Samba в домене Active Directory на примере Linux Ubuntu. Простая инструкция для начинающих
Использовался дистрибутив ubuntu-20.04.1-desktop.
В статье есть не обязательные пункты, можете их пропустить, а если не будет работать вернуться к ним.
За основу была взятая информация товарища @gotch из послесловия к статье.
muz.ru - пример нашего домена
(не обязательный пункт) Вполне возможно потребуется создать на сервере DNS запись вида а*aaa.
Заходим в диспетчер серверов -> средства > dns. Зоны прямого просмотра -> выбираем имя домена -> нажимаем правой кнопкой -> создать узел (А или АААА) - вводим имя и айпи компьютера.
Перед установкой желательно обновиться:
sudo aptitude update sudo aptitude upgrade
Нужно обязательно синхронизировать время с контроллером домена.
(не обязательный пункт) Автоматическая же синхронизация настраивается с помощью ntpd, это демон будет периодически выполнять синхронизацию.
Для начала его необходимо установить:
sudo aptitude install ntp Теперь исправьте файл /etc/ntp.conf, добавив в него информацию о вашем сервере времени:
#You do need to talk to an NTP server or two (or three). server dc.muz.ru
После чего перезапустите демон ntpd:
sudo /etc/init.d/ntp restart
Теперь пора настраивать непосредственно взаимодействие с доменом.
Устанавливаем нужные пакеты:
sudo apt install realmd samba-common-bin samba-libs smbclient sssd-tools krb5-user adcli cifs-utils(не обязательный пункт) Редактируем (проверяем) файл /etc/hosts, указываем FQDN для данного хоста: 127.0.0.1
localhost 127.0.1.1 имякомпьютера.muz.ru имякомпьютераПроверяем, что наш домен виден в сети:
realm discover muz.ruВводим машину в домен:
sudo realm --verbose join muz.ru -U логинадминадомена --install=/Редактируем настройки PAM:
sudo pam-auth-updateОставим по умолчанию.
Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.
Для того чтоб при входе не указывать дополнительно к логину домен, можно добавить суффикс по умолчанию.
В файле /etc/sssd/sssd.conf, в блоке [sssd] добавляем строку:
default_domain_suffix = muz.ru
Даём root права суперюзеру.
Проще всего будет выдать данное разрешение не для конкретного пользователя, а сразу для указанной доменной группы. Создаём группу на контролере домена, например linuxadmins и включаем туда нужных пользователей и группы. Редактируем /etc/sudoers:
sudo visudo
Приведу фрагмент файла, в котором описываются пользователь и группа имеющие возможность выполнять sudo (здесь была добавлена последняя строчка фрагмента):
#includedir /etc/sudoers.d MUZ\user1 ALL=(ALL:ALL) ALL %MUZ\linuxadmins ALL=(ALL) ALL
После сохранения файла снова входим в систему доменным пользователем и пробуем выполнить любую команду с sudo.
Монтирование сетевых папок.
Cоздадим на нашем Linux директорию, к которой мы будем монтировать сетевой ресурс. Назовем ее myshare и расположена она будет в каталоге /mnt.
$ sudo mkdir /mnt/myshare
Монтирование общих папок проводим через редактирование фаила /etc/fstab
В этих примерах монтируем 2 директории - smbt и отдел экспозиц. Обратите внимание на различия в синтаксисе.
//192.168.0.5/smbt /mnt/share cifs username=логинадмина,password=парольадмина,domain=muz.ru, vers=3.0,iocharset=utf8,filemode=0777,dirmode=0777 0 0
//192.168.0.5/отдел\040экспозиц /mnt cifs username=логинадмина,password=парольадмина, domain=muz.ru,vers=3.0,iocharset=utf8,filemode=0777,dirmode=0777 0 0
iocharset=utf8 — эта кодировка позволяет работать с именами файлов, в которых используются не только латинские буквы. vers=3.0, - версия протокола smb По умолчанию сетевой ресурс монтируется с полными правами (rwx или 777). Если Вы хотите установить иные права, используйте опции dirmode и filemode.
Следующей командой запустим монтирование всех точек, описанных в /etc/fstab
$ sudo mount -a
Всем крепких нервов и здоровья.