From: Городецкий Денис <denik27@nm.ru.>
Newsgroups: email

Date: Mon, 30 Mar 2005 14:31:37 +0000 (UTC)
Subject: SAMBA  с авторизацией в домене с win2003 сервером


Задача:

      Организация файлового сервера 
      Авторизация пользователей через домен контроллер
     

Дано:
 
    Red Hat 9.0
    Samba 3.0.13
    DC win 2003 server


Вступление.

      Взяться за написание данной статьи меня побудило то, что когда возникла 
задача о которой написано выше , то статьи описывающей решение данной проблемы
полностью я не нашел вот и решил написать такую статью в которой было бы 
готовое решние


Основная часть.

      Первым делом устанавливаем самбу . Решено было использовать последню 
версию 3.0.13Установлено все это было из стандартного RPM пакета. Думаю с этим
сложностей ни у кого не возникает, док по данному вопросу полно и 
потому начнем сразу править конфиг самбы. Ниже приведен окончательный работающий
конфиг, может там и есть что лишнее, но после того как все заработало я убирать
оттуда ничего не стал.



[global]

   realm = bryusov.iasnet.ru
# Workgroup = имя NT-домена (или рабочей группы): 
   workgroup = DOMAIN  

# NetBIOS-имя, под которым будет виден сервер остальным машинам сети.
   netbios name = NAU

# Комментарий, появляющийся рядом с именем машины в "Сетевом окружении" Windows.
   server string = Samba Server

# Следующий параметр влияет на безопасность. Hosts allow разрешает машинам с 
# указанными IP-адресами присоединяться к Samba-серверу. 
   hosts allow = 172.18. 172.17.  127.

# если подставить %m то для каждой машины  подключенной к Samba-серверу будет 
# использоваться свой log-файл. 
   log file = /var/log/samba/log.smbd   

#это кому скока не жалко             
   max log size = 500    

#определяет, каким образом будет осуществляться проверка пароля (нам надо через
# DC )                                          
   security = domain

# Параметр Password server используется только совместно с опцией 
# security = domain. 
   password server =  <IP домен контролера>

#для репликации всех доменов входящих в траст с вашим доменом
   allow trusted domains = yes        	

#  включаем  поддержку шифрованных паролей. 
   encrypt passwords = yes

# Используя следующий параметр можно создать отдельную конфигурацию для 
# каждой машины домена. 
# Вместо пары символов %m при входе подставляется NetBIOS-имя машины. 
# Я Такого не делал хотя поэксперементровать можно.
# include = /usr/local/samba/lib/smb.conf.%m

#данные строчки можно не включать в работающий конфиг они определяют место
#хранения , порядок обновления Unix паролей и какой программой все это производится
  smb passwd file = /etc/samba/smbpasswd
   unix password sync = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*

# В документации  говорится, что с помощью этого параметра
# можно повысить производительность Samba-сервера.
  socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

#по дефолту слушаются все интерфейсы, здесь можно указать конкретно
  interfaces = <ip или название интерфейса>

#строчки которых не было в стандартном конфиге и были добавлены руками для 
#pепликации NT-юзеpов:

  winbind uid = 10000-20000
  winbind gid = 10000-20000
  winbind enum groups = yes
  winbind enum users = yes

#описываем шары

[FILES]
   comment = share
   path = /share/FILES
   public = no
   writable = yes
   valid users = DOMAIN\users
   create mask = 0744

#натсройка кирилицы по желанию




Все с конфигом самбы закончили, далее привожу конфиг /etc/krb5.conf


[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = PDC.DOMAIN.NAME.RU
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
DOMAIN.NAME.RU = {
  kdc = pdc.domain.name.ru:88
  admin_server = kerberos.domain.name.ru:749
  default_domain = domain.name.ru
 }

[domain_realm]
 .domain.name.ru = DOMAIN.NAME.RU
 domain.name.ru = DOMAIN.NAME.RU

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false




Все остальное оставлено без изменений.

Теперь заводим самба сервер в домен, делаем со стороны домен контролера 
двусторонние доверительные отношения, запускаем getent group и видим что
все  работает. 

Вот и все надеюсь полезной инфы достаточно для быстрой и эффективной 
настройки файл сервера.

Принимаются отзывы и замечания на мой мейл или ICQ 256224038.


Благодарности:

  Огромное спасибо всем кто писал статьи про самбу почти все их прочитал и
почерпнул много полезного , в том числе не только для решения своих задач.