Интеграция файлового сервера SAMBA с IPA

Установка необходимых пакетов на сервере SAMBA
Настройка серверов IPA и Samba
Настройка сетевого каталога на сервере Samba

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Сервер графический
• Версия ПО: ipa-client-4.10.1-2, samba-4.17.5-2h

Установка необходимых пакетов на сервере SAMBA

Для установки пакетов samba перейдите в сеанс пользователя root:

su - 

и выполните команду:

dnf install ipa-client sssd-libwbclient samba samba-client ipa-client-samba

Установите имя хоста samba-сервера:

hostnamectl set-hostname samba.redosipa.ru

Добавьте запись в /etc/hosts, по какому IP обращаться к домену IPA, например:

10.81.186.174 server.redosipa.ru

Отключите службу:

systemctl disable --now systemd-timesyncd

В сетевых настройках укажите поисковый DNS IPA-сервера, например:

Присоедините файловый сервер к домену IPA:

join-to-domain.sh

Выполните автоматическую конфигурацию системных служб на сервере samba для работы в домене IPA:

authconfig --enablesssdauth --enablemkhomedir --update

Настройка серверов IPA и Samba

Для правильного распределения DNS выполните следующие команды на сервере IPA:

kinit admin
ipa dnsrecord-add redosipa.ru --a-rec=samba --a-ip-address=10.81.186.124

Запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba:

ipa-adtrust-install --add-sids
reboot

На сервере samba выполните ipa-client-samba, который создаст cifs и отредактирует /etc/samba/smb.conf для работы samba с ipa:

ipa-client-samba

Отредактируйте в файле /etc/samba/smb.conf значение netbios name, указав рабочую группу домена, в данном случае smb.conf будет выглядеть следующим образом:

...
realm = REDOSIPA.RU
netbios name = REDOSIPA
workgroup = REDOSIPA
...

Далее отредактируйте секции по примеру из smb.conf:

[global]
max smbd processes = 1000
dedicated keytab file = FILE:/etc/samba/samba.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
log level = 1
server role = member server
realm = REDOSIPA.RU
netbios name = REDOSIPA
workgroup = REDOSIPA
idmap config * : range = 0 - 0
idmap config * : backend = tdb


idmap config REDOSIPA : range = 14000000 - 14199999
idmap config REDOSIPA : backend = sss

security = ads
printing = cups
printcap name = cups
load printers = yes
cups options = raw

[homes]
read only = no
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775

Создайте структуру ролей и привилегий для samba. Действия выполняются на контроллере домена ipa:

ipa permission-add "CIFS server can read user passwords" --attrs={ipaNTHash,ipaNTSecurityIdentifier} --type=user --right={read,search,compare} --bindtype=permission
ipa privilege-add "CIFS server privilege"
ipa privilege-add-permission "CIFS server privilege" --permission="CIFS server can read user passwords"
ipa role-add "CIFS server"
ipa role-add-privilege "CIFS server" --privilege="CIFS server privilege"
ipa role-add-member "CIFS server" --services=cifs/samba.redosipa.ru

На samba-сервере внесите изменения в /etc/krb5.conf:

sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf

Получите тикет и создайте keytab:

kinit admin
ipa-getkeytab -s server.redosipa.ru -p cifs/samba.redosipa.ru -k /etc/samba/samba.keytab
reboot

Настройка сетевого каталога на сервере Samba

На samba-сервере создайте каталог:

mkdir -p /share/

Назначьте права на созданный каталог:

chown -R :users /share
chmod -R 777 /share
setfacl -m default:user:"admin":rwx /share
setfacl -R -m default:user:"admin":rwx /share

Затем настройте метки SELinux:

semanage fcontext -a -t samba_share_t /share/
restorecon -R -v /share/

На контроллере домена IPA получите SID:

net getdomainsid

На файловом сервере samba настройте идентификатор безопасности (введите SID, полученный ранее):

 net setdomainsid <SID>

На сервере samba выполните:

net -s /dev/null groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

В /etc/samba/smb.conf укажите настройки для каталога:

[share]
path = /share
writable = yes
browsable=yes
valid users = admin
read list = admin
write list = admin
guest ok = no
inherit acls = Yes
create mask = 0660
directory mask = 0770

Добавьте в автозапуск службы samba и winbind, перезагрузите сервер samba:

systemctl enable smb winbind --now
reboot

Для проверки доступности сетевого каталога на сервере samba необходимо получить тикет (если он отсутствует) и выполнить команду подключения к сетевому каталогу:

kinit admin
smbclient //samba.redosipa.ru/share -N --kerberos=required

В случае, если все настроено верно, появится следующее сообщение:

Try "help" to get a list of possible commands.
 smb: \>

Дата последнего изменения: 27.06.2023

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.