Samba 4 dengan Active Directory pada instalasi berbasis CentOS 7 rpm dengan dukungan berbagi

Dalam tutorial terakhir, saya menunjukkan cara mengkonfigurasi Samba di Centos 7 dengan mengkompilasi Samba dari sumber karena paket yang disediakan oleh RedHat tidak mendukung Active Directory. Saya perhatikan bahwa ada repositori bernama Wing yang memasok rpm samba4 dengan dukungan AD. Dalam tutorial ini, saya akan menggunakan repositori ini untuk instalasi Samba. Saya juga akan menunjukkan cara membuat samba share.

Dalam tutorial ini, saya akan menggunakan server CentOS 7 dengan instalasi minimal sebagai dasar dengan mengaktifkan SELinux.

Siapkan server CentOS 7

Periksa status SELinux.

[[email protected] ~]# sestatusSELinux status:diaktifkanSELinuxfs mount:/sys/fs/selinuxSELinux direktori root:/etc/selinuxNama kebijakan yang dimuat:targetCurrent mode:enforcingMode dari file konfigurasi:enforcingPolicy Status MLS:enabledPolicy Deny_unknown status:diperbolehkanMax versi kebijakan kernel:28[[email protected] ~]# 

Buat entri dalam file host dengan alamat IP server diikuti dengan nama host lengkap (fqdn) dan kemudian bagian lokal dari nama host.

[[email protected] ~]# cat /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.1.190 samba4.sunil.cc samba4[ [dilindungi email] ~]# 

Instal repositori Epel CentOS.

[[email protected] ~]# yum install epel-release -y

Instal paket dasar.

[[email protected] ~]# yum install vim wget authconfig krb5-workstation -y 

Sekarang Instal repo sayap.

[[email protected] ~]# cd /etc/yum.repos.d/[[email protected] yum.repos.d]# wget http://wing-net.ddo.jp/wing/7/ EL7.wing.repo[[email protected] yum.repos.d]# sed -i '[email protected][email protected][email protected]' /etc/yum.repos.d/EL7.wing.repo[[ email protected] yum.repos.d]# yum clean allLoaded plugins:tercepatmirrorCleaning repo:base extras update wing wing-sourceMembersihkan semuanyaMembersihkan daftar mirror tercepat[[email protected] yum.repos.d]# 

Instal Samba 4 di CentOS 7

Menginstal Paket Samba4 dari repositori wing dengan yum.

[[email protected] yum.repos.d]# yum install -y samba45 samba45-winbind-clients samba45-winbind samba45-client\samba45-dc samba45-pidl samba45-python samba45-winbind-krb5-locator perl Parse-Yapp\perl-Test-Base python2-crypto samba45-common-tools 

Hapus file-file ini.

 [[email protected] ~]# rm -rf /etc/krb5.conf[[email protected] ~]# rm -rf /etc/samba/smb.conf 

Konfigurasi Samba 4

Sekarang kita akan melakukan provisi domain.

[[email protected] ~]# samba-tool penyediaan domain --use-rfc2307 --Interactive Realm [SUNIL.CC]:Domain [SUNIL]:Server Role (dc, member, standalone) [dc]:DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:Alamat IP forwarder DNS (tulis 'none' untuk menonaktifkan penerusan) [4.2.2.1]:Kata sandi administrator:Ketik ulang kata sandi:Mencari alamat IPv4 Mencari alamat IPv6 Tidak akan ada alamat IPv6 ditugaskanMenyiapkan secret.ldbMenyiapkan registriMenyiapkan basis data hak istimewaMenyiapkan idmap dbMenyiapkan SAM dbMenyiapkan partisi dan pengaturan sam.ldbMenyiapkan sam.ldb rootDSEPmemuat ulang skema Samba 4 dan ADMenambahkan DomainDN:DC=sunil,DC=ccMenambahkan wadah konfigurasiMenyiapkan skema sam.ldbMenyiapkan data konfigurasi sam.ldbMenyiapkan penentu tampilanMemodifikasi penentu tampilanMenambahkan wadah penggunaMemodifikasi wadah penggunaMenambahkan wadah komputerMemodifikasi wadah komputerMenyiapkan data sam.ldbMenyiapkan prinsip keamanan yang terkenal Menyiapkan pengguna dan grup sam.ldbMenyiapkan self joinMenambahkan akun DNSMembuat CN=MicrosoftDNS,CN=System,DC=sunil,DC=ccMembuat partisi DomainDnsZones dan ForestDnsZonesMengisi partisi DomainDnsZones dan ForestDnsZonesMenyiapkan root sam.ldb menandai konfigurasi DSE sebagai tersinkronisasi yang sesuaiMemperbaiki konfigurasi Kerberos Samba 4 telah dibuat di /var/lib/samba/private/krb5.confMenyiapkan pengaturan server yp palsu Setelah file di atas diinstal, server Samba4 Anda akan siap digunakan Peran Server:pengontrol domain direktori aktifNama host:samba4NetBIOS Domain:SUNILDNS Domain:sunil.ccDOMAIN SID:S-1-5-21-1578983437-3114190590-2362936743[[email protected] etc]# 

Pastikan port dibuka di firewall.

[[email protected] etc]#firewall-cmd --add-port=53/tcp --permanent;firewall-cmd --add-port=53/udp --permanent;firewall-cmd --add- port=88/tcp --permanent;firewall-cmd --add-port=88/udp --permanent; \firewall-cmd --add-port=135/tcp --permanent;firewall-cmd --add-port=137-138/udp --permanent;firewall-cmd --add-port=139/tcp --permanent; \firewall-cmd --add-port=389/tcp --permanent;firewall-cmd --add-port=389/udp --permanent;firewall-cmd --add-port=445/tcp --permanent; \firewall-cmd --add-port=464/tcp --permanent;firewall-cmd --add-port=464/udp --permanent;firewall-cmd --add-port=636/tcp --permanent; \firewall-cmd --add-port=1024-3500/tcp --permanent;firewall-cmd --add-port=3268-3269/tcp --permanent[[email protected] ~]# firewall-cmd --reload 

Paket tidak menyediakan skrip init, kami akan menambahkannya sekarang.

[[email protected] ~]# cat /etc/systemd/system/samba.service[Unit]Description=Samba 4 Active DirectoryAfter=syslog.targetAfter=network.target[Service]Type=forkingPIDFile=/var/run /samba.pidExecStart=/usr/sbin/samba[Install]WantedBy=multi-user.target[[email protected] ~]#[[email protected] ~]# systemctl aktifkan sambaCreated symlink dari /etc/systemd/system/multi -user.target.wants/samba.service ke /etc/systemd/system/samba.service.[[email protected] ~]# systemctl restart samba

Semua langkah lainnya mirip dengan artikel saya sebelumnya

untuk mengkonfigurasi host Windows dan Linux, silakan merujuknya

Instalasi pengontrol domain Samba4 dari sumber

Membuat share Samba dengan dukungan Windows ACL

Kita perlu mengonfigurasi ACL yang diperluas untuk samba4. Tambahkan berikut ini di file smb.conf di bawah global.

[[email protected] ~]# cat /etc/samba/smb.conf# Parameter global[global] ------------ ------------ - objek vfs =acl_xattr peta acl pewarisan =yes simpan atribut dos =ya ------------ -------------[[[email protected] ~]# 

 Sekarang restart layanan Samba.
 
[[email protected] ~]# systemctl restart samba
 

 Hanya pengguna dan grup yang memiliki hak istimewa SeDiskOperatorPrivilege yang dapat mengonfigurasi izin berbagi.
 
[[email protected] ~]# net rpc rights grant "SUNIL\Domain Admins" SeDiskOperatorPrivilege -U "USER\administrator"Masukkan sandi USER\administrator:Hak yang berhasil diberikan.[[email protected] ~]#
 

 Sebelum kita membuat share, kita perlu memastikan server samba4 mengautentikasi dengan dirinya sendiri.
 

 Kami tidak dapat melakukan cara yang biasa karena tidak berfungsi karena paket yang ada dari sayap akan bertentangan dengan paket yang disediakan oleh RedHat, kami tidak dapat menggunakan sssd di sini. Kami akan menggunakan winbind agar ini berfungsi.
 

 Silakan gunakan metode di bawah ini. Ini diperlukan untuk membuat pembagian samba dengan izin khusus
 

 Instal paket di bawah ini.
 
[[email protected] ~]#yum -y install authconfig-gtk*
 

 Jalankan perintah.
 
[[email protected] yum.repos.d]# authconfig-tui
 

 silahkan pilih winbind, ikuti langkah selanjutnya.
 
 
 
 
 
 
 
 
 

 
 

 Anda tidak akan dapat memasukkan kata sandi, cukup tekan ok.
 

 Kemudian beri komentar pada baris di /etc/samba/smb.conf dan mulai ulang layanan samba.
 

 Konfigurasi Anda akan terlihat seperti ini:
 
[[email protected] ~]# cat /etc/samba/smb.conf# Parameter global[global]#--authconfig--start-line--# Dibuat oleh authconfig pada 26/05/2017 17:23 :04# JANGAN EDIT BAGIAN INI (dibatasi oleh --start-line--/--end-line--)# Setiap modifikasi dapat dihapus atau diubah oleh authconfig di masa mendatang# workgroup =SUNIL# password server =samba4.sunil .cc# realm =SUNIL.CC# security =ads# idmap config * :range =16777216-33554431# template shell =/sbin/nologin# kerberos method =secret only# winbind use default domain =false# winbind offline logon =false# --authconfig--end-line-- netbios name =SAMBA4 realm =SUNIL.CC workgroup =SUNIL dns forwarder =4.2.2.1 peran server =pengontrol domain direktori aktif idmap_ldb:use rfc2307 =yes objek vfs =acl_xattr map acl inheritance =yes simpan atribut dos =yes[netlogon] path =/var/lib/samba/sysvol/sunil.cc/scripts read only =Tidak[sysvol] path =/va r/lib/samba/sysvol read only =Tidak[[email protected] ~]#[[email protected] ~]# systemctl restart samba
 

 Periksa apakah kami dapat mengisi pengguna dan grup:
 
[[email protected] ~]# wbinfo -uSUNIL\administratorSUNIL\sambauserSUNIL\testuserSUNIL\krbtgtSUNIL\guest[[email protected] ~]# wbinfo -gSUNIL\cert publishersSUNIL\ras dan server iasSUNIL\allowed rodc replikasi sandi menolak grup replikasi kata sandi rodcSUNIL\dnsadminsSUNIL\enterprise read-only domain controllersSUNIL\domain adminsSUNIL\domain usersSUNIL\domain guestSUNIL\domain computerSUNIL\domain controllersSUNIL\schema adminsSUNIL\enterprise adminsSUNIL\pemilik pembuat kebijakan grupSUNIL\read-only[\dnsupdateproxyproxy email dilindungi] ~]#
 

 Ubah baris di nsswitch.conf:
 
[[email protected] ~]# cat /etc/nsswitch.conf-------------------passwd:files winbindshadow:files winbindgroup:files winbindhosts:files dns winservices:file winbindnetgroup:file winbind-------------------
 

 Sekarang periksa apakah kita bisa mendapatkan nama pengguna menggunakan perintah id:
 
[[email protected] ~]# id testuseruid=3000019(SUNIL\testuser) gid=100(users) groups=100(users),3000019(SUNIL\testuser),3000009(BUILTIN\users)[[email protected ] ~]#
 
Membuat pembagian Samba
 

 Saya akan membuat dua bagian, satu hanya dapat diakses oleh pengguna penguji dan bagian lainnya dapat diakses oleh semua pengguna dalam grup pengguna domain.
 

 Bagian yang dapat diakses oleh pengguna penguji akan disebut sebagai bagian uji.
 

 Bagian yang dapat diakses oleh semua pengguna akan disebut commonshare.
 
[[email protected] ~]# mkdir /testshare[[email protected] ~]# mkdir /commonshare[[email protected] ~]# chmod 770 /testshare[[email protected] ~]# chmod 770 /commonshare[ [email protected] ~]# chown -R root:testuser /testshare[[email protected] ~]# chown -R root:"Domain Users" /commonshare
 

 Sekarang tambahkan entri di smb.conf
 
[[email protected] ~]# cat /etc/samba/smb.conf# Parameter global[global] netbios name =SAMBA4 realm =SUNIL.CC workgroup =SUNIL dns forwarder =4.2.2.1 server role =domain direktori aktif controller idmap_ldb:use rfc2307 =ya objek vfs =acl_xattr peta acl mewarisi =ya simpan atribut dos =yes[netlogon] path =/var/lib/samba/sysvol/sunil.cc/scripts read only =Tidak[sysvol] path =/ var/lib/samba/sysvol read only =Tidak[TestShare] comment =Test share dapat diakses oleh testuser path =/testshare valid users =SUNIL\testuser writable =yes read only =no force create mode =0660 create mask =0770 directory mask =0770 force directory mode =0770 akses berbasis share enum =yes hide unreadable =yes[CommonShare] comment =Dapat diakses oleh semua user path =/commonshare valid users ="@SUNIL\Do main Users" writable =yes read only =no force create mode =0660 create mask =0777 directory mask =0777 force directory mode =0770 access based share enum =yes hide unreadable =yes[[email protected] ~]#
 

 Mulai ulang layanan samba.
 
[[email protected] ~]# systemctl restart samba
 

 Akses berbagi samba sebagai pengguna uji.
 
 
 

 Di sini Anda akan melihat testshare dan commonshare terlihat.
 

 Diuji membuat file dan folder di bawah testshare.
 
 
 
[[email protected] /]# cd /testshare/[[email protected] testshare]# ls -ltotal 8-rwxrwx---+ 1 SUNIL\testuser users 0 Mei 27 22:56 1.txtdrwxrwx--- + 2 pengguna SUNIL\testuser 6 27 Mei 22:56 test[[email protected] testshare]#
 

 Sekarang saya masuk sebagai pengguna yang berbeda, hanya commonshare yang terlihat:
 
 
 

 Membuat file di bawah commonshare.
 
[[email protected] commonshare]# ls -ltotal 8drwxrwxrwx+ 2 SUNIL\testuser users 6 Mei 27 23:02 testdrwxrwxrwx+ 2 SUNIL\sambauser users 6 Mei 27 23:07 test2[[email protected] commonshare]#
 

 Inilah cara kami membuat pembagian di bawah Samba 4.