Задать вопрос
@grandyzer

Можно ли настроить samba серверы на клиентских компах (расшарить папку, чтобы можно было заходить из других клиентов в локалке) в домене FREEIPA?

В общем есть сервер (домен FREEIPA)
Я там же и настроил SAMBA сервер по аутентификации kerberos. С других компов в локалке всё заходит по логину и паролю.

Вопрос такой, есть ли возможность расшаривать сетевые папки на клиентских машинах FREEIPA ( уже подключены к домену ). Чтоб тоже к каждому и каждый могли заходить через логин и пароль (аутентификация kerberos)

Как я понял. всем надо ставить samba сервер тоже. Но, я не уверен, что можно так провернуть внутри одного домена.
Спасибо!

Использую alt linux 10.4
  • Вопрос задан
  • 143 просмотра
Подписаться 1 Средний 7 комментариев
Пригласить эксперта
Ответы на вопрос 1
@Hardoman
DevOps
Вообще то, что вы хотите, противоречит логике фпцловх серверов и Samba. На фпцловх серверах делается или одна общая папка на всех или папка для каждого пользователя.
Папки на клиентских хостах не надо расшаривать. Это не безопасно и не соответствует идеологии централизованного управления.

Чтобы организовать общую сетевую папку Samba, доступную всем пользователям домена FreeIPA, выполните следующие шаги:

### 1. Установка и настройка Samba
```bash
sudo dnf install -y samba samba-client samba-common
```

### 2. Интеграция Samba с FreeIPA
```bash
sudo ipa-adtrust-install --add-sids
```

### 3. Создание общей папки
```bash
sudo mkdir -p /srv/shared
sudo chmod 2770 /srv/shared
sudo chown root:"DOMAIN\users" /srv/shared
```
Замените `DOMAIN` на имя вашего домена.

### 4. Настройка Samba (`/etc/samba/smb.conf`)
```ini
[global]
workgroup = DOMAIN
security = ads
realm = DOMAIN.EXAMPLE.COM
idmap config * : backend = tdb
idmap config * : range = 10000-999999
idmap config DOMAIN : backend = sss
idmap config DOMAIN : range = 10000-999999
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%U

[shared]
path = /srv/shared
read only = no
writable = yes
browseable = yes
valid users = @"DOMAIN\users"
force group = "DOMAIN\users"
create mask = 0660
directory mask = 2770
```

### 5. Перезапуск служб
```bash
sudo systemctl restart smb nmb
sudo systemctl enable smb nmb
```

### 6. Настройка доступа через SELinux (если используется)
```bash
sudo semanage fcontext -a -t samba_share_t "/srv/shared(/.*)?"
sudo restorecon -Rv /srv/shared
```

### 7. Проверка доступа
С любого клиента в домене попробуйте подключиться:
```bash
smbclient //server-name/shared -U user-name
```

### Дополнительные настройки (по желанию):
- Для автоматического монтирования добавьте запись в `/etc/fstab`:
```
//server-name/shared /mnt/shared cifs credentials=/etc/samba/credentials,uid=%u,gid=%g,dir_mode=0770,file_mode=0660 0 0
```

Где `/etc/samba/credentials` содержит:
```
username=user
password=pass
domain=DOMAIN
```

Важно: Все пользователи должны быть членами группы "users" в FreeIPA. Проверить можно командой:
```bash
ipa group-show users
```

Если вам нужно, чтобы **каждый Linux-клиент в домене FreeIPA** имел свою расшаренную папку, доступную другим пользователям домена, но **без установки Samba на каждом клиенте**, альтернативой может быть использование **SSHFS + Autofs + Kerberos** или **NFSv4 + Kerberos**.

Но если вам нужен именно **SMB-доступ** (например, для Windows-клиентов), то без установки Samba на каждом хосте не обойтись.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы