Установка пакета samba astra linux

Введение

В состав дистрибутивов Astra Linux входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее — AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.

Возможности Samba

• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.

Samba как контроллер домена (инструмент astra-sambadc)

В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.

Инструмент командной строки:

Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:

При установке инструментов автоматически будут установлены необходимые для работы домена AD пакеты samba, winbind и ntp.

Samba как контроллер домена поддерживает два режима работы с DNS:

• с использованием встроенного DNS-сервера Samba;
• с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:

Подготовка компьютера

1. Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено автоматическое обновление адресов (настройка работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
   Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройке см. в статье Настройка сетевых подключений в Astra Linux.

# Generated by NetworkManager search sambadomain.ru nameserver 192.168.27.251

При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сетевых подключений в Astra Linux.

Для создания нового домена с помощью инструмента командной строки используется команда:

Для содания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:

Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:

Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка сервера Active Directory»

Ввод клиента Astra Linux в домен AD

В состав дистрибутивов Astra Linux входит графический инструмент:

реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.

При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением Astra Linux Common Edition и Astra Linux Special Edition.

Перед вводом компьютера в домен необходимо настроить на этом компьютере :

• службу разрешения имён (DNS) так, чтобы в качестве сервера DNS использовался сервер DNS этого домена. Если этого не сделать, то контроллер домена не будет обнаружен;
• службу времени, чтобы обеспечить точные показания часов. При некорректных показаниях часов невозможна доменная аутентификация с использованием Kerberos. Если из-за скачков времени в кеш попадают записи из будущего то даже при синхронизированных часах аутентификация остается невозможной, и при входе пользователя выдается предупреждение вида «Failed to establish your Kerberos Ticket cache due time differences with the domain controller. Please verify the system time.». Для устранения этой ошибки необходимо очистить кеш командой:

Для ввода компьютера в домен используется команда:

Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:

Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:

Проверка успешности присоединения к домену

Для проверки успешности присоединения к домену рекомендуется использовать команду:

Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:

Список пользователей домена:

Источник

Настройка Samba server

1. Обновляем информацию о репозиториях и устанавливаем обновления для существующих пакетов в системе:

apt-get update && apt-get upgrade

2.Устанавливаем пакет Samba:

apt-get install -y samba samba-client

3.Создадим директории для файлов, например в каталоге /media:

4.Создаем каталог для всех пользователей:

5.Изменим права доступа к каталогу:

sudo chmod -R 777 /media/samba/public

6.С помощью системных инструментов создадим группу пользователей:

7.Добавляем пользователей Samba:

8.Созданных пользователей добавляем в группу:

usermod -aG smbgrp superuser

9.С помощью инструментов Samba создадим пароль для добавленного пользователя:

10. С помощью текстового редактора, например, nano, редактируем конфигурационный файл samba:

Удаляем все строки из файла. Вставляем следующие:

11. Проверяем настройки с помощью команды:

13. Настроим межсетевой экран. Для этого в правилах откроем TCP-порты 139 и 445, а также UDP-порты 137 и 138, но только для тех подсетей, которым доверяете. Для указания собственного диапазона адресов, замените значение после ключа “-s”:

iptables -A INPUT -p tcp -m tcp --dport 445 -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 139 -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 137 -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 138 -s 192.168.1.0/24 -j ACCEPT

14.Для сохранения правил и применения их после перезагрузки сервера следует воспользоваться пакетом iptables-persistent. Установим его:

apt-get install iptables-persistent

Входе установки пакета, программа предложит запомнить существующие правила iptables. Подтверждаем это действие.

15.Для проверки существующих правил используем:

Настройка на АРМ пользователя клиента.

1. Для подключения к общим папкам из среды Linux требуется установка отдельного программного обеспечения — smbclient. Установим:

sudo apt-get install smbclient

2.Для подключения к серверу добавляем новое место в сети:

3. Вносим данные для подключения:

4. Если настроено все по инструкции должно получиться вот так:

Источник

Применимость Samba MIT и Samba Heimdal

В дистрибутивах Astra Linux доступны две версии Samba:

Необходимость применения той или иной версии Samba определяется используемой версией системы аутентификации Kerberos, которая также может быть представлена в версиях MIT и Heimdal (в основной состав ОС Astra Linux входит Kerberos MIT).

В системах управления доменами Контроллер ЕПП FreeIPA в Astra Linux или Astra Linux Directory (ALD) для авторизации используется Kerberos MIT, соответственно, в случае применения Samba Heimdal в таких системах не будет работать авторизация Kerberos (однако в остальном версии Samba полностью совместимы как по командам, так и по протоколам передачи данных).

Как проверить, установлена ли Samba с поддержкой Heimdal

Проверить установленную версию Samba можно командой:

Сообщение SAMBA4_USES_HEIMDAL указывает, что используется Samba с поддержкой Heimdal, сообщение SAMBA_USES_MITKDC указывает на использование Samba MIT.

Установка Samba Heimdal

Пакеты версий Samba MIT и Samba Heimdal имеют одинаковые названия, поэтому при установке Samba следует внимательно следить за источниками установки пакетов. Samba Heimdal несовместима со многими пакетами, входящими в основной репозиторий Astra Linux и использующими авторизцию Kerberos MIT, поэтому устанавливать Samba Heimdal желательно на машину в базовой конфигурации ОС, и при установке необходимо в обязательном порядке контролировать возможные изменения в составе пакетов.

Предполагается, что установка выполняется в системе, где настроен доступ к сетевому репозиторию Astra Linux. Файл /etc/apt/sources.list имеет вид:

deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable main contrib non-free

Пакет Samba Heimdal доступен в том же репозитории как отдельный компонент репозитория smb-heimdal. Для включения установки пакетов из этого компонента репозитория в файл /etc/apt/sources.list добавить отдельную строчку:

deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable main contrib non-free deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable smb-heimdal

После внесения изменений обновить каталог пакетов:

apt-cache policy samba
samba:
Установлен: (отсутствует)
Кандидат: 2:4.12.5+dfsg-3astra.ce4
Таблица версий:
*** 2:4.12.5+dfsg-3astra.ce4 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/main amd64 Packages

• 2:4.12.5+dfsg-3astra.ce4 из компонента репозитория stable/smb-heimdal
• 2:4.9.5+dfsg-5astra.ce6 из компонента репозитория stable/main

Перед установкой Samba Heimdal следует обязательно убедиться в том, что не будут затронуты (удалены) ранее установленные пакеты, для чего выполнить команду имитации установки (ключ -s):

и проверить список устанавливаемых и удаляемых пакетов.

В примере выше Samba Heimdal имеет версию (4.12.5) выше, чем Samba MIT (4.9.5), и, так как по умолчанию будет установлена более высокая версия, установку Samba Heimdal можно выполнить просто командой:

Если требуется изменить принятый по умолчанию порядок предпочтения версий пакетов можно использовать механизм назначения приоритетов. Для этого:

создать файл /etc/apt/preferences.d/00-smb-heimdal со следующим содержимым:

Package: * Pin: release c=smb-heimdal Pin-Priority: 1001

Где:
Строка Pin: release c=smb-heimdal определяет компонент репозитория smb-heimdal;
Строка Pin-Priority: 1001 задает пакетам из этого репозитория приоритет установки (приоритет более 1000 задает установку даже с понижением версии).

sudo apt-cache policy samba
samba:
Установлен: (отсутствует)
Кандидат: 2:4.12.5+dfsg-3astra.ce4
Таблица версий:
2:4.12.5+dfsg-3astra.ce4 1001
1001 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/main amd64 Packages

В примере выше видно, что пакету из компонента stable/smb-heimdal задан приоритет 1001.

Удаление Samba Heimdal

Для удаления Samba Heimdal:

Отключить компонент репозитория smb-heimdal и обновить каталоги пакетов:

apt-cache policy samba libtdb1
apt-cache policy samba libtdb1
samba:
Установлен: 2:4.12.5+dfsg-3astra.ce5
Кандидат: 2:4.12.5+dfsg-3astra.ce5
Таблица версий:
*** 2:4.12.5+dfsg-3astra.ce5 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
2:4.9.5+dfsg-5astra.ce6 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal amd64 Packages
libtdb1:
Установлен: 1.4.3-1
Кандидат: 1.4.3-1
Таблица версий:
*** 1.4.3-1 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal stable/smb-heimdal amd64 Packages
100 /var/lib/dpkg/status
1.3.16-2 900
900 https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ stable/smb-heimdal stable/main amd64 Packages

ver=2:4.9.5+dfsg-5astra.ce6
sudo apt install samba-common-bin=$ver smbclient=$ver libsmbclient=$ver samba-libs=$ver libwbclient0=$ver samba-common=$ver python-samba python-tdb libtdb1=1.3.16-2

После выполнения указанных команд серверная часть Samba Heimdal будет удалена, клиентская часть будет заменена на клиентскую часть Samba MIT.

Источник