Ввод сервера Docsvision в домен Samba

В качестве альтернативы Microsoft Active Directory можно использовать Samba. Запуск Samba поддерживается в нескольких разных средах, описание всех возможных способов запуска выходит за рамки данной документации.

Установка и запуск Samba сводится к нескольким командам, за подробной информацией обратитесь к инструкции для вашего дистрибутива:

  1. Убедитесь, что у сервера статический IP и файл /etc/hosts корректно разрешает FQDN контроллера домена. Имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе.

  2. Добавьте запись следующего вида в /etc/hosts:

    172.16.6.25 dc1.dv.com dc1

  3. Задайте имя хосту:

    hostnamectl set-hostname dc1.dv.com

  4. Установите пакеты Samba:

    • Astra Linux / ALT Linux

    • РЕД ОС / SberLinux

    $ apt-get update && apt-get install samba

    $ dnf install samba*

  5. Выполните инициализацию контроллера домена:

    sudo systemctl stop winbind smbd nmbd krb5-kdc
sudo systemctl mask winbind smbd nmbd krb5-kdc

rm -rf /etc/samba/* /var/lib/samba/* /usr/local/samba/*
samba-tool domain provision --realm=DV.COM --domain=DV --adminpass='P@$$w0rd ' --option='dns forwarder=1.1.1.1' (1)
    1 Если сервер имеет несколько сетевых интерфейсов, укажите их следующим образом: 
    --option="interfaces=lo eth0" --option="bind interfaces only=yes"

    Если не dns backend по умолчанию не изменяется, замените dns forwarder на свой dns (при наличии).

  6. Измените конфигурацию контроллера домена. В файле smb.conf найдите секцию [global] и для параметра ldap server require strong auth установите значение no, в противном случае подключение не будет установлено. По умолчанию значение параметра yes, что требует подключения через SSL/TLS, это вызывает ошибку The supplied credential is invalid.

  7. Измените файл настроек DNS /etc/resolv.conf.

    search dv.com
nameserver 172.16.6.25

  8. Запустите контроллер домена:

    sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

  9. Создайте пользователей:

    samba-tool user create Docsvision 'P@$$w0rd' (1)
samba-tool user create Orlov 'P@$$w0rd ' --given-name=Игорь --surname=Орлов --description='Генеральный директор' (2)
    1 Использовать УЗ Administrator в SystemUserAccount и других местах нельзя, это не будет работать, для Docsvision нужно создать отдельную УЗ.
    2 Создание обычного пользователя.

  10. При необходимости можно выпустить keytab файл следующим образом:

    samba-tool user create --random-password webauth (1)
samba-tool user setexpiry webauth --noexpiry
samba-tool spn add HTTP/webclient.dv.com webauth (2)
samba-tool domain exportkeytab /tmp/krb5.keytab --principal=HTTP/webclient.dv.com
    1 Создание пользователя.
    2 Создание keytab файла.