Введение
Настройку контроллера домена произвели другие люди, поэтому о тех подробностях не знаю. Ниже приведена настройка моей клиентской машины.
Kerberos
Предварительно графическими средствами был настроен Kerberos и kinit-ом получен билет. Пункт меню “Система”\”Администрирование”\”Аутентификация” на вкладке Аутентификация уст галочку “Включить поддержку Kerberos”. Далее рядом кнопка “Настроить Kerberos”. Заполнить поля “Область” - БОЛЬШИМИ БУКВАМИ, “Сервера KDC”, “Сервера управления”. Когда вы впервые откроете это окно, все эти три поля уже заполнены примерами, которые надо изменить по вашему усмотрению. 2 галочки “Использовать DNS ...” у меня сняты, но в вашем случае может быть иначе. Признаком что все правильно станет получение билета командой kinit.
Время
Графическими средствами федоры была произведена настройка на внутренние NTP-сервера нашей сети. В меню “Система”\”Администрирование”\”Дата и время” на вкладке “Синхронизация часов” были добавлены наши сервера и убраны сервера интернета.
Содержимое smb.conf
Первоначально графическим средством “Система”\”Администрирование”\”SAMBA” был первоначально настроен. Тут был добавлен: рабочая группа, сервера паролей. Кроме того это средство само добавило в smb.conf параметры idmap uid = и idmap gid =, которые я потом не менял. Далее настройки правились ручками и в результате получилось так.[global]
workgroup = home
password server = 10.10.10.10 10.10.10.1
realm = KERBEROS.EXAMPLE.COM
security = domain
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
; template shell = /bin/false
winbind use default domain = true
winbind offline logon = false
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind expand groups = 3
winbind use default domain = yes
restrict anonymous = 0
domain master = no
encrypt passwords = yes
guest ok = yes
guest account = smbguest
map to guest = bad user
wide links = no
server string = Ivanov Ivan Ivanivich 33-33-33
netbios name = it-ivanov
interfaces = lo eth0
log file = /var/log/samba/log.%m
max log size = 50
; passdb backend = tdbsam
local master = no
os level = 33
; preferred master = no
; wins support = no
wins server = 10.10.10.20 10.10.10.21
cups options = raw
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
; guest ok = no
; writable = No
printable = yes
[for_guests]
path = /media/data/for_guests
public = yes
writable = yes
[install]
path = /media/data/install
public = yes
writable = No
Здесь параметр
workgroup = короткое имя домена
password server = IP-адреса контроллеров домена
REALM = должен совпадать с параметром “Область” в том месте где мы настраивали
Kerberos
Группа параметров restrict anonymous =, guest ok =, guest account =, map to guest = отвечают за то как самба будет реагировать, когда на нее попытается зайти юзер не принадлежащий к домену и отсутствующий в /etc/passwd.
wins server = ip-адреса серверов wins
Локальные пользователи SAMBA
smbguest - создавалась для гостей. См выше параметр guest account = в файле smb.confCначала эта учетка были созданы командой useradd, потом применена команда smbpasswd -a - создать юзера в САМБЕ, smbpasswd -e - разрешить юзера в САМБЕ
useradd smbguest
smbpasswd -a smbguest
smbpasswd -e smbguest
Подсоединение к домену
Учетная запись компа в домене уже была
ПК подсоединил к домену командой
/usr/bin/net ads join member -U i.ivanov -S kerberos.example.com
Юзер i.ivanov имеет право добавлять ПК в домен, kerberos.example.com - контроллер домена с полным доменным именем.
Комментариев нет:
Отправить комментарий