TrueNAS AD интеграция: Настройка Active Directory за 7 шагов | AdminWiki
Logo
Timeweb Cloud — сервера, Kubernetes, S3, Terraform. Лучшие цены IaaS.
Попробовать

TrueNAS AD: Полное руководство по интеграции с Active Directory

28 февраля 2026 9 мин. чтения #Active Directory #ad интеграция #ldap #nas #samba #truenas #аутентификация #хранение данных
Содержание статьи

Представь, что ты администрируешь корпоративную сеть с десятками пользователей. Каждый день они создают, редактируют и удаляют файлы на сетевых дисках. Управлять доступом через локальные учетные записи TrueNAS становится кошмаром. Решение? Интеграция с Active Directory — централизованная система аутентификации Microsoft, которая превращает твой NAS в полноценного члена домена.

Ключевая выгода: Единый вход (Single Sign-On) для пользователей Windows, централизованное управление правами через групповые политики и упрощение администрирования.

Подготовка: Что нужно перед началом

Давай разберем предварительные требования. Без правильной подготовки интеграция обречена на ошибки.

  • Доменные учетные данные: Учетная запись с правами на присоединение компьютеров к домену (обычно Domain Admins или делегированные права)
  • Сетевая настройка: TrueNAS должен иметь статический IP и корректно разрешать DNS-имена контроллеров домена
  • Временная синхронизация: Разница во времени с DC не должна превышать 5 минут (используй NTP)
  • Версия TrueNAS: SCALE или CORE (в этом руководстве акцент на SCALE)
Внимание! Не используй учетную запись Administrator для повседневных операций. Создай специальную service account с минимально необходимыми правами.

Шаг 1: Настройка DNS и сетевого взаимодействия

Первое и самое важное — обеспечить корректное разрешение имен и связь с контроллерами домена.

bash
# Проверка связи с контроллером домена
ping dc01.corporate.local

# Проверка разрешения имен
nslookup dc01.corporate.local
nslookup corporate.local

# Проверка обратного DNS
host 192.168.1.10

В веб-интерфейсе TrueNAS SCALE перейди в Network → Global Configuration и укажи DNS-серверы:

  • Primary DNS: IP вашего основного контроллера домена
  • Secondary DNS: IP дополнительного контроллера или резервный DNS
  • DNS Search Domains: ваш домен (например, corporate.local)

Шаг 2: Настройка службы каталогов в TrueNAS

Теперь перейдем к основной конфигурации. Открой Credentials → Directory Services и выбери Active Directory.

Параметры подключения AD:

Параметр Значение Описание
Domain Name CORPORATE.LOCAL FQDN домена (заглавными!)
Account Name svc_truenas Учетная запись для присоединения
Password ******** Пароль учетной записи
NetBIOS Name TRUENAS-SRV Имя компьютера в домене (до 15 символов)
Site Name Default-First-Site-Name Если используете сайты AD

Расширенные настройки (Advanced Options):

config
# Пример конфигурации smb.conf (генерируется автоматически)
[global]
    workgroup = CORPORATE
    realm = CORPORATE.LOCAL
    security = ADS
    dedicated keytab file = /etc/krb5.keytab
    kerberos method = secrets and keytab
    winbind scan trusted domains = No
    winbind use default domain = Yes
    winbind offline logon = Yes
    idmap config * : backend = tdb
    idmap config * : range = 90000001-100000000
    idmap config CORPORATE : backend = rid
    idmap config CORPORATE : range = 10000-9999999

Шаг 3: Присоединение к домену и проверка

После заполнения всех полей нажми "Save". TrueNAS выполнит присоединение к домену. Проверим результат:

bash
# Проверка статуса домена
midclt call activedirectory.domain_info | jq

# Проверка ключей Kerberos
klist -kte /etc/krb5.keytab

# Тест аутентификации
wbinfo -t

# Проверка связи с доменом
net ads testjoin

# Поиск пользователей
wbinfo --user-info=DOMAIN\\username
Если видишь ошибку "Failed to join domain", проверь:
  • Правильность ввода пароля (учетные данные кэшируются, очисти кэш через "Clear Cache")
  • Доступность контроллеров домена по TCP портам 389, 445, 88, 135
  • Наличие разрешения на создание компьютерных объектов в OU

Шаг 4: Настройка ID mapping и разрешений

Для корректного отображения прав UNIX-style необходимо настроить преобразование SID → UID/GID.

В Credentials → IDMAP создай новую запись:

  • Backend: RID (рекомендуется для AD)
  • Range Low: 10000
  • Range High: 9999999
  • Domain: CORPORATE (NetBIOS имя)
bash
# Проверка маппинга пользователя
wbinfo --sid-to-uid=S-1-5-21-...-1105

# Проверка маппинга группы
wbinfo --sid-to-gid=S-1-5-21-...-1106

# Получение информации о пользователе через getent
getent passwd CORPORATE\\username
getent group CORPORATE\\"Domain Users"

Шаг 5: Настройка общих ресурсов (SMB Shares)

Теперь создадим общие папки с доступом через AD группы. Перейди в Sharing → SMB.

Конфигурация SMB общего ресурса:

Параметр Рекомендуемое значение
Path /mnt/pool/department_share
Name DepartmentShare
Purpose No presets
Auxiliary Parameters vfs objects = acl_xattr shadow_copy2

Настройка разрешений через ACL:

bash
# Установка ACL через наборный интерфейс
# Или используй утилиту:
getfacl /mnt/pool/department_share
setfacl -m g:CORPORATE\\"Finance Department":rwx /mnt/pool/department_share
setfacl -m g:CORPORATE\\"Domain Users":r-x /mnt/pool/department_share

В веб-интерфейсе используй ACL Manager для визуальной настройки:

  • Добавь группу "DOMAIN\\Finance Department" с правами MODIFY
  • Добавь группу "DOMAIN\\Domain Users" с правами READ
  • Включи опцию "Apply permissions recursively"

Шаг 6: Тестирование подключения клиентов

Проверим, что все работает с клиентских машин Windows и Linux.

С Windows клиента:

powershell
# Подключение сетевого диска
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\truenas-srv\DepartmentShare" -Persist

# Проверка доступа
test-path Z:\

# Создание тестового файла от имени пользователя
"Test content" | Out-File Z:\test_ad_integration.txt

С Linux клиента (с настроенным SSSD или Winbind):

bash
# Монтирование через cifs
sudo mount -t cifs -o username=DOMAIN\\user,vers=3.0 \\truenas-srv\DepartmentShare /mnt/truenas

# Или через autofs
# /etc/auto.master
/mnt/truenas /etc/auto.truenas --timeout=300

# /etc/auto.truenas
share -fstype=cifs,username=user%password,domain=DOMAIN :\\truenas-srv\DepartmentShare

Шаг 7: Мониторинг и устранение неполадок

Интеграция работает? Отлично! Но нужно знать, как мониторить и чинить.

Полезные команды для диагностики:

bash
# Проверка служб SMB и Winbind
sudo systemctl status smbd nmbd winbind

# Логи SMB в реальном времени
sudo tail -f /var/log/samba/log.smbd

# Проверка Kerberos тикетов
klist

# Сброс кэша winbind
sudo net cache flush

# Перезапуск служб
sudo midclt call service.restart smb
sudo midclt call service.restart winbind

Частые проблемы и решения:

  • "Access denied" при подключении: Проверь ACL, убедись что группа пользователя имеет права на доступ
  • Медленная аутентификация: Убедись что DNS работает быстро, проверь сетевую задержку до DC
  • Пользователи не видятся: Выполни "Rebuild Directory Service Cache" в веб-интерфейсе
  • Ошибки времени: Настрой NTP на синхронизацию с доменными контроллерами

Безопасность и лучшие практики

Критически важно: Не используй Domain Admin для службы TrueNAS. Создай отдельную учетную запись с минимальными правами:
  • Создание/удаление компьютерных объектов в特定 OU
  • Чтение членства в группах
  • Сброс пароля компьютерного объекта

Дополнительные меры безопасности:

  • Используй IPSec или VPN для доступа извне
  • Настрой аудит доступа к файлам через SMB аудит лог
  • Регулярно обновляй TrueNAS и доменные контроллеры
  • Настрой резервное копирование конфигурации TrueNAS

Интеграция с другими службами TrueNAS

После успешной интеграции AD, можно использовать доменных пользователей в других службах:

  • FTP/SSH: Настрой PAM аутентификацию через winbind
  • WebDAV: Используй те же учетные данные AD
  • Приложения в TrueNAS SCALE: Некоторые контейнеры могут использовать AD аутентификацию
  • Система оповещений: Отправка уведомлений группам AD
Pro-совет: Для высокой доступности настрой несколько доменных контроллеров в параметрах AD. TrueNAS будет использовать их все для балансировки нагрузки и отказоустойчивости.

FAQ: Ответы на частые вопросы

Можно ли использовать TrueNAS AD с Azure AD?

Прямая интеграция с Azure AD (облачный) не поддерживается нативно. Однако можно настроить гибридную среду с Azure AD Domain Services или использовать федерацию через ADFS. Для облачных сценариев рассмотрите TrueNAS в Azure с присоединением к доменным службам Azure.

Как мигрировать с локальных пользователей на AD?

Постепенно: 1) Создай AD группы с теми же правами, 2) Назначь эти права на ресурсы, 3) Добавь пользователей в AD группы, 4) Постепенно отключай локальных пользователей. Используй инструменты миграции данных, если нужно сохранить владельца файлов.

TrueNAS теряет присоединение к домену после перезагрузки

Проверь: 1) Сохранение ключей Kerberos (/etc/krb5.keytab), 2) Автозапуск служб winbind и smb, 3) Доступность DC при загрузке, 4) Настройки DNS (должны сохраняться после перезагрузки). Включи опцию "Enable monitoring" в настройках AD.

Максимальное количество пользователей AD?

TrueNAS SCALE может работать с десятками тысяч пользователей, но производительность зависит от: размера кэша winbind, частоты запросов, мощности CPU. Для больших организаций настройте фильтрацию пользователей (параметр "Restrict to Domain") и увеличьте кэш.

Заключение

Интеграция TrueNAS с Active Directory — мощный инструмент для корпоративных сред. Ты теперь умеешь:

  • Настраивать DNS и сетевое взаимодействие
  • Присоединять TrueNAS к домену с правильными учетными данными
  • Конфигурировать ID mapping для корректного отображения прав
  • Создавать общие ресурсы с доступом на основе AD групп
  • Диагностировать и устранять типичные проблемы

Помни: успешная интеграция зависит от правильной подготовки. Потрать время на настройку DNS, NTP и создание service account с минимальными правами. После этого TrueNAS станет полноценным членом твоей Active Directory инфраструктуры, обеспечивая централизованное управление доступом к данным.

Поделиться:
Сохранить гайд? В закладки браузера