Включение NTLM-аутентификации в ALD Pro

В ALD Pro, начиная с версии 2.4.0, NTLM-аутентификацию отключили из соображений безопасности. В качестве альтернативы NTLM в ALD Pro выбрали более надёжный протокол аутентификации - Kerberos V5.

Окружение
* ALD Pro 2.4.0
* ALD Pro 2.5.0

Вопрос
Начиная с версии ALD Pro 2.4.x и выше возможность NTLM-аутентификации на файловых ресурсах отключена. Как включить NTLM-аутентификацию?

Ответ
Чтобы включить NTLM-аутентификацию, необходимо:

1. Добавить в файл /etc/samba/smb.conf следующие параметры:
   domain master = No
   domain logons = Yes
2. При отсутствии следующих параметров в файле /etc/samba/smb.conf добавить их:
   security = user
   passdb backend = ipasam:"ldap://FQDN_имя_первого_кд:389 ldap://FQDN_имя_второго_кд_при_наличии:389"
3. Запретить изменение файла /etc/samba/smb.conf: sudo chattr +i /etc/samba/smb.conf
4. Установить пакет с плагином IPASAM: sudo apt install freeipa-server-trust-ad
5. Добавить учетной записи роль CIFS-сервера: ipa role-add-member "ALDPRO - CIFS server" --services=cifs/имя_хоста_файлового_сервера@REALM
6. Очистить кеш:
   net cache flush
rm -rf /var/lib/sss/{db,mc}/*

7. Перезапустить службы sssd, smbd, nmbd, winbind: systemctl restart sssd smbd nmbd winbind
8. Подключить ресурс, используя IP-адрес: smb://IP-адрес_ресурса.smb/

   При аутентификации использовать шаблон DOMAIN\login, а не DOMAIN.RU\login

Архитектура подсистемы общего доступа к файлам ALD Pro 2.4.0

Дополнительная информация

• ALD Pro - Astra Domain
• Создание DFS-сервера в ALD Pro.
• Подключение VFS-объектов к серверу Samba.
• Права доступа к файлам и папкам простым языком.

Дата последней правки: 2025-04-29 10:35:58