Каталог общего сетевого доступа на РЕД ОС в домене Windows

Графический вариант
Работа из файлового менеджера
Консольный вариант

Окружение

• Версия РЕД ОС: 7.3.2
• Конфигурация: Сервер графический
• Версия ПО: share_directory 6.0-1

Рассмотрен механизм создания в РЕД ОС каталога с общим сетевым доступом по протоколу smb. РЕД ОС предварительно необходимо включить в домен windows, для этого воспользуйтесь инструкцией по ссылке.

Графический вариант

Утилита публикации сетевого ресурса в домене Samba / MS AD доступна в РЕД ОС 7.3.

Установите утилиту командой:

 dnf install share_directory

От имени root-пользователя получите kerberos ticket:

 su - 
 kinit USERNAME 

где вместо USERNAME - имя вашего пользователя.

Запуск утилиты доступен через главное меню:

или через терминал:

Для публикации сетевого ресурса в домене требуется задать путь к директории, пользователей и/или групп и соответствующие им права.

Для протоколирования событий предусмотрена соответствующая вкладка.

Для того чтобы удалить права с директории, требуется указать путь к ресурсу и прописать определенного пользователя или группу, которых требуется удалить. Так же доступно полное удаление ACL-прав с директории.

Для удобства отслеживания прав можно посмотреть текущие права директории, указав путь к интересующей.

Работа из файлового менеджера

Для включения быстрой настройки сетевой директории из файлового менеджера caja необходимо установить дополнительное расширение. Для этого перейдите в сеанс пользователя root:

 su - 

и выполните команду:

 dnf install share_directory-caja

Затем получите kerberos ticket:

 kinit USERNAME 

где вместо USERNAME - имя вашего пользователя.

Выйдите из учетной записи root командой:

 exit

Затем обновите конфигурацию caja от имени локального пользователя:

 caja -q

Или выполните выход из учетной записи пользователя и обратную авторизацию.

После обновления списка расширений caja станет доступен новый пункт в свойствах директории.

Вызовите контекстное меню правой кнопкой мыши для необходимой директории в файловом менеджере, затем выберите пункт «Свойства» – «Опубликовать».

Консольный вариант

1. Проверьте /etc/nsswitch.conf.

Измените строки в файле /etc/nsswitch.conf, добавив параметр winbind:

 passwd:     sss winbind files systemd
 group:      sss winbind files systemd
 shadow:     files sss winbind

2. После включения РЕД ОС  в домен windows проверьте получение тикета:

 kinit username 
 klist

3. Проверьте доступность входа доменного пользователя в систему:

 su username 
 exit

4. После включения РЕД ОС  в домен windows проверьте поддержку ACL (поддержка списков контроля доступа):

 # smbd -b | grep HAVE_LIBACL
 HAVE_LIBACL

5. Создайте каталог для общего использования:

 su
 mkdir -p /share/

6. Назначьте права доступа:

 chown -R root:"wintest\Пользователи домена" /share
 chmod 2770 /share
 setfacl -m default:group:"wintest\Администраторы домена":rwx /share/
 setfacl -m default:group:"wintest\Пользователи домена":r-x /share/
 setfacl -m default:other::--- /share/

В этом примере с помощью команды setfacl были даны полные (rwx) права группе "Администраторы_домена" на каталог /share.

Группе "Пользователи_домена" домена windows были даны права только на чтение и выполнение.

7. Настройте selinux для доступа к каталогу:

 semanage fcontext -a -t samba_share_t /share/
 restorecon -R -v /share/

8. В конфигурационном файле samba (/etc/samba/smb.conf)  в секции [global] проверьте наличие следующих строк:

 vfs objects = acl_xattr
 map acl inherit = yes
 store dos attributes = yes
 dedicated keytab file = /etc/krb5.keytab
 kerberos method = secrets and keytab

9. В конфигурационном файле samba (/etc/samba/smb.conf) создайте раздел [share]:

 [share]
 path = /share/
 read only = no
 browseable = yes

10. Перезапустите сервис samba:

 systemctl restart smb
 systemctl enable smb

11. Дополнительные команды и их параметры, которые могут пригодиться:

Ключи команды setfacl:

-R - рекурсивное изменение прав, т.е права изменятся во всех вложенных каталогах;
-d или default - устанавливает ACL по умолчанию на объект;
-k - удаляет с объекта ACL;
-b - удаляет все ACL права с объекта;
-u - назначает ACL для пользователя;
-g - назначает ACL для группы;
-m - назначает маску эффективных прав. Маска задает максимальные права доступа для всех пользователей, за исключением хозяина и групп.

• добавить разрешения для группы:

 setfacl -m g:"wintest\Группа_Пользователей":rwx /share

• добавить разрешения для пользователя:

 setfacl -m u:"wintest\Пользователь":rwx /share

• удалить ACL для определенного пользователя:

 setfacl -x u:alex /share

• удалить все ACL права:

 setfacl -b /share

Посмотреть ACL права на каталоге:

 getfacl /share

Для того чтобы права вступили в силу, иногда требуется перезапустить сеанс пользователя.

12. Запустите службы:

 systemctl enable smb --now
 systemctl enable nmb --now
 systemctl enable winbind --now

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.