Red Hat Training

A Red Hat training course is available for RHEL 8

第 91 章 在 IdM 域成员中设置 Samba

本节论述了如何在加入到 Red Hat Identity Management(IdM)域的主机上设置 Samba。IdM 以及来自可信 Active Directory(AD)域中的用户也可以访问 Samba 提供的共享和打印机服务。

重要

在 IdM 域成员中使用 Samba 是一个不受支持的技术预览功能,包含某些限制。例如,由于 IdM 信任控制器不支持全局目录服务,AD-enrolled Windows 主机无法在 Windows 中找到 IdM 用户和组。另外,IdM Trust Controller 不支持使用分布式计算环境/远程过程调用(DCE/RPC)协议解析 IdM 组。因此,AD 用户只能访问 IdM 客户端的 Samba 共享和打印机。

我们鼓励在 IdM 域成员中部署 Samba 的用户向红帽提供反馈意见。

先决条件

  • 主机作为 IdM 域的客户端加入。
  • IdM 服务器和客户端必须在 RHEL 8.1 或更高版本中运行。

91.1. 准备 IdM 域以便在域成员中安装 Samba

您必须使用 IdM 服务器中的 ipa-adtrust-install 实用程序准备 IdM 域, 然后才能在 IdM 客户端中设置 Samba。

注意

运行 ipa-adtrust-install 命令的所有系统都会自动成为 AD 信任控制器。但是,您必须在 IdM 服务器中运行 ipa-adtrust-install 一次。

先决条件

  • 已安装 IdM 服务器。
  • 您需要 root 权限才能安装软件包并重新启动 IdM 服务。

流程

  1. 安装所需的软件包:

    [root@ipaserver ~]# yum install ipa-server-trust-ad samba-client
  2. 以 IdM 管理用户身份进行身份验证:

    [root@ipaserver ~]# kinit admin
  3. 运行 ipa-adtrust-install 工具:

    [root@ipaserver ~]# ipa-adtrust-install

    如果 IdM 安装了集成的 DNS 服务器,则会自动创建 DNS 服务记录。

    如果您在没有集成 DNS 服务器的情况下安装了 IdM,ipa-adtrust-install 会输出您必须手动添加到 DNS 的服务记录列表,然后才能继续。

  4. 该脚本会提示您 /etc/samba/smb.conf 已存在,并将被重写:

    WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
    
    Do you wish to continue? [no]: yes
  5. 该脚本提示您配置 slapi-nis 插件,这是一个兼容插件,允许旧的 Linux 客户端与可信用户一起工作:

    Do you want to enable support for trusted domains in Schema Compatibility plugin?
    This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
    
    Enable trusted domains support in slapi-nis? [no]: yes
  6. 提示时,输入 IdM 域的 NetBIOS 名称,或者按 Enter 接受推荐的名称:

    Trust is configured but no NetBIOS domain name found, setting it now.
    Enter the NetBIOS name for the IPA domain.
    Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
    Example: EXAMPLE.
    
    NetBIOS domain name [IDM]:
  7. 系统会提示您运行 SID 生成任务,以便为任何现有用户创建 SID:

    Do you want to run the ipa-sidgen task? [no]: yes

    这是一个资源密集型任务,因此如果您有大量用户,您可以在其他时间运行此操作。

  8. (可选) 默认情况下,对于 Windows Server 2008 及更高版本,Dynamic RPC 端口范围定义为 49152-65535。如果您需要为您的环境定义不同的 Dynamic RPC 端口范围,请将 Samba 配置为使用不同的端口,并在防火墙设置中打开这些端口。以下示例将端口范围设置为 55000-65000

    [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
    [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
    [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
  9. 重启 ipa 服务:

    [root@ipaserver ~]# ipactl restart
  10. 使用 smbclient 工具验证 Samba 是否从 IdM 端响应 Kerberos 身份验证:

    [root@ipaserver ~]# smbclient -L server.idm.example.com -k
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...