6.4 Каталог общего сетевого доступа на РЕД ОС в домене Windows

Рассмотрен механизм создания в РЕД ОС каталога с общим сетевым доступом по протоколу smb. РЕД ОС предварительно необходимо включить в домен windows, для этого воспользуйтесь инструкцией по ссылке.

Графический вариант

Утилита публикации сетевого ресурса в домене Samba / MS AD доступна в РЕД ОС 7.3.
Установите утилиту командой:

dnf install share_dir_to_msad

Запуск утилиты доступен через главное меню:


или через терминал:

ShareDirToMSAD

Для публикации сетевого ресурса в домене требуется задать путь к директории, пользователей и/или групп и соответствующие им права.

Для того чтобы удалить права с директории, требуется указать путь к ресурсу и прописать определенного пользователя или группу, которых требуется удалить. Так же доступно полное удаление ACL-прав с директории.

Для удобства отслеживания прав можно посмотреть текущие права директории, указав путь к интересующей.

Консольный вариант

1. После включения РЕД ОС  в домен windows проверьте получение тикета:

kinit username
klist

2. Проверьте доступность входа доменного пользователя в систему:

su username 
exit

3. После включения РЕД ОС  в домен windows проверьте поддержку ACL (поддержка списков контроля доступа):

# smbd -b | grep HAVE_LIBACL
HAVE_LIBACL

4. Создайте каталог для общего использования:

su
mkdir -p /share/

5. Назначьте права доступа:

chown -R root:"Пользователи домена" /share
chmod 2770 /share
setfacl -m default:group:"wintest\Администраторы_домена":rwx /share/
setfacl -m default:group:"wintest\Пользователи_домена":r-x /share/
setfacl -m default:other::--- /share/

В этом примере с помощью команды setfacl были даны полные (rwx) права группе «Администраторы_домена» на каталог /share.
Группе «Пользователи_домена» домена windows были даны права только на чтение и выполнение.

6. Настройте selinux для доступа к каталогу:

semanage fcontext -a -t samba_share_t /share/
restorecon -R -v /share/

7. В конфигурационном файле samba (/etc/samba/smb.conf)  в секции [global] проверьте наличие следующих строк:

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab

8. В конфигурационном файле samba (/etc/samba/smb.conf) создайте раздел [share]:

[share]
 path = /share/
 read only = no
 browseable = yes

9. Перезапустите сервис samba:

systemctl restart smb
systemctl enable smb

10. Дополнительные команды и их параметры, которые могут пригодиться:
Ключи команды setfacl:
-R — рекурсивное изменение прав, т.е права изменятся во всех вложенных каталогах;
-d или default — устанавливает ACL по умолчанию на объект;
-k — удаляет с объекта ACL;
-b — удаляет все ACL права с объекта;
-u — назначает ACL для пользователя;
-g — назначает ACL для группы;
-m — назначает маску эффективных прав. Маска задает максимальные права доступа для всех пользователей, за исключением хозяина и групп.

— добавить разрешения для группы:

setfacl -m g:"wintest\Группа_Пользователей":rwx /share

— добавить разрешения для пользователя:

setfacl -m u:"wintest\Пользователь":rwx /share

— удалить ACL для определенного пользователя:

setfacl -x u:alex /share

— удалить все ACL права:

setfacl -b /share

Посмотреть ACL права на каталоге:

getfacl /share

Для того чтобы права вступили в силу, иногда требуется перезапустить сеанс пользователя.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email