Po úspěsném připojení do AD domény je možné provádět:
- Používat domenové uživatele a skupiny při nastavování přístupových práv ACL
- Nastavit sdílená a vystupovat jako soborový server
- Fungovat jako tiskový server
- Konfigurovat PAM moduly pro přihlášení domenového uživatele do OS
Před začátkem je nutné ukončit všechny samba procesy.
# ps ax | egrep "samba|smbd|nmbd|winbindd" kill #####
Pokud již na stoji samba běžela, odebrat všechy configy samby a databázové soubory (není dobré míchat některé věci dohromady)
# smbd -b | grep "CONFIGFILE" CONFIGFILE: /usr/local/samba/etc/samba/smb.conf # smbd -b | egrep "LOCKDIR|STATEDIR|CACHEDIR|PRIVATE_DIR" LOCKDIR: /usr/local/samba/var/lock/ STATEDIR: /usr/local/samba/var/locks/ CACHEDIR: /usr/local/samba/var/cache/ PRIVATE_DIR: /usr/local/samba/private/
Připrava stroje pro připojení se co Active Directory domény.
Správná konfigurace DNS serverů
Nastavení synchronizace času
Pro správné fungování stroje v doméně je nutné aby byl nastavený přesný čas.
Nastavení localhost názvu
Aby vše fungovalo je nutné aby při DNS dotazu na název stroje dostal stroj spravnou odpověď tedy sama sebe.
Pro ověření správné funkčnosti lze použít příkaz
# getent hosts stanice1 192.168.1.25 stanice1.valasi.eu stanice1
Pokud nepoužíváte DHCP a ukazuje vám špatnou IP adresu je možné ji upravit v místním /etc/hosts
127.0.0.1 localhost 192.168.1.25 stanice1.valasi.eu stanice1
pokud používáte DHCP je ale nutné aby tuto upravu provedl správce DHCP serveru.
U debianu se stává že v hosts bývá záznam jako 127.0.1.1 hostname … tento je nutné odstranit.
Záznam 127.0.0.1 localhost doporučuju ponechat.
Instalace SAMBY
DOPSAT.
apt -y install winbind libpam-winbind libnss-winbind krb5-config resolvconf samba
Konfigurace SAMBY
V souboru smb.conf
# smbd -b | grep CONFIGFILE CONFIGFILE: /usr/local/samba/etc/smb.conf
Příklad obsahu konfoguráku:
[global]
security = ADS
workgroup = VALASI
realm = VALASI.EU
log file = /var/log/samba/%m.log
log level = 1
# Default ID mapping configuration for local BUILTIN accounts
# and groups on a domain member. The default (*) domain:
# - must not overlap with any domain ID mapping configuration!
# - must use a read-write-enabled back end, such as tdb.
# - Adding just this is not enough
# - You must set a DOMAIN backend configuration, see below
idmap config * : backend = tdb
idmap config * : range = 3000-7999
Mapování doménového admina jako místní učet root
Do smb.conf přidat do sekce [global] odkaz kde bude uložen soubor s „navodem“ mapování uživatelů
username map = /usr/local/samba/etc/user.map
Vytvoř soubor /usr/local/samba/etc/user.map a vlož do něj řádek
!root = VALASI\Administrator
Připojení do domény
Pro připojení stroje do Active Directory zadej:
# net ads join -U administrator Enter administrator's password: Passw0rd Using short domain name -- VALASI Joined 'stanice1' to dns domain 'valasi.eu'
Pro připojení do domeny NT4 zadej:
# net rpc join -U administrator Enter administrator's password: Passw0rd Joined domain VALASI.
Konfigurace Name Service Switch
Pro povolení knihovny name service switch (NNS), knihovna je nutná aby se daly používat domenová přihlašení v místním systému.
stačí přidat „wibind“ do konfiguračního souboru /etc/nsswitch.conf
... passwd: compat winbind group: compat winbind shadow: compat winbind (pro řihlašování do OS) ...
POZOR: nepoužívejte stejné místní učty jako jsou domenové.
Start služby winbindd
Pro využívání AD učtu je nutné spustit službu winbindd
Pokud nastavíte také sdílení souborů nebo tiskáren spustí se automaticky také služby
# smbd # nmbd
Testování WINBIND konektivity
WinBIND ping
Pro ověření dostupnosti DC serveru je možné použít příkaz
# wbinfo --ping-dc checking the NETLOGON for domain[VALASI] dc connection to "DC.valasi.eu" succeeded
Pokud příkaz selže je špatně nastavený smb.conf nebo možná winbind neběží.
Povolení přihlášení do OS
Do konfiguráku /etc/pam.d/common-session přidat řádek
session optional pam_mkhomedir.so skel=/etc/skel umask=077
