Подключаем сервер с Samba к домену Windows (2 часть).

В прошлой статье о Samba речь шла о том, как сделать компьютер с Samba участником доменной сети. Мы установили необходимые пакеты, позаботились о синхронизации времени с контроллером домена, изменили параметры Network Manager, убедились в том, что связь установлена и, более того, контроллер выдает пропуск нашему компьютеру. Сегодня мы продолжим работу, настроив Samba и Winbind, а в конце убедимся, что наш компьютер виден с контроллера как участник Active Directory.

Цикл статей о Samba.

  1. Установка и простая настройка.
  2. Управление доступом.
  3. Графические и Web-интерфейсы.
  4. Подключаем сервер с Samba к домену Windows (1 часть).
  5. Подключаем сервер с Samba к домену Windows (2 часть).
  6. Подключаем сервер с Samba к домену Windows (3 часть): управление пользователями.
  7. Samba в роли контроллера домена Active Directory.

Редактируем конфигурационный файл Samba.

Еще в первой статье из этой серии я рекомендовал создать резервную копию конфига Samba. В этом нет острой необходимости, но если что-то пойдет не так, у вас будет возможность быстро вернуться к исходному варианту. Если вы не создали копию ранее, рекомендую сделать это сейчас:

sudo cp /etc/samba/smb.conf /etc/samba/smb.default.conf

Теперь можно переходить к редактированию:

sudo gedit /etc/samba/smb.conf

Найдите секцию [global] — все изменения мы будем выполнять в ней.

Для начала замените значение параметра workgroup на имя (только имя сервера, т. е. то, что находится до точки) вашего контроллера домена в верхнем регистре. Поскольку в моем случае контроллер домена имеет полное имя LINUXRUSSIA.LABS, получится следующее:

Далее добавляем (или меняем, если он есть) параметр security, выставляя ему значение ADS. Таким способом мы даем понять Samba, что заниматься аутентификацией и авторизацией пользователей будет контроллер домена.

Следующий обязательный параметр — realm. Он определяет область Kerberos. Впишите сюда полное имя контроллера домена. Параметр encrypt passwords должен иметь значение yes, поскольку Windows не допускает использование не зашифрованных паролей. Samba по умолчанию тоже предпочитает шифрование, но лучше указать это явно.

После этого добавьте еще несколько опций для Winbind.

Положительное значение winbind use default domain необходимо для того, чтобы можно было указывать имена пользователей без имени домена, которое будет подставляться автоматически. Необязательный, но полезный параметр. Будьте с ним осторожны при использовании локальных учетных записей или двух и более контроллеров.

Idmap config * : range определяет диапазоны идентификаторов пользователей и групп, которые выделяются для учетных записей Windows. Очень важно проследить, чтобы id из указанного диапазона не пересекались с существующими и возможными локальными пользователями и группами.

Если вы посмотрите в файл /etc/login.defs в Ubuntu 16.04, то заметите, что максимально возможный id для useradd и groupadd — 60000, то есть пересечение с указанными нами значениями теоретически может случиться. Но в реальности очень маловероятно, что в вашей системе когда-нибудь будет около 10000 локальных пользователей или групп — именно это число мы указали в качестве минимального id для Winbind.

Сохраняем smb.conf и запускаем testparm, чтобы проверить, не допустили ли мы ошибку. Если все в порядке, вывод будет примерно таким:

Еще одна небольшая правка. В /etc/hosts необходимо указать следующее:

В моём случае это выглядит так:

Если вы не знаете, где найти имя компьютера, загляните в терминал - оно указано после имени пользователя и символа @.

Введение Samba в домен и проверка результата.

Если вы все настроили правильно, осталось выполнить всего одну команду. Вот она:

sudo net ads join -U имя_администратора_windows@ИМЯ_ДОМЕНА

Чтобы убедиться, посмотрим на результат с точки зрения сервера Windows. Идем в диспетчер серверов, там выбираем Пользователи и компьютеры Active Directory (в вашей версии названия могут немного отличаться), далее из списка слева выбираем Computers. Вот она, наша машина с Ubuntu:

Если вы захотите создать общедоступную папку на компьютере с Samba, повторите те же действия, которые мы выполняли в первых статьях. Никаких принципиальных отличий в этом случае не будет. Есть только одна особенность: учетные записи. О том, как ими управлять при использовании сервера с Samba в качестве участника доменной сети мы поговорим в другой раз.

  • Кот Бегемот

    Когда третья часть?

    • Edward Kobylyanets

      Опубликована уже 🙂