Шаблоны Joomla 2.5 здесь: http://joomla25.ru/shablony/

Контроллер домена на samba

  • Печать
Подробности
Категория: Linux - разное
Опубликовано 23.12.2019 12:57
Автор: Super User
Просмотров: 462

Контроллер домена на samba

 

1. Настройка IP адреса

 

Установку будем производить на машине с установленным debian 8. Я при установке системы установил также графическое окружением XFCE. Так как мы не планируем часто настраивать IP адрес, то нужно удалить network-manager. После удаления пропишем статический ip адрес в файле /etc/network/interfaces

 

allow-hotplug eth0
iface eth0 inet static
address 192.168.2.247
netmask 255.255.255.0
broadcast 192.168.2.255
gateway 192.168.2.1
dns-nameservers 192.168.2.1
dns-search domain.local domain

 

2. Установка и настройка синхронизации времени

 

Далее устанавливаем ntp сервер, так как подразумевается использование kerberos аваторизации.
# apt-get install ntp ntpdate

 

Настраиваем конфигурационный файл /etc/ntp.conf, вносим следующие строки

# Список российских серверов времени iburst — отправлять несколько пакетов (повышает точность)

server ntp2.stratum2.ru iburst prefer #Этот сервер будет основным для синхронизации

server ntp3.stratum2.ru iburst

server ntp4.stratum2.ru iburst

server ntp5.stratum2.ru iburst

server ntp1.stratum1.ru iburst

server ntp2.stratum1.ru iburst

server ntp3.stratum1.ru iburst

server ntp4.stratum1.ru iburst

 

#Отключим мониторинг

disable monitor

 

#Файл смещения.

driftfile /var/db/ntpd.drift

 

#Файл логов NTP сервера.

logfile /var/log/ntpd.log

 

### Настройки безопасности ###

# restrict default — задает значение по умолчанию для всех рестриктов.

# kod — узлам, которые часто отправляют запросы сначала отправить поцелуй смерти (kiss of death), затем отключить от сервера.

# notrap — не принимать управляющие команды.

# nomodify — запрещает команды, которые могут вносить изменения состояния.

# nopeer — не синхронизироваться с хостом.

# noquery — не принимать запросы.

#

# разрешаем внешним источникам изменять время на нашем сервере

restrict ntp2.stratum2.ru noquery notrap

restrict ntp3.stratum2.ru noquery notrap

restrict ntp4.stratum2.ru noquery notrap

restrict ntp5.stratum2.ru noquery notrap

restrict ntp1.stratum1.ru noquery notrap

restrict ntp2.stratum1.ru noquery notrap

restrict ntp3.stratum1.ru noquery notrap

restrict ntp4.stratum1.ru noquery notrap

 

# настройки безопасности по умолчанию

restrict default kod notrap nomodify nopeer noquery

 

# Разрешим доступ к серверу времени только из нашей локальной сети

restrict 192.168.2.0 mask 255.255.255.0 nomodify notrap

 

# доступ сервера к самому себе

restrict 127.0.0.1

restrict ::1

 

#Если необходимо, то откроем доступ отовсюду. (Это так же даст доступ к вашему NTP серверу из сети интернет, если сервер к нему подключен и к нему открыт доступ).

#restrict 0.0.0.0 mask 0.0.0.0 nomodify notrap nopeer

 Теперь сохраняем файл конфигурации и перезапускаем наш демон:
# service ntp restart


Проверьте файл логов на наличие ошибок, если все хорошо, то вам достаточно подождать минут 10-15, до того как сервер автоматически синхронизируется с выбранными серверами. Для того что бы это проверить, введите:

# ntpq -c peers

Знак + перед адресом указывает на сервер с которым была последняя синхронизация. Так же можно синхронизироватся с самим собой:

# ntpdate -q localhost

или синхронизироватся с выбранным сервером:
ntpdate адрес_сервера #Например 0.ru.pool.ntp.org

Если вам нужносменить временную зону, то необходимо заменить файл /etc/localtime, для этого достаточно удалить старый файл, и выбрать необходимую зону из каталога /usr/share/zoneinfo/. 

ln -s /usr/share/zoneinfo/Europe/Moscow /etc/localtime

3. Настройка файловой системы

 

Далее Для работы контроллера домена в ядре должна быть поддержка XATTR, SECURITY и POSIX_ACL для файловой системы ext4. По умолчанию она присутствует, необходимо только включить ее для нужных нам файловых систем в файле /etc/fstab (выделено жирным шрифтом):

user_xattr – расширенные атрибуты файлов для файловых систем ext3/ext4.

Параметр barrier=1 гарантирует, что tdb транзакции будут защищены при неожиданном отключении электропитания. Включите эту опцию для того чтобы не допустить повреждения базы данных AD в файле sam.ldb

Списки контроля доступа ACL (Access Control Lists) позволяют установить права доступа к файлам не только для владельца и группы, но и индивидуально для любого другого пользователя или группы, без каких-либо ограничений по количеству устанавливаемых пользователей/групп/. Это необходимо для шар самбы, что бы корректно сохранялись права виндовых машин, что бы эти права наследовались, что бы профиль пользователя Windows перемещался корректно ну и т.д.

Итак осторожно правим fstab, включаем поддержку вышеописанного для всех разделов, особенно для тех, которые будут шарами samba. В опции монтирования добавляем user_xattr,acl,barrier=1

 

# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=a4535997-a41b-4555-b0bc-66df0436d3a4 / ext4 errors=remount-ro,user_xattr,acl,barrier=1 0 1
# /home was on /dev/sda8 during installation
UUID=566fec99-cb7d-4e57-9192-b0ed57ef796b /home ext4 user_xattr,acl,barrier=1 0 2
# /tmp was on /dev/sda7 during installation
UUID=21e19722-9c99-4152-8ebc-e5553892bc30 /tmp ext4 user_xattr,acl,barrier=1 0 2
# /var was on /dev/sda5 during installation
UUID=06430bc9-9357-4fbe-a261-a3118993726c /var ext4 user_xattr,acl,barrier=1 0 2
# swap was on /dev/sda6 during installation
UUID=3335a698-5854-496b-a000-fe6fa6ae3a9b none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0

После перезагрузки необходимо протестировать поддержку XATTR для файловой системы. Выполним:

touch testfile
setfattr -n user.test -v test1 testfile
setfattr -n security.test -v test2 testfile

Если ругается на setfattr, что нет такой команды - надо поставить пакет attr (apt-get install attr). Командаgetfattr -d testfile должна вернуть:

file: testfile
user.test="test1"

Командаgetfattr -n security.test -d testfile должна вернуть:

file: testfile
security.test="test2"

Для проверки поддержки ACL выполним:

touch testfile2
setfacl -m g:adm:rwx testfile2

Команда  getfacl testfile2 должна вернуть:

group:adm:rwx

 

 

Статья в процессе написания.

Использованные материалы:  https://unixforum.org/viewtopic.php?t=84474