздаем папку и монтируем в нее:

    Для того, чтобы использовать вкладку “безопасность” в свойствах папок в Windows требуется установаить расширенные атрибуты файлов и наследование прав доступа для Samba. Установим необходимое:

    Перемонтируем файловую систему с нужными атрибутами:

    Далее, чтобы монтирование происходило с нужными атрибутами по умолчанию, необходимо включить их поддержку на файловой системе:

    Проверим присутствие атрибутов:

    Для того чтобы раздел автоматически монтировался при загрузке:

    Или как вариант: нужную строчку можно просто скопировать из /etc/mtab в /etc/fstab.

    Для того, чтобы эта папка стала доступна в сетевом окружении (CIFS или Windows Networking) нашего домена:

    После чего папка будет доступна в сетевом окружении Windows:

    \DCshare

    Если ваш доменный контроллер работает стабильно уже несколько недель, то настройка завершена. Однако в некоторых случаях, особенно, если вы компилировали release condidate версии может потребоваться периодический перезапуск службы Samba. Проще всего поставить перезапуск службы каждый день в ночное время через crontab.

    При первом запуске утилита потребует выбрать вас редактор. Далее фомат записи будет следующим:

    Минута — время в минутах от 0 до 59.
    Час — от 0 до 23. Если требуется выполнять задание, например, каждые 7 часов, то указывается “*/7” (без кавычек).
    День — день месяца от 1 до 31.
    Месяц — от 1 до 12 либо буквенные обозначения jan — dec.
    День недели — от 0 до 6 (0 — воскресенье) или sat — sun.
    Команда — строка в формате командного интерпретатора. Допускается запись типа команда1 && команда2.

    Для того чтобы Samba перезапускалась каждый день в час ночи добавьте:

    И еще один момент: при использовании в качестве DNS-бэкенда SAMBA_INTERNAL, возможно, прямую зону DNS (узел A) для каждого компьютера придется добавлять вручную. Во всяком случае, я пока не нашел способа как обновлять их автоматически:

    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector
    ×
    ×