Облачные сервисы

Информационная безопасность

Размещение 1С в облаке

 

Для чего это может потребоваться? Ну допустим у нас есть уже машина с линукс в сети, и хочется на неё перекидывать файлы по сетке без ввода лишний раз логина и пароля. Ну или просто в сети AD решили добавить новый файл сервер. Поднять файл сервер на CentOS'e гораздо дешевле чем покупать новую ОСь с Windows Server.

 

Определимся с настройками:

IP-адрес машины — 192.168.8.114

Имя машины — filesrv

Домен — data8.local

Контролёр домена — server

Прописываем имя нашего сервера и контролёра домена в /etc/hosts:

# Do not remove the following line, or various programs 

# that require network functionality will fail. 

127.0.0.1 filesrv.DATA8.LOCAL filesrv 

192.168.8.114 filesrv.DATA8.LOCAL filesrv 

192.168.8.2 server.DATA8.LOCAL server

Устанавливаем Самбу и Керберос

yum install samba samba-client samba-common krb5-server krb5-workstation krb5-libs

Настраиваем Керберос:

nano /etc/krb5.conf

[logging]default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

[libdefaults]

default_realm = DATA8.LOCAL

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

DATA8.LOCAL = {

kdc = server.data8.local

default_domain = data8.local

}

[domain_realm]

.data8.local = DATA8.LOCAL

data8.local = DATA8.LOCAL

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

* Обратите внимание на регистр символов!

Правим настройки авторизации с учётом пользователей домена:

nano /etc/pam.d/system-auth

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth required pam_env.so

auth sufficient pam_unix.so nullok try_first_pass

auth requisite pam_sudata8.localeed_if.so uid >= 500 quiet

auth sufficient pam_smb_auth.so use_first_pass nolocal

auth sufficient pam_winbind.so use_first_pass

auth required pam_deny.so

adata8.localount required pam_unix.so broken_shadow

adata8.localount sufficient pam_localuser.so

adata8.localount sufficient pam_sudata8.localeed_if.so uid < 500 quiet

adata8.localount [default=bad sudata8.localess=ok user_unknown=ignore] pam_winbind.so

adata8.localount required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

password sufficient pam_winbind.so use_authtok

password required pam_deny.so

session optional pam_keyinit.so revoke

session required pam_limits.so

session optional pam_mkhomedir.so

session [sudata8.localess=1 default=ignore] pam_sudata8.localeed_if.so service in crond quiet use_uid

session required pam_unix.so

Сейчас пользователи домена могут спокойно авторизоваться на сервере.

Минимально настроим самбу. В прочем это вполне рабочий конфиг:

[global]

dos charset = 866

workgroup = DATA8

realm = DATA8.LOCAL

netbios name = FILESRV

server string = Samba File Server

interfaces = 192.168.8.114/255.255.255.0

security = ADS

auth methods = winbind

allow trusted domains = No

null passwords = Yes

obey pam restrictions = Yes

password server = server

log level = 2

log file = /var/log/samba/log.%m

max log size = 50

name resolve order = hosts wins bcast lmhosts

client signing = Yes

socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192

os level = 0

preferred master = No

local master = No

domain master = No

dns proxy = No

idmap backend = idmap_rid:DATA8.LOCAL=10000-20000

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind enum users = Yes

winbind enum groups = Yes

winbind use default domain = Yes

hosts allow = 192.168.8., 192.168.10., 127.0.0.1

case sensitive = No

[upload]

comment = Global Upload Folder

path = /srv/ARRAY0/smb/upload/

valid users = "@DATA8.LOCAL\пользователи домена"

read only = No

create mask = 0666

directory mask = 0777

* SELinux — выключен!

Настраиваем nsswitch, для того чтобы он мог использовать данные AD с помощью winbind-сервиса:

nano /etc/nsswitch.conf

passwd: files winbind

shadow: files winbind

group: files winbind

Стартуем сервисы:

service smb start

service winbind start 

* Время между машиной и контролёром домена должно быть синхронизировано!

Проверяем подключение к домену: 

# kinit Administrator

Password for Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

# klist

Ticket cache: FILE:/tmp/krb5data8.local_0

Default principal: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Valid starting Expires Service principal

11/23/09 15:14:02 11/24/09 01:14:52 krbtgt/Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

renew until 11/24/09 15:14:02

Kerberos 4 ticket cache: /tmp/tkt0

klist: You have no tickets cached

Если нет ошибок, то входим в домен:

net ads join -U Аdministrator

Аdministrator's password:

Using short domain name -- DATA8

Joined 'filesrv' to realm 'DATA8.LOCAL'

Проверяем пользователей и группы домена:

wbinfo -u

wbinfo -g

Ну и напоследок сервисы в автозапуск:

chkconfig --level 345 smb on

chkconfig --level 345 winbind on

Источник: http://mtaalamu.ru/blog/191.html

 

Отзывы наших клиентов