Linux alapú fájlszerver beállítása Samba és Active Directory integrációval

Megosztás: Link másolva!
Linux alapú fájlszerver beállítása Samba és Active Directory integrációval

Miért érdemes Samba-t használni Windows-környezetben?

A Samba egy ingyenes, nyílt forráskódú szoftvercsomag, amely SMB/CIFS protokollon keresztül teszi elérhetővé a Linux fájlrendszert Windows kliensek számára. Az Active Directory-integrációval a Samba-szerver teljesen transzparens módon viselkedik a felhasználók számára: az AD-hitelesítés, a csoportházirendek és a jogosultsági struktúra teljes mértékben érvényesül. Ez különösen vonzó megoldás akkor, ha a vállalat Windows-alapú hálózatot üzemeltet, de a szerverhardvert Linux alá szeretné sorolni a licencköltségek csökkentése érdekében.

Előfeltételek és rendszertervezés

Az integráció megkezdése előtt szükséges:

  • Egy futó Active Directory tartomány (Windows Server vagy Samba DC)
  • Megfelelő DNS-feloldás: a Samba-szerver neve legyen feloldható a tartomány DNS-szervere által
  • Időszinkronizáció: a Kerberos-hitelesítés működéséhez a szerver ideje legfeljebb 5 perccel térhet el a DC-étől (NTP kötelező)
  • A Samba csomag telepítve: apt install samba krb5-user winbind libpam-winbind libnss-winbind

Domain join és smb.conf konfiguráció

A Samba smb.conf fájlban a legfontosabb globális beállítások az idmap konfiguráció (SID-UID/GID leképezés), a winbind beállítások és a biztonságos csatorna típusa. A domain join a net ads join -U Administrator paranccsal végezhető el. Sikeres join után a wbinfo -u paranccsal ellenőrizhető, hogy az AD-felhasználók listázhatók-e a Samba-szerveren.

Megosztások konfigurálása AD-jogosultságokkal

A Samba-megosztásokat a smb.conf [shares] szekciójában lehet definiálni. Fontos beállítások:

  • valid users = @DOMAIN\csoport: hozzáférést korlátozhatjuk AD-csoportra
  • force create mode és force directory mode: alapértelmezett jogosultságok fájlokra és könyvtárakra
  • inherit permissions = yes: szülő könyvtár jogait örökli az újonnan létrehozott tartalom

Teljesítményoptimalizálás és monitoring

Nagyobb fájlszerveren érdemes a Samba dedikált smbstatus paranccsal figyelni az aktív kapcsolatokat és a hálózati terhelést. A Linux-oldali teljesítményoptimalizáláshoz figyelni kell a noatime mount opció beállítására, az inode cache méretére és a megfelelő hálózati puffer méretekre. SSD-alapú storage esetén a read-ahead értékének csökkentése javíthatja a kis fájlokkal intenzíven dolgozó munkaállomások élményét.

Tipikus problémák és megoldásuk

A leggyakoribb problémák: Kerberos-hitelesítési hiba (megoldás: kinit teszt, időszinkronizáció ellenőrzés), SID-mapping inkonzisztencia (megoldás: idmap backend újrakonfigurálása), Windows ACL-ek nem érvényesülnek (megoldás: vfs objects = acl_xattr hozzáadása). Ezeket a problémákat a Samba log (/var/log/samba/) részletes elemzésével lehet diagnosztizálni.

Szeretnéd, hogy szakértő csapatunk kezelje az IT rendszereidet?

IT üzemeltetés Szolgáltatásaink
Tetszett? Oszd meg: