6.3 samba-share с авторизацией через IPA

Интеграция файлового сервера Samba с IPA

1) Установите необходимые пакеты на файловую шару:

yum -y install ipa-client sssd-libwbclient samba samba-client

2) присоедините файловый сервер к домену ipa:

ipa-client-install --mkhomedir

3) На сервере ipa отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду

# setenforce 0

4) Создайте главную директорию cifs для samba:

kinit admin
ipa service-add cifs/smb.ipa.test

5) На сервера IPA запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba.

ipa-adtrust-install --add-sids

Перезапустите сервер командой

reboot

После запуска —add-sids пользователи должны сбросить свои пароли, чтобы freeipa генерировал значение ipaNTHash для паролей.

6) Установите keytab на файловый сервер samba:

kinit admin
ipa-getkeytab -s serv.ipa.test -p cifs/smb.ipa.test -k /etc/samba/samba.keytab

7) Измените /etc/samba/smb.conf на файловом сервере samba:

[global]

        workgroup =IPA
        realm =IPA.TEST
        dedicated keytab file = FILE:/etc/samba/samba.keytab
        kerberos method = dedicated keytab
        log file =/var/log/samba/log.%m
        security =user
        dns proxy =No
        passdb backend = tdbsam
        vfs objects= acl_xattr
        map acl inherit = yes
        store dos attributes = yes
        allow dns updates = nonsecure
        client min protocol = NT1
        client max protocol = SMB2
        winbind rpc only = Yes
        client use spnego = no
        client ntlmv2 auth = no
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
[share]
        path = /share
        writable = yes
        browsable=yes
        write list = @admins

8) Отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду

# setenforce 0

9) Перезапустите сервисы

systemctl restart smb.service
systemctl restart nmb

10) Создайте папку указанную в smb.conf

mkdir /share
chmod 777 /share

11) После настройки samba перезагрузите машину

reboot

Настройка autofs на Ipa клиенте

1) Присоедините машину к домену ipa:

ipa-client-install --mkhomedir

Отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду

# setenforce 0

2) Получите тикет

kinit admin

3) измените строки в файле

nano /etc/krb5.conf

Закомментируйте строку и добавьте вместо нее следующую:

# default_ccache_name = KEYRING:persistent:%{uid}
default_ccache_name = FILE:/tmp/krb5cc_%{uid}

4) Проверка доступности самба ресурса, выполните следующие команды

su admin
kinit admin
smbclient -k //smb.ipa.test/share

При успешном соединении вы увидите надпись

smb: \>

5) Настройка автомонтирования шары

Установите пакет cifs-utils и autofs если они не установлены

yum install cifs-utils autofs

Добавьте строки для монтирования в файлы

nano /etc/auto.master
/mnt/samba /etc/auto.samba --ghost
nano /etc/auto.samba
share    -fstype=cifs,multiuser,cruid=$USER,sec=krb5  ://smb.ipa.test/share

6) Создайте запись crontab для root, чтобы обновить билет Kerberos каждые 12 часов

crontab -e

CRON будет работать в 1:00 и 13:00, чтобы обновить билет Kerberos

0 1,13 * * * /usr/bin/kinit admin@IPA.TEST

7) Запустите autofs и добавьте его в автозагрузку.

systemctl start autofs.service
systemctl enable autofs.service

8) Перезагрузите машину

reboot

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email