3.5.2 Интеграция файлового сервера SAMBA с IPA
Скачать документУстановка необходимых пакетов на сервере SAMBA
Настройка серверов IPA и Samba
Настройка сетевого каталога на сервере Samba
Окружение
- Версия РЕД ОС: 7.3.2
- Конфигурация: Сервер графический
- Версия ПО: ipa-client-4.10.1-2, samba-4.17.5-2h
Установка необходимых пакетов на сервере SAMBA
Для установки пакетов samba перейдите в сеанс пользователя root:
su -
и выполните команду:
dnf install ipa-client sssd-libwbclient samba samba-client ipa-client-samba
Установите имя хоста samba-сервера:
hostnamectl set-hostname samba.redosipa.ru
Добавьте запись в /etc/hosts, по какому IP обращаться к домену IPA, например:
10.81.186.174 server.redosipa.ru
Отключите службу:
systemctl disable --now systemd-timesyncd
В сетевых настройках укажите поисковый DNS IPA-сервера, например:
Присоедините файловый сервер к домену IPA:
join-to-domain.sh
Выполните автоматическую конфигурацию системных служб на сервере samba для работы в домене IPA:
authconfig --enablesssdauth --enablemkhomedir --update
Настройка серверов IPA и Samba
Для правильного распределения DNS выполните следующие команды на сервере IPA:
kinit admin ipa dnsrecord-add redosipa.ru --a-rec=samba --a-ip-address=10.81.186.124
Запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba:
ipa-adtrust-install --add-sids reboot
На сервере samba выполните ipa-client-samba, который создаст cifs и отредактирует /etc/samba/smb.conf для работы samba с ipa:
ipa-client-samba
Отредактируйте в файле /etc/samba/smb.conf значение netbios name, указав рабочую группу домена, в данном случае smb.conf будет выглядеть следующим образом:
...
realm = REDOSIPA.RU
netbios name = REDOSIPA
workgroup = REDOSIPA
...Далее отредактируйте секции по примеру из smb.conf:
[global]
max smbd processes = 1000
dedicated keytab file = FILE:/etc/samba/samba.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
log level = 1
server role = member server
realm = REDOSIPA.RU
netbios name = REDOSIPA
workgroup = REDOSIPA
idmap config * : range = 0 - 0
idmap config * : backend = tdb
idmap config REDOSIPA : range = 14000000 - 14199999
idmap config REDOSIPA : backend = sss
security = ads
printing = cups
printcap name = cups
load printers = yes
cups options = raw
[homes]
read only = no
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775 Создайте структуру ролей и привилегий для samba. Действия выполняются на контроллере домена ipa:
ipa permission-add "CIFS server can read user passwords" --attrs={ipaNTHash,ipaNTSecurityIdentifier} --type=user --right={read,search,compare} --bindtype=permission
ipa privilege-add "CIFS server privilege"
ipa privilege-add-permission "CIFS server privilege" --permission="CIFS server can read user passwords"
ipa role-add "CIFS server"
ipa role-add-privilege "CIFS server" --privilege="CIFS server privilege"
ipa role-add-member "CIFS server" --services=cifs/samba.redosipa.ruНа samba-сервере внесите изменения в /etc/krb5.conf:
sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.confПолучите тикет и создайте keytab:
kinit admin ipa-getkeytab -s ipaserver.test.local -p cifs/smb.test.local -k /etc/samba/samba.keytab reboot
Настройка сетевого каталога на сервере Samba
На samba-сервере создайте каталог:
mkdir -p /share/
Назначьте права на созданный каталог:
chown -R :users /share chmod -R 777 /share setfacl -m default:user:"admin":rwx /share setfacl -R -m default:user:"admin":rwx /share
Затем настройте метки SELinux:
semanage fcontext -a -t samba_share_t /share/ restorecon -R -v /share/
На контроллере домена IPA получите SID:
net getdomainsid
На файловом сервере samba настройте идентификатор безопасности (введите SID, полученный ранее):
net setdomainsid <SID>
На сервере samba выполните:
net -s /dev/null groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin
В /etc/samba/smb.conf укажите настройки для каталога:
[share]
path = /share
writable = yes
browsable=yes
valid users = admin
read list = admin
write list = admin
guest ok = no
inherit acls = Yes
create mask = 0660
directory mask = 0770 Добавьте в автозапуск службы samba и winbind, перезагрузите сервер samba:
systemctl enable smb winbind --now reboot
Для проверки доступности сетевого каталога на сервере samba необходимо получить тикет (если он отсутствует) и выполнить команду подключения к сетевому каталогу:
kinit admin smbclient //samba.redosipa.ru/share -N --kerberos=required
В случае, если все настроено верно, появится следующее сообщение:
Try "help" to get a list of possible commands. smb: \>
Дата последнего изменения: 22.05.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.