Samba4 AD + फ़ाइल सर्वर के रूप में

इस लेख में, मैं Samba4 को डोमेन नियंत्रक के रूप में उपयोग करने के लिए तैयार करने के चरणों के साथ-साथ Samba4 पर आधारित एक अतिरिक्त फ़ाइल सर्वर के साथ भी देखूंगा। आखिर में हमें क्या मिलेगा? Samba4 के साथ दो कॉन्फ़िगर किए गए सर्वर, डोमेन नियंत्रक की भूमिका में पहला, उपयोगकर्ता फ़ाइलों के साथ सदस्य सर्वर की भूमिका में दूसरा। मैंने लगभग एक महीने के लिए इस बंडल के कामकाज को हासिल किया, सिम के लिए, मैं अंतिम नुस्खा साझा नहीं करूंगा, मेरे पास बस अधिकार नहीं है ...



थोड़ी पृष्ठभूमि: कंपनी LDAP बैकएंड के साथ samba3.6 पर आधारित एक फ़ाइल सर्वर का उपयोग करती है, जिसमें सभी उपयोगकर्ताओं और एक्सेस अधिकारों वाले समूहों की एक सूची होती है। निर्देशिका के एक्सेस अधिकार xattr_acl (विस्तारित फ़ाइल विशेषताएँ) का उपयोग करके सेट किए गए हैं, एक्सेस समूहों वाले उपयोगकर्ताओं की एक सूची LDAP में संग्रहीत है। दरअसल, आपको इस इन्फ्रास्ट्रक्चर से samba4 में जाने की जरूरत है ...

1) हम samba4 के लिए दो सर्वर तैयार कर रहे हैं, मैं SUSE लाइनेक्स एंटरप्राइज 11 सर्विस पैक 3 (SLES11 SP3) वितरण का उपयोग एक उद्यम मानक के रूप में करता हूं, इसलिए मैं इसके आधार पर सब कुछ तैनात करूंगा। फिर आप स्रोत से सांबा एकत्र कर सकते हैं, यह वैकल्पिक है, मैं सरनेट से तैयार विधानसभा का उपयोग करता हूं, जिसे आप पोर्टल पर पंजीकरण करके मुफ्त में प्राप्त कर सकते हैं - पोर्टल एंटरप्राइज सांबा

सर्नेट ने कई वितरणों के लिए सांबा का निर्माण किया - डेबियन, उबंटू, आरएचईएल, सेंटोस, एसएलईएस, ओपनएसयूएसई।
मैंने Samba4 संस्करण 4.1.6 का उपयोग किया

2) पहले सर्वर पर, जो हमारे लिए एक डीसी के रूप में कार्य करेगा, sernet-samba-ad स्थापित करेगा। यदि आपको समस्या है, तो आप आधिकारिक निर्देश - Samba AD DC HOWTO पर देख सकते हैं । हमारे नए सर्वर के संकेत के साथ आपके DNS सर्वर में हमारे भविष्य के डोमेन का नाम दर्ज करना अविस्मरणीय है।

अगला, हम सांबा-टूल्स का उपयोग करके डोमेन बनाते हैं।

samba-tool domain provision --use-rfc2307 --interactive 

सिस्टम आपको कई मापदंडों के लिए पूछेगा जिन्हें आपको निर्दिष्ट करने की आवश्यकता है, उदाहरण के लिए, जैसे कि एक डोमेन नाम, आदि, और एक पासवर्ड भी पूछें। वास्तव में केवल डोमेन नाम और आपको निर्दिष्ट करने की आवश्यकता है, अन्य सभी प्रश्नों को डिफ़ॉल्ट रूप से उत्तर के साथ छोड़ा जा सकता है। व्यवस्थापक पासवर्ड को विंडोज में मानक पासवर्ड नीतियों का पालन करना चाहिए, अर्थात। कम से कम एक छोटा और एक बड़ा अक्षर, साथ ही संख्या, कम से कम 8 अक्षर हैं।

डिफ़ॉल्ट स्थान पर नए कॉन्फ़िगर सांबा कॉन्फ़िगर कर्बरोस को कॉपी करें।

 cp /var/lib/samba/private/krb5.conf /etc/krb5.conf 

यह सत्यापित करने के लिए कि कर्बेरोस सही ढंग से काम कर रहा है, आप krb5-क्लाइंट को स्थापित कर सकते हैं और उस प्रमाणीकरण कार्य को सत्यापित कर सकते हैं।

 kinit administrator@EXAMPLE.COM klist 

किल्स को टिकटों की जानकारी दिखानी चाहिए, अगर सब कुछ ठीक है - आगे बढ़ें।

फ़ाइल / etc / default / sernet-samba को ठीक करने की आवश्यकता है
पंक्ति SAMBA_START_MODE = को अगले तक संपादित करें।

 SAMBA_START_MODE="ad" 

उसके बाद, आप सांबा को स्वयं चला सकते हैं

 /etc/init.d/sernet-samba-ad start 

यदि प्रक्षेपण सफल रहा, तो आप मान सकते हैं कि हमारा डोमेन नियंत्रक पहले ही तैनात किया जा चुका है।

हम फ़ाइल /etc/nsswitch.conf को संपादित करते हैं ताकि सिस्टम डोमेन और समूह के उपयोगकर्ताओं को देख सके, और आम तौर पर फाइलों के अधिकार भी निर्धारित कर सकें। हम इन दो पंक्तियों को निम्न रूप में लाते हैं:

 passwd: compat winbind group: compat winbind 

सिस्टम को पुनरारंभ करें और जांचें कि क्या यह काम करता है ... गेटवे पासवार्ड और गेटेंट समूह का उपयोग करके। हमें अपने डोमेन से समूहों और उपयोगकर्ताओं को देखना चाहिए। आप इस कदम के बारे में अधिक विस्तार से आधिकारिक निर्देश पढ़ सकते हैं - Samba4 / Winbind

यह डोमेन में प्रशासन के लिए किसी भी विंडोज मशीन में प्रवेश करने के लिए बना हुआ है, मुझे लगता है कि इससे कोई समस्या नहीं होगी।

3) विंडोज मशीन पर जो हमने डोमेन में दर्ज किया था, व्यवस्थापक पैक स्थापित करें। हम विज्ञापन में उपयोगकर्ता प्रबंधन के लिए उपकरणों का उपयोग करते हैं।



प्रत्येक समूह और उपयोगकर्ता को हमारे दूसरे सर्वर पर xattr_acl के सामान्य संचालन के लिए यूनिक्स यूआईडी \ gid सौंपा जाना चाहिए।



4) यह हमारे दूसरे सर्वर को तैयार करने का समय है, जो एक सदस्य सर्वर के रूप में कार्य करेगा और डोमेन में एक फ़ाइल सर्वर होगा।

Sssd स्थापित करें, मानक SLES11 रिपॉजिटरी में संस्करण 1.9.4 है, यह हमारे लिए काफी उपयुक्त है। इसके अलावा sssd-tools इंस्टॉल करें। हमारे डोमेन से यूनिक्स विशेषताओं वाले उपयोगकर्ताओं को प्राप्त करने के लिए sssd की आवश्यकता है। आप आधिकारिक निर्देशों में कॉन्फ़िगरेशन के बारे में अधिक पढ़ सकते हैं - स्थानीय उपयोगकर्ता प्रबंधन और प्रमाणीकरण / sssd
हम Kerberos के माध्यम से AD के साथ संचार को कॉन्फ़िगर करेंगे।

पहले सर्वर (DC) पर, आपको केर्बोस से कीटाटा निर्यात करना होगा।

 samba-tool domain exportkeytab /etc/krb5.sssd.keytab --principal=__DC$ chown root:root /etc/krb5.sssd.keytab chmod 600 /etc/krb5.sssd.keytab 

सुरक्षा के लिए, हम अतिरिक्त अधिकारों को काट देंगे। उसी तरह से हमारे दूसरे सर्वर पर कीटाब फाइल को कॉपी करें।

Sssd.conf का संपादन

 [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [domain/default] ad_hostname = smbad.samba4.servdesk.ru ad_server = smbad.samba4.servdesk.ru ad_domain = samba4.servdesk.ru ldap_schema = rfc2307bis id_provider = ldap access_provider = simple # on large directories, you may want to disable enumeration for performance reasons enumerate = true auth_provider = krb5 chpass_provider = krb5 ldap_sasl_mech = gssapi ldap_sasl_authid = smbad$@SAMBA4.SERVDESK.RU krb5_realm = SAMBA4.SERVDESK.RU krb5_server = smbad.samba4.servdesk.ru krb5_kpasswd = smbad.samba4.servdesk.ru ldap_krb5_keytab = /etc/krb5.sssd.keytab ldap_krb5_init_creds = true ldap_referrals = false ldap_uri = ldap://smbad.samba4.servdesk.ru ldap_search_base = dc=samba4,dc=servdesk,dc=ru dyndns_update=false ldap_id_mapping=false ldap_user_object_class = user ldap_user_name = samAccountName ldap_user_uid_number = uidNumber ldap_user_gid_number = gidNumber ldap_user_home_directory = unixHomeDirectory ldap_user_shell = loginShell ldap_group_object_class = group ldap_group_name = cn ldap_group_member = member 

अपने दम पर अपने डीसी और अपने डोमेन का नाम तय करना याद रखें। हम ऑटोरन में sssd डालते हैं, हम सर्वर को रिबूट करते हैं।
अगला, आप कैश को रीसेट कर सकते हैं और उपयोगकर्ताओं के साथ हमारे समूह की जांच कर सकते हैं।

 sss_cache -UG getent group ... Schema Admins:*:10110:Administrator Domain Users:*:10103: DnsAdmins:*:10117: servdesk:*:10102:test 

सूची में हमारे समूह और उपयोगकर्ता शामिल होने चाहिए, जो कि हम विंडोज पर AD स्नैप-इन में सेट करते हैं।

5) हम दूसरे सर्वर पर samba4 को कॉन्फ़िगर करने के लिए आगे बढ़ते हैं, sernet-samba-nmbd, sernet-samba-smbd, sernet-samba-winbind और उनके लिए सभी निर्भरताएँ स्थापित करते हैं। आप आधिकारिक निर्देशों में सेटिंग के बारे में अधिक पढ़ सकते हैं - सांबा / डोमेन सदस्य

Smb.conf बनाएं, मेरी फ़ाइल इस तरह दिखती है:

 [global] workgroup = SAMBA4 security = ADS realm = SAMBA4.SERVDESK.RU # map untrusted to domain = Yes idmap config *:backend = tdb idmap config *:range = 70001-80000 # idmap config SAMBA4:default = yes idmap config SAMBA4:backend = ad idmap config SAMBA4:schema_mode = rfc2307 idmap config SAMBA4:range = 500-40000 # idmap_ldb:use rfc2307 = yes winbind nss info = rfc2307 winbind trusted domains only = no winbind use default domain = yes # winbind enum users = yes # winbind enum groups = yes #create mask = 0777 #directory mask = 0777 vfs objects = acl_xattr btrfs map acl inherit = Yes store dos attributes = Yes [data1] path = /data1/ read only = no 

अपने लिए कॉन्फ़िगरेशन को ठीक करने के लिए मत भूलना, आपको अपना डोमेन नाम बदलने की आवश्यकता है।

हम इसमें अपनी मेजबानों की फाइल को सही करते हैं, हमें सीधे अपने सदस्य सर्वर का नाम बताना होगा, अन्यथा DNS ज़ोन स्वचालित रूप से AD में अपडेट नहीं होंगे।

 127.0.0.1 localhost 127.0.0.1 samba3.samba4.servdesk.ru samba3 

हमारे डोमेन में प्रवेश करने के लिए प्रक्रिया चलाएँ।

 net ads join -U administrator 

आपको व्यवस्थापक पासवर्ड दर्ज करना होगा।

दरअसल उसके बाद हमारा सदस्य सर्वर पहले से ही डोमेन में है।
आप अपने लॉगिन पासवर्ड के तहत इसे कनेक्ट करने और अधिकारों की जांच के लिए कुछ फ़ोल्डर बनाने के लिए विंडोज से मशीन की कोशिश कर सकते हैं ...
फोल्डर 123 बनाया गया, अधिकारों की जाँच करें।

 getfacl /data1/123 # file: data1/123 # owner: test # group: Domain\040Users user::rwx user:test:rwx group::rx group:servdesk:rwx group:Domain\040Users:rx mask::rwx other::rx default:user::rwx default:user:test:rwx default:group::rx default:group:servdesk:rwx default:group:Domain\040Users:rx default:mask::rwx default:other::rx 

जैसा कि आप देख सकते हैं, सभी अधिकार सही ढंग से सेट हैं।

फिर आप उपयोगकर्ताओं को हमारे नए डोमेन पर स्थानांतरित करना शुरू कर सकते हैं, साथ ही अपनी इच्छा के अनुसार फ़ोल्डर्स पर अनुमतियाँ सेट कर सकते हैं।
तुम भी गलती-सहिष्णु फ़ाइल सर्वर बनाने के लिए samba4 के साथ युग्मित glusterfs का उपयोग कर सकते हैं, लेकिन यह पूरी तरह से एक और कहानी है ...

अगर किसी के पास कोई सवाल है, तो मुझे मदद करने में खुशी होगी।