Samba: Csatlakozzon a Debianhoz egy Windows tartományhoz (I)

Hello barátok!. Samba lehetővé teszi számunkra az egyesülést Debian a Microsoft domain két különböző módon, amelyek alapvetően attól függenek, hogy miként deklaráljuk az opciót biztonság az archívumban smb.conf.

Biztonság = Tartomány

A gépnek a paranccsal kell csatlakoznia a tartományhoz net rpc csatlakozni. Paraméter titkosítani a jelszavakat az archívumban smb.confértékre kell állítani igaz o Igen, amely az alapértelmezett értéke.

Samba A felhasználói és jelszó hitelesítő adatokat úgy ellenőrzi, hogy pontosan átadja azokat a tartományvezérlőnek, mint egy NT 4 típusú vezérlőnek.

Biztonság = Tartomány ebben a cikkben fogunk fejlődni.

Biztonság = ADS: Ebben a módban Samba tartományi tagként fog működni egy Királyságban (Birodalom) az Active Directory-ból. Ehhez szükséges, hogy a Debian gép telepítse és konfigurálja az ügyfelet Kerberos, és hogy a parancs segítségével csatlakozik az Active Directoryhoz nettó hirdetések csatlakoznak.

Ez a mód NEM teszi a Sambát Active Directory tartományvezérlőként működni.

Meglátjuk:

• Minta hálózati fő paraméterek
• A tartományvezérlő minimális követelményei
• A Debian gép minimális követelményei
• Telepítjük a szükséges csomagokat és konfiguráljuk
• Csatlakozunk a Debianhoz a Domainhez, és elvégezzük a szükséges ellenőrzéseket
• Engedélyezzük a domain felhasználók bejelentkezését a Debianban
• Tippek, ha asztali számítógépeken dolgozunk

Minta hálózati fő paraméterek

• Domain Controller: Windows 2003 Server SP2 Enterprise Edition.
• Vezérlő neve:w2003
• Domain név: barátok.cu
• Vezérlő IP: 10.10.10.30
• ---------------
• Debian verzió: Összenyomás (6.0.7) [: - $ cat / etc / debian_version]
• Csapat neve: rosszul
• IP-cím: 10.10.10.15
• Samba verzió: 2: 3.5.6 ~ dfsg-3squeeze9
• Winbind verzió: 2: 3.5.6 ~ dfsg-3squeeze9
• GNOME asztali környezet a GDM3 segítségével
• ---------------
• Debian verzió: Zihálás 7.0
• Csapat neve: zihálás
• IP-cím: 10.10.10.20
• Samba verzió: 2: 3.6.6-6
• Winbind verzió: 2: 3.6.6-6
• Xfce4 asztali környezet GDM3-mal

A tartományvezérlő minimális követelményei

Az ebben a cikkben leírt módszert eredetileg egy tartományvezérlővel tesztelték, amelyet a "ClearOS Enterprise 5.2 SP-1" -ről konfiguráltak a CentOS-on, és minden rendben működött. Mondanom sem kell, hogy ez szabad szoftver.

Hivatkozni fogunk egy tartományvezérlőre Microsoft Windows Server 2003 SP2 Enterprise Edition, amelyet számos kubai vállalat használ. Sajnálom, hogy nem rendelkezem a verzió telepítő lemezével szerver 2008 vagy egy fejlettebb. Megbocsátanak nekem angolul, de az egyetlen telepítőm ezen a nyelven van.

Kérjük, olvassa el a cikket Samba: SmbClient ugyanazon a webhelyen tették közzé, hogy képet kapjanak a tartományvezérlőben létrehozott felhasználókról.

Ha fix IP-címet használunk a Debianhoz, akkor egy "A" típusú rekordot és annak megfelelő rekordot kell deklarálnunk a tartományvezérlő DNS-jének fordított zónájában.

Mindig ajánlott, ha Linux és Windows számítógépekkel rendelkező hálózaton dolgozunk, engedélyezze a WINS szolgáltatást (Windows internetes névszolgáltatás) lehetőleg a tartományvezérlőben.

A Debian gép minimális követelményei

A fájl / Etc / resolv.conf a következő tartalommal kell rendelkeznie:

keresés az amigos.cu névkiszolgálón 10.10.10.30

Végrehajtjuk:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu címe 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; VÁLASZSZEKCIÓ: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

Telepítjük a szükséges csomagokat és konfiguráljuk

# aptitude telepítse a samba winbind smbclient ujját

A csomag telepítése során samba, meg fogjuk kérdezni a munkacsoport nevét, amely példánkban az FRIENDS.

Az eredeti fájlt elmentjük smb.conf aztán kiürítjük:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Szerkesztjük a fájlt smb.conf és a következő tartalommal hagyjuk:

[global] ### Hálózati böngésző - Azonosítás ### munkacsoport = FRIENDS kiszolgáló karakterlánc =% h kiszolgáló megnyeri a szervert = 10.10.10.30 DNS proxy = nem ### Hálózati kapcsolat ### interfészek = 127.0.0.0/8 eth0 összerendelési interfészek csak = igen gazdagépek megengedik = 10.10.10.0/255.255.255.0 ### Hibakeresés ### naplófájl = /var/log/samba/log.%m maximális naplóméret = 1000 syslog = 0 pánik művelet = / usr / share / samba / pánik-akció% d ### Hitelesítés ### security = domain
jelszavak titkosítása = igen helyi mester = nincs tartomány mester = nincs előnyben részesített mester = nem ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 sablonhéj = / bin / bash winbind alapértelmezett tartomány használata = igen winbind rpc csak = igen winbind offline bejelentkezés = igen ### Egyéb ### érvénytelen felhasználók = gyökérsablon homedir = / home /% D /% U nyilvántartási megosztások = Nem # unix karakterkészlet = ISO-8859-1 # kijelző karakterkészlet = ISO-8859 -1

Ellenőrizzük a fájl alapvető szintaxisát smb.conf:

#testparm

Szerkesztjük a fájlt /etc/nsswitch.conf és a következő sorokat módosítjuk:

[----] jelszó:         winbind fájlokat
csoport:          winbind fájlokat
árnyék: hon gazdagépek: a dns fájl nyer [----]

Csatlakozunk a Debianhoz a Domainhez, és ellenőrizzük

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger trancos # getent passwd trancos # getent "Domain Users" csoport

Természetesen a Gépfiók helyesen lett létrehozva a tartományvezérlőben.

Eddig azt láttuk, hogy helyes információkat szerezhetünk a Domainről, valamint a felhasználókról.

Későbbi cikkekben megtudhatjuk, hogyan osszuk meg az erőforrásokat úgy, hogy azokat a Tartományban regisztrált felhasználók használhassák, vagyis hogy fájlokat tudjunk kiszolgálni a Microsoft Domain felhasználói számára, mind munkaállomásról, mind dedikált szerverről.

Engedélyezzük a domain felhasználók bejelentkezését a Debianban

Amikor telepítjük a csomagot winbind, A Debian automatikusan konfigurálja a Pluggable Authentication Module ill Dugaszolható hitelesítési modulok PAM.

Ha azonban megpróbálunk munkamenetet indítani tartományfelhasználóként, akár SSH-n, akár grafikus munkameneten keresztül, akkor a "Hitelesítési hiba" üzenetet kapjuk.

Ennek oka, hogy a PAM modulok fájljai, pontosabban a közös-auth generálódott, beleértve a Kerberoson keresztüli hitelesítést, amelyet NEM használunk, amikor kijelentjük biztonság = tartomány az archívumban smb.conf.

Ahhoz, hogy SSH-n vagy grafikusan kezdhessünk munkamenetet, manuálisan kell módosítanunk a fájlokat:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

Eltávolítjuk a hivatkozó sorból pam_winbind.so, kapcsolatos paraméterek krb5. Ez a rész így néz ki:

[----] # itt vannak a csomagonkénti modulok (az "Elsődleges" blokk) auth [siker = 2 alapértelmezett = figyelmen kívül hagyva] pam_unix.so nullok_secure auth [siker = 1 alapértelmezett = figyelmen kívül hagyva]      pam_winbind.so cached_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
munkamenet szükséges pam_mkhomedir.so skel = / etc / skel / umask = 0022
### A fenti sort be kell tenni, mielőtt # itt vannak a csomagonkénti modulok (az "Elsődleges" blokk) [----]

Újraindítjuk az érintett szolgáltatásokat

# service winbind stop # ervice samba restart # service winbind start # service ssh újraindítás

A PAM konfigurációs fájlok fenti módosításai lehetővé teszik a tartományi felhasználók számára, hogy SSH munkamenetet kezdeményezzenek, vagy helyben a Debian munkaállomáson.

Minden felhasználó saját könyvtárai akkor is létrejönnek, amikor első alkalommal bejelentkeznek. A személyes mappák vagy könyvtárak itt lesznek létrehozva / home / DOMAIN / domain-user.

Ha bármilyen probléma merül fel a grafikus bejelentkezéssel, javasoljuk, hogy indítsa újra a grafikus bejelentkezés kezelőjét (gdm3, kdmstb.), és ha nem elég, indítsa újra a munkaállomást.

Az SSH-n keresztüli Debianhoz való hozzáférés korlátozásához vagy korlátozásához szerkesztenünk kell a fájlt / Etc / ssh / sshd_config és a végén egészítse ki:

 AllowUsers myuser-local lépések gyökér

Példánkban lépéseket egy olyan domain felhasználó, akinek engedélyezzük az SSH-n keresztüli bejelentkezést, míg Xeon egy helyi felhasználó.

A fájlba is felvehetjük / etc / sudoers a parancs segítségével visado, a Domain egy vagy több felhasználójának.

[----] # Felhasználói jogosultsági specifikáció gyökér ALL = (ALL) ALL xeon ALL = (ALL) ALL lépések ALL = (ALL) ALL [----]

Tippek, ha asztali számítógépeken dolgozunk

Abban az esetben, ha grafikus bejelentkezéssel és grafikus környezettel rendelkező asztali számítógépen vagy munkaállomáson akarunk dolgozni, a helyileg bejelentkező tartományi felhasználókat legalább a következő csoportok tagjaivá kell tennünk: cdrom, floppy, hang, videó y plugdev. Ha modemet használunk egy külső hálózathoz való csatlakozáshoz, akkor őket is a csoport tagjaivá kell tennünk dip.

A Squeeze esetében, ha meg akarjuk szüntetni a felhasználók listáját a grafikus munkamenet elején, a gdm3 esetében a fájlt szerkesztjük /etc/gdm3/greeter.gconf-defaults, és kommentálja az opciót / apps / gdm / simple-greeter / disable_user_list, és értékét megváltoztatjuk igaz.

Reméljük, hogy nem látják bonyolultnak vagy ördöngösnek a magyarázatot. Mindig tartsa szem előtt, amikor a Samba Suite szoftvert Linuxon használja, gyakorlatilag az összes Windows-funkciót utánozzuk az SMB / CIFS hálózatokkal kapcsolatban ... és még egy kicsit többet. A Microsoft a "Sötétségért cserébe biztosítja a" Biztonságot ". A Linux a maga részéről, bár eleinte kissé bonyolultnak tűnik, biztosítja a biztonságot, az átláthatóságot és a szabadságot.

Mit kell olvasni? Az erőfeszítés megéri!

És a tevékenységnek mára vége, Barátok. A következő kalandig !!!.

jegyzet: Kipróbáltuk a Microsoft Domain három funkcionális szintjén leírt eljárást, azaz a Mixed, a Native 2000 és a Native 2003.