Samby<\/a>.<\/p>\nPoni\u017cej kr\u00f3tkie przedstawienie jak to zrobi\u0107. W naszym wypadku u\u017cywali\u015bmy FreeBSD 10.3.<\/p>\n
Instalacja Samby<\/h3>\n
Za\u0142\u00f3\u017cmy, \u017ce nie mamy czasu na kompilacj\u0119.<\/p>\n
pkg install samba44<\/code><\/p>\nNas interesuje tak na prawd\u0119 winbind, ale jest to cz\u0119\u015b\u0107 Samby i we FreeBSD nie jest mo\u017cliwe aby \u015bci\u0105gn\u0105\u0107 mniejsze paczki (a w CentOSie si\u0119 da).<\/p>\n
Konfiguracja Samby<\/h3>\n
Pami\u0119tajmy, \u017ce po instalacji nasz plik konfiguracyjny we FreeBSD to: \/usr\/local\/etc\/smb4.conf<\/code>. Oczywi\u015bcie, zawsze mo\u017cemy sprawdzi\u0107 to poprzez:
\nsmbd -b | grep CONFIGFILE<\/code><\/p>\nA dodatkowo mo\u017cna zmieni\u0107 plik poprzez edycj\u0119 zmiennej samba_server_config<\/code> w pliku \/usr\/local\/etc\/rc.d\/samba_server<\/code><\/p>\ntworzymy plik konfiguracyjny w wersji minimalistycznej i edytujemy go w zale\u017cno\u015bci od naszych potrzeb – w przyk\u0142adzie u\u017cywamy domeny san.escobar.corp lub w skr\u00f3cie SAN<\/i>:<\/p>\n
\n[global]
\nsecurity = ADS
\nworkgroup = SAN<\/b>
\nrealm = SAN.ESCOBAR.CORP<\/b><\/p>\nlog file = \/var\/log\/samba4\/%m.log
\nlog level = 1<\/p>\n
use sendfile = true<\/p>\n
idmap config * : backend = tdb
\nidmap config * : range = 3000-7999<\/p>\n
idmap config SAN<\/b> : backend = rid
\nidmap config SAN<\/b> : range = 90000001-100000000
\nwinbind separator = +
\nwinbind enum users = yes
\nwinbind enum groups = yes
\n# winbind use default domain = yes
\nwinbind refresh tickets = yes
\nwinbind nss info = template
\nrestrict anonymous = 2
\nlog file = \/var\/log\/samba4\/log.%m
\nmax log size = 50<\/p>\n
template homedir = \/home\/%D\/%U
\n#template shell = \/usr\/local\/bin\/bash
\n<\/code><\/p>\n
Nie polecamy skopiowania powy\u017cszego kodu bez jego zrozumienia.<\/p>\n
idmap config<\/p><\/blockquote>\n
bez trzeciego paramteru to konfiguracja – mapowanie u\u017cytkownik\u00f3w i grup lokalnych na liczby. Z parametrem to domenowe. Oddzielili\u015bmy je bardzo, abu nie trzba by\u0142o si\u0119 zastanawia\u0107 co to za numerek (o tych numerkach p\u00f3\u017aniej).<\/p>\n
Je\u015bli podmienicie nazwy SAN i san.escobar.corp na Wasz\u0105 domen\u0119 to powinno by\u0107 wszystko.<\/p>\n
Nale\u017cy zapami\u0119ta\u0107 z tego punktu, \u017ce om\u00f3wimy poni\u017csze parametry na samym ko\u0144cu jak wszystko b\u0119dzie dzia\u0142a\u0142o:
\nwinbind separator<\/code>
\nwinbind use default domain<\/code>
\ntemplate shell<\/code><\/p>\nKonfiguracja autostaru serwis\u00f3w FreeBSD<\/h3>\n
Bardzo przyjemnym rozwi\u0105zaniem w systemach FreeBSD jest plik \/etc\/rc.conf<\/code>, kt\u00f3ry to definiuje co ma by\u0107 aktywne i jak. Mo\u017cemy go edytowa\u0107 lub te\u017c u\u017cywa\u0107 polecenia sysrc<\/code><\/p>\nsysrc samba_server_enable=yes<\/code><\/p>\nwinbindd aktywujemy poprzez edycj\u0119 pliku \/usr\/local\/etc\/rc.d\/samba_server<\/code><\/p>\nZamieniamy lini\u0119:
\n#winbindd_enable=\"YES\"<\/code>
\nNa:
\nwinbindd_enable=\"YES\"<\/code><\/p>\nTe zmiany pozwalaj\u0105 na start serwis\u00f3w winbindd<\/i> i samba_server<\/i>.<\/p>\nUstawienia nssswitch.conf<\/h3>\n
nssswitch.conf to plik w kt\u00f3rym definiujemy \u017ar\u00f3d\u0142o sk\u0105d pobierane s\u0105 dane dla u\u017cytkownik\u00f3w, grup itp.<\/p>\n
ustawiamy, \u017ce, grupy i u\u017cytkownicy b\u0119d\u0105 brani tak\u017ce z domeny, czyli z winbind, zmiana dla group i passwd powinna wygl\u0105da\u0107 nast\u0119puj\u0105co:
\n
\ngroup: files winbind
\npasswd: files winbind
\n<\/code><\/p>\nDomena i testy<\/h3>\n
Tak wi\u0119c starujemy nasze serwisy:<\/p>\n
service samba_server start<\/code><\/p>\nTak jak zaznaczone by\u0142o wcze\u015bniej winbindd jest cz\u0119\u015bci\u0105 samby, wi\u0119c uruchomi si\u0119 razem z samb\u0105.
\n
\nStarting nmbd.
\nStarting smbd.
\nStarting winbindd.
\n<\/code><\/p>\nGdy uda\u0142o nam si\u0119 wystartowa\u0107 Samb\u0119 to oznacza, \u017ce ju\u017c jeste\u015bmy blisko.<\/p>\n
Dodajmy nasz host do domeny, w tym przyk\u0142adzie dodajemy do domeny hosta przy pomocy u\u017cytkownika Administrator, mo\u017cemy u\u017cy\u0107 jakiegokolwiek b\u0119d\u0105cego cz\u0142onkiem Domain Users.<\/p>\n
net ads join -U Administrator<\/code><\/p>\nPojawi si\u0119 ekran z pytaniem o has\u0142o u\u017cytkownika<\/p>\n
Enter Administrator's password:<\/code><\/p>\nPo wpisaniu poprawnegi has\u0142a powininno pojawi\u0107 si\u0119 potwierdzenie przy\u0142\u0105czenia do domeny:
\n
\nUsing short domain name -- SAN
\nJoined 'TEST_HOST' to dns domain 'san.escobar.corp'
\n<\/code><\/p>\nSpr\u00f3bujmy pobra\u0107 z domeny u\u017cytkownik\u00f3w: wbinfo -u<\/code><\/p>\nJe\u015bli nam si\u0119 uda otrzymamy list\u0119 np:<\/p>\n
SAN\\administrator
\nSAN\\guest<\/code><\/p>\nTeraz najwa\u017cniejszy test, czy jeste\u015bmy w stanie pobra\u0107 u\u017cytkownik\u00f3w i grupy z domeny z pod poziomu systemu PAM.<\/p>\n
do tego s\u0142u\u017c\u0105 nam komendy: getent passwd<\/code>, wy\u015bwietlaj\u0105ca u\u017cytkownik\u00f3w, jak i getent group<\/code>, te zapytania powi\u0105zane s\u0105 z plikiem nssswitch.conf<\/p>\nGdy pojawi si\u0119 lista u\u017cytkownik\u00f3w i np:
\nSAN+guest:*:[…]
\nto znaczy, \u017ce jeste\u015bmy pe\u0142n\u0105 cz\u0119\u015bci\u0105 domeny.<\/p>\n
Wa\u017cna informacja<\/b><\/p>\n
Ka\u017cdy przyzwyczai\u0142 si\u0119 w Windows, \u017ce u\u017cytkownicy domenowi s\u0105 przekazywani wraz z backslashem, a w Unixach backslash tak jak w C to znak specjalny, dlatego te\u017c na pocz\u0105tku w konfiguracji Samby pojawi\u0142 si\u0119 wpis:<\/p>\n
winbind separator = +<\/code><\/p>\nu\u017cywaj\u0105c tego wpisu naszym u\u017cytkownikem nie b\u0119dzie Windowsowy SAN\\user tylko SAN+user.
\nTo bardzo pomaga, bo w Unixach nale\u017cy u\u017cy\u0107 dodatkowego backslasha, czyli nie SAN\\user a SAN\\\\user, np. podczas logowania.<\/p>\n
My preferujmey plusa zamiast backslasha. Ale mo\u017cna to skonfigurowa\u0107 dowolnie.<\/p>\n
A co to daje?<\/h3>\n
Za chwilk\u0119 napiszemy na Blogu jak uruchomi\u0107 OpenVPN’a, kt\u00f3ry autentykuje si\u0119 poprzez Active Directory, ale u\u017cywa 2FA<\/i> (Two Factor Authentication). A je\u015bli chcemy przej\u015b\u0107 do nast\u0119pnego czytania to aktualny musi by\u0107 zrealizowany.<\/p>\n","protected":false},"excerpt":{"rendered":"
Opr\u00f3cz programowania, dostarczamy tak\u017ce bezpieczne rozwi\u0105zania IT. Ostatnio stan\u0119li\u015bmy nad wyzwaniem, aby do systemu FreeBSD logowa\u0107 si\u0119 u\u017cytkownikami domenowymi (Active Directory). Zadanie opisane jest na stronie Samby. Poni\u017cej kr\u00f3tkie przedstawienie jak to zrobi\u0107. W naszym<\/p>\n
Czytaj dalej<\/a><\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-158","post","type-post","status-publish","format-standard","hentry","category-bez-kategorii"],"_links":{"self":[{"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/posts\/158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/comments?post=158"}],"version-history":[{"count":0,"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/posts\/158\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/media?parent=158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/categories?post=158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dr-online.pl\/pl\/wp-json\/wp\/v2\/tags?post=158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}