ALTDC: различия между версиями
Перейти к навигации
Перейти к поиску
Decoy (обсуждение | вклад) |
м (Добавил лайфхак) |
||
| (не показано 145 промежуточных версий 2 участников) | |||
| Строка 1: | Строка 1: | ||
| − | + | =Порядок развёртывания на Альт Стартеркит MATE= | |
| − | + | ==Подготовка и установка необходимых пакетов== | |
| − | + | После обновления системы и ядра... | |
| + | Выставляем часовой пояс и синхронизируем время | ||
| − | + | timedatectl set-timezone Europe/Moscow | |
| − | + | ntpdate pool.ntp.org | |
| − | + | Отключаем сервисы и устанавливаем необходимые пакеты | |
| − | + | <pre> | |
| + | for service in smb nmb; do systemctl disable $service; systemctl stop $service; done | ||
| + | apt-get install -y task-samba-dc admc | ||
| + | </pre> | ||
| − | + | ==Подготовка конфигурационных файлов ситемы== | |
| − | + | Задаём имя хоста | |
| + | hostnamectl set-hostname dc.domain.alt | ||
| − | + | Также проверить и при необходимости поправить имя хоста в файле | |
| − | |||
| − | + | /etc/sysconfig/network | |
| − | + | Перезагрузиться для проверки | |
| − | В | + | reboot |
| + | |||
| + | Далее настраиваем 127.0.0.1 в качестве DNS сервера системы (далее в команде создания домена мы добавим возможность для этого DNS сервера делать запросы к внешним DNS серверам) | ||
| + | |||
| + | <pre> | ||
| + | cat << EOF > /etc/resolv.conf | ||
| + | # Generated by resolvconf | ||
| + | # Do not edit manually, use | ||
| + | # /etc/net/ifaces/<interface>/resolv.conf instead. | ||
| + | search alt | ||
| + | nameserver 127.0.0.1 | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | Здесь приведена команда конфигурирования файла /etc/hosts, исходя из того, что у настраиваемого сервера локальный IP-адрес: 192.168.0.249 | ||
| + | |||
| + | <pre> | ||
| + | cat << EOF > /etc/hosts | ||
| + | 192.168.0.249 dc.domain.alt domain.alt | ||
| + | 127.0.0.1 localhost | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | ==Создание домена одной командой== | ||
| + | |||
| + | Перед выполнением команды создания домена нужно удалить конфигурационный файл: | ||
| + | |||
| + | /bin/rm -rf /etc/samba/smb.conf /var/lib/samba /var/cache/samba | ||
| + | mkdir -p /var/lib/samba/sysvol | ||
| + | |||
| + | Для домена | ||
| + | |||
| + | domain.alt | ||
| + | |||
| + | с паролем | ||
| + | |||
| + | Pa$$word | ||
| + | |||
| + | и адресом внешнего DNS сервера | ||
| + | |||
| + | 8.8.8.8 | ||
| + | |||
| + | команда создания домена будет такой: | ||
| + | |||
| + | samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --option="dns forwarder=8.8.8.8" | ||
| + | |||
| + | ==Включение сервиса и проверка работы домена== | ||
| + | |||
| + | Включение | ||
| + | |||
| + | systemctl enable --now samba | ||
| + | |||
| + | Проверка | ||
| + | |||
| + | samba-tool domain info 127.0.0.1 | ||
| + | |||
| + | В ответ должно прилететь что-то типа этого: | ||
| + | |||
| + | <pre> | ||
| + | Forest : domain.alt | ||
| + | Domain : domain.alt | ||
| + | Netbios domain : DOMAIN | ||
| + | DC name : dc.domain.alt | ||
| + | DC netbios name : DC | ||
| + | Server site : Default-First-Site-Name | ||
| + | Client site : Default-First-Site-Name | ||
| + | </pre> | ||
| + | |||
| + | ==Настройка Kerberos== | ||
| + | |||
| + | /bin/cp /var/lib/samba/private/krb5.conf /etc/krb5.conf | ||
| + | |||
| + | |||
| + | ==Управление пользователями из командной строки== | ||
| + | |||
| + | ===Создать пользователя с паролем=== | ||
| + | |||
| + | Например, создаём пользователя ivanov_ivan | ||
| + | |||
| + | samba-tool user create ivanov_ivan | ||
| + | |||
| + | Устанавливаем срок действия пароля | ||
| + | |||
| + | samba-tool user setexpiry ivanov_ivan | ||
| + | |||
| + | Создаём пользователя с указанием полного имени, адреса электронной почты и пароль будет действовать всегда | ||
| + | |||
| + | samba-tool user create ivanov_ivan --given-name='Иванов Иван' --mail-address='ivanovi@mail.ru' | ||
| + | samba-tool user setexpiry ivanov_ivan --noexpiry | ||
| + | |||
| + | ===Удалить пользователя=== | ||
| + | |||
| + | samba-tool user delete ivanov_ivan | ||
| + | |||
| + | ===Отключить пользователя=== | ||
| + | |||
| + | samba-tool user disable ivanov_ivan | ||
| + | |||
| + | ===Включить пользователя=== | ||
| + | |||
| + | samba-tool user enable ivanov_ivan | ||
| + | |||
| + | ===Изменить пароль пользователя=== | ||
| + | |||
| + | samba-tool user setpassword ivanov_ivan | ||
| + | |||
| + | ===Просмотреть доступных пользователей=== | ||
| + | |||
| + | samba-tool user list | ||
| + | |||
| + | ===Просмотр информации о пользователе=== | ||
| + | |||
| + | samba-tool user show ivanov_ivan | ||
| + | |||
| + | или, чтобы узнать UID и GID (например, для установки владельца на каталог samba) | ||
| + | |||
| + | wbinfo -i ivanov_ivan | ||
| + | |||
| + | в ответ должно прийти что-то типа | ||
| + | |||
| + | DOMAIN\ivanov_ivan:*:3000023:100::/home/DOMAIN.ALT/ivanov_ivan:/bin/bash | ||
| + | |||
| + | где UID это 3000023 а GID это 100 | ||
| + | |||
| + | ===Создание домашнего каталога для пользователя=== | ||
| + | |||
| + | Пока вручную. Ведётся работа над интеграцией соответствующего скрипта в процесс добавления пользователя в SAMBA | ||
| + | |||
| + | Перед выполнением команд добавления домашнего каталога на основе /etc/skel конкретно в контексте этой статьи нужно добавить в /etc/skel каталог, который позже буде монтироваться каждому пользователю посредством pam_mount. Для этого нужно выполнить команду | ||
| + | |||
| + | mkdir /etc/skel/share | ||
| + | |||
| + | далее на базе скелетона создаём каталог | ||
| + | |||
| + | cp -rp /etc/skel /home/DOMAIN.ALT/ivanov_ivan | ||
| + | |||
| + | потом меняем пользователя владельца и группу владельца на этот каталог на базе информации из wbinfo (пример команды -- выше) | ||
| + | |||
| + | chown 3000023:100 /home/DOMAIN.ALT/ivanov_ivan -R | ||
| + | |||
| + | ===Создание домашнего каталога для пользователя при первом входе=== | ||
| + | |||
| + | В контексте этой статьи это решается запуском скрипта через параметр | ||
| + | |||
| + | root preexec = /usr/local/samba/bin/create_homedir %U | ||
| + | |||
| + | , добавленный к ресурсу | ||
| + | |||
| + | [share] | ||
| + | |||
| + | Задача, которую решает этот скрипт -- создание домашних каталогов для доменных пользователей на основе скелетона /etc/skel. В будущем это будет нужно для монтирования каталогов на клиентских машинах посредством pam_mount. | ||
| + | |||
| + | Полный конфиг ресурса | ||
| + | |||
| + | <pre> | ||
| + | [share] | ||
| + | path = /home/DOMAIN.ALT/%U/share | ||
| + | root preexec = /usr/local/samba/bin/create_homedir %U | ||
| + | read only = No | ||
| + | browseable = yes | ||
| + | writable = yes | ||
| + | valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins" | ||
| + | </pre> | ||
| + | |||
| + | Параметр указывает на выполнение скрипта, параметром в который прилетает имя пользователя. Создаём скрипт | ||
| + | |||
| + | mkdir -p /usr/local/samba/bin/ | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /usr/local/samba/bin/create_homedir | ||
| + | #!/bin/bash | ||
| + | [ -z ${1} ] && echo "Try: $0 <username>" && exit 1 | ||
| + | user="${1}" | ||
| + | homepath="/home/DOMAIN.ALT/${user}" | ||
| + | [ -d ${homepath} ] || /bin/cp -rp /etc/skel ${homepath} | ||
| + | [ -d ${homepath} ] && /bin/chown `wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}` ${homepath} -R | ||
| + | exit 0 | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | chmod +x /usr/local/samba/bin/create_homedir | ||
| + | |||
| + | mkdir /home/DOMAIN.ALT | ||
| + | |||
| + | Теперь при обращении пользователя к ресурсу [share] от суперпользователя будет запускаться скрипт, который: | ||
| + | |||
| + | 1. Создаёт домашний каталог на основе /etc/skel (создаёт, только, если каталога несуществует) | ||
| + | |||
| + | 2. Обновляет пользователя-владельца и группу-владельца для созданного каталога. UID пользователя-владельца и GID группы-владельца скрипт получает из команды (обновляет, только если каталог существует) | ||
| + | wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'} | ||
| + | |||
| + | ==Запуск ADMC== | ||
| + | |||
| + | Для корректной работы приложения ADMC необходимо получить билет Kerberos командой | ||
| + | |||
| + | kinit Administrator | ||
| + | |||
| + | В ответ необходимо ввести пароль от доменного администратора | ||
| + | |||
| + | |||
| + | Чтобы это автоматизировать, можно, например, сделать скрипт автоматического запуска admc | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /opt/admc.sh | ||
| + | #!/bin/bash | ||
| + | echo 'Pa$$word' | kinit Administrator | ||
| + | admc | ||
| + | EOF | ||
| + | |||
| + | chmod +x /opt/admc.sh | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | Если необходимо, то: | ||
| + | |||
| + | ln -s /opt/admc.sh /home/administrator/Рабочий\ стол/ | ||
| + | |||
| + | =Порядок ввода в домен компьютера под управлением ОС Альт Стартеркит MATE= | ||
| + | |||
| + | ==Подготовка== | ||
| + | |||
| + | Устанавливаем пакеты | ||
| + | |||
| + | apt-get install alterator-auth sssd-ad samba-common-tools realmd | ||
| + | |||
| + | Выставляем часовой пояс и синхронизируем время | ||
| + | |||
| + | timedatectl set-timezone Europe/Moscow | ||
| + | ntpdate pool.ntp.org | ||
| + | |||
| + | Задаём имя хоста | ||
| + | |||
| + | hostnamectl set-hostname host-arm01 | ||
| + | |||
| + | Также проверить и при необходимости поправить имя хоста в файле | ||
| + | |||
| + | /etc/sysconfig/network | ||
| + | |||
| + | Перезагрузиться для проверки | ||
| + | |||
| + | reboot | ||
| + | |||
| + | ==Ввод компьютера в домен одной командой== | ||
| + | |||
| + | |||
| + | Команда ввода компьютера с именем хоста | ||
| + | |||
| + | host-arm01 | ||
| + | |||
| + | в домен | ||
| + | |||
| + | domain.alt | ||
| + | |||
| + | с паролем | ||
| + | |||
| + | Pa$$word | ||
| + | |||
| + | будет такой: | ||
| + | |||
| + | system-auth write ad domain.alt host-arm01 domain 'administrator' 'Pa$$word' | ||
| + | |||
| + | |||
| + | ==Включить применение групповых политик== | ||
| + | |||
| + | apt-get install -y gpupdate alterator-auth alterator-gpupdate | ||
| + | |||
| + | gpupdate-setup write enable workstation | ||
| + | |||
| + | ==Вывод компьютера из домена== | ||
| + | |||
| + | В контексте этой статьи компьютер из домена выводится командой, вводимой на самом компьютере (не на сервере): | ||
| + | |||
| + | realm leave domain.alt Administrator | ||
| + | |||
| + | Проверка текущего типа аутентификации | ||
| + | |||
| + | control system-auth | ||
| + | |||
| + | =Монтирование каталогов по SAMBA= | ||
| + | |||
| + | ==На сервере== | ||
| + | |||
| + | ===Добавляем параметры в конфиг самбы и перезапускаем сервис=== | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' >> /etc/samba/smb.conf | ||
| + | [share] | ||
| + | path = /home/DOMAIN.ALT/%U/share | ||
| + | read only = No | ||
| + | browseable = yes | ||
| + | writable = yes | ||
| + | valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins" | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | systemctl restart samba | ||
| + | |||
| + | ==На клиентском компьютере, введённом в домен== | ||
| + | |||
| + | |||
| + | ===Устанавливаем необходимые пакеты=== | ||
| + | |||
| + | apt-get install -y pam_mount cifs-utils systemd-settings-enable-kill-user-processes pam_script mate-file-manager-extensions fuse-smb gvfs-backend-smb | ||
| + | |||
| + | ===Конфигурируем PAM=== | ||
| + | |||
| + | Готовая команда для создания рабочего конфига | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /etc/pam.d/system-auth-sss | ||
| + | #%PAM-1.0 | ||
| + | |||
| + | auth [success=5 perm_denied=ignore default=die] pam_localuser.so | ||
| + | auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | auth [default=1] pam_permit.so | ||
| + | auth optional pam_mount.so | ||
| + | auth substack system-auth-sss-only | ||
| + | auth [default=1] pam_permit.so | ||
| + | auth substack system-auth-local-only | ||
| + | auth substack system-auth-common | ||
| + | #auth optional pam_exec.so expose_authtok /opt/pam_exec_hook_auth | ||
| + | |||
| + | account [success=4 perm_denied=ignore default=die] pam_localuser.so | ||
| + | account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | account [default=1] pam_permit.so | ||
| + | account substack system-auth-sss-only | ||
| + | account [default=1] pam_permit.so | ||
| + | account substack system-auth-local-only | ||
| + | account substack system-auth-common | ||
| + | |||
| + | password [success=4 perm_denied=ignore default=die] pam_localuser.so | ||
| + | password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | password [default=1] pam_permit.so | ||
| + | password substack system-auth-sss-only | ||
| + | password [default=1] pam_permit.so | ||
| + | password substack system-auth-local-only | ||
| + | password substack system-auth-common | ||
| + | |||
| + | session [success=5 perm_denied=ignore default=die] pam_localuser.so | ||
| + | session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | session [default=1] pam_permit.so | ||
| + | session required pam_mkhomedir.so silent | ||
| + | session optional pam_mount.so disable_interactive | ||
| + | session substack system-auth-sss-only | ||
| + | session [default=1] pam_permit.so | ||
| + | session substack system-auth-local-only | ||
| + | session substack system-auth-common | ||
| + | session optional pam_script.so | ||
| + | #session optional pam_exec.so /opt/pam_exec_hook_session | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | Если этого конфига недостаточно чтобы заработало монтирование через pam_mount, то добавить эти две строчки | ||
| + | |||
| + | session [success=1 default=ignore] pam_succeed_if.so service = systemd-user | ||
| + | session optional pam_mount.so disable_interactive | ||
| + | |||
| + | в конец файла | ||
| + | |||
| + | /etc/pam.d/system-auth | ||
| + | |||
| + | ====Добавляем скрипт в pam_script==== | ||
| + | |||
| + | Практика показала, что при завершении пользователем сеанса НЕ происходит отмонтирования сетевого каталога share. Поэтому пришлось дополнительно использовать pam_script и настроить для завершения сессии вот такой скрипт, который выполняет команду отмонтирования при завершении сессии (который, в отличии от <cifsumount></cifsumount> секции в конфиге pam_mount, работает корректно!). | ||
| + | |||
| + | Готовая команда для создания скрипта | ||
| + | <pre> | ||
| + | cat << 'EOF' > /etc/pam-script/pam-script.d/umount_share_if_ses_close | ||
| + | #!/bin/bash | ||
| + | systemd-mount -u /home/DOMAIN.ALT/${PAM_USER}/share | ||
| + | exit 0 | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | ===Разрешаем для всех доступ к fuse под root=== | ||
| + | |||
| + | control fusermount public | ||
| + | |||
| + | ===Проверка доступности ресурсов для пользователя=== | ||
| + | |||
| + | В приведённой ниже команде проверяются ресурсы пользователя ivanov_ivan: | ||
| + | |||
| + | smbclient -L dc.domain.alt -U ivanov_ivan -m SMB2 | ||
| + | |||
| + | ===Монтирование ресурса вручную=== | ||
| + | |||
| + | В приведённой ниже команде проверяются монтирование ресурса вручную для пользователя ivanov_ivan: | ||
| + | |||
| + | mount.cifs //dc.domain.alt/share ~/share -o vers=2.0,user=ivanov_ivan | ||
| + | |||
| + | Под вошедшим в ведённый в домен компьютер пользователем ivanov_ivan команда должна монтировать ресурс без запроса пароля! | ||
| + | |||
| + | Если проверка и монтирование вручную работает корректно, то можно настраивать pam_mount | ||
| + | |||
| + | ====Конфигурируем pam_mount==== | ||
| + | |||
| + | Делаем бэкап | ||
| + | |||
| + | cp /etc/security/pam_mount.conf.xml /etc/security/pam_mount.conf.xml.orig | ||
| + | |||
| + | Создаём сразу готовый файл конфигурации: | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /etc/security/pam_mount.conf.xml | ||
| + | <?xml version="1.0" encoding="utf-8" ?> | ||
| + | <!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"> | ||
| + | <pam_mount> | ||
| + | <debug enable="0" /> | ||
| + | <volume uid="10000-2000200000" fstype="cifs" server="dc.domain.alt" path="share" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> | ||
| + | <cifsmount>/sbin/mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount> | ||
| + | <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" /> | ||
| + | <mntoptions require="nosuid,nodev" /> | ||
| + | <logout wait="0" hup="no" term="no" kill="no" /> | ||
| + | <mkmountpoint enable="1" remove="true" /> | ||
| + | </pam_mount> | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | ===Основной принцип работы=== | ||
| + | |||
| + | В контексте данной статьи сервер и pam_mount на клиентской машине настроены таким образом, чтобы при входе доменного пользователя в систему в домашний каталог этого пользователя автоматически подключался ресурс, который на компьютере пользователя будет находиться в каталоге | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan/share | ||
| + | |||
| + | и будет смонтирован в каталог на сервере с точно таким же расположением, т.е. | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan/share | ||
| + | |||
| + | Следовательно, локально пользователь ivanov_ivan будет работать на конкретной машине, введённой в домен в локальном каталоге | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan | ||
| + | |||
| + | и результат работы будет сохраняться только на локальной машине. | ||
| + | |||
| + | Но файлы, с которыми пользователь ivanov_ivan работает на локальной машине A именно в каталоге | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan/share | ||
| + | |||
| + | , будут фактически сохраняться в каталоге | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan/share | ||
| + | |||
| + | файлового сервера на машине контроллера домена (и не будут сохраняться в таком же каталоге локальной машины) и в случае, когда пользователь ivanov_ivan будет работать на машине B, введённой в этот же домен, то в каталоге | ||
| + | |||
| + | /home/DOMAIN.ALT/ivanov_ivan/share | ||
| + | |||
| + | пользователю ivanov_ivan будут доступны те же файлы, с которыми он работал на машине A. | ||
| + | |||
| + | =Готовые конфиги для клиента и сервера, в контексте задачи, описанной в данной статье= | ||
| + | |||
| + | ==Для сервера== | ||
| + | |||
| + | ===Файл /etc/samba/smb.conf=== | ||
| + | |||
| + | <pre> | ||
| + | # Global parameters | ||
| + | [global] | ||
| + | dns forwarder = 8.8.8.8 | ||
| + | netbios name = DC | ||
| + | realm = DOMAIN.ALT | ||
| + | server role = active directory domain controller | ||
| + | workgroup = DOMAIN | ||
| + | |||
| + | [sysvol] | ||
| + | path = /var/lib/samba/sysvol | ||
| + | read only = No | ||
| + | |||
| + | [netlogon] | ||
| + | path = /var/lib/samba/sysvol/domain.alt/scripts | ||
| + | read only = No | ||
| + | |||
| + | [share] | ||
| + | path = /home/DOMAIN.ALT/%U/share | ||
| + | root preexec = /usr/local/samba/bin/create_homedir %U | ||
| + | read only = No | ||
| + | browseable = yes | ||
| + | writable = yes | ||
| + | valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins" | ||
| + | </pre> | ||
| + | |||
| + | ===Вывод команды testparm=== | ||
| + | <pre> | ||
| + | Load smb config files from /etc/samba/smb.conf | ||
| + | Loaded services file OK. | ||
| + | Weak crypto is allowed | ||
| + | |||
| + | Server role: ROLE_ACTIVE_DIRECTORY_DC | ||
| + | |||
| + | Press enter to see a dump of your service definitions | ||
| + | |||
| + | # Global parameters | ||
| + | [global] | ||
| + | dns forwarder = 8.8.8.8 | ||
| + | passdb backend = samba_dsdb | ||
| + | realm = DOMAIN.ALT | ||
| + | server role = active directory domain controller | ||
| + | workgroup = DOMAIN | ||
| + | rpc_server:tcpip = no | ||
| + | rpc_daemon:spoolssd = embedded | ||
| + | rpc_server:spoolss = embedded | ||
| + | rpc_server:winreg = embedded | ||
| + | rpc_server:ntsvcs = embedded | ||
| + | rpc_server:eventlog = embedded | ||
| + | rpc_server:srvsvc = embedded | ||
| + | rpc_server:svcctl = embedded | ||
| + | rpc_server:default = external | ||
| + | winbindd:use external pipes = true | ||
| + | idmap config * : backend = tdb | ||
| + | map archive = No | ||
| + | vfs objects = dfs_samba4 acl_xattr | ||
| + | |||
| + | |||
| + | [sysvol] | ||
| + | path = /var/lib/samba/sysvol | ||
| + | read only = No | ||
| + | |||
| + | |||
| + | [netlogon] | ||
| + | path = /var/lib/samba/sysvol/domain.alt/scripts | ||
| + | read only = No | ||
| + | |||
| + | |||
| + | [share] | ||
| + | path = /home/DOMAIN.ALT/%U/share | ||
| + | read only = No | ||
| + | root preexec = /usr/local/samba/bin/create_homedir %U | ||
| + | valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins" | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /usr/local/samba/bin/create_homedir=== | ||
| + | <pre> | ||
| + | #!/bin/bash | ||
| + | [ -z ${1} ] && echo "Try: $0 <username>" && exit 1 | ||
| + | user="${1}" | ||
| + | homepath="/home/DOMAIN.ALT/${user}" | ||
| + | [ -d ${homepath} ] || /bin/cp -rp /etc/skel ${homepath} | ||
| + | [ -d ${homepath} ] && /bin/chown `wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}` ${homepath} -R | ||
| + | exit 0 | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/krb5.conf=== | ||
| + | <pre> | ||
| + | [libdefaults] | ||
| + | default_realm = DOMAIN.ALT | ||
| + | dns_lookup_realm = false | ||
| + | dns_lookup_kdc = true | ||
| + | |||
| + | [realms] | ||
| + | DOMAIN.ALT = { | ||
| + | default_domain = domain.alt | ||
| + | } | ||
| + | |||
| + | [domain_realm] | ||
| + | dc = DOMAIN.ALT | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/sysconfig/network=== | ||
| + | <pre> | ||
| + | # When set to no, this may cause most daemons' initscripts skip starting. | ||
| + | NETWORKING=yes | ||
| + | |||
| + | # Used by hotplug/pcmcia/ifplugd scripts to detect current network config | ||
| + | # subsystem. | ||
| + | CONFMETHOD=etcnet | ||
| + | |||
| + | # Used by rc.sysinit to setup system hostname at boot. | ||
| + | HOSTNAME=dc.alt | ||
| + | |||
| + | # This is used by ALTLinux ppp-common to decide if we want to install | ||
| + | # nameserver lines into /etc/resolv.conf or not. | ||
| + | RESOLV_MODS=yes | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/resolv.conf=== | ||
| + | <pre> | ||
| + | # Generated by resolvconf | ||
| + | # Do not edit manually, use | ||
| + | # /etc/net/ifaces/<interface>/resolv.conf instead. | ||
| + | search domain.alt | ||
| + | nameserver 127.0.0.1 | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/hosts=== | ||
| + | <pre> | ||
| + | 192.168.0.249 dc.domain.alt domain.alt | ||
| + | 127.0.0.1 localhost | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/hostname=== | ||
| + | |||
| + | dc.domain.alt | ||
| + | |||
| + | ===Файл /opt/admc.sh=== | ||
| + | |||
| + | Файл не обязательный. Просто синтаксический сахар для запуска admc без необходимости выполнять вручную kinit Administrator и вводить пароль. | ||
| + | |||
| + | <pre> | ||
| + | #!/bin/bash | ||
| + | echo 'Pa$$word' | kinit Administrator | ||
| + | admc | ||
| + | </pre> | ||
| + | |||
| + | Разместить симлинк на этот файл можно, например, так | ||
| + | |||
| + | ln -s /opt/admc.sh /home/administrator/Рабочий\ стол/ | ||
| + | |||
| + | ==Для клиента== | ||
| + | |||
| + | ===Файл /etc/resolv.conf=== | ||
| + | |||
| + | В этом примере файла адрес DNS сервера должен быть адресом домена, в который необходимо вводить клиента. Выше описана процедура развёртывания домена и сделан акцент на том, что домен через себя должен пропускать работу DNS сервера. Если DNS сервер не будет узнавать контроллер домена по имени, процедура ввода завершится с ошибкой. | ||
| + | |||
| + | <pre> | ||
| + | /etc/resolv.conf | ||
| + | # Generated by resolvconf | ||
| + | # Do not edit manually, use | ||
| + | # /etc/net/ifaces/<interface>/resolv.conf instead. | ||
| + | search domain.alt | ||
| + | nameserver 192.168.0.249 | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/hosts=== | ||
| + | <pre> | ||
| + | 127.0.0.1 localhost.localdomain localhost | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/hostname=== | ||
| + | |||
| + | host-arm01.domain.alt | ||
| + | |||
| + | ===Файл /etc/sysconfig/network=== | ||
| + | <pre> | ||
| + | # When set to no, this may cause most daemons' initscripts skip starting. | ||
| + | NETWORKING=yes | ||
| + | |||
| + | # Used by hotplug/pcmcia/ifplugd scripts to detect current network config | ||
| + | # subsystem. | ||
| + | CONFMETHOD=etcnet | ||
| + | |||
| + | # Used by rc.sysinit to setup system hostname at boot. | ||
| + | HOSTNAME=host-arm01.domain.alt | ||
| + | |||
| + | # This is used by ALTLinux ppp-common to decide if we want to install | ||
| + | # nameserver lines into /etc/resolv.conf or not. | ||
| + | RESOLV_MODS=yes | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/pam.d/system-auth-sss=== | ||
| + | <pre> | ||
| + | #%PAM-1.0 | ||
| + | |||
| + | auth [success=5 perm_denied=ignore default=die] pam_localuser.so | ||
| + | auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | auth [default=1] pam_permit.so | ||
| + | auth optional pam_mount.so | ||
| + | auth substack system-auth-sss-only | ||
| + | auth [default=1] pam_permit.so | ||
| + | auth substack system-auth-local-only | ||
| + | auth substack system-auth-common | ||
| + | |||
| + | account [success=4 perm_denied=ignore default=die] pam_localuser.so | ||
| + | account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | account [default=1] pam_permit.so | ||
| + | account substack system-auth-sss-only | ||
| + | account [default=1] pam_permit.so | ||
| + | account substack system-auth-local-only | ||
| + | account substack system-auth-common | ||
| + | |||
| + | password [success=4 perm_denied=ignore default=die] pam_localuser.so | ||
| + | password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | password [default=1] pam_permit.so | ||
| + | password substack system-auth-sss-only | ||
| + | password [default=1] pam_permit.so | ||
| + | password substack system-auth-local-only | ||
| + | password substack system-auth-common | ||
| + | |||
| + | session [success=5 perm_denied=ignore default=die] pam_localuser.so | ||
| + | session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | ||
| + | session [default=1] pam_permit.so | ||
| + | session required pam_mkhomedir.so silent | ||
| + | session optional pam_mount.so disable_interactive | ||
| + | session substack system-auth-sss-only | ||
| + | session [default=1] pam_permit.so | ||
| + | session substack system-auth-local-only | ||
| + | session substack system-auth-common | ||
| + | session optional pam_script.so | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/security/pam_mount.conf.xml=== | ||
| + | <pre> | ||
| + | <?xml version="1.0" encoding="utf-8" ?> | ||
| + | <!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"> | ||
| + | <pam_mount> | ||
| + | <debug enable="0" /> | ||
| + | <volume uid="10000-2000200000" fstype="cifs" server="dc.domain.alt" path="share" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> | ||
| + | <cifsmount>/sbin/mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount> | ||
| + | <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" /> | ||
| + | <mntoptions require="nosuid,nodev" /> | ||
| + | <logout wait="0" hup="no" term="no" kill="no" /> | ||
| + | <mkmountpoint enable="1" remove="true" /> | ||
| + | </pam_mount> | ||
| + | </pre> | ||
| + | |||
| + | ===Файл /etc/pam-script/pam-script.d/umount_share_if_ses_close=== | ||
| + | <pre> | ||
| + | #!/bin/bash | ||
| + | systemd-mount -u /home/DOMAIN.ALT/${PAM_USER}/share | ||
| + | exit 0 | ||
| + | </pre> | ||
| + | |||
| + | =Пакетное добавление пользователей= | ||
| + | |||
| + | ==Формат файла для импорта== | ||
| + | |||
| + | На примере файла с тремя пользователями... | ||
| + | |||
| + | Такой файл можно получить, например, на основе электронной таблицы .ods или .xls(x) | ||
| + | |||
| + | Формат и порядок столбцов данных следующий: | ||
| + | |||
| + | <pre> | ||
| + | фамилия,имя,отчество,логин,емэйл,пароль | ||
| + | </pre> | ||
| + | |||
| + | Файл демонстрирует то, что импортируемые пользователи могут не содержать имени или отчества, но на месте фамилии обязательно должен присутствовать какой-либо текст, должен быть обязательно логин, емэйл и пароль | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /opt/users.csv | ||
| + | Петрова,Мария,Ивановна,petrova_mi,petrova_mi@mail.ru,Qwe123!@# | ||
| + | Сидоров,Иван,,sidorov_i,sidorov_i@mail.ru,Qwe123!@# | ||
| + | Вася,,,vasya,vasya@mail.ru,Qwe123!@# | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | ==Скрипт для пакетного импорта== | ||
| + | |||
| + | <pre> | ||
| + | cat << 'EOF' > /opt/batch_create_dc_users.sh | ||
| + | #!/bin/bash | ||
| + | |||
| + | while read -r line; | ||
| + | do | ||
| + | f=`echo $line | awk -F ',' {'print $1'}` | ||
| + | i=`echo $line | awk -F ',' {'print $2'}` | ||
| + | o=`echo $line | awk -F ',' {'print $3'}` | ||
| + | login=`echo $line | awk -F ',' {'print $4'}` | ||
| + | email=`echo $line | awk -F ',' {'print $5'}` | ||
| + | password=`echo $line | awk -F ',' {'print $6'}` | ||
| + | |||
| + | if [ -z $i ] && [ -z $o ]; then | ||
| + | samba-tool user create "${login}" "${password}" --surname="${f}" --mail-address="${email}" | ||
| + | else | ||
| + | |||
| + | given_name='' | ||
| + | if [ -z $o ]; then | ||
| + | given_name="${i}" | ||
| + | else | ||
| + | given_name="${i} ${o}" | ||
| + | fi | ||
| + | |||
| + | samba-tool user create "${login}" "${password}" --surname="${f}" --given-name="${given_name}" --mail-address="${email}" | ||
| + | fi | ||
| + | |||
| + | samba-tool user setexpiry "${login}" --noexpiry | ||
| + | done < /opt/users.csv | ||
| + | EOF | ||
| + | </pre> | ||
| + | |||
| + | ==Запуск скрипта== | ||
| + | |||
| + | chmod +x /opt/batch_create_dc_users.sh | ||
| + | |||
| + | /opt/batch_create_dc_users.sh | ||
| + | |||
| + | =Лайфхаки= | ||
| + | |||
| + | Отключаем требование сложного пароля: | ||
| + | |||
| + | <pre> | ||
| + | # samba-tool domain passwordsettings set --complexity=off | ||
| + | </pre> | ||
| + | |||
| + | =Источники= | ||
| + | |||
| + | В разном порядке использовались следующие источники | ||
| + | |||
| + | [https://docs.altlinux.org/ru-RU/alt-kworkstation/10.0/html/alt-kworkstation/ch52s07.html] | ||
| + | |||
| + | [https://docs.altlinux.org/ru-RU/alt-workstation/10.0/html/alt-workstation/ch44s06s02.html] | ||
| + | |||
| + | [https://docs.altlinux.org/ru-RU/alt-kworkstation/10.0/html/alt-kworkstation/system-management--sambadc--chapter.html] | ||
| + | |||
| + | [https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/index.html] | ||
| + | |||
| + | [https://www.altlinux.org/Fileserver_start] | ||
| + | |||
| + | [https://www.altlinux.org/ActiveDirectory/DC#Troubleshooting] | ||
| + | |||
| + | [https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/ch07s09s02.html] | ||
| + | |||
| + | [https://www.altlinux.org/ActiveDirectory/Login/DC] | ||
Текущая версия на 17:03, 4 сентября 2024
Содержание
- 1 Порядок развёртывания на Альт Стартеркит MATE
- 1.1 Подготовка и установка необходимых пакетов
- 1.2 Подготовка конфигурационных файлов ситемы
- 1.3 Создание домена одной командой
- 1.4 Включение сервиса и проверка работы домена
- 1.5 Настройка Kerberos
- 1.6 Управление пользователями из командной строки
- 1.6.1 Создать пользователя с паролем
- 1.6.2 Удалить пользователя
- 1.6.3 Отключить пользователя
- 1.6.4 Включить пользователя
- 1.6.5 Изменить пароль пользователя
- 1.6.6 Просмотреть доступных пользователей
- 1.6.7 Просмотр информации о пользователе
- 1.6.8 Создание домашнего каталога для пользователя
- 1.6.9 Создание домашнего каталога для пользователя при первом входе
- 1.7 Запуск ADMC
- 2 Порядок ввода в домен компьютера под управлением ОС Альт Стартеркит MATE
- 3 Монтирование каталогов по SAMBA
- 4 Готовые конфиги для клиента и сервера, в контексте задачи, описанной в данной статье
- 5 Пакетное добавление пользователей
- 6 Лайфхаки
- 7 Источники
Порядок развёртывания на Альт Стартеркит MATE
Подготовка и установка необходимых пакетов
После обновления системы и ядра...
Выставляем часовой пояс и синхронизируем время
timedatectl set-timezone Europe/Moscow ntpdate pool.ntp.org
Отключаем сервисы и устанавливаем необходимые пакеты
for service in smb nmb; do systemctl disable $service; systemctl stop $service; done apt-get install -y task-samba-dc admc
Подготовка конфигурационных файлов ситемы
Задаём имя хоста
hostnamectl set-hostname dc.domain.alt
Также проверить и при необходимости поправить имя хоста в файле
/etc/sysconfig/network
Перезагрузиться для проверки
reboot
Далее настраиваем 127.0.0.1 в качестве DNS сервера системы (далее в команде создания домена мы добавим возможность для этого DNS сервера делать запросы к внешним DNS серверам)
cat << EOF > /etc/resolv.conf # Generated by resolvconf # Do not edit manually, use # /etc/net/ifaces/<interface>/resolv.conf instead. search alt nameserver 127.0.0.1 EOF
Здесь приведена команда конфигурирования файла /etc/hosts, исходя из того, что у настраиваемого сервера локальный IP-адрес: 192.168.0.249
cat << EOF > /etc/hosts 192.168.0.249 dc.domain.alt domain.alt 127.0.0.1 localhost EOF
Создание домена одной командой
Перед выполнением команды создания домена нужно удалить конфигурационный файл:
/bin/rm -rf /etc/samba/smb.conf /var/lib/samba /var/cache/samba mkdir -p /var/lib/samba/sysvol
Для домена
domain.alt
с паролем
Pa$$word
и адресом внешнего DNS сервера
8.8.8.8
команда создания домена будет такой:
samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --option="dns forwarder=8.8.8.8"
Включение сервиса и проверка работы домена
Включение
systemctl enable --now samba
Проверка
samba-tool domain info 127.0.0.1
В ответ должно прилететь что-то типа этого:
Forest : domain.alt Domain : domain.alt Netbios domain : DOMAIN DC name : dc.domain.alt DC netbios name : DC Server site : Default-First-Site-Name Client site : Default-First-Site-Name
Настройка Kerberos
/bin/cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Управление пользователями из командной строки
Создать пользователя с паролем
Например, создаём пользователя ivanov_ivan
samba-tool user create ivanov_ivan
Устанавливаем срок действия пароля
samba-tool user setexpiry ivanov_ivan
Создаём пользователя с указанием полного имени, адреса электронной почты и пароль будет действовать всегда
samba-tool user create ivanov_ivan --given-name='Иванов Иван' --mail-address='ivanovi@mail.ru' samba-tool user setexpiry ivanov_ivan --noexpiry
Удалить пользователя
samba-tool user delete ivanov_ivan
Отключить пользователя
samba-tool user disable ivanov_ivan
Включить пользователя
samba-tool user enable ivanov_ivan
Изменить пароль пользователя
samba-tool user setpassword ivanov_ivan
Просмотреть доступных пользователей
samba-tool user list
Просмотр информации о пользователе
samba-tool user show ivanov_ivan
или, чтобы узнать UID и GID (например, для установки владельца на каталог samba)
wbinfo -i ivanov_ivan
в ответ должно прийти что-то типа
DOMAIN\ivanov_ivan:*:3000023:100::/home/DOMAIN.ALT/ivanov_ivan:/bin/bash
где UID это 3000023 а GID это 100
Создание домашнего каталога для пользователя
Пока вручную. Ведётся работа над интеграцией соответствующего скрипта в процесс добавления пользователя в SAMBA
Перед выполнением команд добавления домашнего каталога на основе /etc/skel конкретно в контексте этой статьи нужно добавить в /etc/skel каталог, который позже буде монтироваться каждому пользователю посредством pam_mount. Для этого нужно выполнить команду
mkdir /etc/skel/share
далее на базе скелетона создаём каталог
cp -rp /etc/skel /home/DOMAIN.ALT/ivanov_ivan
потом меняем пользователя владельца и группу владельца на этот каталог на базе информации из wbinfo (пример команды -- выше)
chown 3000023:100 /home/DOMAIN.ALT/ivanov_ivan -R
Создание домашнего каталога для пользователя при первом входе
В контексте этой статьи это решается запуском скрипта через параметр
root preexec = /usr/local/samba/bin/create_homedir %U
, добавленный к ресурсу
[share]
Задача, которую решает этот скрипт -- создание домашних каталогов для доменных пользователей на основе скелетона /etc/skel. В будущем это будет нужно для монтирования каталогов на клиентских машинах посредством pam_mount.
Полный конфиг ресурса
[share]
path = /home/DOMAIN.ALT/%U/share
root preexec = /usr/local/samba/bin/create_homedir %U
read only = No
browseable = yes
writable = yes
valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"
Параметр указывает на выполнение скрипта, параметром в который прилетает имя пользователя. Создаём скрипт
mkdir -p /usr/local/samba/bin/
cat << 'EOF' > /usr/local/samba/bin/create_homedir
#!/bin/bash
[ -z ${1} ] && echo "Try: $0 <username>" && exit 1
user="${1}"
homepath="/home/DOMAIN.ALT/${user}"
[ -d ${homepath} ] || /bin/cp -rp /etc/skel ${homepath}
[ -d ${homepath} ] && /bin/chown `wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}` ${homepath} -R
exit 0
EOF
chmod +x /usr/local/samba/bin/create_homedir
mkdir /home/DOMAIN.ALT
Теперь при обращении пользователя к ресурсу [share] от суперпользователя будет запускаться скрипт, который:
1. Создаёт домашний каталог на основе /etc/skel (создаёт, только, если каталога несуществует)
2. Обновляет пользователя-владельца и группу-владельца для созданного каталога. UID пользователя-владельца и GID группы-владельца скрипт получает из команды (обновляет, только если каталог существует)
wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}
Запуск ADMC
Для корректной работы приложения ADMC необходимо получить билет Kerberos командой
kinit Administrator
В ответ необходимо ввести пароль от доменного администратора
Чтобы это автоматизировать, можно, например, сделать скрипт автоматического запуска admc
cat << 'EOF' > /opt/admc.sh #!/bin/bash echo 'Pa$$word' | kinit Administrator admc EOF chmod +x /opt/admc.sh
Если необходимо, то:
ln -s /opt/admc.sh /home/administrator/Рабочий\ стол/
Порядок ввода в домен компьютера под управлением ОС Альт Стартеркит MATE
Подготовка
Устанавливаем пакеты
apt-get install alterator-auth sssd-ad samba-common-tools realmd
Выставляем часовой пояс и синхронизируем время
timedatectl set-timezone Europe/Moscow ntpdate pool.ntp.org
Задаём имя хоста
hostnamectl set-hostname host-arm01
Также проверить и при необходимости поправить имя хоста в файле
/etc/sysconfig/network
Перезагрузиться для проверки
reboot
Ввод компьютера в домен одной командой
Команда ввода компьютера с именем хоста
host-arm01
в домен
domain.alt
с паролем
Pa$$word
будет такой:
system-auth write ad domain.alt host-arm01 domain 'administrator' 'Pa$$word'
Включить применение групповых политик
apt-get install -y gpupdate alterator-auth alterator-gpupdate
gpupdate-setup write enable workstation
Вывод компьютера из домена
В контексте этой статьи компьютер из домена выводится командой, вводимой на самом компьютере (не на сервере):
realm leave domain.alt Administrator
Проверка текущего типа аутентификации
control system-auth
Монтирование каталогов по SAMBA
На сервере
Добавляем параметры в конфиг самбы и перезапускаем сервис
cat << 'EOF' >> /etc/samba/smb.conf [share] path = /home/DOMAIN.ALT/%U/share read only = No browseable = yes writable = yes valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins" EOF
systemctl restart samba
На клиентском компьютере, введённом в домен
Устанавливаем необходимые пакеты
apt-get install -y pam_mount cifs-utils systemd-settings-enable-kill-user-processes pam_script mate-file-manager-extensions fuse-smb gvfs-backend-smb
Конфигурируем PAM
Готовая команда для создания рабочего конфига
cat << 'EOF' > /etc/pam.d/system-auth-sss #%PAM-1.0 auth [success=5 perm_denied=ignore default=die] pam_localuser.so auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet auth [default=1] pam_permit.so auth optional pam_mount.so auth substack system-auth-sss-only auth [default=1] pam_permit.so auth substack system-auth-local-only auth substack system-auth-common #auth optional pam_exec.so expose_authtok /opt/pam_exec_hook_auth account [success=4 perm_denied=ignore default=die] pam_localuser.so account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet account [default=1] pam_permit.so account substack system-auth-sss-only account [default=1] pam_permit.so account substack system-auth-local-only account substack system-auth-common password [success=4 perm_denied=ignore default=die] pam_localuser.so password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet password [default=1] pam_permit.so password substack system-auth-sss-only password [default=1] pam_permit.so password substack system-auth-local-only password substack system-auth-common session [success=5 perm_denied=ignore default=die] pam_localuser.so session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet session [default=1] pam_permit.so session required pam_mkhomedir.so silent session optional pam_mount.so disable_interactive session substack system-auth-sss-only session [default=1] pam_permit.so session substack system-auth-local-only session substack system-auth-common session optional pam_script.so #session optional pam_exec.so /opt/pam_exec_hook_session EOF
Если этого конфига недостаточно чтобы заработало монтирование через pam_mount, то добавить эти две строчки
session [success=1 default=ignore] pam_succeed_if.so service = systemd-user session optional pam_mount.so disable_interactive
в конец файла
/etc/pam.d/system-auth
Добавляем скрипт в pam_script
Практика показала, что при завершении пользователем сеанса НЕ происходит отмонтирования сетевого каталога share. Поэтому пришлось дополнительно использовать pam_script и настроить для завершения сессии вот такой скрипт, который выполняет команду отмонтирования при завершении сессии (который, в отличии от <cifsumount></cifsumount> секции в конфиге pam_mount, работает корректно!).
Готовая команда для создания скрипта
cat << 'EOF' > /etc/pam-script/pam-script.d/umount_share_if_ses_close
#!/bin/bash
systemd-mount -u /home/DOMAIN.ALT/${PAM_USER}/share
exit 0
EOF
Разрешаем для всех доступ к fuse под root
control fusermount public
Проверка доступности ресурсов для пользователя
В приведённой ниже команде проверяются ресурсы пользователя ivanov_ivan:
smbclient -L dc.domain.alt -U ivanov_ivan -m SMB2
Монтирование ресурса вручную
В приведённой ниже команде проверяются монтирование ресурса вручную для пользователя ivanov_ivan:
mount.cifs //dc.domain.alt/share ~/share -o vers=2.0,user=ivanov_ivan
Под вошедшим в ведённый в домен компьютер пользователем ivanov_ivan команда должна монтировать ресурс без запроса пароля!
Если проверка и монтирование вручную работает корректно, то можно настраивать pam_mount
Конфигурируем pam_mount
Делаем бэкап
cp /etc/security/pam_mount.conf.xml /etc/security/pam_mount.conf.xml.orig
Создаём сразу готовый файл конфигурации:
cat << 'EOF' > /etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<volume uid="10000-2000200000" fstype="cifs" server="dc.domain.alt" path="share" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
<cifsmount>/sbin/mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="no" term="no" kill="no" />
<mkmountpoint enable="1" remove="true" />
</pam_mount>
EOF
Основной принцип работы
В контексте данной статьи сервер и pam_mount на клиентской машине настроены таким образом, чтобы при входе доменного пользователя в систему в домашний каталог этого пользователя автоматически подключался ресурс, который на компьютере пользователя будет находиться в каталоге
/home/DOMAIN.ALT/ivanov_ivan/share
и будет смонтирован в каталог на сервере с точно таким же расположением, т.е.
/home/DOMAIN.ALT/ivanov_ivan/share
Следовательно, локально пользователь ivanov_ivan будет работать на конкретной машине, введённой в домен в локальном каталоге
/home/DOMAIN.ALT/ivanov_ivan
и результат работы будет сохраняться только на локальной машине.
Но файлы, с которыми пользователь ivanov_ivan работает на локальной машине A именно в каталоге
/home/DOMAIN.ALT/ivanov_ivan/share
, будут фактически сохраняться в каталоге
/home/DOMAIN.ALT/ivanov_ivan/share
файлового сервера на машине контроллера домена (и не будут сохраняться в таком же каталоге локальной машины) и в случае, когда пользователь ivanov_ivan будет работать на машине B, введённой в этот же домен, то в каталоге
/home/DOMAIN.ALT/ivanov_ivan/share
пользователю ivanov_ivan будут доступны те же файлы, с которыми он работал на машине A.
Готовые конфиги для клиента и сервера, в контексте задачи, описанной в данной статье
Для сервера
Файл /etc/samba/smb.conf
# Global parameters [global] dns forwarder = 8.8.8.8 netbios name = DC realm = DOMAIN.ALT server role = active directory domain controller workgroup = DOMAIN [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/domain.alt/scripts read only = No [share] path = /home/DOMAIN.ALT/%U/share root preexec = /usr/local/samba/bin/create_homedir %U read only = No browseable = yes writable = yes valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"
Вывод команды testparm
Load smb config files from /etc/samba/smb.conf Loaded services file OK. Weak crypto is allowed Server role: ROLE_ACTIVE_DIRECTORY_DC Press enter to see a dump of your service definitions # Global parameters [global] dns forwarder = 8.8.8.8 passdb backend = samba_dsdb realm = DOMAIN.ALT server role = active directory domain controller workgroup = DOMAIN rpc_server:tcpip = no rpc_daemon:spoolssd = embedded rpc_server:spoolss = embedded rpc_server:winreg = embedded rpc_server:ntsvcs = embedded rpc_server:eventlog = embedded rpc_server:srvsvc = embedded rpc_server:svcctl = embedded rpc_server:default = external winbindd:use external pipes = true idmap config * : backend = tdb map archive = No vfs objects = dfs_samba4 acl_xattr [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/domain.alt/scripts read only = No [share] path = /home/DOMAIN.ALT/%U/share read only = No root preexec = /usr/local/samba/bin/create_homedir %U valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"
Файл /usr/local/samba/bin/create_homedir
#!/bin/bash
[ -z ${1} ] && echo "Try: $0 <username>" && exit 1
user="${1}"
homepath="/home/DOMAIN.ALT/${user}"
[ -d ${homepath} ] || /bin/cp -rp /etc/skel ${homepath}
[ -d ${homepath} ] && /bin/chown `wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}` ${homepath} -R
exit 0
Файл /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
DOMAIN.ALT = {
default_domain = domain.alt
}
[domain_realm]
dc = DOMAIN.ALT
Файл /etc/sysconfig/network
# When set to no, this may cause most daemons' initscripts skip starting. NETWORKING=yes # Used by hotplug/pcmcia/ifplugd scripts to detect current network config # subsystem. CONFMETHOD=etcnet # Used by rc.sysinit to setup system hostname at boot. HOSTNAME=dc.alt # This is used by ALTLinux ppp-common to decide if we want to install # nameserver lines into /etc/resolv.conf or not. RESOLV_MODS=yes
Файл /etc/resolv.conf
# Generated by resolvconf # Do not edit manually, use # /etc/net/ifaces/<interface>/resolv.conf instead. search domain.alt nameserver 127.0.0.1
Файл /etc/hosts
192.168.0.249 dc.domain.alt domain.alt 127.0.0.1 localhost
Файл /etc/hostname
dc.domain.alt
Файл /opt/admc.sh
Файл не обязательный. Просто синтаксический сахар для запуска admc без необходимости выполнять вручную kinit Administrator и вводить пароль.
#!/bin/bash echo 'Pa$$word' | kinit Administrator admc
Разместить симлинк на этот файл можно, например, так
ln -s /opt/admc.sh /home/administrator/Рабочий\ стол/
Для клиента
Файл /etc/resolv.conf
В этом примере файла адрес DNS сервера должен быть адресом домена, в который необходимо вводить клиента. Выше описана процедура развёртывания домена и сделан акцент на том, что домен через себя должен пропускать работу DNS сервера. Если DNS сервер не будет узнавать контроллер домена по имени, процедура ввода завершится с ошибкой.
/etc/resolv.conf # Generated by resolvconf # Do not edit manually, use # /etc/net/ifaces/<interface>/resolv.conf instead. search domain.alt nameserver 192.168.0.249
Файл /etc/hosts
127.0.0.1 localhost.localdomain localhost
Файл /etc/hostname
host-arm01.domain.alt
Файл /etc/sysconfig/network
# When set to no, this may cause most daemons' initscripts skip starting. NETWORKING=yes # Used by hotplug/pcmcia/ifplugd scripts to detect current network config # subsystem. CONFMETHOD=etcnet # Used by rc.sysinit to setup system hostname at boot. HOSTNAME=host-arm01.domain.alt # This is used by ALTLinux ppp-common to decide if we want to install # nameserver lines into /etc/resolv.conf or not. RESOLV_MODS=yes
Файл /etc/pam.d/system-auth-sss
#%PAM-1.0 auth [success=5 perm_denied=ignore default=die] pam_localuser.so auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet auth [default=1] pam_permit.so auth optional pam_mount.so auth substack system-auth-sss-only auth [default=1] pam_permit.so auth substack system-auth-local-only auth substack system-auth-common account [success=4 perm_denied=ignore default=die] pam_localuser.so account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet account [default=1] pam_permit.so account substack system-auth-sss-only account [default=1] pam_permit.so account substack system-auth-local-only account substack system-auth-common password [success=4 perm_denied=ignore default=die] pam_localuser.so password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet password [default=1] pam_permit.so password substack system-auth-sss-only password [default=1] pam_permit.so password substack system-auth-local-only password substack system-auth-common session [success=5 perm_denied=ignore default=die] pam_localuser.so session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet session [default=1] pam_permit.so session required pam_mkhomedir.so silent session optional pam_mount.so disable_interactive session substack system-auth-sss-only session [default=1] pam_permit.so session substack system-auth-local-only session substack system-auth-common session optional pam_script.so
Файл /etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<volume uid="10000-2000200000" fstype="cifs" server="dc.domain.alt" path="share" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
<cifsmount>/sbin/mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="no" term="no" kill="no" />
<mkmountpoint enable="1" remove="true" />
</pam_mount>
#!/bin/bash
systemd-mount -u /home/DOMAIN.ALT/${PAM_USER}/share
exit 0
Пакетное добавление пользователей
Формат файла для импорта
На примере файла с тремя пользователями...
Такой файл можно получить, например, на основе электронной таблицы .ods или .xls(x)
Формат и порядок столбцов данных следующий:
фамилия,имя,отчество,логин,емэйл,пароль
Файл демонстрирует то, что импортируемые пользователи могут не содержать имени или отчества, но на месте фамилии обязательно должен присутствовать какой-либо текст, должен быть обязательно логин, емэйл и пароль
cat << 'EOF' > /opt/users.csv Петрова,Мария,Ивановна,petrova_mi,petrova_mi@mail.ru,Qwe123!@# Сидоров,Иван,,sidorov_i,sidorov_i@mail.ru,Qwe123!@# Вася,,,vasya,vasya@mail.ru,Qwe123!@# EOF
Скрипт для пакетного импорта
cat << 'EOF' > /opt/batch_create_dc_users.sh
#!/bin/bash
while read -r line;
do
f=`echo $line | awk -F ',' {'print $1'}`
i=`echo $line | awk -F ',' {'print $2'}`
o=`echo $line | awk -F ',' {'print $3'}`
login=`echo $line | awk -F ',' {'print $4'}`
email=`echo $line | awk -F ',' {'print $5'}`
password=`echo $line | awk -F ',' {'print $6'}`
if [ -z $i ] && [ -z $o ]; then
samba-tool user create "${login}" "${password}" --surname="${f}" --mail-address="${email}"
else
given_name=''
if [ -z $o ]; then
given_name="${i}"
else
given_name="${i} ${o}"
fi
samba-tool user create "${login}" "${password}" --surname="${f}" --given-name="${given_name}" --mail-address="${email}"
fi
samba-tool user setexpiry "${login}" --noexpiry
done < /opt/users.csv
EOF
Запуск скрипта
chmod +x /opt/batch_create_dc_users.sh
/opt/batch_create_dc_users.sh
Лайфхаки
Отключаем требование сложного пароля:
# samba-tool domain passwordsettings set --complexity=off
Источники
В разном порядке использовались следующие источники
