סמבה: הצטרף לדביאן לדומיין של Windows (I)

שלום חברים!. סמבה מאפשר לנו להתאחד דביאן כדי תחום של מיקרוסופט בשתי דרכים שונות שתלויות ביסודן באופן בו אנו מכריזים על האופציה אבטחה בארכיון smb.conf.

אבטחה = דומיין

על המכונה להצטרף לתחום באמצעות הפקודה rpc נטו להצטרף. פָּרָמֶטֶר להצפין סיסמאות בארכיון smb.conf, חייב להיות מוגדר ל נָכוֹן o כן, שהוא ערך ברירת המחדל שלו.

סמבה זה יאמת את אישורי המשתמש והסיסמה על ידי העברתם לבקר הדומיין בדיוק כפי שהיה עושה לבקר מסוג NT 4.

אבטחה = דומיין זו הדרך שבה נתפתח במאמר זה.

אבטחה = ADS: במצב זה סמבה ישמש כחבר תחום בממלכה (תְחוּם) של Active Directory. לשם כך יש צורך בהתקנת הלקוח והתצורתו על ידי מכונת דביאן Kerberos, וכי הוא מחובר ל- Active Directory באמצעות הפקודה מודעות רשת מצטרפות.

מצב זה אינו גורם לסמבה לפעול כבקר תחום Active Directory.

ורמוס:

• פרמטרים עיקריים לרשת
• דרישות מינימום בבקר התחום
• דרישות מינימום למכונת דביאן
• אנו מתקינים חבילות נחוצות ומגדירים תצורה
• אנו מצטרפים לדביאן לדומיין ועושים בדיקות נחוצות
• אנו מאפשרים כניסה של משתמשי דומיין בדביאן שלנו
• טיפים כשאנחנו עובדים בשולחן העבודה

פרמטרים עיקריים לרשת

• בקר תחום: Windows 2003 Server SP2 Enterprise Edition.
• שם הבקר:w2003
• שם דומיין: friends.cu
• בקר IP: 10.10.10.30
• ---------------
• גרסת דביאן: לסחוט (6.0.7) [: - $ cat / etc / debian_version]
• שם הצוות: שגיאה לא נכונה
• כתובת IP: 10.10.10.15
• גרסת סמבה: 2: 3.5.6 ~ dfsg-3squeeze9
• גרסת Winbind: 2: 3.5.6 ~ dfsg-3squeeze9
• סביבת שולחן העבודה של GNOME עם GDM3
• ---------------
• גרסת דביאן: וויזי 7.0
• שם הצוות: miwheezy
• כתובת IP: 10.10.10.20
• גרסת סמבה: 2: 3.6.6-6
• גרסת Winbind: 2: 3.6.6-6
• סביבת שולחן העבודה Xfce4 עם GDM3

דרישות מינימום בבקר התחום

השיטה המתוארת במאמר זה נבדקה בתחילה מול בקר תחום שהוגדר מ- "ClearOS Enterprise 5.2 SP-1" ב- CentOS, והכל עבד בסדר. מיותר לציין שמדובר בתוכנה חופשית.

נתייחס לבקר תחום מהדורת Microsoft Windows Server 2003 SP2 Enterprise, משמש בחברות קובניות רבות. אני מצטער שאין לי את דיסק ההתקנה של הגרסה שרת 2008 או מתקדם יותר. הם סולחים לי אנגלית, אבל המתקין היחיד שיש לי הוא בשפה הזו.

אנא קראו את המאמר סמבה: SmbClient פורסם באותו אתר כדי שיהיה להם מושג לגבי המשתמשים שנוצרו בבקר הדומיין.

אם אנו משתמשים בכתובת IP קבועה עבור דביאן שלנו, היינו חייבים להכריז על רשומת סוג "A" ועל הרשומה המתאימה שלה באזור ההפוך ב- DNS של בקר הדומיין.

מומלץ תמיד כאשר אנו עובדים ברשת עם מחשבי לינוקס וחלונות, מפעילים את שירות WINS (שירות שמות האינטרנט של Windows) רצוי בבקר התחום.

דרישות מינימום למכונת דביאן

את הקובץ / Etc / resolv.conf צריך להכיל את התוכן הבא:

חפש שרת שמות amigos.cu 10.10.10.30

אנו מבצעים:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu יש כתובת 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; סעיף תשובה: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

אנו מתקינים חבילות נחוצות ומגדירים תצורה

# aptitude התקן אצבע smbclient samba winbind

במהלך התקנת החבילה סמבה, נתבקש מהשם של קבוצת העבודה, שהיא בדוגמה שלנו AMIGOS.

אנו שומרים את הקובץ המקורי smb.conf ואז אנחנו מרוקנים את זה:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

אנו עורכים את הקובץ smb.conf ואנחנו משאירים את זה עם התוכן הבא:

[global] ### דפדפן רשת - זיהוי ### קבוצת עבודה = FRIENDS מחרוזת שרת =% h שרת זוכה שרת = 10.10.10.30 proxy dns = לא ### חיבור רשת ### ממשקים = ​​127.0.0.0/8 eth0 ממשקי כריכה רק = כן מארחים מאפשרים = 10.10.10.0/255.255.255.0 ### ניפוי באגים ### קובץ יומן = /var/log/samba/log.%m גודל יומן מקסימלי = 1000 syslog = 0 פעולת בהלה = / usr / share / סמבה / פעולת פאניקה% d ### אימות ### אבטחה = תחום
הצפן סיסמאות = כן מאסטר מקומי = לא מאסטר תחום = לא מאסטר מועדף = לא ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 shell shell = / bin / bash winbind השתמש בדומיין ברירת מחדל = כן winbind rpc רק = כן winbind כניסה לא מקוונת = כן ### שונות ### משתמשים לא חוקיים = תבנית שורש homedir = / home /% D /% U מניות רישום = לא # ערכת יוניקס = ISO-8859-1 # ערכת תצוגה = ISO-8859 -1

אנו בודקים את התחביר הבסיסי של הקובץ smb.conf:

#testparm

אנו עורכים את הקובץ /etc/nsswitch.conf ואנחנו משנים את השורות הבאות:

[----] passwd:         קבצי winbind
קְבוּצָה:          קבצי winbind
צל: מארח compat: קבצים dns מנצח [----]

אנו מצטרפים לדביאן לדומיין ועושים בדיקות

# שירות winbind עצירה # הפעלה מחדש של סמבה # התחלה של winbind שירות # net rpc להצטרף - U Administrator # שירות winbind stop # הפעלה מחדש של סמבה # התחלה של winbind שירות # net RPC testjoin -U Administrator # info rpc net -U Administrator # wbinfo -u wbinfo -g # אצבע trancos # getent passwd trancos # קבוצה getent "משתמשי דומיין"

כמובן שחשבון המכונה נוצר כראוי בבקר הדומיין.

עד כה ראינו שנוכל להשיג מידע נכון על הדומיין, כמו גם על המשתמשים בו.

במאמרים מאוחרים יותר נלמד כיצד לשתף משאבים כך שהם יוכלו לשמש את המשתמשים הרשומים בתחום, כלומר שנוכל להגיש קבצים עבור משתמשים בדומיין של מיקרוסופט, הן מתחנת עבודה והן משרת ייעודי.

אנו מאפשרים כניסה של משתמשי דומיין בדביאן שלנו

כאשר אנו מתקינים את החבילה winbind, דביאן מגדירה אוטומטית את מודולי האימות הניתנים להטמעה או מודולי אימות הניתנים לחיבור PAM.

עם זאת, אם ננסה להתחיל הפעלה כמשתמש דומיין, באמצעות SSH או הפעלה גרפית, נקבל את ההודעה "אימות נכשל".

זה בגלל שהקבצים של מודולי ה- PAM, ליתר דיוק ה- סמכות משותפת נוצר כולל אימות באמצעות Kerberos, שאינו משמש כאשר אנו מצהירים אבטחה = תחום בארכיון smb.conf.

כדי שנוכל להתחיל הפעלה באמצעות SSH או גרפי, עלינו לשנות ידנית את הקבצים:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

אנו מסירים מהקו שמתייחס אליו pam_winbind.so, פרמטרים הקשורים ל- krb5. החלק הזה ייראה כך:

[----] # הנה המודולים לכל חבילה (הבלוק "ראשי") auth [success = 2 default = ignore] pam_unix.so nullok_secure auth [success = 1 default = ignore]      pam_winbind.so cache_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
נדרש סשן pam_mkhomedir.so skel = / etc / skel / umask = 0022
### יש לכלול את השורה הנ"ל לפני # הנה המודולים לכל חבילה (הגוש "ראשי") [----]

אנו מפעילים מחדש את השירותים המעורבים

# שירות winbind עצירה # ervice הפעלה מחדש של סמבה # שירות winbind התחל # שירות ssh הפעלה מחדש

השינויים הנ"ל בקבצי התצורה של PAM יאפשרו למשתמשי הדומיין ליזום הפעלת SSH או באופן מקומי בתחנת העבודה שלנו ב- Debian.

ספריות הבית של כל משתמש ייווצרו גם כאשר הוא נכנס לראשונה. תיקיות או ספריות אישיות ייווצרו ב / home / DOMAIN / user-user.

אם יש קושי כלשהו בכניסה הגרפית, אנו ממליצים להפעיל מחדש את מנהל הכניסה הגרפי (gdm3, kdmוכו ') ואם לא מספיק, הפעל מחדש את תחנת העבודה.

כדי להגביל או להגביל את הגישה באמצעות SSH לדביאן שלנו, עלינו לערוך את הקובץ / etc / ssh / sshd_config ולהוסיף בסוף:

 AllowUsers שורש צעדים מקומיים של המשתמש שלי

בדוגמה שלנו, צעדים הוא משתמש דומיין שאנו רוצים לאפשר לו להתחבר באמצעות SSH, תוך כדי xeon הוא משתמש מקומי.

אנחנו יכולים לכלול גם את הקובץ / etc / sudoers באמצעות הפקודה ויסודו, למשתמש או דומיין אחד או יותר.

[----] # שורש מפרט הרשאות משתמש שורש ALL = (ALL) ALL xeon ALL = (ALL) ALL צעדים ALL = (ALL) ALL [----]

טיפים כשאנחנו עובדים בשולחן העבודה

במקרה שאנחנו רוצים לעבוד על שולחן עבודה או תחנת עבודה עם כניסה גרפית וסביבה גרפית, עלינו להפוך את משתמשי הדומיין שייכנסו באופן מקומי לחברים בקבוצות הבאות לפחות: cdrom, תקליטון, שמע, וידאו y plugdev. אם אנו משתמשים במודם כדי להתחבר לרשת חיצונית, עלינו להפוך אותם גם לחברים בקבוצה לטבול.

במקרה של ה- Squeeze, אם אנו רוצים לחסל את רשימת המשתמשים בתחילת ההפעלה הגרפית, במקרה של gdm3, אנו עורכים את הקובץ /etc/gdm3/greeter.gconf-defaults, וביטול התייחסות לאפשרות / apps / gdm / simple-greeter / disable_user_listואנחנו משנים את הערך שלו ל- נָכוֹן.

אנו מקווים שהם לא רואים מה מוסבר מסובך או שטני. זכור תמיד בעת השימוש ב- Samba Suite בלינוקס, אנו מדמים כמעט את כל פונקציות Windows בנוגע לרשתות SMB / CIFS ... ועוד קצת. מיקרוסופט מספקת "אבטחה" תמורת חושך. מצידה, לינוקס, למרות שהיא נראית בתחילה מעט מסובכת, אך מספקת אבטחה, שקיפות וחופש.

מה יש לקרוא? המאמץ שווה את זה!

והפעילות הסתיימה להיום חברים. עד להרפתקה הבאה !!!.

הערה: בדקנו את ההליך המתואר בשלוש רמות הפונקציונליות של תחום מיקרוסופט, כלומר Mixed, Native 2000 ו- Native 2003.