The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

SAMBA с авторизацией в домене с win2003 сервером (samba win auth domain)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: samba, win, auth, domain,  (найти похожие документы)
From: Городецкий Денис <denik27@nm.ru.> Newsgroups: email Date: Mon, 30 Mar 2005 14:31:37 +0000 (UTC) Subject: SAMBA с авторизацией в домене с win2003 сервером Задача: Организация файлового сервера Авторизация пользователей через домен контроллер Дано: Red Hat 9.0 Samba 3.0.13 DC win 2003 server Вступление. Взяться за написание данной статьи меня побудило то, что когда возникла задача о которой написано выше , то статьи описывающей решение данной проблемы полностью я не нашел вот и решил написать такую статью в которой было бы готовое решние Основная часть. Первым делом устанавливаем самбу . Решено было использовать последню версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим сложностей ни у кого не возникает, док по данному вопросу полно и потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий конфиг, может там и есть что лишнее, но после того как все заработало я убирать оттуда ничего не стал. [global] realm = bryusov.iasnet.ru # Workgroup = имя NT-домена (или рабочей группы): workgroup = DOMAIN # NetBIOS-имя, под которым будет виден сервер остальным машинам сети. netbios name = NAU # Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows. server string = Samba Server # Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с # указанными IP-адресами присоединяться к Samba-серверу. hosts allow = 172.18. 172.17. 127. # если подставить %m то для каждой машины подключенной к Samba-серверу будет # использоваться свой log-файл. log file = /var/log/samba/log.smbd #это кому скока не жалко max log size = 500 #определяет, каким образом будет осуществляться проверка пароля (нам надо через # DC ) security = domain # Параметр Password server используется только совместно с опцией # security = domain. password server = <IP домен контролера> #для репликации всех доменов входящих в траст с вашим доменом allow trusted domains = yes # включаем поддержку шифрованных паролей. encrypt passwords = yes # Используя следующий параметр можно создать отдельную конфигурацию для # каждой машины домена. # Вместо пары символов %m при входе подставляется NetBIOS-имя машины. # Я Такого не делал хотя поэксперементровать можно. # include = /usr/local/samba/lib/smb.conf.%m #данные строчки можно не включать в работающий конфиг они определяют место #хранения , порядок обновления Unix паролей и какой программой все это производится smb passwd file = /etc/samba/smbpasswd unix password sync = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully* # В документации говорится, что с помощью этого параметра # можно повысить производительность Samba-сервера. socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 #по дефолту слушаются все интерфейсы, здесь можно указать конкретно interfaces = <ip или название интерфейса> #строчки которых не было в стандартном конфиге и были добавлены руками для #pепликации NT-юзеpов: winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum groups = yes winbind enum users = yes #описываем шары [FILES] comment = share path = /share/FILES public = no writable = yes valid users = DOMAIN\users create mask = 0744 #натсройка кирилицы по желанию Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = PDC.DOMAIN.NAME.RU dns_lookup_realm = false dns_lookup_kdc = false [realms] DOMAIN.NAME.RU = { kdc = pdc.domain.name.ru:88 admin_server = kerberos.domain.name.ru:749 default_domain = domain.name.ru } [domain_realm] .domain.name.ru = DOMAIN.NAME.RU domain.name.ru = DOMAIN.NAME.RU [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false Все остальное оставлено без изменений. Теперь заводим самба сервер в домен, делаем со стороны домен контролера двусторонние доверительные отношения, запускаем getent group и видим что все работает. Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной настройки файл сервера. Принимаются отзывы и замечания на мой мейл или ICQ 256224038. Благодарности: Огромное спасибо всем кто писал статьи про самбу почти все их прочитал и почерпнул много полезного , в том числе не только для решения своих задач.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1.1, Andy (??), 16:45, 31/03/2005 [ответить]  
  • +/
    У меня без доверительных отношений всё авторизует.
     
  • 1.2, Yura (??), 08:58, 01/04/2005 [ответить]  
  • +/
    У меня такой вопрос, возникнут ли проблемы если на компе с самбой стоит еще почтовый сервер sendmail, могут ли возникнуть проблемы с авторизацией по POP3 (dovecot)? хотя у меня еще используеться авторизация и по SMTP.
    и вообще хотелось бы при заведении пользователя в Windows домене у него появлялся почтовый ящик... Это возмоно?
     
     
  • 2.8, gil (?), 17:54, 31/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    У меня стоит RH9, samba-3.0.0-2, сервер втянут в домен w2k (не контроллером), настроена авторизация через winbind/nss/pam, крутится sendmail и imapd (поддерживает IMAP и POP). Для существующего юзера (как локального, так и из домена) ящик создаётся, как только придёт первое письмо для него. Очень удобно, учитывая, что сервер обслуживает немаленькую организацию...
     

  • 1.3, goal (ok), 19:52, 12/04/2005 [ответить]  
  • +/
    Господа гуру, может быть поможете, на форуме никто не отвечает.
    Как вы ставете Kerberos для того чтобы Samba работала с W2K или W2K3 доменом. У меня стоит Debian Woody, kernel 2.4.29. При всех попытках скомпелировать Heimdal-0.6.3 вылетают ошибки на этапе make (./configure проходит нормально). Пытался найти готовый deb пакет, нашел только heimdal-client под Debian, но он тянет за собой такое кол-во необходимых библиотек и других deb пакетов, что после их установки система не поднимается.
    Может быть все Kerberos библиотеки уже в составе Samba есть и не надо ставить Heimdal?
    Заранее спасибо.
     
     
  • 2.4, Muxa (?), 08:50, 14/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Такой вопрос: getent group показывает все группы на сервере, но авторизация не проходит, подскажите, пожалуйста, в чем может быть

     

  • 1.5, Lynx (?), 03:36, 02/08/2005 [ответить]  
  • +/
    пробовал этот способ переложить на ASPLinux....не выщло...не нашел схожих файлов
     
     
  • 2.7, Seltsam (?), 12:55, 09/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    ты какие имеешь ввиду файлы? krb5.conf? поставь пакет для кербероса - в альте libkrb5..... =)
     

  • 1.6, Seltsam (?), 12:52, 09/02/2006 [ответить]  
  • +/
    Пробовал на ALT Linux Master 2.4 со стандартным набором пакетов в дистрибутиве - самба вошла в домен нормально, в др. статьях просто ни слова не было про Kerberos =)
    ВЕРИ БИГ СЕНКС!!! =)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру