Установка пакета inno-samba

Раздел содержит инструкции по установке сборки Samba с доработками ГК «Иннотех» (inno-samba).

Предварительные требования

Перед началом установки inno-samba на сервере убедитесь в наличии требуемого программного обеспечения и доступности портов.

Требования к программному обеспечению

В текущей реализации доступна сборка inno-samba для ОС Astra Linux Special Edition версии 1.7 и выше.

Дополнительные пакеты, необходимые для работы Samba, устанавливаются автоматически в составе зависимостей.

При установке пакета inno-samba вручную без подключения публичного apt-репозитория требуется предварительно установить на сервере пакет libgnutls30 версии 3.6.16. Данный пакет доступен для загрузки из того же репозитория, что и inno-samba.

В случае установки inno-samba из apt-репозитория достаточно выполнить стандартные процедуры — пакет libgnutls30 требуемой версии будет установлен автоматически.

Требования к портам

Для корректной работы службы Samba на контроллере домена AD должны быть доступны следующие порты:

  • 53 (TCP/UDP) — используется DNS-службой;

  • 88 (TCP/UDP) — используется Kerberos;

    Библиотека libkrb5 использует UDP и переходит на TCP в том случае, если объем данных, отправляемых центром распространения ключей (KDC), превышает установленный лимит. При взаимодействии в домене Samba AD в состав билета Kerberos включается PAC (Privilege Attribute Certificate), что приводит к увеличению размера билета и в большинстве случаев ведет к необходимости перехода на TCP. Чтобы избежать повторной отправки запроса аутентификации, рекомендуется в настройках Kerberos (в файле /etc/krb5.conf) на клиентах, выполняющих запросы аутентификации, задать параметр udp_preference_limit = 1 в разделе [libdefaults] (см. подробнее в man-странице krb5.conf(5)).

  • 123 (TCP/UDP) — используется NTP (если данная служба настроена и работает на севере с развернутым контроллером домена);

  • 135 (UDP) — используется End Point Mapper (DCE/RPC Locator Service);

  • 137 (TCP) — используется NetBIOS Name Service;

  • 138 (UDP) — используется NetBIOS Datagram;

  • 139 (UDP) — используется NetBIOS Session;

  • 389 (TCP/UDP) — используется LDAP;

  • 445 (TCP) — используется SMB over TCP;

  • 464 (TCP/UDP) — используется Kerberos kpasswd;

  • 636 (TCP) — используется LDAPS (если в файле smb.conf присутствует параметр tls enabled = yes);

    Для обеспечения совместимости с существующим программным обеспечением в Samba по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

    Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в конфигурационный файл smb.conf:

    [global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

    Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

  • 3268 (TCP) — используется Global Catalog;

  • 3269 (TCP) — используется Global Catalog SSL (если в файле smb.conf присутствует параметр tls enabled = yes);

  • 49152-65535 (TCP) — динамические порты RPC (диапазон соответствует диапазону портов, используемому Windows Server 2008 и выше; для изменения диапазона вручную необходимо задать требуемый диапазон портов с помощью параметра rpc server port в файле smb.conf).

В зависимости от состава используемых служб для работы Samba могут потребоваться и другие порты.

Установка

Для установки:

  1. Подключите apt-репозиторий или загрузите архив с пакетом inno-samba (см. раздел «Способы установки»).

  2. Установите пакет:

    • при установке из apt-репозитория выполните:

      sudo apt install inno-samba

    • при установке из архива укажите путь к распакованным файлам и имя пакета; например:

      sudo apt install /inno-samba/packages/inno-samba_1.2.0_amd64.deb

После успешной установки на сервере будет доступна основная служба, реализующая функции контроллера домена AD, с именем inno-samba.service.

Некоторые пути после установки:

  • путь к утилите samba-tool:

    /app/inno-samba/bin/samba-tool

  • путь к утилите samba_dnsupdate:

    /app/inno-samba/sbin/samba_dnsupdate

  • путь к утилите samba-gpupdate:

    /app/inno-samba/sbin/samba-gpupdate

  • путь к конфигурационному файлу Samba:

    /app/inno-samba/etc/smb.conf

  • путь к конфигурационному файлу Kerberos:

    /app/inno-samba/private/krb5.conf

  • путь к каталогу SysVol:

    /app/inno-samba/var/locks/sysvol

Дальнейшие шаги

После установки пакет inno-samba может использоваться для следующих целей: