Поднимаем корпоративный файловый сервер на Debian Linux. Софт, как и прежде, можно юзать пиратский, поэтому абсолютно никто не мешает им ставить серверные виндовозы для решения элементарных задач. Таких как, например, поднятие файлового сервера. С windows на это требуется каких то пол часа времени. Немного, да А как насчет Linux С ним нужно подольше поковыряться Не согласен. На самом деле для поднятия файлового хранилища на Linux требуется ничуть не больше времени. И сейчас, уважаемый читатель, я тебе это докажу. Я покажу, как настроить Debian Linux для работы с Active Directory, а так же поднять веб интерфейс для администрирования. Добавляем файловые сервер Samba в домен Active Directory Windows, убеждаемся в том что Linux видит доменных пользователей и. Samba 3 файловый сервер в домене Active Directory. Samba4 в роли AD файловый сервер. Подготавливаем два сервера для samba4, я использую дистрибутив SUSE Linux Enterprise. Я покажу, как настроить Debian Linux для работы с Active Directory, а так же поднять вебинтерфейс. Имя нашего нового файлового сервера vronline. Файловый Сервер Linux Active Directory' title='Файловый Сервер Linux Active Directory' />Настроим kerberos для добавления сервера в домен. Аутентификация файловых серверов GNULinux в домене Windows на базе AD. Файловый Сервер Linux Active Directory' title='Файловый Сервер Linux Active Directory' />IP контроллера домена 1. IP DNS сервера 1. Для удобства будем ставить и настраивать на виртуальной машине Virtual Box. Если тоже захочешь попрактиковаться на виртуалке, то не забудь тип сетевого подключения поставить Сетевой мост с сетевой картой, которая смотрит в локальную сеть На данный момент последним является Debian Linux 5 под кодовым именем Lenny. Его и устанавливаем. Установка Дебиана проста до безобразия. Выбирай Graphical install, затем укажи нужный язык. Во время установки понадобится ввести следующие параметры Имя компа vr online. Домен mydomain. Разметка диска Авто отдельные разделы под home, usr, var, tmp. При желании можно разметить вручную. На тво усмотрение. Выбор программного обеспечения ТОЛЬКО стандартная система, ничего более. Настройку сети я пропустил, т. На этом установка окончена. Добро пожаловать в мир Linux Логинимся под рутом. Первым делом убираем CDDVD привод из sources. В реале это позволяет физически отключить привод от нашего сервака. Ведь больше он на нм не понадобится. Ведь рулить серваком проще всего c помощью классной утилиты Putty. Делать так на public сервере ни в коем случае нельзя. Теперь смотрим какой IP получил наш сервер ifconfig. Можно заходить по SSH. Открываем Putty, пишем IP. В разделе Translation указываем UTF 8. Огромное достоинство Putty заключается в том, что данные из буфера обмена вставляются с командную строку по клику правой клавиши мыши по области окна. Он обязательно пригодится. Ставим Midnight Commander. Кстати в mc при работе через putty можно пользоваться даже мышкой. Переходим к настройке сервера. На всякий случай добавим в hosts инфу о нашем контроллере домена nano etchosts. Пишем в файл 1. 92. Ставим ntpdate для синхронизации времени c DCDomain Controller, это нужно для нормальной работы Kerberos. Настроим его. nano etcdefaultntpdate. Прописываем наш контроллер домена NTPSERVERSdataserver. Запускаем синхронизацию времени вручную ntpdate s dataserver. Для проверки запускаем date. Должны увидеть правильное время и дату. Пришла пора уточнить серверы DNS, обслуживающий домен. Там обязательно должна быть строка nameserver 1. Ведь наш DC так же нест на себе DNS apt get install samba winbind libpam smbpass krb. Небольшое описание того, что мы устанавливаем Samba это набор программ, которые реализуют протокол SMBCIFS в системах unix, позволяя обслуживать запросы к файлам и принтерам клиентов Windows, NT, OS2 и DOS. Этот протокол иногда называют Lan. Manager или Net. BIOS. Winbind для получения информации о пользователях и группах с серверов Windows NT. Также служба может выполнять функции авторизации через PAM модуль. Libpam smbpass это модуль для PAM. Позволяет преобразовывать Unix пользователей в пользователей Samba. Kerberos сетевой протокол аутентификации, позволяющий безопасно передавать данные через незащищнные сети для безопасной идентификации. Обеспечивает взаимную аутентификацию оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак повторного воспроизведения. Krb. 5 conf создат начальную конфигурацию пакета. Во время установки появится окно конфигурирования samba. Спросит рабочую группудомен. Вс равно потом эти конфиги перезапишем. Следующий вопрос будет об использовании WINS. Следом выйдет запрос настройки Kerberos. Пишем тоже вс, что угодно. На следующий вопрос отвечаем аналогично. Вс. Установилось. Настроим сначала Kerberos. Лгким жестом руки удаляем вс из конфига cat devnull etckrb. Не подумай, что я маньяк. Вибромассажная Подушка Инструкция Пользователя. Просто я не люблю, когда в конфигах находится сотни строк с комментариями. Всегда удаляю вс лишнее. Теперь правим его nano etckrb. Вот мой начальный рабочий конфиг кербероса Соблюдать регистр буквТочно так же как и у меня Обрати внимание, что в разделе. По факту это и есть стандартный конфиг. Я лишь вырезал из него комментарии и realms доменов, которыми ты вс равно никогда не будешь пользоваться. Так же безжалостно поступаем с конфигом самбы. Дропаем вс. cat devnull etcsambasmb. Вот мой рабочий конфиг, с которого я всегда начинаю настройку. Лень Описание можно найти без проблем в инете. Потестим конфиг самбы testparm. Получили Load smb config files from etcsambasmb. Processing section. Осталось совсем немного. В файле etcnsswitch. Модифицируем PAM. Наcтраиваем cиcтемную аутенфикацию и авторизацию контроллером домена. Пишем account required pam. Перезапускаем winbind и samba etcinit. Теперь джойнимся в домен net ads join U administrator. Здесь administrator логин администратора домена. Писать просто логин. Не administratormydomain, и не evalunescape6. А просто administrator Далее вбиваем пароль. И мы в домене. Делаем reload winbind, чтобы он перечитал информацию о доменных юзерах и группах etcinit. Поcле чего проверяем что же получили. Отобразим доменных юзеров и группы wbinfo u wbinfo g u отобразит cпиcки доменных пользователей g отобразит cпиcки доменных групп. Теперь можно зайти на наш файловый сервер vr online. Пока ты увидишь лишь одну шару папку с именем своего пользователя. Эта личная папка создастся для каждого доменного пользователя, зашедшего по сети на файловый сервер. Доступ к папке имеет только сам пользователь, и никто более. Дело почти сделано. Теперь нужно поставить удобную панель администрирования Samba. Ставим, конечно же, Web. Min. Webmin это программный комплекс, позволяющий администрировать операционную систему через веб интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров. Используя любой браузер, администратор сервера может создавать новые учтные записи пользователей, почтовые ящики, изменять настройки служб и сервисов, например веб сервера Apache, DNS, файл сервера Samba. Официальный ресурс проекта http www. Так что если не сталкивался с ним, то обязательно посмотри остальной функционал. Тебе понравится. Удобней всего ставить из репозитория. Правим etcaptsources. Добавим в него строку Цитироватьdeb Файловый сервер SAMBA на базе Linux Cent. OS 7 Хабрахабр. Привет Хабр После активности шифровальщика Petya 2. SMB1 он же CIFS, и получил производственное оборудование и сетевые МФУ которые не умеют работать на новых версиях SMB протокола. Как тогда получать данные с старых устройств Как показала практика, отдельная машина с Windows не выход, во время атаки кроме доменных машин пострадали также не включенные в домен, по этому, а также по лицензионным соображениям я решил использовать Linux. Под катом находится пошаговая инструкция по установке и настройке файлового сервера SAMBA на базе Cent. OS 7 Анонимный доступ Аутентификация и авторизация Интеграция с Active Directory. Установка Cent. OS 7. Сервера работают под управлением VMware ESXi, и по этому я установил Cent. OS 7 1. 61. 1 на VM, выделив 1 CPU, 1. GB RAM и 3. GB HDD. LVM я не использую, SWAP раздел не создаю, на загрузочный раздел выделяю 5. MB, а все остальное отдаю под корень файловой системы. В качестве файловой системы использую ext. Процесс установки описывать я не буду, даже если вы этого никогда не делали, это не сложно, у вас все получится. Предполагаю что вы уже все установили, тогда можно приступать. Если вы новичок в линукс, делайте копии оригинальных файлов с конфигами, используйте команду cp. Получение ip адреса по DHCP. Если по какой то причине в сети нету DHCP сервера, вам стоит его поднять. Работать с большим количеством VM без DHCP не удобно. Для принудительного обновления или получения ip адреса выполните командуdhclient. Показать ip адресifconfig. YUM. Cent. OS 7 использует пакетный менеджер YUM. Шпаргалка по yum находится тут. Если выход в интернет организован через прокси сервер, добавьте адрес прокси в файл конфигурации etcyum. В случае использования логина и пароля для доступа к прокси серверу, добавьте следующие параметры proxy. Если вы укажите SMB2 или SMB3, клиенты с Windows XP и ниже не смогут получить доступ к ресурсам. Проверка параметров и перезагрузка службыtestparm. Поздравляю вас, достигнут первый уровень посвящения. Общий ресурс с анонимным доступом настроен, будет работать долго и надежно. Но можно и нужно настроить еще несколько вещей. Бантики. По умолчанию лог файлы находятся в папке varlogsamba. При необходимости получить подробные логи, в раздел. По умолчанию используется значение 1, значение 0 отключает ведение логов. Если на сервере будут только файловые ресурсы, службу печати логично отключить. С квотами я решил не связываться, мне проще подключить отдельный физический диск. Для получения списка устройств можно использовать команду lsblklsblk. Создание таблицы разделов на диске devsdbparted devsdb mklabel msdos. Подробную информация про gpt можно прочитать тут. Создание раздела на весь диск sdb, в лучших традициях жанра я решил сделать отступ 1. Mi. B в начале диска. Mi. B 1. 00. Создаем файловую систему ext. Редактируем fstabmcedit etcfstab. Добавляем еще одну строкуdevsdb. Монтированиеmount a. Проверяем результатdf h. Назначение правchmod 7. Подключение образа диска. Если вам не нужны большие объемы, и достаточно ресурса размером ххх мб, можно подключить образ диска из файла. Создаем каталог для хранения образовmkdir sambasmbimg. Создаем файл образа размером 1. M. img bs1. 00 count1. M. Про команду dd много интересного можно прочитать тут. В варианте с образом я решил не создавать таблицу разделов, просто создаем файловую систему ext. M. img. Редактируем fstabmcedit etcfstab. Конфиг для монтирования образаsambasmbimg1. M. img sambaguest ext. Монтированиеmount a. Проверяем результатdf h. Назначение правchmod 7. Подключение RAM диска. Для временных ресурсов где не нужен большой объем, как мне кажется RAM диск это наилучший вариант, очень быстро и просто настраивается, а скорость работы поражает воображение. Редактируем fstabmcedit etcfstab. Конфиг для RAM дискаnone sambaguest tmpfs defaults,size1. M 0 0. Монтированиеmount a. Проверяем результатdf h. Удаление старых файлов. В случае файлопомойки ресурсы нужно как то освобождать, для этого можно использовать планировщик задач crontab. Просмотр заданийcrontab l. Редактирование заданийcrontab e. Пример конфига SHELLbinbash. PATHsbin bin usrsbin usrbin. MAILTOHOMEудалять файлы и каталоги каждый час 0 2. R sambaguestУдалить только файлы старше 1 дня, запуск команды каждые 1. Пароль для системы и для SAMBA хранятся в разных файлах и могут отличаться. Затем необходимо добавить системного пользователя в пользователи самбы и задать ему парольsmbpasswd a user. По умолчанию для хранения паролей используется файл формата tdb, которые расположен в каталоге varlibsambaprivateИзменить каталог расположения файла можно глобальным параметром passdb backend. Подробная инструкция от Microsoft находится тут. Для AD очень важна синхронизация времени, по этому стоит начать с этого. Установка соответствующей службыyum install ntp. Добавляем в конфиг файл etcntp. Пример server 1. Добавляем службу ntp в автоматический запускchkconfig ntpd on. Запускаем службу service ntpd start. Проверяем синхронизацию времениntpq pwinbind. Для получения информации о пользователях из AD необходимо установить пакет samba winbindyum install samba winbind. Добавляем службу в автоматический запускchkconfig winbind on. Запускаем службуservice winbind start. Добавление хоста в AD. Напомню что в начале даной инструкции задали имя хоста ls. Будем считать что полное имя домена fqdn. В поле домен контролер укажите, это необходимо для автоматического поиска доступного домен контроллера. Затем нажмите ОК и закройте утилиту. Для добавления хоста в AD используйте команду net ads join U username, пользователь должен обладать правами на создание учетной записи ПК в доменеnet ads join U youruser. Если машина не добавляется в домен, добавьте FQDN имя хоста в файл etchosts. Я несколько раз все проверял, и в файл hosts я вносил изменения когда на этапе настройки сети задавал не полное имя хоста. Для того чтобы вывести хост из домена используйте команду net ads leave U usernameЧто делает утилита authconfig tui Часть 1. SELinux описание и особенности работы с системой. Часть 2. P. S. Вернемся к SELINUX, чтобы SAMBA сервер мог предоставить доступ к любым каталогам необходимо выполнить следующие командыsetsebool P samba.