Ситуация следующая…. Необходимо настроить файловый сервер с антивирусной проверкой и в последствии сервер печати на бесплатном ПО с предоставлением доступа доменным пользователям (а также про квоты нужно не забыть). В качестве ПО берем Suse Linux Enterprise Server 10 SP1 (выбирать не из чего) и ставим туда Samba (хорошее название…..мне нравится, я так и сервак тестовый назвал)
Итак поехали……
Для начала нужно проверить установлены ли все необходимые пакеты для дальнейшей настройки
krb5
krb5-client
pam_krb5
samba-krb-printing
Настраиваем Kerberos, можно настраивать через YAST, но я делал все руками как настоящий Линуксоид….
Вот собственно конфиг-файл…
[libdefaults]
default_realm = _доменное_имя_ (например ks.ua)
clockskew = 300
# v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
CO.KSOE.COM.UA = {
kdc = _имя_контролера_домена_ (например alpha.ks.ua)
admin_server = _имя_контролера_домена_ (например alpha.ks.ua)
kpasswd_server = _имя_контролера_домена_ (например alpha.ks.ua)
}
[domain_realm]
_доменное_имя_
О значениях интересующих параметров можно почитать в манах
После настройки Kerberos проверяем получает ли билет доменный пользователь. Для этого вводим следующую команду с указанием доменного пользователя
kinit –p setter --setter в данном случае доменный пользователь а также администратор домена
Ответ в положительном случае:
Password for setter@_доменное_имя_:
После ввода правильного пароля система должна выдать сообщение:
kinit: NOTICE: ticket renewable lifetime is 1 week
Если введен неправильный пароль – сообщение следующее:
kinit(v5): Preauthentication failed while getting initial credentials
Если возникли какие-либо проблемы – пересматриваем вниматочно конфиг кербероса krb5.conf
Далее проверяем состояние соединения:
klist
Должно выдать следующее:
Credentials cache: FILE:/tmp/krb5cc_0
Principal: setter@_доменное_имя_
Issued Expires Principal
Nov 26
Все.. Поддержка включена….
У меня в данном случае возникла следующая ситуация, после ввода правильного пароля система никакого сообщения не выдавала, а после ввода команды klist выдавалось следующее сообщение:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: setter@CO.KSOE.COM.UA
Valid starting Expires Service principal
renew until
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Меня очень смутили две последние строчки…
В логах нигде ничего не находил, другими словами долго плясал с бубном….
Как по мне – это особенность 10-го SLES, хотя может я и ошибаюсь……
Далее необходимо настроить файл переключения служб nsswitch.conf просто добавляем следующую запись
passwd: files winbind
group: files winbind
После всего этого приступаем к редактированию конфигурационного файла Самбы, вот что у меня получилось
[global]
workgroup = _доменное_имя_ (короткое)
realm = _доменное_имя_
server string = Samba Server
security = ADS
password server =_имя_контролера_домен_ (если два контролера, то оба указываем)
passdb backend = tdbsam
log file = /var/log/samba/log.%U
max log size = 50
os level = 33
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = + ----возможно его надо заремить
winbind enum users = Yes
winbind enum groups = Yes
hosts allow = 10.77.1.1/24
[homes]
comment = Home Directories
valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = No
[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775
Другими словами я взял исходный конфиг и отредактировал секцию [global], но пока без комментариев. Кое-какие строки я закомментировал, может в будущем пригодится , т.к. на момент написания мануала стопроцентной работоспособности не было.
Далее я включил свой сервер в домен, введя следующую команду
net ads join –
Если не получается командой ввести машину в домен, можно попробовать при помощи yast….
Далее проверяем правильность работы WinBind
wbinfo –t
Система должна ответить
checking the trust secret via RPC calls succeeded
Если получена такая запись, это означает что учетная запись компьютера в Active Directory создана успешно, для уверенности можно проверить на контролере домена…
wbinfo –u
Система выводит список пользователей домена СО (CO+setter)
wbinfo -g
Система выводит список групп домена СО (CO+Programmers)
Далее что можно проверить – это аутентификацию в домене
wbinfo –a _имя_пользователя_%_пароль_пользователя_
Система должна ответить
checking the trust secret via RPC calls succeeded
Также можно просмотреть принадлежность к доменным группам определенного пользователя
id CO+dyadyovoe
Система должна выдать следующее (у меня в данном случае выдало такие строки)
uid=10002(CO+dyadyovoe) gid=10007(CO+domainusers) группы=10007(CO+domainusers),10038(CO+privilegeinetaccess),10063(CO+resourceexchange),10064(CO+programmers),10115(CO+admin internet access),10117(CO+highinternetaccess),10145(CO+internal users),10146(CO+videousers),10147(CO+allinetusers)
Для простоты настройки файловых ресурсов настраиваем веб-консоль администрирования SAMBA
Для этого изменяем содержимое файла /etc/xinetd.d/swat
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/swat
only_from = 10.10.10.10 --- айпи хоста с которого можно админить.
log_on_failure += USERID
}
Также необходимо поставить службы smb, nmb, winbind, xinetd на автозапуск, желательно делать с помощью yast в runlevel(editor)
Далее немаловажная деталь как КВОТЫ
Нужно проверить установлен ли нужный пакет для дальнейшей настройки, если нет устанавливаем его с yast
quota-3.13-17.11
Заходим в /etc/fstab и смотрим права для выделенного раздела под файловые ресурсы, у меня в данном случае это /dev/md3
Должна присутствовать следующая строка /dev/md3 и ее необходимо изменить на следующее значение
/dev/md3 /files ext3 acl,user_xattr,usrquota 1 2
Далее делаем следующие действия:
1. mount -o remount /files
2. появился aquota.user
3. chmod 600 /files/aquota.user
4. quotacheck -a ничего правда не написал
5. /sbin/reboot
6. edquota -u CO+test (имя доменного пользователя) значение soft изменяю на 5000
7. rcquota restart
8. repquota /files должно вывести данные о квоте юзверя CO+test
У меня правда сначала не получилось пока я в расшареной папке не поменял владельца, а потом с помощью винды устанавливал необходимые значения квоты
Так же есть такая замечательная штука как WebAdmin и с помощью него можно манипулировать квотами
Настройка CLAMAV
Для того чтобы приступить к настройке clamav, для начала нужно проверить установлен ли он
rpm –q clamav (clamav-0.90.2-0.2)
Если нет, тогда прямая дорога в yast (clamav поставляется в дистрибутиве, скачивать ниоткуда не надо)
После проставления пакета беремся за редактирование файла clamd.conf (перед этим сохраняя копию оригинального, чтобы можно было потом откатиться)
Также после проставления пакета создается пользователь vscan (по умолчанию), которому нужно раздать следующие права…..
Clamav я решил не устанавливать, т.к. на тестовом сервере он очень тормозил копирование, перемещение файлов.
Окончательный конфиг Самбы smb.conf представлен ниже (не хватает только 3 шар)…. Потом обязательно добавлю….
# Samba config file created using SWAT
# from 10.10.10.10 (10.10.10.1)
# Date: 2008/04/16 15:14:13
# Creating by Oleg Dyadyov
[global]
workgroup = _доменное_имя_ (короткое)
realm = _доменное_имя_
server string = Samba Server
security = ADS
password server =_имя_контролера_домен_ (если два контролера, то оба указываем)
passdb backend = tdbsam
log file = /var/log/samba/log.%U
max log size = 50
os level = 33
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = + ----возможно его надо заремить
winbind enum users = Yes
winbind enum groups = Yes
hosts allow = 10.77.1.1/24
[homes]
comment = Home Directories
valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = No
[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
[test]
comment = Share for test
path = /files/test
valid users = CO+dyadyovoe, @CO+programmers, "@CO+администраторы домена"
admin users = CO+dyadyovoe
write list = CO+dyadyovoe
read only = No
create mask = 0660
directory mask = 0770
inherit acls = Yes
