Интеграция файлового сервера Samba с IPA
1) Установите необходимые пакеты на файловую шару:
yum -y install ipa-client sssd-libwbclient samba samba-client
2) присоедините файловый сервер к домену ipa:
ipa-client-install --mkhomedir
3) На сервере ipa отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду
# setenforce 0
4) Создайте главную директорию cifs для samba:
kinit admin ipa service-add cifs/smb.ipa.test
5) На сервера IPA запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba.
ipa-adtrust-install --add-sids
Перезапустите сервер командой
reboot
После запуска —add-sids пользователи должны сбросить свои пароли, чтобы freeipa генерировал значение ipaNTHash для паролей.
6) Установите keytab на файловый сервер samba:
kinit admin ipa-getkeytab -s serv.ipa.test -p cifs/smb.ipa.test -k /etc/samba/samba.keytab
7) Измените /etc/samba/smb.conf на файловом сервере samba:
[global]
workgroup =IPA
realm =IPA.TEST
dedicated keytab file = FILE:/etc/samba/samba.keytab
kerberos method = dedicated keytab
log file =/var/log/samba/log.%m
security =user
dns proxy =No
passdb backend = tdbsam
vfs objects= acl_xattr
map acl inherit = yes
store dos attributes = yes
allow dns updates = nonsecure
client min protocol = NT1
client max protocol = SMB2
winbind rpc only = Yes
client use spnego = no
client ntlmv2 auth = no
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[share]
path = /share
writable = yes
browsable=yes
write list = @admins
8) Отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду
# setenforce 0
9) Перезапустите сервисы
systemctl restart smb.service systemctl restart nmb
10) Создайте папку указанную в smb.conf
mkdir /share chmod 777 /share
11) После настройки samba перезагрузите машину
reboot
Настройка autofs на Ipa клиенте
1) Присоедините машину к домену ipa:
ipa-client-install --mkhomedir
Отключите SeLinux. Исправьте в файле /etc/selinux/config строку SELINUX=enforcing на SELINUX=permissive. Выполните команду
# setenforce 0
2) Получите тикет
kinit admin
3) измените строки в файле
nano /etc/krb5.conf
Закомментируйте строку и добавьте вместо нее следующую:
# default_ccache_name = KEYRING:persistent:%{uid}
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
4) Проверка доступности самба ресурса, выполните следующие команды
su admin kinit admin smbclient -k //smb.ipa.test/share
При успешном соединении вы увидите надпись
smb: \>
5) Настройка автомонтирования шары
Установите пакет cifs-utils и autofs если они не установлены
yum install cifs-utils autofs
Добавьте строки для монтирования в файлы
nano /etc/auto.master /mnt/samba /etc/auto.samba --ghost
nano /etc/auto.samba share -fstype=cifs,multiuser,cruid=$USER,sec=krb5 ://smb.ipa.test/share
6) Создайте запись crontab для root, чтобы обновить билет Kerberos каждые 12 часов
crontab -e
CRON будет работать в 1:00 и 13:00, чтобы обновить билет Kerberos
0 1,13 * * * /usr/bin/kinit admin@IPA.TEST
7) Запустите autofs и добавьте его в автозагрузку.
systemctl start autofs.service systemctl enable autofs.service
8) Перезагрузите машину
reboot
