V minulém tutoriálu jsem vám ukázal, jak nakonfigurovat Sambu na Centos 7 kompilací Samby ze zdroje, protože balíček dodávaný společností RedHat nepodporuje Active Directory. Všiml jsem si, že existuje úložiště s názvem Wing, které dodává samba4 rpm s podporou AD. V tomto tutoriálu budu používat toto úložiště pro instalaci Samby. Také ukážu, jak vytvořit sdílení samby.
V tomto tutoriálu použiji server CentOS 7 s minimální instalací jako základ s povoleným SELinuxem.
Příprava serveru CentOS 7
Zkontrolujte stav SELinux.
[[email protected] ~]# sestatusSELinux status:enabledSELinuxfs mount:/sys/fs/selinuxSELinux kořenový adresář:/etc/selinuxLoaded název zásady:targetedCurrent mode:enforcingMode z konfiguračního souboru:enforcingPolicy Stav MLS:enabledPolicy enabledMaxunknown Verze zásad jádra:28[[email protected] ~]#
Do souboru hostitele zapište IP adresu serveru následovanou úplným (fqdn) názvem hostitele a poté místní částí názvu hostitele.
[[email protected] ~]# cat /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.1.190 samba4.basunil.cc samba4. [e-mail chráněn] ~]#
Nainstalujte úložiště Epel CentOS.
[[email protected] ~]# yum install epel-release -y
Nainstalujte základní balíčky.
[[email protected] ~]# yum install vim wget authconfig krb5-workstation -y
Nyní nainstalujte úložiště křídla.
[[chráněn e-mailem] ~]# cd /etc/yum.repos.d/[[chráněn e-mailem] yum.repos.d]# wget http://wing-net.ddo.jp/wing/7/ EL7.wing.repo[[chráněno e-mailem] yum.repos.d]# sed -i '[chráněno e-mailem][chráněno e-mailem][chráněno e-mailem]' /etc/yum.repos.d/EL7.wing.repo[[ email protected] yum.repos.d]# yum čisté všeNačtené pluginy:nejrychlejší zrcadloČištění repozitářů:základní aktualizace wing wing-source Čištění všeho Čištění seznamu nejrychlejších zrcadel[[email chráněno] yum.repos.d]#
Instalace Samby 4 na CentOS 7
Instalace balíčků Samba4 z úložiště wing pomocí yum.
[[email protected] yum.repos.d]# yum install -y samba45 samba45-winbind-clients samba45-winbind samba45-client\samba45-dc samba45-pidl samba45-python samba45-winlocator perbl Parse-Yapp\perl-Test-Base python2-crypto samba45-common-tools
Odeberte tyto soubory.
[[e-mail chráněný] ~]# rm -rf /etc/krb5.conf[[chráněn e-mailem] ~]# rm -rf /etc/samba/smb.conf
Konfigurace Samba 4
Nyní provedeme zřízení domény.
[[email protected] ~]# poskytování domény nástrojem samba --use-rfc2307 --interactive Realm [SUNIL.CC]:Doména [SUNIL]:Role serveru (dc, člen, samostatný) [dc]:DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:IP adresa DNS forwarderu (pro deaktivaci předávání napište 'none') [4.2.2.1]:Heslo administrátora:Opětovné zadání hesla:Vyhledávání IPv4 adres Vyhledání IPv6 adres nebude IPv6 PřiřazenoNastavení secrets.ldbNastavení registruNastavení databáze oprávněníNastavení idmap dbNastavení SAM dbNastavení oddílů a nastavení sam.ldbNastavení sam.ldb rootDSEPřednačtení schématu Samba 4 a ADPřidání DN domény:DC=sunil,DC=ccPřidání konfiguračního kontejneruNastavení sam.ldb schemaNastavení konfiguračních dat sam.ldbNastavení specifikátorů zobrazeníÚprava specifikátorů zobrazeníPřidání kontejneru uživatelůÚprava kontejneru uživatelůPřidání kontejneru počítačůÚprava kontejneru počítačůNastavení dat sam.ldbNastavení známých principů zabezpečení Nastavení uživatelů a skupin sam.ldbNastavení vlastního připojeníPřidání účtů DNSVytvoření CN=MicrosoftDNS,CN=Systém,DC=sunil,DC=ccVytvoření oddílů DomainDnsZones a ForestDnsZonesNaplnění oddílů DomainDnsZones a ForestDnsZonesNastavení konfigurace sam.ldb rootDSE pro označení Keram. Samba 4 byla vygenerována na /var/lib/samba/private/krb5.confNastavení falešného nastavení serveru yp Jakmile budou nainstalovány výše uvedené soubory, bude váš server Samba4 připraven k použití Role serveru:řadič domény aktivního adresářeNázev hostitele:samba4NetBIOS Doména:SUNILDNS Doména:sunil.cc SID DOMÉNY:S-1-5-21-1578983437-3114190590-2362936743[[e-mail chráněný] etc]#
Ujistěte se, že jsou porty otevřené ve firewallu.
[[e-mail chráněný] etc]#firewall-cmd --add-port=53/tcp --permanent;firewall-cmd --add-port=53/udp --permanent;firewall-cmd --add- port=88/tcp --permanent;firewall-cmd --add-port=88/udp --permanent; \firewall-cmd --add-port=135/tcp --permanent;firewall-cmd --add-port=137-138/udp --permanent;firewall-cmd --add-port=139/tcp --permanent; \firewall-cmd --add-port=389/tcp --permanent;firewall-cmd --add-port=389/udp --permanent;firewall-cmd --add-port=445/tcp --permanent; \firewall-cmd --add-port=464/tcp --permanent;firewall-cmd --add-port=464/udp --permanent;firewall-cmd --add-port=636/tcp --permanent; \firewall-cmd --add-port=1024-3500/tcp --permanent;firewall-cmd --add-port=3268-3269/tcp --permanent[[e-mail chráněný] ~]# firewall-cmd --reload
Balíček neposkytuje init skript, přidáme jej nyní.
[[e-mail chráněný] ~]# cat /etc/systemd/system/samba.service[Unit]Description=Samba 4 Active DirectoryAfter=syslog.targetAfter=network.target[Service]Type=forkingPIDFile=/var/run /samba.pidExecStart=/usr/sbin/samba[Install]WantedBy=multi-user.target[[chráněn e-mailem] ~]#[[chráněn e-mailem] ~]# systemctl povolit sambaVytvořený symbolický odkaz z /etc/systemd/system/multi -user.target.wants/samba.service do /etc/systemd/system/samba.service.[[email chráněný] ~]# systemctl restart samba
Všechny ostatní kroky jsou podobné mému předchozímu článku
Chcete-li konfigurovat hostitele Windows a Linux, podívejte se na něj
Instalace řadiče domény Samba4 ze zdroje
Vytvoření sdílení Samba s podporou Windows ACL
Potřebujeme nakonfigurovat rozšířený ACL pro samba4. Přidejte následující do souboru smb.conf pod global.
[[email protected] ~]# cat /etc/samba/smb.conf# Globální parametry[globální] ------------ ------------ - vfs objects =acl_xattr map acl inherit =yes store dos atributy =yes ------------ -------------[[e-mail chráněný] ~]#Nyní restartujte službu Samba.
[[email protected] ~]# systemctl restart sambaOprávnění ke sdílení mohou konfigurovat pouze uživatelé a skupiny s uděleným oprávněním SeDiskOperatorPrivilege.
[[email protected] ~Udělování # čistých práv RPC "SUNIL\Domain Admins" SeDiskOperatorPrivilege -U "USER\administrator"Zadejte heslo USER\administrator:Práva byla úspěšně udělena.[[email protected] ~]#Než vytvoříme sdílenou složku, musíme se ujistit, že se server samba4 ověřuje sám u sebe.
Nemůžeme použít obvyklou metodu, protože to nefunguje, protože stávající balíček z wing bude v konfliktu s balíčky dodávanými RedHatem, nemůžeme zde použít sssd. Aby to fungovalo, použijeme winbind.
Použijte prosím níže uvedený způsob. To je nutné k vytvoření sdílení samba se specifickými oprávněními
Nainstalujte si níže uvedený balíček.
[[email protected] ~]#yum -y install authconfig-gtk*Spusťte příkaz.
[[email protected] yum.repos.d]# authconfig-tuivyberte prosím winbind a postupujte podle následujících kroků.
Nebudete moci zadat heslo, stačí stisknout ok.
Poté zakomentujte řádky v /etc/samba/smb.conf a restartujte službu samba.
Vaše konfigurace by měla vypadat takto:
[[email protected] ~]# cat /etc/samba/smb.conf# Globální parametry[global]#--authconfig--start-line--# Vygenerováno authconfig dne 26.05.2017 17:23 :04# NEUPRAVUJTE TUTO SEKCI (oddělená --start-line--/--end-line--)# Jakákoli úprava může být smazána nebo změněna pomocí authconfig v budoucnosti# workgroup =SUNIL# password server =samba4.sunil .cc# realm =SUNIL.CC# security =ads# idmap config * :range =16777216-33554431# template shell =/sbin/nologin# metoda kerberos =pouze tajemství# winbind použít výchozí doménu =false# winbind offline přihlášení =false# --authconfig--end-line-- netbios name =SAMBA4 realm =SUNIL.CC workgroup =SUNIL dns forwarder =4.2.2.1 role serveru =řadič domény aktivního adresáře idmap_ldb:use rfc2307 =yes vfs objects =acl_xattr mapa acl inherit =yes store dos atributy =yes[netlogon] cesta =/var/lib/samba/sysvol/sunil.cc/scripts pouze pro čtení =Ne[sysvol] cesta =/va r/lib/samba/sysvol pouze pro čtení =Ne[[e-mail chráněný] ~]#[[chráněn e-mailem] ~]# systemctl restart sambaZkontrolujte, zda jsme schopni naplnit uživatele a skupiny:
[[email protected] ~]# wbinfo -uSUNIL\administratorSUNIL\sambauserSUNIL\testuserSUNIL\krbtgtSUNIL\guest[[email protected] ~]# wbinfo -gSUNIL\cert publishersSUNIL\ras a ias skupina serverů replikace rodSUNIL\allow SUNIL\allow odepřená skupina replikace hesel rodcSUNIL\dnsadminsSUNIL\enterprise řadiče domény pouze pro čteníSUNIL\správci doménySUNIL\uživatelé doménySUNIL\hostitelé doménySUNIL\doménové počítačeSUNIL\řadiče doménSUNIL\správci schématuSUNIL\administrátoři firemních řadičůSUNIL\správci skupiny datum SUNIL\správci skupin-vytvořitel SUNIL\ns e-mail chráněno] ~]#Upravte řádky v nsswitch.conf:
[[email protected] ~]# cat /etc/nsswitch.conf-------------------passwd:soubory winbindshadow:soubory winbindgroup:soubory winbindhosts:soubory dns winsservices:soubory winbindnetgroup:soubory winbind-------------------Nyní zkontrolujte, zda jsme schopni získat uživatelské jméno pomocí příkazu id:
[[email protected] ~]# id testuseruid=3000019(SUNIL\testuser) gid=100(users) groups=100(users),3000019(SUNIL\testuser),3000009(BUILTIN\users)[[email protected ] ~]#Vytvoření sdílení Samba
Budu vytvářet dvě sdílené položky, jednu přístupnou pouze testuser a druhou sdílenou přístupnou všem uživatelům ve skupině uživatelů domény.
Sdílení přístupné testuser se bude nazývat testshare.
Sdílená složka přístupná všem uživatelům se bude nazývat commonshare.
[[email protected] ~]# mkdir /testshare[[email protected] ~]# mkdir /commonshare[[e-mail protected] ~]# chmod 770 /testshare[[email protected] ~]# chmod 770 /commonshare[ [e-mail chráněný] ~]# chown -R root:testuser /testshare[[e-mail chráněný] ~]# chown -R root:"Uživatelé domény" /commonshareNyní přidejte položky do smb.conf
[[email protected] ~]# cat /etc/samba/smb.conf# Globální parametry[globální] název netbios =sféra SAMBA4 =SUNIL.CC workgroup =SUNIL dns forwarder =role serveru 4.2.2.1 =doména aktivního adresáře controller idmap_ldb:use rfc2307 =yes vfs objects =acl_xattr map acl inherit =yes store dos atributy =yes[netlogon] path =/var/lib/samba/sysvol/sunil.cc/scripts read only =No[sysvol] path =/ var/lib/samba/sysvol pouze pro čtení =Ne[TestShare] komentář =Testovací sdílení přístupné testuser cesta =/testshare platní uživatelé =SUNIL\testuser zapisovatelný =ano pouze pro čtení =ne vynucený režim vytvoření =0660 vytvořit masku =0770 maska adresáře =0770 vynutit režim adresáře =0770 sdílený výčet na základě přístupu =ano skrýt nečitelný =ano[CommonShare] komentář =Přístupný všem uživatelům cesta =/commonshare platní uživatelé ="@SUNIL\Do hlavní uživatelé" zapisovatelný =ano pouze pro čtení =ne vynutit režim vytvoření =0660 vytvořit masku =0777 maska adresáře =0777 vynutit režim adresáře =0770 sdílený výčet na základě přístupu =ano skrýt nečitelný =ano[[e-mail chráněný] ~]#Restartujte službu samba.
[[email protected] ~]# systemctl restart sambaPřistupujte ke sdílení samba jako testovací uživatel.
Zde uvidíte, že je vidět jak testshare, tak commonshare.
Testováno vytváření souborů a složek v rámci testshare.
[[email protected] /]# cd /testshare/[[email protected] testshare]# ls -ltotal 8-rwxrwx---+ 1 SUNIL\testuser users 0 May 27 22:56 1.txtdrwxrwx--- + 2 uživatelé SUNIL\testuser 6. května 27 22:56 test[[email protected] testshare]#Nyní se přihlašuji jako jiný uživatel, je vidět pouze commonshare:
Vytváření souborů pod společným sdílením.
[[email protected] commonshare]# ls -ltotal 8drwxrwxrwx+ 2 uživatelé SUNIL\testuser 6. května 27:02 testdrwxrwxrwx+ 2 uživatelé SUNIL\sambauser 6. května 23:07 protektováno2[preshamail protected][email protected]>Takto vytváříme sdílení v rámci Samba 4.
Cent OS
