Astra linux настройка kerberos samba

Применимость Samba MIT и Samba Heimdal

В дистрибутивах Astra Linux доступны две версии Samba:

Необходимость применения той или иной версии Samba определяется используемой версией системы аутентификации Kerberos, которая также может быть представлена в версиях MIT и Heimdal (в основной состав ОС Astra Linux входит Kerberos MIT).

В системах управления доменами Контроллер ЕПП FreeIPA в Astra Linux или Astra Linux Directory (ALD) для авторизации используется Kerberos MIT, соответственно, в случае применения Samba Heimdal в таких системах не будет работать авторизация Kerberos (однако в остальном версии Samba полностью совместимы как по командам, так и по протоколам передачи данных).

Как проверить, установлена ли Samba с поддержкой Heimdal

Проверить установленную версию Samba можно командой:

Сообщение SAMBA4_USES_HEIMDAL указывает, что используется Samba с поддержкой Heimdal, сообщение SAMBA_USES_MITKDC указывает на использование Samba MIT.

Установка Samba Heimdal

Пакеты версий Samba MIT и Samba Heimdal имеют одинаковые названия, поэтому при установке Samba следует внимательно следить за источниками установки пакетов. Samba Heimdal несовместима со многими пакетами, входящими в основной репозиторий Astra Linux и использующими авторизцию Kerberos MIT, поэтому устанавливать Samba Heimdal желательно на машину в базовой конфигурации ОС, и при установке необходимо в обязательном порядке контролировать возможные изменения в составе пакетов.

Предполагается, что установка выполняется в системе, где настроен доступ к сетевому репозиторию Astra Linux. Файл /etc/apt/sources.list имеет вид:

deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable main contrib non-free

Пакет Samba Heimdal доступен в том же репозитории как отдельный компонент репозитория smb-heimdal. Для включения установки пакетов из этого компонента репозитория в файл /etc/apt/sources.list добавить отдельную строчку:

deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable main contrib non-free deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable smb-heimdal

После внесения изменений обновить каталог пакетов:

apt-cache policy samba
samba:
Установлен: (отсутствует)
Кандидат: 2:4.12.5+dfsg-3astra.ce4
Таблица версий:
*** 2:4.12.5+dfsg-3astra.ce4 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/main amd64 Packages

• 2:4.12.5+dfsg-3astra.ce4 из компонента репозитория stable/smb-heimdal
• 2:4.9.5+dfsg-5astra.ce6 из компонента репозитория stable/main

Перед установкой Samba Heimdal следует обязательно убедиться в том, что не будут затронуты (удалены) ранее установленные пакеты, для чего выполнить команду имитации установки (ключ -s):

и проверить список устанавливаемых и удаляемых пакетов.

В примере выше Samba Heimdal имеет версию (4.12.5) выше, чем Samba MIT (4.9.5), и, так как по умолчанию будет установлена более высокая версия, установку Samba Heimdal можно выполнить просто командой:

Если требуется изменить принятый по умолчанию порядок предпочтения версий пакетов можно использовать механизм назначения приоритетов. Для этого:

создать файл /etc/apt/preferences.d/00-smb-heimdal со следующим содержимым:

Package: * Pin: release c=smb-heimdal Pin-Priority: 1001

Где:
Строка Pin: release c=smb-heimdal определяет компонент репозитория smb-heimdal;
Строка Pin-Priority: 1001 задает пакетам из этого репозитория приоритет установки (приоритет более 1000 задает установку даже с понижением версии).

sudo apt-cache policy samba
samba:
Установлен: (отсутствует)
Кандидат: 2:4.12.5+dfsg-3astra.ce4
Таблица версий:
2:4.12.5+dfsg-3astra.ce4 1001
1001 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/main amd64 Packages

В примере выше видно, что пакету из компонента stable/smb-heimdal задан приоритет 1001.

Удаление Samba Heimdal

Для удаления Samba Heimdal:

Отключить компонент репозитория smb-heimdal и обновить каталоги пакетов:

apt-cache policy samba libtdb1
apt-cache policy samba libtdb1
samba:
Установлен: 2:4.12.5+dfsg-3astra.ce5
Кандидат: 2:4.12.5+dfsg-3astra.ce5
Таблица версий:
*** 2:4.12.5+dfsg-3astra.ce5 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
libtdb1:
Установлен: 1.4.3-1
Кандидат: 1.4.3-1
Таблица версий:
*** 1.4.3-1 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
1.3.16-2 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal stable/main amd64 Packages

ver=2:4.9.5+dfsg-5astra.ce6
sudo apt install samba-common-bin=$ver smbclient=$ver libsmbclient=$ver samba-libs=$ver libwbclient0=$ver samba-common=$ver python-samba python-tdb libtdb1=1.3.16-2

После выполнения указанных команд серверная часть Samba Heimdal будет удалена, клиентская часть будет заменена на клиентскую часть Samba MIT.

Источник

Samba

Пакет samba (с поддержкой MIT Kerberos) входит в стандартные дистрибутивы Astra Linux, но по умолчанию не устанавливается.
Дополнительно, в стандартный дистрибутив входит графический инструмент для настройки samba — fly-admin-samba .
Вариант samba с поддержкой Heimdal Kerberos доступен по ссылке.

Быстрая установка

Установку можно сделать из Графический менеджер пакетов synaptic, или из командной строки.
Можно сразу установить графический инструмент администрирования fly-admin- samba , пакет samba при этом установится автоматически:

После установки графического инструмента он станет доступен в меню «Пуск» > «Панель управления» > «Сеть» > «Общие папки (Samba)»

Быстрая настройка и запуск

Для быстрой настройки сервиса запустите графический инструмент:

С помощью графического инструмента возможно выполнение большинства действий по администрированию разделяемых ресурсов сервиса samba :

• Задание имени рабочей группы;
• Запуск/остановка сервиса;
• Определение разделяемых ресурсов;
• Определение списка пользователей;
• Настройка аутентификации пользователей через Kerberos;

Настройка анонимного разделяемого каталога

Приведенные ниже настройки предоставляют полный доступ как на чтение, так и на запись ко всем файловым объектам каталога всем пользователям без аутентификации.

Убедиться, что в секции [global] присутствует параметр map to guest, имеющий значение Bad User, в случае отсутствия — добавить его в секцию:

Параметр разрешает работу пользователей, не прошедших аутентификацию, в том числе работу с анонимными разделяемым ресурсами;

[share] comment = guest ok = yes force user = nobody force group = nogroup path = /srv/share read only = no

Параметры force user и force group принудительно обеспечивают для всех подключений к ресурсу подключение от имени nobody («никто») и группы nogroup («никакая»), что ограничивает возможность несанкционированных действий, однако применение этих параметров имеет нежелательный побочный эффект: все файловые объекты, создаваемые на ресурсе имеют владельца

Тонкая настройка

Основной файл настройки сервиса samba — /etc/samba/smb.conf — содержит значительное количество комментариев по проведению настройки.

После изменения имени рабочей группы в файле /etc/samba/smb.conf
для того, чтобы изменения немедленно стали доступны другим машинам
нужно перезапустить не только сервис samba (smbd), но и сервис nmbd, обслуживающий запросы имён netbios:

Инструменты командной строки для samba

• Для того, чтобы проверить разделяемые ресурсы samba, доступные в сети, можно использовать команду

Эта команда выводит дерево рабочих групп, и принадлежащих им ресурсов (файлов, принтеров и пр.) всех серверов samba, доступных в сети.

Список ресурсов конкретного сервера с именем hostname:

Настройка клиентов

Простой доступ к ресурсам

Для доступа к ресурсам следует использовать пункт «Сеть» — «Создать сетевое место» в верхнем меню файлового менеджера, в открывшейся форме ввода указать имя сервиса, и его адрес.

Примеры форматов задания адресов имеются непосредственно в форме ввода.

Монтирование ресурсов

Для монтирования ресурсов на клиентские машины следует установить пакет cifs-utils, который входит в дистрибутивы, но по умолчанию не устанавливается:

Автоматическое монтирование ресурсов

Для того, чтобы сетевой ресурс монтировался при загрузке системы, необходимо в конфигурационный файл /etc/fstab добавить строчку вида:

Комментарий по используемым и возможным опциям:

Имя файла, содержащего логин и пароль samba для автоматического монтирования. Формат файла:

Параметр domain можно не указывать, если доменное имя не используется.

Логин и пароль можно указать непосредственно в файле /etc/fstab (опции username= и password=), однако,
следует помнить, что файл /etc/fstab обычно открыт на чтение для всех пользователей,
так что логин и пароль рекомендуется указывать в отдельном файле, с ограниченным доступом.

Клиент не выполняет проверку прав доступа. Это позволяет предоставить доступ к файловым объектам этой точки монтирования другим локальным пользователям клиентской системы.
Обычно используется, когда сервер поддерживает Unix-расширения CIFS (CIFS Unix Extensions), а идентификаторы пользователей/групп на клиенте и сервере различаются, что не позволяет корректно проверять права доступа.
Этот параметр не влияет на обычную проверку списков контроля доступа (ACL) на целевой машине, выполняемую на сервере (проверка пользовательских ACL на сервере выполняется при монтировании).

Источник