Samba4 AD и аутентификация пользователей.

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Аватара пользователя
ivul
Сообщения: 98
ОС: Debian/Ubuntu Linux
Контактная информация:

Samba4 AD и аутентификация пользователей.

Сообщение ivul »

Приветствую!

Моя сеть построена на связке LDAP + Samba3 DC. Работают несколько серверов на Ubuntu Linux. Рабочие станции на Ubuntu/LinuxMint и на Windows.
В настоящее время возникла необходимость перехода на Samba 4. А именно, требуется установить сервер Samba 4 в качестве контроллера AD; перенести на него каким-либо способом все имеющиеся группы и пользователей; настроить аутентификацию на рабочих станциях Linux; ввести в новый домен рабочие станции Windows; настроить BDC.
В связи с этим возник ряд вопросов.

1. Samba 4 не нуждается в отдельно работающем сервисе LDAP, т.к. он у неё встроенный. Я установил Samba как контроллер AD и настроил на сервере аутентификацию через winbind.
После первой установки Samba 4 как контроллер Active Directory, создаются пользователи и группы с огромными (от 3000000) uid-ами и gid-ами.
Идентификаторы uid и gid останутся неизменными на всех Linux-серверах (BDC и Member), подключенных к основному контроллеру? Можно ли использовать меньшие числа? Есть ли возможность использовать прежние uid-ы и gid-ы (5000-20000)?

2. Для аутентификации через winbind, необходимо настраивать Samba 4 на каждой рабочей станции и вводить её в домен. Можно ли обойтись без ввода Самбы в домен, например, настроив аутентификацию через Kerberos или другим способом?

3. В Windows-утилите "Active Directory - пользователи и компьютеры" в свойствах объектов есть вкладка "Unix Attributes". В частности, в свойствах пользователя на этой вкладке задаются параметры: NIS Domain, UID, Login Shell, Home Directory, GID. Изначально, параметры пусты (NIS Domain = none), а вносимые изменения сохраняются на сервере в файле samba/privat/sam.ldb.
На что эти параметры влияют?

4. У Samba 4 есть механизмы для резервного копирования и восстановления БД пользователей?

Заранее Спасибо!
Спасибо сказали:
Аватара пользователя
ivul
Сообщения: 98
ОС: Debian/Ubuntu Linux
Контактная информация:

Re: Samba4 AD и аутентификация пользователей.

Сообщение ivul »

ivul писал(а):
26.01.2018 10:37
2. Для аутентификации через winbind, необходимо настраивать Samba 4 на каждой рабочей станции и вводить её в домен. Можно ли обойтись без ввода Самбы в домен, например, настроив аутентификацию через Kerberos или другим способом?

Есть альтернативные способы аутентификации. Например, sssd. Но Samba придётся настраивать и вводить в домен на каждой станции.
Спасибо сказали:
Аватара пользователя
ivul
Сообщения: 98
ОС: Debian/Ubuntu Linux
Контактная информация:

Re: Samba4 AD и аутентификация пользователей.

Сообщение ivul »

ivul писал(а):
26.01.2018 10:37
4. У Samba 4 есть механизмы для резервного копирования и восстановления БД пользователей?


Механизм есть. Описан тут: https://wiki.samba.org/index.php/Back_up_an...g_a_Samba_AD_DC
Но есть нюанс.
  • Параметры скрипта samba_backup подразумевают, что Samba полностью установлена в одну папку (переменная FROMWHERE=/usr/local/samba), из которой архивируются папки etc, private и sysvol (переменная DIRS). По-этому из переменной DIRS я убрал etc и добавил отдельную строчку для архивирования папки /etc/samba.
  • Папка sysvol имеет расширенные права доступа. Чтобы они сохранились в архиве, к вызову tar я добавил параметр --acls. Если по каким-либо причинам расширенные права на папку sysvol установить не удалось, после распаковки архивов нужно выполнить команду: "samba-tool ntacl sysvolreset".
Спасибо сказали:
Ответить