Понеслась, ставим /настраиваем ntp для синхронизации с контроллером домена
aptitude install ntp ntpdate ntp-server
cat /etc/ntp.conf
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help
driftfile /var/lib/ntp/ntp.drift
# Enable this if you want statistics to be logged.
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
# You do need to talk to an NTP server or two (or three).
server 192.168.0.2 #DC
# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page
# might also be helpful.
#
# Note that «restrict» applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.
# By default, exchange time with everybody, but don’t allow configuration.
#restrict -4 default kod notrap nomodify nopeer noquery
#restrict -6 default kod notrap nomodify nopeer noquery
restrict default ignore # По умолчанию никому ничего
restrict 127.0.0.1 # В рамках сервера можно все
restrict 192.168.0.2 noquery notrap
# Local users may interrogate the ntp server more closely.
restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap
restrict 127.0.0.1
restrict ::1
# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust
# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255
# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient
————————————————-
touch /etc/ntp.drift
chmod 400 /etc/ntp.conf /etc/ntp.drift
/etc/init.d/ntp restart
ntpq -c peers
aptitude install samba krb5-config krb5-user winbind acl
—————————————————
cat /etc/samba/smb.conf
[global]
# Каким способом будет проходить аутентификация.
auth methods = winbind
# Имя машины в сети.
netbios name = fileserver
# Описание.
server string = File-Server
# Рабочая группадомен.
workgroup = DOMAINNAME
# Полное имя домена.
realm = DOMAINNAME.LOCAL
# Сервер на котором будет проходить аутентификация,
# обычно контроллер домена.
password server = 192.168.0.2
# Сервер wins, тоже чаще всего контроллер домена.
#wins server = 192.168.3.1
# Шифровать ли пароли.
encrypt passwords = yes
# Режим безопасности.
security = ADS
# Доверительные отношения между доменами,
# в лесу или дереве доменов.
allow trusted domains = No
# Параметры сокета (появился сам.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
# Сервер Samba может выступать в качестве
# браузера сети и участвовать в выборах LMB.
# Об этом я расскажу в другой статье,
# пока оставим параметры так как есть.
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
ldap ssl = no
# Диапазоны числовых значений uid и gid.
idmap uid = 10000-20000
idmap gid = 10000-20000
# Управляет блокировкой файлов, лучше оставить в auto.
strict locking = Auto
# Ну это наверно понятно ).
time server = Yes
# Разрешает winbindd управлять пользователями
# без доменной части в имени пользователя.
winbind use default domain = true
# Этот параметр определяет, должен ли Winbind
# обновлять билеты Kerberos при использовании модуля pam_winbind.
winbind refresh tickets = yes
# Разделитель, используемый в
# имени пользователя в формате DOMAIN user.
winbind separator = ”
#Следущиен 2 строки нужны чтобы
# можно было просмотреть список пользователей и групп.
winbind enum groups = yes
winbind enum users = yes
# Логирование, расположение, размер, уровень.
log file = /var/log/samba/samba.%m
max log size = 5000
log level = 1
# Кодировка компьютера на котором работает Samba.
unix charset = UTF-8
# Кодировка клиента.
dos charset = cp1251
# Принтеров нет.
load printers = No
disable spoolss = Yes
show add printer wizard = No
printing = CUPS
# Переопределение вкомпилированного
printcap name, используемый сервером.
printcap name = /dev/null
# Чувствительность файлов к регистру.
case sensitive = Auto
# Какой регистр будет по умолчанию для новых имен файлов.
default case = lower
# Решает, создавать в регистре клиента,
# или форсировать регистр по умолчанию.
preserve case = yes
# Интерфейс на котором будет висеть Samba.
interfaces = eth0
#
[Distrib]
# Коммент к шаре.
comment = OS Images
# Локальный путь.
path = /var/soft
# Видна всем.
public = yes
# Только для чтения или нет.
read only = no
# В нее можно производить запись.
writable = yes
# Кто может видеть содержимое.
read list = «@DOMAINNAMESMB_USER» # имя доменагруппа
# Кто может его изменять.
write list = «@DOMAINNAMESMB_USER» # имя доменагруппа
# Кому принадлежат административные
# привилегии на общем ресурсе. Это означает,
# что они работают с файлами как суперпользователь (root).
admin users = «@DOMAINNAMEАдминистраторы домена» # имя доменагруппа
# Нельзя использовать очередь печати в этом ресурсе.
printable = no
# Будет ли сервер удовлетворять запросы
# блокировок от клиентов или нет.
locking = no
# Будет ли общий ресурс отображаться в
# списке доступных общих ресурсов в сетевом
# окружении и в списке просмотра.
browseable = yes
# Восьмеричное значение, используемое при
# преобразовании значения прав доступа
# DOS/Windows в значение прав доступа UNIX
# при создании файлов UNIX.
create mask = 0644
# Восьмеричное значение, используемое при
# преобразовании значения прав доступа
# DOS/Windows в значение прав доступа UNIX
# при создании каталогов UNIX.
directory mask = 0770
———————————————————
cat /etc/krb5.conf
[libdefaults]
# Полное имя домена.
default_realm = DOMAINNAME.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
clock_skew = 300
ticket_lifetime = 24h
forwardable = yes
#
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
#
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
#
[realms]
DOMAINNAME.LOCAL = {
# Имя/адрес контроллера домена.
kdc = dc.domainname.local
# Имя/адрес контроллера домена.
admin_server = dc.domainname.local
# Имя домена.
default_domain = domainname.local
}
#
[domain_realm]
.DOMAINNAME.LOCAL = DOMAINNAME.LOCAL
#
[login]
default = FILE:/var/log/krb5.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
#
krb4_convert = true
krb4_get_tickets = false
—————————————————————-
cat /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat winbind
#
hosts: files dns
networks: files
#
protocols: db files
services: db files
ethers: db files
rpc: db files
#
netgroup: nis
————————————-
reboot
————————————-
kinit lexit
klist
net ads join –U lexit
wbinfo –u
wbinfo –g
————————————-
cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use ‘blkid -o value -s UUID’ to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
#
proc /proc proc nodev,noexec,nosuid 0 0
/dev/mapper/FILESERVER-root / ext4 errors=remount-ro,acl 0 1
# /boot was on /dev/sda1 during installation
UUID=28e5f5d2-6e06-4765-b1b6-2a4d12b00e97 /boot ext2 defaults 0 2
/dev/mapper/FILESERVER-swap_1 none swap sw 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto,exec,utf8 0 0