Samba: Liity Debianiin Windows-toimialueelle (I)

Hei ystävät!. Samba antaa meille mahdollisuuden yhdistyä Debian on a Microsoft-verkkotunnus kahdella eri tavalla, jotka riippuvat olennaisesti vaihtoehdon julistamisesta turvallisuus arkistossa smb.conf.

Suojaus = Toimialue

Koneen on liityttävä toimialueeseen komennolla net rpc liittyä. Parametri salaa salasanat arkistossa smb.conf, on asetettava arvoon totta o Joo, joka on sen oletusarvo.

Samba Se vahvistaa käyttäjän ja salasanan tunnistetiedot välittämällä ne toimialueen ohjaimelle täsmälleen samalla tavalla kuin ohjaintyypille NT 4.

Suojaus = Toimialue on tapa, jolla kehitämme tässä artikkelissa.

Suojaus = ADS: Tässä tilassa Samba toimii verkkotunnuksen jäsenenä kuningaskunnassa (Valtakunta) Active Directory. Tätä varten on välttämätöntä, että Debian-koneessa asiakas on asennettu ja määritetty Kerberosja että se on liitetty Active Directoryyn komennon avulla nettomainokset liittyvät.

Tämä tila EI SAA Sambaa toimimaan Active Directory -toimialueen ohjaimena.

Näemme:

  • Esimerkki verkon pääparametreista
  • Verkkotunnuksen ohjaimen vähimmäisvaatimukset
  • Debian-koneen vähimmäisvaatimukset
  • Asennamme tarvittavat paketit ja konfiguroimme
  • Liitymme Debianin verkkotunnukseen ja teemme tarvittavat tarkistukset
  • Sallimme verkkotunnuksen käyttäjien kirjautumisen Debianiin
  • Vinkkejä, kun työskentelemme pöytätietokoneissa

Esimerkki verkon pääparametreista

  • Verkkotunnuksen ohjain: Windows 2003 Server SP2 Enterprise Edition.
  • Ohjaimen nimi:w2003
  • Verkkotunnus: ystävät. cu
  • Ohjaimen IP: 10.10.10.30
  • ---------------
  • Debian-versio: Purista (6.0.7) [: - $ cat / etc / debian_version]
  • Joukkueen nimi: purista väärin
  • IP-osoite: 10.10.10.15
  • Samba-versio: 2: 3.5.6 ~ dfsg-3 puristus 9
  • Winbind-versio: 2: 3.5.6 ~ dfsg-3 puristus 9
  • GNOME-työpöytäympäristö GDM3: lla
  • ---------------
  • Debian-versio: Vinkuva 7.0
  • Joukkueen nimi: hirveä
  • IP-osoite: 10.10.10.20
  • Samba-versio: 2: 3.6.6-6
  • Winbind-versio: 2: 3.6.6-6
  • Xfce4-työpöytäympäristö GDM3: lla

Verkkotunnuksen ohjaimen vähimmäisvaatimukset

Tässä artikkelissa kuvattua menetelmää testattiin alun perin CentOS: n "ClearOS Enterprise 5.2 SP-1": stä määritetyllä toimialueen ohjaimella, ja kaikki toimi oikein. Tarpeetonta sanoa, että se on ilmainen ohjelmisto.

Viitamme verkkotunnuksen ohjaimeen Microsoft Windows Server 2003 SP2 Enterprise Edition, jota käytetään monissa kuubalaisissa yrityksissä. Olen pahoillani, että minulla ei ole version asennuslevyä palvelimen 2008 tai edistyneempi. He antavat minulle anteeksi englannin, mutta ainoa asennusohjelma minulla on tällä kielellä.

Ole hyvä ja lue artikkeli Samba: SmbClient julkaistaan ​​tällä sivustolla, jotta heillä olisi käsitys verkkotunnuksen ohjaimessa luotuista käyttäjistä.

Jos käytämme kiinteää IP-osoitetta Debianissamme, joudumme ilmoittamaan tyypin "A" tietueen ja sitä vastaavan tietueen toimialueen ohjaimen DNS: n käänteisalueella.

On aina suositeltavaa, kun työskentelemme verkossa Linux- ja Windows-tietokoneiden kanssa, ota WINS-palvelu käyttöön (Windowsin Internet-nimipalvelu) mieluiten verkkotunnuksen ohjaimessa.

Debian-koneen vähimmäisvaatimukset

Tiedosto / Etc / resolv.conf pitäisi olla seuraava sisältö:

etsi friends.cu-nimipalvelinta 10.10.10.30

Suoritamme:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu on osoite 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; VASTAUSOSA: 30.10.10.10.arad. 1200 IN PTR w2003.amigos.cu. [----]

Asennamme tarvittavat paketit ja konfiguroimme

# aptitude install samba winbind smbclient-sormi

Paketin asennuksen aikana samba, meiltä kysytään työryhmän nimeä, joka esimerkissämme on YSTÄVÄT.

Tallennamme alkuperäisen tiedoston smb.conf ja sitten tyhjennämme sen:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Me muokkaamme tiedostoa smb.conf ja jätämme siihen seuraavan sisällön:

[globaali] ### Verkkoselain - Tunniste ### työryhmä = YSTÄVÄT palvelinmerkkijono =% h palvelin voittaa palvelimen = 10.10.10.30 DNS-välityspalvelin = ei ### Verkkoyhteys ### rajapinnat = 127.0.0.0/8 eth0-sidontaliitännät vain = kyllä ​​isännät sallivat = 10.10.10.0/255.255.255.0 ### Virheenkorjaus ### lokitiedosto = /var/log/samba/log.%m lokin enimmäiskoko = 1000 syslog = 0 paniikkitoiminto = / usr / share / samba / panic-action% d ### AUTHENTICATION ### security = verkkotunnuksen
salaa salasanat = kyllä ​​paikallinen isäntä = ei verkkotunnuksen päällikkö = ei suositeltavaa isäntä = ei ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 mallin kuori = / bin / bash winbind käytä oletusaluetta = Kyllä winbind rpc vain = kyllä ​​winbind offline-sisäänkirjautuminen = kyllä ​​### Sekalaiset ### virheelliset käyttäjät = juurimallin homedir = / home /% D /% U -rekisteriosuudet = Ei # unix-merkkisarja = ISO-8859-1 # näyttömerkkijoukko = ISO-8859 -1

Tarkistamme tiedoston perussyntaksin smb.conf:

#testparm

Me muokkaamme tiedostoa /etc/nsswitch.conf ja muokkaamme seuraavia rivejä:

[----] passwd:         winbind-tiedostot
ryhmä:          winbind-tiedostot
varjo: Kanssa isännät: tiedostot dns voittaa [----]

Liitymme Debianin verkkotunnukseen ja teemme tarkastuksia

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger trancos # getent passwd trancos # getent-ryhmä "Verkkotunnuksen käyttäjät"

Tietysti konetili on luotu oikein verkkotunnuksen ohjaimessa.

Toistaiseksi olemme nähneet, että voimme saada oikeaa tietoa verkkotunnuksesta ja sen käyttäjistä.

Myöhemmissä artikkeleissa opimme jakamaan resursseja siten, että verkkotunnukseen rekisteröityneet käyttäjät voivat käyttää niitä, eli voimme palvella tiedostoja Microsoft-toimialueen käyttäjille sekä työasemalta että erilliseltä palvelimelta.

Sallimme verkkotunnuksen käyttäjien kirjautumisen Debianiin

Kun asennamme paketin winbind, Debian määrittää automaattisesti Pluggable Authentication Modules tai Liitettävät todennusmoduulit PAM.

Jos kuitenkin yritämme aloittaa istunnon verkkotunnuksen käyttäjänä joko SSH: n tai graafisen istunnon kautta, saamme viestin "Authentication Failure".

Se johtuu PAM-moduulien tiedostoista, tarkemmin sanoen yhteinen auth luotiin sisältäen todennuksen Kerberosin kautta, jota EI käytetä ilmoitettaessa turvallisuus = verkkotunnus arkistossa smb.conf.

Jotta voimme aloittaa istunnon SSH: n tai graafisen välityksellä, meidän on muokattava tiedostoja manuaalisesti:

  • /etc/pam.d/common-auth
  • /etc/pam.d/common-session

/etc/pam.d/common-auth

Poistamme viivasta, johon viitataan pam_winbind.so, parametrit, jotka liittyvät krb5. Tuo osa näyttäisi tältä:

[----] # tässä ovat pakettikohtaiset moduulit ("Ensisijainen" lohko) auth [menestys = 2 oletus = ohita] pam_unix.so nullok_secure auth [menestys = 1 oletus = ohita]      pam_winbind.so välimuistissa_kirjaudu sisään try_first_pass
[----]

/etc/pam.d/common-session

[----]
istunto vaaditaan pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Yllä olevan rivin on oltava mukana ENNEN # tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko) [----]

Käynnistämme kyseiset palvelut uudelleen

# service winbind stop # ervice samba uudelleenkäynnistys # service winbind start # service ssh uudelleenkäynnistys

Yllä olevat muutokset PAM-määritystiedostoihin antavat verkkotunnuksen käyttäjille mahdollisuuden aloittaa SSH-istunto tai paikallisesti Debian-työasemallamme.

Jokaisen käyttäjän kotihakemistot luodaan myös, kun he kirjautuvat sisään ensimmäistä kertaa. Omat kansiot tai hakemistot luodaan / home / DOMAIN / domain-user.

Jos graafisessa sisäänkirjautumisessa on vaikeuksia, suosittelemme, että käynnistät graafisen sisäänkirjautumisen hallinnan uudelleen (gdm3, KDMjne.) ja jos se ei riitä, käynnistä työasema uudelleen.

Jos haluat rajoittaa tai rajoittaa pääsyä SSH: n kautta Debianiin, meidän on muokattava tiedostoa / Etc / ssh / sshd_config ja lisää loppuun:

 AllowUsers myuser-local strides -juuri

Esimerkissämme harppauksia on verkkotunnuksen käyttäjä, jonka haluamme sallia kirjautua SSH: n kautta Xeon on paikallinen käyttäjä.

Voimme myös sisällyttää tiedostoon / Etc / sudoers käyttämällä komentoa visudo, yhdelle tai useammalle Verkkotunnuksen käyttäjälle.

[----] # Käyttäjäoikeuksien määritysjuuri ALL = (ALL) ALL xeon ALL = (ALL) ALL strides ALL = (ALL) ALL [----]

Vinkkejä, kun työskentelemme pöytätietokoneissa

Jos haluamme työskennellä työpöydällä tai työasemalla, jolla on graafinen sisäänkirjautuminen ja graafinen ympäristö, meidän on tehtävä paikallisesti kirjautuvat toimialueen käyttäjät vähintään seuraavien ryhmien jäseniksi: cdrom, levyke, ääni, video y plugdev. Jos käytämme modeemia yhteyden muodostamiseksi ulkoiseen verkkoon, meidän on myös tehtävä niistä ryhmän jäsenet kastaa.

Squeezen tapauksessa, jos haluamme poistaa käyttäjäluettelon graafisen istunnon alusta, gdm3: n tapauksessa muokkaamme tiedostoa /etc/gdm3/greeter.gconf-defaultsja kommentoimatta vaihtoehtoa / apps / gdm / simple-greeter / disable_user_list, ja muutamme sen arvoksi totta.

Toivomme, että he eivät näe sitä, mikä on selitetty monimutkaiseksi tai pirulliseksi. Pidä aina mielessä, kun käytät Samba Suitea Linuxissa, emuloimme käytännössä melkein kaikkia SMB / CIFS-verkkoja koskevia Windows-toimintoja ... ja vähän muuta. Microsoft tarjoaa "suojauksen" vastineeksi pimeydestä. Linux puolestaan ​​tarjoaa turvallisuuden, läpinäkyvyyden ja vapauden, vaikka se vaikuttaa aluksi hieman monimutkaiselta.

Mitä on luettavissa? Ponnistus on sen arvoinen!

Ja toiminta on ohi tänään, ystävät. Seuraavaan seikkailuun asti !!!.

Huomata: Testasimme menettelytavan, joka on kuvattu Microsoft Domainin kolmella toiminnallisustasolla, eli Mixed, Native 2000 ja Native 2003.


16 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Erick dijo

    Erittäin hyvä viesti, onnittelen sinua ystäväsi, yksi kysymys, jonka voisit tehdä postitse verkkotunnuspalvelimen tekemisestä samba4: n kanssa, on se, että minulla on epäilyksiä ja osittain en ole koskaan tehnyt pdc: tä samban kanssa ja he sanovat en tiedä että samba4 parantunut paljon, terveisiä

    1.    Federico A. Valdes Toujague dijo

      Kiitos kaikille kommentoinnista !!!.

      @Erick: aloita yksinkertaisesti. Asenna ClearOS tai jotain sellaista, kuten PDC. Olen auttanut sen asentamisessa ja määrittämisessä 3 pienyrityksessä. Suurin 50 joukkueella, ja ne toimivat erittäin hyvin. Hallinto on hyvin yksinkertaista.

      @Jesus Israel Perales Martinez: Sambaa ei tarvitse asentaa. Jos siis "normaali tiedostoverkko" tarkoitat SMB / CIFS-verkkoa, sitä suositellaan.

      @denis: Kiitos kiitos- ja rohkaisusanoistasi.

      @DanielC: Näyttää siltä, ​​että sait heidät "punakätisiksi". 🙂

  2.   Jeesus Israel Perales Martinez dijo

    Kysymys, jos kaikki tietokoneeni käyttävät GNU: ita, on välttämätöntä, että jaan tiedostoni samballa vai voinko tehdä sen nfs: n kanssa, jos on, voisitko tehdä opetusohjelman tiedostojen jakamiseksi nfs: llä, tiedän, että voin ladata kaiken ssh: llä ja lähettää tiedostoja ftp: llä, myös web-asiakkaille ja muille, mutta haluaisin "normaalitiedosto" -verkon perustamisen

  3.   Denis dijo

    Hei ystäväni, halusin ensinnäkin kiittää sinua kaikesta mitä teet joka päivä halukkuudellasi auttaa muita, vaikka tuskin tunnet heitä.
    Erittäin hyvät kaikki artikkelisi, sanon todella, että heidän ansiostaan ​​olen muodostanut melkein sysadminin, vaikka tiedän, että minulla on vielä pitkä matka.

  4.   DanielC dijo

    Luin juuri tätä aihetta RSS-syötteestä, ja sain samba-päivityksiä.

    Joten silloin he eivät sano, että Ubuntu ei vakooja! : B

    1.    eliotime3000 dijo

      ROFL!

      Ubuntu ei vakooja, Amazon tekee.

  5.   Xavier dijo

    Tässä on resepti, jonka tein nimenomaisesti Debianille ADS-alueella https://wiki.debian.org/SAMBAclienteWindows

    1.    Federico Antonio Valdes Toujague dijo

      Parametrilla turvallisuus = mainokset, verkossa on paljon viestejä. Seuraava artikkeli käsittelee kuitenkin samaa aihetta.

  6.   eliotime3000 dijo

    Minun täytyy todella katsoa Samba-miestä voidakseni jakaa lähiverkkojen kansioita Windowsin kanssa.

    PS: Debian Mozilla -tiimi on jo vihdoin julkaissut Iceweasel 24: n.

  7.   Aldo dijo

    Hei, kuinka hyvät täällä jakamasi tiedot ovat, olen aloittamassa testinsiirtoa debian-palvelimella, kuten tiedosto ja tulostus, mutta tarvitsen käyttäjiä, joilla on Windows 7 ja XP, todentamaan toimialueen (Windows 2000) kanssa, jonka olen ollut ja en ole nähnyt sitä ...
    kiitos

  8.   Daniel Cordoba dijo

    Hei, luulen, että Debianin ja sen johdannaisten ongelma on se, että he eivät tiedä tai tiedä eivätkä halua tehdä sitä helpottaakseen asioita tavalliselle käyttäjälle. Olen opensuse-version käyttäjä ja koti- tai toimistoverkon määritys on niin helppoa. Tietokoneilla, joissa on openuse ja Windows XP-7, he jakavat tiedostoja ja tulostimia. Kaikki tämä tehtävä suoritetaan Yastin kanssa, toisin sanoen siirtymättä päätelaitteeseen ja tarvitsematta kirjoittaa kaikki tämä. Todellinen hulluus Debianissa. Debian Wheezyn kanssa viikon kirjoituskoodin jälkeen en voinut tulostaa jaetulle tulostimelle Windows XP -tietokoneella. Kanssa opensuse with 4 vaiheet tulostimen jakavan tietokoneen nimi (xp), jaetun tulostimen nimi (xp), käyttäjätunnus ja salasana. Ja se on, jakamaan kurja tulostin ja jotkut kotitiedostot, sinun ei tarvitse olla koodiguru. Puhumattakaan CUPS: stä. cupsd, ect. Tee jotain yleistä käyttäjäystävällistä.

    1.    Federico dijo

      Olen vahvasti samaa mieltä kanssasi. Debian tunnetaan vaikeuttavan asioita työpöytäympäristössä. Palvelupuolella OpenSuse ja CentOS helpottavat palvelun järjestelmänvalvojien elämää. Olen kuitenkin tottunut Debianiin, ja pidän siitä mieluummin. 🙂
      Kiitos kommentista !!!.

    2.    Saksan dijo

      Sinun on aina tehtävä tapahtumia. Debianilla on korkea laatu muiden ominaisuuksien kustannuksella. Ajankäyttö vaaditaan hyvällä tavalla, ja Debian omistaa sen tuotteelleen ja ajattelee enemmän sen toteuttamisesta palvelimilla. Palvelimia hallinnoivilla ihmisillä ei ole samoja tarpeita kuin muilla käyttäjillä.
      Olen kokeillut muita jakeluja ja vain Archilla on sama vakaus. Loppuosa on erittäin automatisoitua; mutta se aiheuttaa monia ongelmia, kun on kyse sen käytöstä palvelimille.
      Se on henkilökohtainen mielipiteeni ja se on hyvin subjektiivista.

  9.   Mauritius dijo

    Erittäin hyvää tietoa, kiitos paljon. Onko olemassa viestiä tehokkaimmasta tavasta tehdä automaattinen varmuuskopio Linux-palvelimelta, joka käyttää Windows-tietokoneita toimialueella? Kiitos

    1.    Matias dijo

      Jos yrität Rsynciä, se on monialustainen

  10.   Matias dijo

    Hyvää iltapäivää minulla oli virhe tarkistettaessa # net rpc join -U Administrator ja ratkaisin sen lisäämällä
    tiedostossa /etc/samba/smb.conf realm = verkkotunnuksesi.local