Ubuntu 9.04 Samba szerver Active Directory integrációval

A következő leírásban bemutatom, hogyan tudunk egy Ubuntu Linuxra (vagy a megfelelő csomagok telepítésével bármely Linuxra) telepített Samba fájlkiszolgálót integrálni a Windows Active Directoryval, így megvalósítva a központi felhasználó azonosítást.

Szükségünk lesz egy telepített, frissített, beállított Ubuntu 9.04 Server telepítésre.
Szerezzünk root jogú konzolt:

sudo -s

Telepítsük a samba és kerberos csomagokat

apt-get install samba krb5-user winbind

Szerkesztenünk kell a /etc/krb5.conf fájlt. Először csináljunk erről egy mentést a fájlról, hogy ha kell vissza tudjuk állítani az eredeti állapotot

cp /etc/krb5.conf /etc/krb5.conf.bak

Majd nyissuk meg kedvenc szerkesztőnkkel a fájlt szerkesztésre (én az mceditet használom, de lehetne használni a nanot is)

mcedit /etc/krb5.conf

A fájl tartalma a következő legyen. Értelemszerűen a tartomany.local domain nevet írjuk át a saját Active Directory tartománynevünkre. A gep.tartomany.local gépevet pedig egy AD szerver hostnevére írjuk át.

[logging]
default = FILE:/var/log/krb5.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
[libdefaults]
default_realm = tartomany.local
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24000
[realms]
tartomany.local = {
kdc = gep.tartomany.local
admin_server = gep.tartomany.local
default_domain = tartomany.local }
[domain_realm]
.example.net = tartomany.local
example.net = tartomany.local

Ha ez megvan akkor mentsük a fájlt. mceditben az F10 lenyomásával tudjuk menteni és kilépni, nanoban a CTRL+X lenyomásával.
Teszteljük a Kerberos azonosítást:

kinit rendszergazda@tartomany.local

A rendszergazda egy létező, tartományi rendszergazdai jogokkal rendelkező felhasználó legyen, a kukac után pedig a tartománynév kerüljön. Be fogja kérni a felhasználó jelszavát, azt adjuk meg.
Ezután adjuk ki a következő parancsot:

klist

Ilyesmit kell látnunk:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: rendszergazda@tartomany.local
Valid starting          Expires                  Service principal
08/06/09 12:09:34 08/06/09 22:09:39  krbtgt/tartomany.local@tartomany.local
                 renew until 08/07/09  12:09:34
Kerberos  4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

A lényeg, hogy legyen egy érvényes kerberos „jegyünk”.
Most szerkesszük a Samba konfigurációs fájlját. De előtt erről is csináljunk egy mentést:

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak

Most akkor nyissuk meg szerkesztésre

mcedit /etc/samba/smb.conf

Töröljük ki a meglévő tartalmat és a következőt írjuk be (tartomány.local helyett a saját tartománynevünket írjuk, tartomány helyett pedig a NetBIOS nevet):

#/etc/samba/smb.conf
[global]
workgroup = tartomany
realm = tartomany.local
netbios name = yourservername
server string = %h szerver (Samba %v, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ADS
domain master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
winbind separator = +
usershare allow guests = yes

Mentsük a fájlt, majd a testparm parancs kiadásával ellenőrizzük, hogy helyes e a fájl szintaktikája (nem gépeltünk e el valamit).
Ha minden jó, indítsuk újra a samba és winbind szolgáltatásokat:

/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start

Most csatlakoztassuk a tartományhoz az Ubuntunkat:

net ads join -U rendszergazda@tartomány.local

A Windows tartományi rendszergazda jelszavának megadása után hasonlót kell látnunk, ha sikeres a csatlakozás:

Using short domain name - tartomany
Joined 'gepnev' to realm 'tartomany.local' 

Most állítsuk be, hogy a rendszer is az AD-ből azonosítsa a felhasználókat:

mcedit /etc/nsswitch.conf

A tartalma ilyen legyen (tehát a megfelelő helyekre írjuk be a winbind szót)

passwd: compat winbind
group:  compat winbind
shadow: compat winbind
hosts:     files dns wins
networks:  files dns
protocols:   db files
services:    db files
ethers:      db files
rpc:         db files
netgroup:     nis

Indítsuk újra megint a winbind és a samba szolgáltatásokat

/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start

Ellenőrizzük le, hogy minden tökéletes e:
Ha kiadjuk a következő parancsot látnunk kell az AD-ben lévő felhasználókat

wbinfo -u

A csoportokat

wbinfo -g

Információk a szerverről:

net ads info

Most már csak állítsuk be a Sambában a megosztásokat.