Интеграция файлового сервера Samba с IPA
1) Установите необходимые пакеты на файловую шару:
yum -y install ipa-client sssd-libwbclient samba samba-client
2) присоедините файловый сервер к домену ipa:
ipa-client-install --mkhomedir
3) На сервере ipa переведите SeLinux в режим уведомлений.
nano /etc/selinux/config
Заменив текст SELINUX=enforcing
на SELINUX=permissive
Выполните:
setenforce 0
Более подробно см.ссылку
Не забудьте включить selinux после завершения настройки.
4) Создайте главную директорию cifs для samba:
kinit admin ipa service-add cifs/smb.ipa.test
5) На сервера IPA запустите настройку домена для обработки классов и атрибутов объектов, специфичных для Samba.
ipa-adtrust-install --add-sids
Перезапустите сервер командой
reboot
После запуска —add-sids пользователи должны сбросить свои пароли, чтобы freeipa генерировал значение ipaNTHash для паролей.
6) Установите keytab на файловый сервер samba:
kinit admin ipa-getkeytab -s serv.ipa.test -p cifs/smb.ipa.test -k /etc/samba/samba.keytab
7) Измените /etc/samba/smb.conf на файловом сервере samba:
[global] workgroup =IPA realm =IPA.TEST dedicated keytab file = FILE:/etc/samba/samba.keytab kerberos method = dedicated keytab log file =/var/log/samba/log.%m security =user dns proxy =No passdb backend = tdbsam vfs objects= acl_xattr map acl inherit = yes store dos attributes = yes allow dns updates = nonsecure client min protocol = NT1 client max protocol = SMB2 winbind rpc only = Yes client use spnego = no client ntlmv2 auth = no [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [share] path = /share writable = yes browsable=yes write list = @admins
8) Переведите SeLinux в режим уведомлений (см. п. 3).
9) Перезапустите сервисы
systemctl restart smb.service systemctl restart nmb
10) Создайте папку указанную в smb.conf
mkdir /share chmod 777 /share
11) После настройки samba перезагрузите машину
reboot
Настройка autofs на Ipa клиенте
1) Присоедините машину к домену ipa:
ipa-client-install --mkhomedir
Переведите SeLinux в режим уведомлений.
nano /etc/selinux/config
Заменив текст SELINUX=enforcing
на SELINUX=permissive
Выполните:
setenforce 0
Более подробно см.ссылку
Не забудьте включить selinux после завершения настройки.
kinit admin
3) измените строки в файле
nano /etc/krb5.conf
Закомментируйте строку и добавьте вместо нее следующую:
# default_ccache_name = KEYRING:persistent:%{uid} default_ccache_name = FILE:/tmp/krb5cc_%{uid}
4) Проверка доступности самба ресурса, выполните следующие команды
su admin kinit admin smbclient -k //smb.ipa.test/share
При успешном соединении вы увидите надпись
smb: \>
5) Настройка автомонтирования шары
Установите пакет cifs-utils и autofs если они не установлены
yum install cifs-utils autofs
Добавьте строки для монтирования в файлы
nano /etc/auto.master /mnt/samba /etc/auto.samba --ghost
nano /etc/auto.samba share -fstype=cifs,multiuser,cruid=$USER,sec=krb5 ://smb.ipa.test/share
6) Создайте запись crontab для root, чтобы обновить билет Kerberos каждые 12 часов
crontab -e
CRON будет работать в 1:00 и 13:00, чтобы обновить билет Kerberos
0 1,13 * * * /usr/bin/kinit admin@IPA.TEST
7) Запустите autofs и добавьте его в автозагрузку.
systemctl start autofs.service systemctl enable autofs.service
8) Перезагрузите машину
reboot