3.5.4 Каталог общего сетевого доступа на РЕД ОС в домене Windows
Графический вариант
Работа из файлового менеджера
Консольный вариант
Окружение
- Версия РЕД ОС: 7.3
- Конфигурация: Сервер графический
- Версия ПО: share_directory 6.0-1
Рассмотрен механизм создания в РЕД ОС каталога с общим сетевым доступом по протоколу smb. РЕД ОС предварительно необходимо включить в домен windows, для этого воспользуйтесь инструкцией по ссылке.
Графический вариант
Утилита публикации сетевого ресурса в домене Samba / MS AD доступна в РЕД ОС 7.3.
Установите утилиту командой:
dnf install share_directory
От имени root-пользователя получите kerberos ticket:
su -
kinit USERNAME
где вместо USERNAME - имя вашего пользователя.
Запуск утилиты доступен через главное меню:
или через терминал:
share-directory
Для публикации сетевого ресурса в домене требуется задать путь к директории, пользователей и/или групп и соответствующие им права.
Для протоколирования событий предусмотрена соответствующая вкладка.
Для того чтобы удалить права с директории, требуется указать путь к ресурсу и прописать определенного пользователя или группу, которых требуется удалить. Так же доступно полное удаление ACL-прав с директории.
Для удобства отслеживания прав можно посмотреть текущие права директории, указав путь к интересующей.
Работа из файлового менеджера
Для включения быстрой настройки сетевой директории из файлового менеджера caja необходимо установить дополнительное расширение. Для этого перейдите в сеанс пользователя root:
su -
и выполните команду:
dnf install share_directory-caja
Затем получите kerberos ticket:
kinit USERNAME
где вместо USERNAME - имя вашего пользователя.
Выйдите из учетной записи root командой:
exit
Затем обновите конфигурацию caja от имени локального пользователя:
caja -q
Или выполните выход из учетной записи пользователя и обратную авторизацию.
После обновления списка расширений caja станет доступен новый пункт в свойствах директории.
Вызовите контекстное меню правой кнопкой мыши для необходимой директории в файловом менеджере, затем выберите пункт «Свойства» – «Опубликовать».
Консольный вариант
1. Проверьте /etc/nsswitch.conf.
Измените строки в файле /etc/nsswitch.conf, добавив параметр winbind через выполнение команд:
shadownum=$(grep -n '^shadow:' /etc/nsswitch.conf | awk -F ':' '{print $1}') sed -i "$shadownum s|$| winbind|" /etc/nsswitch.conf passwdnum=$(grep -n '^passwd:' /etc/nsswitch.conf | awk -F ':' '{print $1}') sed -i "$passwdnum s|$| winbind|" /etc/nsswitch.conf groupnum=$(grep -n '^group:' /etc/nsswitch.conf | awk -F ':' '{print $1}') sed -i "$groupnum s|$| winbind|" /etc/nsswitch.conf
2. После включения РЕД ОС в домен windows проверьте получение тикета:
kinit username
klist
3. Проверьте доступность входа доменного пользователя в систему:
su username
exit
4. После включения РЕД ОС в домен windows проверьте поддержку ACL (поддержка списков контроля доступа):
# smbd -b | grep HAVE_LIBACL HAVE_LIBACL
5. Создайте каталог для общего использования:
su mkdir -p /share/
6. Назначьте права доступа:
chown -R root:"wintest\Пользователи домена" /share chmod 2770 /share setfacl -m default:group:"wintest\Администраторы домена":rwx /share/ setfacl -m default:group:"wintest\Пользователи домена":r-x /share/ setfacl -m default:other::--- /share/
В этом примере с помощью команды setfacl были даны полные (rwx) права группе "Администраторы_домена" на каталог /share.
Группе "Пользователи_домена" домена windows были даны права только на чтение и выполнение.
7. Настройте selinux для доступа к каталогу:
semanage fcontext -a -t samba_share_t /share/ restorecon -R -v /share/
8. В конфигурационном файле samba (/etc/samba/smb.conf) в секции [global] проверьте наличие следующих строк:
vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes dedicated keytab file = /etc/krb5.keytab kerberos method = secrets and keytab
9. В конфигурационном файле samba (/etc/samba/smb.conf) создайте раздел [share]:
[share] path = /share/ read only = no browseable = yes
10. Перезапустите сервис samba:
systemctl restart smb systemctl enable smb
11. Дополнительные команды и их параметры, которые могут пригодиться:
Ключи команды setfacl:
-R - рекурсивное изменение прав, т.е права изменятся во всех вложенных каталогах;
-d или default - устанавливает ACL по умолчанию на объект;
-k - удаляет с объекта ACL;
-b - удаляет все ACL права с объекта;
-u - назначает ACL для пользователя;
-g - назначает ACL для группы;
-m - назначает маску эффективных прав. Маска задает максимальные права доступа для всех пользователей, за исключением хозяина и групп.
- добавить разрешения для группы:
setfacl -m g:"wintest\Группа_Пользователей":rwx /share
- добавить разрешения для пользователя:
setfacl -m u:"wintest\Пользователь":rwx /share
- удалить ACL для определенного пользователя:
setfacl -x u:alex /share
- удалить все ACL права:
setfacl -b /share
Посмотреть ACL права на каталоге:
getfacl /share
Для того чтобы права вступили в силу, иногда требуется перезапустить сеанс пользователя.
12. Запустите службы:
systemctl enable smb --now systemctl enable nmb --now systemctl enable winbind --now
Дата последнего изменения: 16.06.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.