13 октября 2021 г.

Настройка подключения файлового ресурса в доверительных доменах ALD

 

Имеется стенд:

srv-dc.domain1.ru — контроллер домена зоны DOMAIN1.RU
srv-file.domain1.ru — файл сервер в зоне DOMAIN1.RU
srv-dc.domain2.ru — контроллер домена зоны DOMAIN2.RU
client.domain2.ru — клиентский АРМ в зоне DOMAIN2.RU

 

На доменах настроен сервер ALD, между доменами настроены доверительные отношения.
В обоих доменах имеется пользователь user с возможными уровнями безопасности 0:3

 

Задача:
Подключить клиенту шару из domain1

На сервере srv-file.domain1.ru:

Установить пакеты командой:

apt install cifs-utils samba

Привести файл конфигурации samba к следующему виду:

[global]
allow trusted domains = yes
client signing = auto
server signing = mandatory
deadtime = 0
dns proxy = no
encrypt passwords = yes
host msdfs = no
security = user
log file = /var/log/samba/log.%m
log level = 0
max log size = 10000
passdb backend = tdbsam
realm = DOMAIN1.RU
server string = ALD CIFS file server
workgroup = DOMAIN1.RU
unix extensions = yes
unix password sync no
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab  
client use spnego = yes
usershare path = /var/lib/samba/usershares
disable netbios = yes


[sharename]
available = yes
comment = Share for users
browseable = yes
case sensitive = yes
read only = no
guest ok = yes
ea support = yes
fstype = Samba
hide dot files = no
locking = yes
path = /DATA/share
writable = yes
smb encrypt = auto
wide links = yes
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0770

Параметры realm и workgroup заменить на свои.


Перезагрузить samba командой

systemctl restart smbd


На сервере домена необходимо создать принципала и добавить в группу mac

ald-admin service-add cifs/srv-file.domain1.ru
ald-admin sgroup-svc-add cifs/srv-file.domain1.ru –sgroup=mac

 

На файловом сервере обновить krb5.keytab

ald-client update-svc-keytab cifs/srv-file.domain1 --ktfile="/etc/krb5.keytab"


На клиенте

Установить пакеты командой

apt install smbclient cifs-utils libpam-mount


Добавить в файл /etc/security/pam_mount.conf в секцию <pam_mount></pam_mount> следующие данные:

<volume fstype="cifs" uid="2500-65000"
server="srv-file.domain1.ru"
path="sharename"
mountpoint="/"
options="user=%(USER),rw,setuids,perm,soft,sec=krb5i,vers=1.0,cruid=%(USERUID),uid=%(USERUID),iocharset=utf8"/>


Настройка окончена

Внимание! Воздержитесь от бездумного копирования конфигурации.

Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)