Samba: Pridružite se Debianu Windows domeni (I)

Pozdrav prijatelji! Samba omogućava nam da se ujedinimo Debian na a Microsoft domena na dva različita načina koja u osnovi ovise o načinu na koji deklariramo opciju bezbjednost u arhivu smb.conf.

Sigurnost = Domena

Stroj se mora pridružiti domeni pomoću naredbe net rpc pridruži se. Parametar šifriranje lozinki u arhivu smb.conf, mora biti postavljeno na istinski o da, što je njegova zadana vrijednost.

Samba Potvrdit će vjerodajnice korisnika i lozinke prosljeđujući ih Domain Controlleru točno onako kako bi to učinili Controlleru tipa NT 4.

Sigurnost = Domena je način na koji ćemo se razvijati u ovom članku.

Sigurnost = OGLASI: U ovom načinu rada Samba će djelovati kao član domene u Kraljevstvu (Carstvo) Active Directory-a. Za to je potrebno da Debian stroj ima instaliran i konfiguriran klijent Kerberosi da je pomoću naredbe pridružen Active Directoryu neto oglasi se pridružuju.

Ovaj način NE omogućuje da Samba radi kao Active Directory Domain Controller.

Videćemo:

  • Uzorak glavnih parametara mreže
  • Minimalni zahtjevi u kontroleru domene
  • Minimalni zahtjevi za Debian stroj
  • Instaliramo potrebne pakete i konfigurišemo
  • Pridružujemo se Debianu domeni i vršimo potrebne provjere
  • Dozvoljavamo prijavu korisnika domene u naš Debian
  • Saveti kada radimo na radnim površinama

Uzorak glavnih parametara mreže

  • Domain Controller: Windows 2003 Server SP2 Enterprise Edition.
  • Ime kontrolera:w2003
  • Ime domena: friends.cu
  • IP kontrolera: 10.10.10.30
  • ---------------
  • Debian verzija: Stisni (6.0.7) [: - $ cat / etc / debian_version]
  • Ime tima:misqueeze
  • IP adresa: 10.10.10.15
  • Samba verzija: 2: 3.5.6 ~ dfsg-3squeeze9
  • Winbind verzija: 2: 3.5.6 ~ dfsg-3squeeze9
  • GNOME radno okruženje sa GDM3
  • ---------------
  • Debian verzija: Wheezy 7.0
  • Ime tima: miwheezy
  • IP adresa: 10.10.10.20
  • Samba verzija: 2: 3.6.6-6
  • Winbind verzija: 2: 3.6.6-6
  • Xfce4 radno okruženje sa GDM3

Minimalni zahtjevi u kontroleru domene

Metoda opisana u ovom članku isprva je testirana na kontroloru domene konfiguriranom iz "ClearOS Enterprise 5.2 SP-1" na CentOS-u i sve je radilo ispravno. Nepotrebno je reći da je to Slobodni softver.

Pozvat ćemo se na kontroler domene Microsoft Windows Server 2003 SP2 Enterprise Edition, koji se koristi u mnogim kubanskim kompanijama. Žao mi je što nemam disk za instalaciju verzije Server 2008 ili napredniji. Opraštaju mi ​​engleski, ali jedini instalacijski program koji imam je taj jezik.

Molimo vas i pročitajte članak Samba:SmbClient objavljene na istoj web lokaciji tako da imaju predodžbu o korisnicima stvorenim u kontroleru domene.

Ako za naš Debian koristimo fiksnu IP adresu, morali smo proglasiti zapis tipa "A" i njegov odgovarajući zapis u Reverznoj zoni u DNS-u Domain Controller-a.

Uvijek se preporučuje kada radimo na mreži s Linux i Windows računarima, omogućimo WINS uslugu (Windows Internet Service Name) po mogućnosti u Kontroleru domene.

Minimalni zahtjevi za Debian stroj

datoteku /etc/resolv.conf treba imati sljedeći sadržaj:

traži friends.cu nameserver 10.10.10.30

Izvršavamo:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu ima adresu 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; ODJELJAK ODGOVORA: 30.10.10.10.in-addr.arpa. 1200 U PTR w2003.amigos.cu. [----]

Instaliramo potrebne pakete i konfigurišemo

# aptitude instaliraj samba winbind smbclient prst

Tokom instalacije paketa samba, od nas će se tražiti ime Radne grupe, što je u našem primjeru PRIJATELJI.

Sačuvamo originalnu datoteku smb.conf a zatim ga ispraznimo:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Mi uređujemo datoteku smb.conf i ostavljamo ga sa sljedećim sadržajem:

[global] ### Network Browser - Identification ### workgroup = PRIJATELJI string servera =% h server osvaja server = 10.10.10.30 dns proxy = ne ### Network Connection ### interfaces = 127.0.0.0/8 eth0 vezati samo sučelja = da hostovi dopuštaju = 10.10.10.0/255.255.255.0 ### Otklanjanje grešaka ### log datoteka = /var/log/samba/log.%m max veličina dnevnika = 1000 syslog = 0 panic action = / usr / share / samba / panic-action% d ### OVLAŠTENJE ### sigurnost = područje
šifriraj lozinke = da lokalni master = nema master master = nema željenog master = ne ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 predložak ljuske = / bin / bash winbind koristi zadanu domenu = Da winbind rpc samo = da winbind offline prijava = da ### Razno ### nevažeći korisnici = root predložak homedir = / home /% D /% U udjeli u registru = Ne # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Provjeravamo osnovnu sintaksu datoteke smb.conf:

#testparm

Mi uređujemo datoteku /etc/nsswitch.conf i mijenjamo sljedeće redove:

[----] passwd:         winbind datoteke
grupa:          winbind datoteke
shadow: compat domaćini: datoteke dns pobjeđuje [----]

Pridružujemo se Debianu domeni i vršimo provjere

# servis winbind stop # servis samba restart # servis winbind start # net rpc join -U Administrator # servis winbind stop # servis samba restart # servis winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # trancos prsta # getent passwd trancos # getent grupa "Korisnici domene"

Naravno, Račun računara će biti ispravno kreiran u Kontroleru domene.

Do sada smo vidjeli da možemo dobiti tačne informacije o domeni, kao i o njenim korisnicima.

U kasnijim člancima ćemo naučiti kako dijeliti resurse kako bi ih mogli koristiti korisnici registrirani u domeni, odnosno možemo posluživati ​​datoteke za korisnike Microsoft domene, kako s radne stanice tako i sa namjenskog servera.

Dozvoljavamo prijavu korisnika domene u naš Debian

Kada instaliramo paket winbind, Debian automatski konfigurira ugradive autorizacijske module ili Priključni moduli za autentifikaciju PAM.

Međutim, ako pokušamo započeti sesiju kao Korisnik domene, bilo putem SSH-a ili grafičke sesije, primit ćemo poruku "Neuspjeh autentifikacije".

To je zato što datoteke PAM modula, tačnije zajedničko-aut je generirano, uključujući provjeru autentičnosti putem Kerberosa, koja se NE koristi kada je izjavimo sigurnost = domena u arhivu smb.conf.

Da bismo mogli započeti sesiju putem SSH-a ili grafički, moramo ručno izmijeniti datoteke:

  • /etc/pam.d/common-auth
  • /etc/pam.d/common-session

/etc/pam.d/common-auth

Uklanjamo iz retka koji se odnosi na pam_winbind.so, parametri vezani za krb5. Taj bi dio izgledao ovako:

[----] # ovdje su moduli po paketu (blok "Primarni") auth [uspjeh = 2 zadani = zanemari] pam_unix.so nullok_secure auth [uspjeh = 1 zadani = zanemari]      pam_winbind.so cached_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Gornji redak mora biti PRIJE # ovdje su moduli po paketu (blok "Primarni") [----]

Ponovo pokrećemo uključene usluge

# servis winbind zaustavi # ervice samba restart # servis winbind start # servis ssh restart

Gore navedene izmjene PAM konfiguracijskih datoteka omogućit će korisnicima domene da pokrenu SSH sesiju ili lokalno na našoj Debian radnoj stanici.

Domaći direktoriji svakog korisnika također će se kreirati kada se prvi put prijave. Osobne mape ili direktoriji bit će stvoreni u / home / DOMEN / korisnik-domena.

Ako postoje bilo kakve poteškoće u grafičkoj prijavi, preporučujemo ponovno pokretanje upravitelja grafičke prijave (gdm3, kdmitd.), a ako nije dovoljno, ponovo pokrenite radnu stanicu.

Da bismo ograničili ili ograničili pristup putem SSH-a našem Debianu, moramo urediti datoteku / etc / ssh / sshd_config i dodajte na kraju:

 AllowUsers myuser-local korake napreduje root

U našem primjeru, koraci je korisnik domene kojem želimo omogućiti prijavu putem SSH-a xeon je lokalni korisnik.

Takođe možemo uključiti u datoteku / etc / sudoers pomoću naredbe visado, jednom ili više korisnika domene.

[----] # Specifikacija privilegija korisnika root ALL = (ALL) ALL xeon ALL = (ALL) ALL koraci ALL = (ALL) ALL [----]

Saveti kada radimo na radnim površinama

U slučaju da želimo raditi na radnoj površini ili radnoj stanici s grafičkim prijavama i grafičkim okruženjem, korisnike domene koji će se lokalno prijaviti moramo učiniti članovima najmanje sljedećih grupa: cdrom, disketa, audio, video y plugdev. Ako koristimo modem za povezivanje s vanjskom mrežom, moramo ih učiniti i članovima grupe potapanje.

U slučaju Squeeze, ako želimo eliminirati popis korisnika na početku grafičke sesije, u slučaju gdm3, uređujemo datoteku /etc/gdm3/greeter.gconf-defaultsi raskomentirajte opciju / apps / gdm / simple-greeter / disable_user_list, a mi mijenjamo njegovu vrijednost u istinski.

Nadamo se da neće vidjeti ono što je objašnjeno komplicirano ili dijabolično. Uvijek imajte na umu kada koristite Samba Suite na Linuxu, mi praktički oponašamo gotovo sve Windows funkcije u vezi sa SMB / CIFS mrežama ... i malo više. Microsoft pruža "Sigurnost" u zamjenu za Darkness. Sa svoje strane, Linux, iako u početku djeluje pomalo komplicirano, pruža sigurnost, transparentnost i slobodu.

Šta se tu ima za pročitati? Trud se isplati!

A aktivnost je za danas završena, prijatelji. Do sledeće avanture !!!.

nota: Testirali smo postupak opisan u tri nivoa funkcionalnosti Microsoftove domene, odnosno Mixed, Native 2000 i Native 2003.


16 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Erick rekao je

    Vrlo dobar post, čestitam vam prijatelju, jedno pitanje na kojem biste mogli postaviti post o tome kako napraviti domenski server sa samba4, jeste da sumnjam i da nikada nisam napravio pdc sa sambom i kažu da ne znam da samba4 puno poboljšano, pozdrav

    1.    Federico A. Valdes Toujague rekao je

      Hvala SVIMA na komentaru !!!.

      @Erick: započni jednostavno. Instalirajte ClearOS ili nešto slično poput PDC-a. Pomogao sam ga instalirati i konfigurirati u 3 mala preduzeća. Najveći sa 50 timova i jako dobro rade. Administracija je vrlo jednostavna.

      @ Isus Izrael Perales Martinez: Nije potrebno instalirati Sambu. Sada, ako pod "normalnom mrežom datoteka" mislite na SMB / CIFS mrežu, onda se preporučuje.

      @denis: Hvala na riječima zahvale i ohrabrenja.

      @DanielC: Izgleda da ste ih uhvatili "iz ruke". 🙂

  2.   Isus Izrael Perales Martinez rekao je

    Pitanje da li svi moji računari koriste GNU-ove da li je neophodno da koristim sambu za dijeljenje datoteka ili to mogu učiniti s nfs-om, ako je tako, možete li napraviti tutorial za dijeljenje datoteka pomoću nfs-a, znam da sve mogu preuzeti ssh-om i slati datoteke putem ftp-a, također za web klijente i druge, ali želio bih da se postavi mreža "normalne datoteke"

  3.   denis rekao je

    Pozdrav prijatelju, prije svega želio sam da ti se zahvalim na svemu što radiš svakodnevno sa svojom spremnošću da pomogneš drugima čak i kad ih jedva poznaješ.
    Vrlo dobri svi vaši članci, zaista vam kažem da sam zahvaljujući njima oformio gotovo sysadmina, iako znam da me čeka još dug put.

  4.   Danielc. rekao je

    Upravo sam čitao ovu temu na RSS feedu i dobio sam samba ažuriranja.

    Pa onda ne kažu da Ubuntu ne špijunira! : B

    1.    eliotime3000 rekao je

      ROFL!

      Ubuntu ne špijunira, Amazon to čini.

  5.   Javier rekao je

    Evo recepta koji sam izradio za Debian u ADS području https://wiki.debian.org/SAMBAclienteWindows

    1.    Federico Antonio Valdes Toujague rekao je

      S parametrom sigurnost = oglasi, postoji mnogo postova na webu. Međutim, moj sljedeći članak će se baviti tom istom temom.

  6.   eliotime3000 rekao je

    Zaista ću morati pogledati čovjeka Sambu da bih mogao dijeliti mape za LAN mreže sa Windowsom.

    PS: Debianov tim Mozilla već je konačno objavio Iceweasel 24.

  7.   Aldo rekao je

    Zdravo, koliko su dobre informacije koje ste ovdje podijelili, počinjem probnu migraciju s debian poslužiteljem poput file & print, ali moram provjeriti autentičnost korisnika koji imaju Windows 7 i XP s domenom (Windows 2000) koju imam bio u potrazi, a ja to nisam vidio ...
    hvala

  8.   Daniel Cordoba rekao je

    Pozdrav, mislim da je problem Debiana i njegovih izvedenica u tome što oni to ne znaju ili ne znaju i ne žele to učiniti kako bi olakšali stvari običnom korisniku. Korisnik sam Openuse verzije i tako je jednostavno konfigurirati kućnu ili kancelarijsku mrežu. Sa računarima na kojima je instalirana opensuse i Windows xp-7, oni dijele datoteke i štampače. Sav ovaj zadatak obavlja se s Yastom, odnosno bez ulaska u terminal i sve ovo potrebno pisati. Pravo ludilo u Debianu. S debianom Wheezyjem nakon sedmice pisanja koda nisam mogao ispisivati ​​na zajednički pisač na Windows XP računaru. Uz opensuse sa 4 koraka ime računara koji dijeli pisač (xp), ime zajedničkog pisača (xp), korisničko ime i lozinka. I to je to, da biste dijelili bijedan printer i neke kućne datoteke, ne morate biti guru koda. O CUPS-u da i ne govorimo. cupsd, itd. Učinite nešto uobičajeno za korisnika.

    1.    federico rekao je

      Potpuno se slažem sa vama. Debian je poznat po tome što otežava stvari u radnom okruženju. A sa servisne strane, OpenSuse i CentOS znatno olakšavaju život administratorima usluga. Međutim, navikao sam na Debian i to je onaj koji mi je draži. 🙂
      Hvala na komentaru !!!.

    2.    njemački rekao je

      Uvijek morate obavljati transakcije. Debian ima visoku kvalitetu na štetu ostalih značajki. Potrebno je dobro korištenje vremena i Debian ga posvećuje svom proizvodu razmišljajući više o njegovoj implementaciji na poslužiteljima. Ljudi koji upravljaju serverima nemaju iste potrebe kao drugi tipovi korisnika.
      Isprobao sam druge distribucije i samo Arch ima istu stabilnost. Ostalo je visoko automatizirano; ali stvara mnogo problema kada je u pitanju njegova upotreba za servere.
      To je moje lično mišljenje i vrlo je subjektivno.

  9.   Maurice rekao je

    Vrlo dobre informacije, puno vam hvala. Postoji li pošta o najefikasnijem načinu za automatsko pravljenje sigurnosne kopije sa Linux servera koji pristupa Windows računarima pod domenom? hvala

    1.    matias rekao je

      Ako isprobate Rsync, to je višestruka platforma

  10.   matias rekao je

    Dobar dan, imao sam grešku prilikom provjere # net rpc join -U Administrator i riješio sam je dodavanjem
    u /etc/samba/smb.conf realm = vaša domena.local