|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> программы
—> SAMBA+AD+NT ACL
SAMBA с авторизацией в AD и поддержкой NT ACL
Автор: urgor.
Когда-то давно, когда деревья были большие... был у меня сервак на вынь 2к и держал он контроллер домена, там же были заведены принтеры, кучка шар и паслись на нем табуны пользователей. И жили все счастливо... ну почти все, те у кого был вынь98, да еще и бездоменный, то вообще на сервак зайти не могли, то печатать он от них не хотел. Вообщем часть 98х перевел на ХР, а вот что делать с остальными? Пробовать уломать начальство на новые CAD пакеты под ХР и пытаться не стал, а конструкторов и эти проги устраивали... им шар хотелось, да печати. Подумав, решил на свободной машинке собрать файлопомойку с сервером печати на пакете Samba с авторизацией юзеров в AD (у кого были там учетки).
Port: samba-3.0.22,1
Path: /usr/ports/net/samba3
Info: A free SMB and CIFS client and server for UNIX
Maint: timur@gnu.org
WWW: http://www.samba.org/
asu-004# cd /usr/ports/net/samba3
asu-004# make && make install && make clean
---------------------------------------------------------------------¬
¦ Options for samba 3.0.22,1 ¦
¦ -----------------------------------------------------------------¬ ¦
¦ ¦ [X] LDAP With LDAP support ¦ ¦
¦ ¦ [X] ADS With Active Directory support ¦ ¦
¦ ¦ [X] CUPS With CUPS printing support ¦ ¦
¦ ¦ [X] WINBIND With WinBIND support ¦ ¦
¦ ¦ [X] ACL_SUPPORT With ACL support ¦ ¦
¦ ¦ [ ] AIO_SUPPORT With experimental AIO support ¦ ¦
¦ ¦ [X] SYSLOG With Syslog support ¦ ¦
¦ ¦ [X] QUOTAS With Quota support ¦ ¦
¦ ¦ [ ] UTMP With UTMP support ¦ ¦
¦ ¦ [ ] MSDFS With MSDFS support ¦ ¦
¦ ¦ [ ] SAM_XML With XML smbpasswd backend ¦ ¦
¦ ¦ [ ] SAM_MYSQL With MYSQL smbpasswd backend ¦ ¦
¦ ¦ [ ] SAM_PGSQL With PostgreSQL smbpasswd backend ¦ ¦
¦ ¦ [ ] SAM_OLD_LDAP With Samba2.x LDAP legacy smbpasswd backend ¦ ¦
¦ ¦ [ ] SMBSH With SMBSH wrapper for UNIX commands ¦ ¦
¦ ¦ [ ] PAM_SMBPASS With SMB PAM module ¦ ¦
¦ ¦ [ ] EXP_MODULES With experimental module(s) ¦ ¦
¦ ¦ [X] POPT With system-wide POPT library ¦ ¦
+-L-----v(+)---------------------------------------------------------+
¦ [ OK ] Cancel ¦
L---------------------------------------------------------------------
| За собой самба потянет CUPS (сервер печати) и еще по мелочам :) Сначала отрихтуем CUPS.
В файлах mime.convs и mime.types разкомментировать строки:
[mime.convs]
application/octet-stream application/vnd.cups-raw 0 -
[mime.types]
application/octet-stream
Дабы cups пропускал потоки данных не форматируя их.
Добавляем в /etc/rc.conf строку cupsd_enable="YES"
asu-004# cd /usr/local/etc/cups
asu-004# cat /usr/local/etc/cups/cupsd.conf
AccessLog /var/log/cups/access_log
DataDir /usr/local/share/cups
ErrorLog /var/log/cups/error_log
FontPath /usr/local/share/cups/fonts
LogLevel debug
Printcap /etc/printcap
PrintcapFormat BSD
RequestRoot /var/spool/cups
ServerTokens Minor
Port 127.0.0.1:631
Port 192.168.0.201:631
Browsing Off
BrowseDeny All
<Location />
Order Deny,Allow
Deny From All
Allow From 127.0.0.1
Allow From 192.168.0.*
</Location>
<Location /admin>
AuthType Basic
AuthClass System
## Restrict access to local domain
Order Deny,Allow
Deny From All
Allow From 127.0.0.1
Allow From 192.168.0.*
#Encryption Required
</Location>
asu-004# /usr/local/etc/rc.d/cupsd.sh start
Starting cupsd.
| Далее бровсером ломимся на http://192.168.0.201:631
На запрос пароля, вводим данные рута и устанавлеваем принтеры.
Я ставил тип очереди как RAW queue, т.к. драйвера ставились на виндовые машины.
После чего можно перейти к настройкам самбы.
Пишем в /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = KK.COM
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
KK.COM = {
kdc = 192.168.0.1:88
admin_server = 192.168.0.1:749
default_domain = kk.com
}
[domain_realm]
.kk.com = KK.COM
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
| Редактируем файл /etc/nsswitch.conf
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
| Редактируем файл /usr/local/etc/smb.conf
[global]
# dos charset = cp866 # Если у вас нет юзеров с логином русскими
# unix charset = koi8-r # буковками, можете раскоментировать, тогда
# display charset = cp866 # в консоли русские файлики будут отображаться
# нормально
workgroup = KK
realm = KK.COM
netbios name = asu-004
server string = Samba Server %v
security = ADS
auth methods = winbind
map to guest = Bad User
password server = 192.168.0.1
printer admin = root
client NTLMv2 auth = Yes
log file = /var/log/samba/log.%m
max log size = 50
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
inherit acls = Yes
hosts allow = 192.168.0., 192.168.1., 127.
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
load printers = yes
printing = cups
printcap name = /etc/printcap
guest account = nobody
guest ok = yes
# debug level = 3
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
use client driver = yes
public = yes
[tmp]
comment = Temporary file space
path = /tmp
read only = No
create mask = 0666
create mode = 666
directory mode = 666
directory mask = 0777
guest ok = Yes
[films]
comment = Films, films, films
path = /var/shares/films
read list = "@KK\Domain Users"
write list = "@KK\Domain Admins"
read only = No
create mode = 666
directory mode = 666
create mask = 0666
directory mask = 0777
| Сверяем часы с AD, получаем билетик
asu-004# net time set -S 192.168.0.1
Wed Jun 14 13:42:56 MSD 2006
asu-004# kinit urgor@KK.COM
urgor@KK.COM's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
asu-004# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: urgor@KK.COM
Issued Expires Principal
Jun 14 13:45:20 Jun 14 20:25:05 krbtgt/KK.COM@KK.COM
| Добавляем в /etc/rc.conf строки
nmbd_enable="YES"
smbd_enable="YES"
winbindd_enable="YES"
Пускаем самбу, заводим комп в домен:
asu-004# /usr/local/etc/rc.d/samba.sh start
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.
Starting winbindd.
asu-004# net ads join -U urgor
urgor's password:
Using short domain name -- KK
Joined 'ASU-004' to realm 'KK.COM'
asu-004# wbinfo -p
Ping to winbindd succeeded on fd 4
asu-004# wbinfo -t
checking the trust secret via RPC calls succeeded
asu-004# wbinfo -g
должен быть показан список групп
asu-004# wbinfo -u
должен быть показан список юзеров
| Приводим файл /etc/pam.d/login к виду:
# auth
auth required pam_nologin.so no_warm
auth sufficient /usr/local/lib/pam_winbind.so
auth sufficient pam_opie.so no_warm no_fake_prompts
auth requisite pam_opieaccess.so no_warm allow_local
auth required pam_unix.so no_warm try_first_pass
# account
account sufficient /usr/local/lib/pam_winbind.so
account required pam_unix.so
# session
session required pam_permit.so
| И пробуем войти :) На этом можно и закончить... но! Хотелось бы еще поиметь nt acl.
Для этого надо загрузиться в однопользовательском режиме и включить ACL в суперблоке файловой системы.
/sbin/tunefs -a enable /fs
| где /fs обозначает точку монтирования файловой системы (/, /usr, и так далее). Если Вы не имеете доступа к терминалу машины, можно добавить вызов команды tunefs в начало файла /etc/rc для включения ACL при последующей загрузке. Если используется файловая система UFS2, включение ACL закончено. Для включения ACL необходима только строчка "opions UFS_ACL", встроенная по умолчанию в GENERIC-конфигурацию ядра.
Все усложняется, если Вы, подобно многим пользователям FreeBSD 5.0, используете UFS1 (FreeBSD 5.1 и выше используют UFS2 как файловую систему по умолчанию). ACL основаны на расширенных атрибутах, которыми не обладает UFS1.
Для установки расширенных атрибутов Вы должны добавить строки options UFS_EXTATTR и options UFS_EXTATTR_AUTOSTART в файл конфигурации ядра системы, после чего собрать и установить новое ядро. Не перезагружайте машину - еще необходимо инициализировать расширенные атрибуты на каждой файловой системе. Например, для инициализации атрибутов для /var требуется выполнить следующее:
%mkdir -p /var/.attribute/system
% cd /var/.attribute/system
% extattrctl initattr -p /var/ 388 posix1e.acl_access
% extattrctl initattr -p /var/ 388 posix1e.acl_default
| Вместо /var/ используйте любую файловую систему, которая будет нужна. После инициализации перезагрузитесь и атрибуты будут включены.
Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?t=20459.
размещено: 2006-06-15,
последнее обновление: 2006-06-15,
автор: urgor
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT
Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3
Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN
На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm
Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth"a
Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli
Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master
MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-09, terminus
DNS zones
Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)
Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
2010-03-02, BlackCat
Шлюз: Часть 4
Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
2010-03-01, BlackCat
Шлюз: Часть 3
Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
|
Статистика сайта
|
Сейчас на сайте находится: 22 чел.
|
За последние 30 мин было: 108 человек
|
За сегодня было 15432 показов, 1070 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
Коротко о приводном оборудовании и мотор-редукторах: https://render.ru/pbooks/2019-09-11?id=4969
|
Комментарии пользователей [42 шт.]