Samba 4.0: долгожданный релиз с поддержкой Active Directory
Не прошло и десяти лет с тех пор, как началась подготовка новой крупной версии Samba — свободной реализации проприетарных протоколов и сопутствующих технологий Microsoft (SMB/CIFS): 4.0. 11 декабря 2012 Джереми Эллисон (Jeremy Allison) и Кэролин Сигер (Karolin Seeger) анонсировали финальной релиз Samba 4.0.
Релиз Samba 4.0, призванный привнести поддержку последних технологий Microsoft для удобного взаимодействия с компьютерами в мир GNU/Linux-, UNIX-подобных систем и свободного ПО в целом, создавался с 2003 года. С тех пор многие уже перестали верить в этот долгострой, однако выпуск наконец-то случился, и все желающие уже могут воспользоваться результатами огромной работы, проделанной участниками проекта Samba и Open Source-энтузиастами со всего мира.
Среди ключевых новшеств в Samba 4.0:
- поддержка серверной реализации AD (Active Directory), используемой в Windows 2000 и последующих версиях: домен-контроллер Samba (DC, Domain Controller) со своим встроенным LDAP-сервером и центром распространения ключей Kerberos (KDC, Kerberos Key Distribution Center);
- два файловых сервера: smbd из Samba 3 и новый NTVFS, соответствующий требованиям домен-контроллера AD;
- два DNS-решения для интеграции с AD: простой встроенный DNS-сервер и плагин для BIND (используется механизм BIND DLZ, имеющийся в версиях 9.8 и 9.9);
- интеграция с сервером времени ntpd для предоставления точного времени Windows-клиентам;
- Python Scripting Interface, который позволяет получить доступ к внутренностям Samba4, собственно поэтому часть инструментов для управления контроллером домена написаны на Python.
В Samba 4.0.0 разработчики реализовали и оттестировали до различной степени готовности следующие функции:
- преобразование идентификаторов пользователей и групп из
представления Unix в представление Windows (Winbind);
- логин учётных записей пользователей в домен;
- учётные записи рабочих станций;
- групповые политики (GPO);
Более подробный список изменений в релизе Samba 4.0 можно найти в документе Release Notes.
Автор: Дмитрий Шурупов по материалам samba.org.
Читаем еще:
В предыдущих заметках SAMBA авторизация пользователей и раздельный доступ к ресурсам и Samba и авторизация через Active Directory описана сама настройка, в этой заметки отмечу настройку samba модуля full_audit.
Этот модуль позволяет настроить полный контроль за действиями пользователей «кто и что делает» (кто и к какому файлу обращался, кто создал, удалил или переименовал конкретный файл или каталог).
Настройка производилась в дистрибутиве Debian Squeeze, версия Samba 3.5.6.
1. В секцию [global] добавляется строка
Данный параметр устанавливает приоритет сообщений, которые будут направлены в syslog. Чем выше значение, тем большее количество сообщений
будет выводиться. Указав значение 0 можно отключить запись сообщений в syslog.
syslog = 0
Количество сообщений, записываемых в лог-файлы, для всех VFS модулей.
log level = 0 vfs:2
Размер лог-файла задается в килобайтах. При достижении указанного значения файл будет переименован, путем добавления к имени файла расширения .old. Значение 0 отключает проверку размера (в этом случае необходимо самостоятельно позаботиться о размере лог-файла, к примеру,
настроив соответствующим образом logrotate)
max log size = 0
Для активации модуля аудита, в секции, которая описывает расшаренный ресурс, добавляются строки:
Читать далее…
Categories: Debian, В помощь sysadmin'y, Статьи Tags: Active Directory, audit, Debian, full_audit, kerberos, rsyslog.conf, SAMBA, Ubuntu, winbind, достут к ресурсам
Настраиваем связку SQUID SAMS+REJIK с аунтентификацией по NTLM (proxy sams)
.
Так как есть ДОМЕН под управление Win 2003 Server, и нужна авторизация пользователя под своей учетной записью и так же вести логи и предоставлять информацию начальству в случаи надобности.
Авторизация пользователей будет по NTLM.
Для всего нам понадобится apache, php, mysql, сам squid, proxy sams, samba.
Все это нам предстоит установить, или обновить.
Для начало ставим скопом apache, php, mysql:
$ aptitude install apache2 apache2-doc apache2-utils ssl-cert mysql-server libmysqlclient15-dev libapache2-mod-php5 php5 php5-common php5-dev php5-mcrypt php5-imagick php5-mysql
Читать далее…
Categories: Debian, В помощь sysadmin'y Tags: Active Directory, AD Windows, Apache, kerberos, LDAP, ldap samba, linux, Mysql, pam, PHP, proxy sams, REJIK, SAMBA, SAMS, SQUID, Ubuntu, winbind
Используеться — kerberos, winbind, pam, samba
Вводные данные:
ns.domain — dns-имя домена (example.com)
master.ns.domain — наш домен-контроллера(DC) по полному доменному имени (ad.example.com)
samba.ns.domain — dns-имя нашей машины
Administrator — логин доменного администратора
Ставим ntpdate для синхронизации времени c DC(Domain Controller), это нужно для нормальной работы Kerberos
$ aptitude install ntpdate
настраиваем:
$ nano /etc/default/ntpdate
NTPSERVERS=»master.ns.domain»
— наш домен-контроллера(DC) по полному доменному имени (FQDN)
Запускаем синхронизацию в ручную:
$ ntpdate -s master.ns.domain
Навсякий случай смотрим что б у нас host’е было приписанно полное имя машины
$ nano /etc/hosts
IP samba.ns.domain localhost samba
Устанавливаем и настраиваем Kerberos:
Читать далее…
Для начала устанавливаем:
$ aptitude install samba smbfs
Samba использует пользователей которые уже есть в системе, (возможно есть и другие пути, об этом в следующей заметке) создаем наших пользователей:
$ useradd -c "Тest" -s /sbin/nologin ole
$ useradd -c "Тest1" -s /sbin/nologin ole1
$ useradd -c "Тest2" -s /sbin/nologin ole2
к команде существуют следующие параметры, мож кому надо:
-g «Названия группы» — группа, к которой он должен принадлежать
-d /home/»каталог» — домашний каталог пользователя
-s /sbin/nologin — устанавливаем ему оболочку /sbin/nologin
-c «Описания» — качестве его полного имени Mr Test,
имя- ole
Посмотрим что у нас получилось:
Читать далее…