Интеграция файлового сервера Samba с IPA
1) Установите необходимые пакеты на файловую шару:
Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:
yum -y install ipa-client sssd-libwbclient samba samba-client
Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:
dnf -y install ipa-client sssd-libwbclient samba samba-client
2) присоедините файловый сервер к домену ipa:
ipa-client-install --mkhomedir
3) На сервере ipa переведите SeLinux в режим уведомлений.
nano /etc/selinux/config
Заменив текст SELINUX=enforcing на SELINUX=permissive
Выполните:
setenforce 0
Более подробно см.ссылку
Не забудьте включить selinux после завершения настройки.
4) Создайте главную директорию cifs для samba:
kinit admin ipa service-add cifs/smb.ipa.test
5) На сервера IPA запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba.
ipa-adtrust-install --add-sids
Перезапустите сервер командой:
reboot
После запуска —add-sids пользователи должны сбросить свои пароли, чтобы freeipa генерировал значение ipaNTHash для паролей.
6) Установите keytab на файловый сервер samba:
kinit admin ipa-getkeytab -s serv.ipa.test -p cifs/smb.ipa.test -k /etc/samba/samba.keytab
7) Измените /etc/samba/smb.conf на файловом сервере samba:
[global]
workgroup =IPA
realm =IPA.TEST
dedicated keytab file = FILE:/etc/samba/samba.keytab
kerberos method = dedicated keytab
log file =/var/log/samba/log.%m
security =user
dns proxy =No
passdb backend = tdbsam
vfs objects= acl_xattr
map acl inherit = yes
store dos attributes = yes
allow dns updates = nonsecure
client min protocol = NT1
client max protocol = SMB2
winbind rpc only = Yes
client use spnego = no
client ntlmv2 auth = no
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[share]
path = /share
writable = yes
browsable=yes
# Доменной группе пользователей admins разрешен доступ к общей папке
valid users = @admins
# Разрешение записи для доменной группы пользователей admins
write list = @admins
guest ok = No
inherit acls = Yes
create mask = 0660
directory mask = 0770
8) Переведите SeLinux в режим уведомлений (см. п. 3).
9) Создайте каталог указанный в smb.conf
mkdir /share chmod 777 /share
10) Добавьте сервисы в автозагрузку:
systemctl enable smb.service systemctl enable nmb
11) После настройки samba перезагрузите машину:
reboot
Настройка autofs на Ipa клиенте
1) Присоедините машину к домену ipa:
ipa-client-install --mkhomedir
Переведите SeLinux в режим уведомлений.
nano /etc/selinux/config
Заменив текст SELINUX=enforcing на SELINUX=permissive
Выполните:
setenforce 0
Более подробно см.ссылку
Не забудьте включить selinux после завершения настройки.
kinit admin
3) измените строки в файле
nano /etc/krb5.conf
Закомментируйте строку и добавьте вместо нее следующую:
# default_ccache_name = KEYRING:persistent:%{uid}
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
4) Проверка доступности самба ресурса, выполните следующие команды
su admin kinit admin smbclient -k //smb.ipa.test/share
При успешном соединении вы увидите надпись
smb: \>
5) Настройка автомонтирования шары
Установите пакет cifs-utils и autofs если они не установлены:
для РЕД ОС версии 7.1 или 7.2:
yum install cifs-utils autofs
для РЕД ОС версии 7.3 и старше:
dnf install cifs-utils autofs
Добавьте строки для монтирования в файлы
nano /etc/auto.master /mnt/samba /etc/auto.samba --ghost
nano /etc/auto.samba share -fstype=cifs,multiuser,cruid=$USER,sec=krb5 ://smb.ipa.test/share
6) Создайте запись crontab для root, чтобы обновить билет Kerberos каждые 12 часов
crontab -e
CRON будет работать в 1:00 и 13:00, чтобы обновить билет Kerberos
0 1,13 * * * /usr/bin/kinit admin@IPA.TEST
7) Запустите autofs и добавьте его в автозагрузку.
systemctl start autofs.service systemctl enable autofs.service
8) Перезагрузите машину
reboot
