Можно ли настроить samba серверы на клиентских компах (расшарить папку, чтобы можно было заходить из других клиентов в локалке) в домене FREEIPA?

Question

[grandyzer]

В общем есть сервер (домен FREEIPA)
Я там же и настроил SAMBA сервер по аутентификации kerberos. С других компов в локалке всё заходит по логину и паролю.

Вопрос такой, есть ли возможность расшаривать сетевые папки на клиентских машинах FREEIPA ( уже подключены к домену ). Чтоб тоже к каждому и каждый могли заходить через логин и пароль (аутентификация kerberos)

Как я понял. всем надо ставить samba сервер тоже. Но, я не уверен, что можно так провернуть внутри одного домена.
Спасибо!

Использую alt linux 10.4

Comments

[AlexVWill]

вопрос непонятен: можно ли расшаривать внутри домена (можно, пацаны не против) или надо ли ставить samba сервер (надо)... да и что мешает самому попробовать? делов то на пару минут...
в общем суть проблемы не ясна

[grandyzer]

AlexVWill, вопрос был такой, можно ли это сделать со всеми участниками домена (компы-клиенты)?
На сервер то я поставил. А на клиенты вообще не понимаю, как это сделать. Типа по аналогии с сервером - не получается. Надо что-то делать в панели управления Freeipa

[AlexVWill]

grandyzer,
Понятия не имею что такое FREEIPA
Но я же говорю, что мешает самому попробовать и настроить?
У клиента IP есть? Отлично, ставишь на клиент Samba, настраиваешь шары в его конфиге.
Если у тебя авторизация Kerberos в домене - то через него (сервер же ты настроил, вот считай что это такой же серер :)) .
На другом клиенте даешь команду
smbclient -L 192.168.1.10 (IPшник только надо поменять на тот хост, где самба) и видишь примерно подобное

smbclient -L 192.168.1.10
Password for [WORKGROUP\alex]:

	Sharename       Type      Comment
	---------       ----      -------
	Volume_1        Disk      
	Volume_2        Disk      
	Vol             Disk      
	VolExt          Disk      
	IPC$            IPC       IPC Service (Samba Server 4.15.13-Ubuntu)
	Samsung-ML-1915 Printer   Samsung ML-1915
	hp-LaserJet-1010 Printer   Hewlett-Packard hp LaserJet 1010
	EPSON_XP_302_303_305_306_Series Printer   EPSON XP-302 303 305 306 Series
SMB1 disabled -- no workgroup available

Ну или через Network browser и доменное имя (в моем случае alex-media.local

spoiler

[Кот Абсолютный]

AlexVWill,

Понятия не имею что такое FREEIPA

Это типо альтернатива самбе, которая есть чиста M$ домен, реализованный реверсом :) IPA типо полностью независимый и опенсорсный весь из себя проект, но спонсируемый Красной Шляпой. Некоторые "отечественные" дистрибы используют ее вместо самбы.

[AlexVWill]

CityCat4,
тогда еще более непонятно

В общем есть сервер (домен FREEIPA)
Я там же и настроил SAMBA сервер по аутентификации kerberos.

Ватсафак?

[aleks-th]

grandyzer, можно, ставь везде самбу и расшаривай как тебе нравится.

Могу даже по секрету рассказать, даже на виндовых компах, ты без самбы на каждом компе ничего расшарить не сможешь просто она там везде в комплехте и настроена из коробки ))) , ибо лес такой ))) Вот и все отличие.

А в линухе настраивай сам в ручную, и работать будет совсем не так как работает в виндах хотя и похоже работает но не совсем так же, ибо это не виндовый AD, а под нее самодельная поделка...

[Сергей Сахаров]

Ты путаешься в терминах. SAMBA-сервер - это что? Контроллер домена?
Да, самба умеет быть контроллером домена, но тебе нужен не этот функционал.
Самба умеет шарить папки для конкретных пользователей.
Пользователей она хранит либо в своей базе (tdb), либо получает их с других серверов по winbind, kerberos или ldap. При этом самбу обычно нужно ввести в домен - но как я понимаю, твои компы уже подключены к домену?

Я делал так в AD - получал пользователей, используя Winbind
команда wbinfo -u выводит список пользователей
команда wbinfo -g выводит список групп
c kerberos и LDAP не игрался.

В общем, Самба должна уметь получать список пользователей из твоего домена.
Пошарь в этом направлении.

Answer 1

[Hardoman]

Вообще то, что вы хотите, противоречит логике фпцловх серверов и Samba. На фпцловх серверах делается или одна общая папка на всех или папка для каждого пользователя.
Папки на клиентских хостах не надо расшаривать. Это не безопасно и не соответствует идеологии централизованного управления.

Чтобы организовать общую сетевую папку Samba, доступную всем пользователям домена FreeIPA, выполните следующие шаги:

### 1. Установка и настройка Samba
```bash
sudo dnf install -y samba samba-client samba-common
```

### 2. Интеграция Samba с FreeIPA
```bash
sudo ipa-adtrust-install --add-sids
```

### 3. Создание общей папки
```bash
sudo mkdir -p /srv/shared
sudo chmod 2770 /srv/shared
sudo chown root:"DOMAIN\users" /srv/shared
```
Замените `DOMAIN` на имя вашего домена.

### 4. Настройка Samba (`/etc/samba/smb.conf`)
```ini
[global]
workgroup = DOMAIN
security = ads
realm = DOMAIN.EXAMPLE.COM
idmap config * : backend = tdb
idmap config * : range = 10000-999999
idmap config DOMAIN : backend = sss
idmap config DOMAIN : range = 10000-999999
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%U

[shared]
path = /srv/shared
read only = no
writable = yes
browseable = yes
valid users = @"DOMAIN\users"
force group = "DOMAIN\users"
create mask = 0660
directory mask = 2770
```

### 5. Перезапуск служб
```bash
sudo systemctl restart smb nmb
sudo systemctl enable smb nmb
```

### 6. Настройка доступа через SELinux (если используется)
```bash
sudo semanage fcontext -a -t samba_share_t "/srv/shared(/.*)?"
sudo restorecon -Rv /srv/shared
```

### 7. Проверка доступа
С любого клиента в домене попробуйте подключиться:
```bash
smbclient //server-name/shared -U user-name
```

### Дополнительные настройки (по желанию):
- Для автоматического монтирования добавьте запись в `/etc/fstab`:
```
//server-name/shared /mnt/shared cifs credentials=/etc/samba/credentials,uid=%u,gid=%g,dir_mode=0770,file_mode=0660 0 0
```

Где `/etc/samba/credentials` содержит:
```
username=user
password=pass
domain=DOMAIN
```

Важно: Все пользователи должны быть членами группы "users" в FreeIPA. Проверить можно командой:
```bash
ipa group-show users
```

Если вам нужно, чтобы **каждый Linux-клиент в домене FreeIPA** имел свою расшаренную папку, доступную другим пользователям домена, но **без установки Samba на каждом клиенте**, альтернативой может быть использование **SSHFS + Autofs + Kerberos** или **NFSv4 + Kerberos**.

Но если вам нужен именно **SMB-доступ** (например, для Windows-клиентов), то без установки Samba на каждом хосте не обойтись.