вторник, 3 июля 2012 г.

NAS-FreeBSD для пользователей Active Directory


Исходники

Очень древний комп c двумя HDD, операционная система FreeBSD 8.2:
system устройство /dev/ad3s1a
data устройство /dev/ad4s1d
Пакеты:
Samba
Heimdal с поддержкой Active Directory

Конфигурация

Samba

/usr/local/etc/smb.conf
# SAMBA
[global]
 workgroup = DOM
 security = ADS
 password server = DOM.LOCAL
 realm  = DOM.LOCAL
 netbios name = trash
 server string = SAMBA shares server based FreeBSD 8.2
 log level = 2
 log file = /var/log/samba/%m.%U.log
 max log size = 50000
 idmap uid = 10000-20000
 idmap gid = 10000-20000
 winbind use default domain = yes
 display charset = koi8-r
 unix charset = koi8-r
 dos charset = 866
 template homedir = /shares/mail/%U
 nt acl support = yes
[trashovka]
 comment                 = This Never Backups
 path                    = /shares
 read list               = "@MY-DOMAIN\Domain Users"
 write list              = "@MY-DOMAIN\Domain Users"
 admin users             = "@MY-DOMAIN\Domain Admins"
 read only               = No
 create mask             = 0660
 directory mask          = 0770
 inherit owner           = yes
 inherit acls            = yes
 inherit permissions     = yes
 map acl inherit         = yes
 locking                 = no
/etc/nsswitch.conf
 group: files winbind
 passwd: files winbind
 group_compat: nis
 passwd_compat: nis
 hosts: files dns
 networks: files
 shells: files

Kerberos

/etc/krb5.conf
[libdefaults]
 default_realm = DOM.LOCAL
[realms]
 DOM.LOCAL = {
  kdc = DOM.LOCAL
  admin_server = DOM.LOCAL
 }
[domain_realm]
 .DOM.local = DOM.LOCAL
[logging]
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmin.log
 default = FILE:/var/log/krb5lib.log
Получаем цербер-билет и вносим машину в active directory
kinit admin
net join -U admin
Проверяем работоспособность билета
wbinfo -u
доп.ключи в мане

Порядок действий применения ACL на раздел

  • Готовим, новый раздел
    newfs -O 2 /dev/ad4s1d
  • Проверяем монтирование раздела
    mount /dev/ad4s1d /shares
    и добавляем в /etc/fstab:
/dev/ad4s1d  /shares  ufs  rw,acl 1 1
  • Демонтируем раздел umount /dev/ad4s1d
  • Останавливаем samba:
/usr/local/etc/rc.d/samba stop
  • Применяем утилиту в точку монтирования
    tunefs -a enabled /shares

Запуск NAS

Перегружаемся
shutdown -r now
и получаем в windows-share машину TRASH

Дополнительно. Квотирование

  • Собрать ядро с опцией
OPTIONS QUOTA
  • В файл /etc/fstab к опциям монтирования добавляем userquota (groupquota не работают с microsoft)
/dev/ad4s1d  /shares  ufs  rw,userquota,acl 1 1
  • Samba сделать make config с опцией QUOTAS
  • Отслеживать квоты будем для рута
edquota -u root /shares

Quotas for user root:<br/>
/shares: kbytes in use: 100, limits (soft = 0, hard = 9089)<br/>
inodes in use: 3, limits (soft = 0, hard = 999999)

здесь первая строчка квотирует размер, вторая количество файлов
по-умолчанию настройка открывается в редакторе vi, как он работает читаем ман или меняем редактор
  • В нашем конфиге самбы пользователи имеют диапазон uid 10000-20000, применим квоту root для этого диапазона
edquota -p root 10000-20000
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)