סמבה: הצטרף לדביאן לדומיין של Windows (I)

שלום חברים!. סמבה מאפשר לנו להתאחד דביאן כדי תחום של מיקרוסופט בשתי דרכים שונות שתלויות ביסודן באופן בו אנו מכריזים על האופציה אבטחה בארכיון smb.conf.

אבטחה = דומיין

על המכונה להצטרף לתחום באמצעות הפקודה rpc נטו להצטרף. פָּרָמֶטֶר להצפין סיסמאות בארכיון smb.conf, חייב להיות מוגדר ל נכון o כן, שהוא ערך ברירת המחדל שלו.

סמבה זה יאמת את אישורי המשתמש והסיסמה על ידי העברתם לבקר הדומיין בדיוק כפי שהיה עושה לבקר מסוג NT 4.

אבטחה = דומיין זו הדרך שבה נתפתח במאמר זה.

אבטחה = ADS: במצב זה סמבה ישמש כחבר תחום בממלכה (תְחוּם) של Active Directory. לשם כך יש צורך בהתקנת הלקוח והתצורתו על ידי מכונת דביאן Kerberos, וכי הוא מחובר ל- Active Directory באמצעות הפקודה מודעות רשת מצטרפות.

מצב זה אינו גורם לסמבה לפעול כבקר תחום Active Directory.

ורמוס:

  • פרמטרים עיקריים לרשת
  • דרישות מינימום בבקר התחום
  • דרישות מינימום למכונת דביאן
  • אנו מתקינים חבילות נחוצות ומגדירים תצורה
  • אנו מצטרפים לדביאן לדומיין ועושים בדיקות נחוצות
  • אנו מאפשרים כניסה של משתמשי דומיין בדביאן שלנו
  • טיפים כשאנחנו עובדים בשולחן העבודה

פרמטרים עיקריים לרשת

  • בקר תחום: Windows 2003 Server SP2 Enterprise Edition.
  • שם הבקר:w2003
  • שם דומיין: friends.cu
  • בקר IP: 10.10.10.30
  • ---------------
  • גרסת דביאן: לסחוט (6.0.7) [: - $ cat / etc / debian_version]
  • שם הצוות: שגיאה לא נכונה
  • כתובת IP: 10.10.10.15
  • גרסת סמבה: 2: 3.5.6 ~ dfsg-3squeeze9
  • גרסת Winbind: 2: 3.5.6 ~ dfsg-3squeeze9
  • סביבת שולחן העבודה של GNOME עם GDM3
  • ---------------
  • גרסת דביאן: וויזי 7.0
  • שם הצוות: miwheezy
  • כתובת IP: 10.10.10.20
  • גרסת סמבה: 2: 3.6.6-6
  • גרסת Winbind: 2: 3.6.6-6
  • סביבת שולחן העבודה Xfce4 עם GDM3

דרישות מינימום בבקר התחום

השיטה המתוארת במאמר זה נבדקה בתחילה מול בקר תחום שהוגדר מ- "ClearOS Enterprise 5.2 SP-1" ב- CentOS, והכל עבד בסדר. מיותר לציין שמדובר בתוכנה חופשית.

נתייחס לבקר תחום מהדורת Microsoft Windows Server 2003 SP2 Enterprise, משמש בחברות קובניות רבות. אני מצטער שאין לי את דיסק ההתקנה של הגרסה שרת 2008 או מתקדם יותר. הם סולחים לי אנגלית, אבל המתקין היחיד שיש לי הוא בשפה הזו.

אנא קראו את המאמר סמבה: SmbClient פורסם באותו אתר כדי שיהיה להם מושג לגבי המשתמשים שנוצרו בבקר הדומיין.

אם אנו משתמשים בכתובת IP קבועה עבור דביאן שלנו, היינו חייבים להכריז על רשומת סוג "A" ועל הרשומה המתאימה שלה באזור ההפוך ב- DNS של בקר הדומיין.

מומלץ תמיד כאשר אנו עובדים ברשת עם מחשבי לינוקס וחלונות, מפעילים את שירות WINS (שירות שמות האינטרנט של Windows) רצוי בבקר התחום.

דרישות מינימום למכונת דביאן

את הקובץ / Etc / resolv.conf צריך להכיל את התוכן הבא:

חפש שרת שמות amigos.cu 10.10.10.30

אנו מבצעים:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu יש כתובת 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; סעיף תשובה: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

אנו מתקינים חבילות נחוצות ומגדירים תצורה

# aptitude התקן אצבע smbclient samba winbind

במהלך התקנת החבילה סמבה, נתבקש מהשם של קבוצת העבודה, שהיא בדוגמה שלנו AMIGOS.

אנו שומרים את הקובץ המקורי smb.conf ואז אנחנו מרוקנים את זה:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

אנו עורכים את הקובץ smb.conf ואנחנו משאירים את זה עם התוכן הבא:

[global] ### דפדפן רשת - זיהוי ### קבוצת עבודה = FRIENDS מחרוזת שרת =% h שרת זוכה שרת = 10.10.10.30 proxy dns = לא ### חיבור רשת ### ממשקים = ​​127.0.0.0/8 eth0 ממשקי כריכה רק = כן מארחים מאפשרים = 10.10.10.0/255.255.255.0 ### ניפוי באגים ### קובץ יומן = /var/log/samba/log.%m גודל יומן מקסימלי = 1000 syslog = 0 פעולת בהלה = / usr / share / סמבה / פעולת פאניקה% d ### אימות ### אבטחה = תחום
הצפן סיסמאות = כן מאסטר מקומי = לא מאסטר תחום = לא מאסטר מועדף = לא ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 shell shell = / bin / bash winbind השתמש בדומיין ברירת מחדל = כן winbind rpc רק = כן winbind כניסה לא מקוונת = כן ### שונות ### משתמשים לא חוקיים = תבנית שורש homedir = / home /% D /% U מניות רישום = לא # ערכת יוניקס = ISO-8859-1 # ערכת תצוגה = ISO-8859 -1

אנו בודקים את התחביר הבסיסי של הקובץ smb.conf:

#testparm

אנו עורכים את הקובץ /etc/nsswitch.conf ואנחנו משנים את השורות הבאות:

[----] passwd:         קבצי winbind
קְבוּצָה:          קבצי winbind
צל: מארח compat: קבצים dns מנצח [----]

אנו מצטרפים לדביאן לדומיין ועושים בדיקות

# שירות winbind עצירה # הפעלה מחדש של סמבה # התחלה של winbind שירות # net rpc להצטרף - U Administrator # שירות winbind stop # הפעלה מחדש של סמבה # התחלה של winbind שירות # net RPC testjoin -U Administrator # info rpc net -U Administrator # wbinfo -u wbinfo -g # אצבע trancos # getent passwd trancos # קבוצה getent "משתמשי דומיין"

כמובן שחשבון המכונה נוצר כראוי בבקר הדומיין.

עד כה ראינו שנוכל להשיג מידע נכון על הדומיין, כמו גם על המשתמשים בו.

במאמרים מאוחרים יותר נלמד כיצד לשתף משאבים כך שהם יוכלו לשמש את המשתמשים הרשומים בתחום, כלומר שנוכל להגיש קבצים עבור משתמשים בדומיין של מיקרוסופט, הן מתחנת עבודה והן משרת ייעודי.

אנו מאפשרים כניסה של משתמשי דומיין בדביאן שלנו

כאשר אנו מתקינים את החבילה winbind, דביאן מגדירה אוטומטית את מודולי האימות הניתנים להטמעה או מודולי אימות הניתנים לחיבור PAM.

עם זאת, אם ננסה להתחיל הפעלה כמשתמש דומיין, באמצעות SSH או הפעלה גרפית, נקבל את ההודעה "אימות נכשל".

זה בגלל שהקבצים של מודולי ה- PAM, ליתר דיוק ה- סמכות משותפת נוצר כולל אימות באמצעות Kerberos, שאינו משמש כאשר אנו מצהירים אבטחה = תחום בארכיון smb.conf.

כדי שנוכל להתחיל הפעלה באמצעות SSH או גרפי, עלינו לשנות ידנית את הקבצים:

  • /etc/pam.d/common-auth
  • /etc/pam.d/common-session

/etc/pam.d/common-auth

אנו מסירים מהקו שמתייחס אליו pam_winbind.so, פרמטרים הקשורים ל- krb5. החלק הזה ייראה כך:

[----] # הנה המודולים לכל חבילה (הבלוק "ראשי") auth [success = 2 default = ignore] pam_unix.so nullok_secure auth [success = 1 default = ignore]      pam_winbind.so cache_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
נדרש סשן pam_mkhomedir.so skel = / etc / skel / umask = 0022
### יש לכלול את השורה הנ"ל לפני # הנה המודולים לכל חבילה (הגוש "ראשי") [----]

אנו מפעילים מחדש את השירותים המעורבים

# שירות winbind עצירה # ervice הפעלה מחדש של סמבה # שירות winbind התחל # שירות ssh הפעלה מחדש

השינויים הנ"ל בקבצי התצורה של PAM יאפשרו למשתמשי הדומיין ליזום הפעלת SSH או באופן מקומי בתחנת העבודה שלנו ב- Debian.

ספריות הבית של כל משתמש ייווצרו גם כאשר הוא נכנס לראשונה. תיקיות או ספריות אישיות ייווצרו ב / home / DOMAIN / user-user.

אם יש קושי כלשהו בכניסה הגרפית, אנו ממליצים להפעיל מחדש את מנהל הכניסה הגרפי (gdm3, kdmוכו ') ואם לא מספיק, הפעל מחדש את תחנת העבודה.

כדי להגביל או להגביל את הגישה באמצעות SSH לדביאן שלנו, עלינו לערוך את הקובץ / etc / ssh / sshd_config ולהוסיף בסוף:

 AllowUsers שורש צעדים מקומיים של המשתמש שלי

בדוגמה שלנו, צעדים הוא משתמש דומיין שאנו רוצים לאפשר לו להתחבר באמצעות SSH, תוך כדי xeon הוא משתמש מקומי.

אנחנו יכולים לכלול גם את הקובץ / etc / sudoers באמצעות הפקודה ויסודו, למשתמש או דומיין אחד או יותר.

[----] # שורש מפרט הרשאות משתמש שורש ALL = (ALL) ALL xeon ALL = (ALL) ALL צעדים ALL = (ALL) ALL [----]

טיפים כשאנחנו עובדים בשולחן העבודה

במקרה שאנחנו רוצים לעבוד על שולחן עבודה או תחנת עבודה עם כניסה גרפית וסביבה גרפית, עלינו להפוך את משתמשי הדומיין שייכנסו באופן מקומי לחברים בקבוצות הבאות לפחות: cdrom, תקליטון, שמע, וידאו y plugdev. אם אנו משתמשים במודם כדי להתחבר לרשת חיצונית, עלינו להפוך אותם גם לחברים בקבוצה לטבול.

במקרה של ה- Squeeze, אם אנו רוצים לחסל את רשימת המשתמשים בתחילת ההפעלה הגרפית, במקרה של gdm3, אנו עורכים את הקובץ /etc/gdm3/greeter.gconf-defaults, וביטול התייחסות לאפשרות / apps / gdm / simple-greeter / disable_user_listואנחנו משנים את הערך שלו ל- נכון.

אנו מקווים שהם לא רואים מה מוסבר מסובך או שטני. זכור תמיד בעת השימוש ב- Samba Suite בלינוקס, אנו מדמים כמעט את כל פונקציות Windows בנוגע לרשתות SMB / CIFS ... ועוד קצת. מיקרוסופט מספקת "אבטחה" תמורת חושך. מצידה, לינוקס, למרות שהיא נראית בתחילה מעט מסובכת, אך מספקת אבטחה, שקיפות וחופש.

מה יש לקרוא? המאמץ שווה את זה!

והפעילות הסתיימה להיום חברים. עד להרפתקה הבאה !!!.

הערה: בדקנו את ההליך המתואר בשלוש רמות הפונקציונליות של תחום מיקרוסופט, כלומר Mixed, Native 2000 ו- Native 2003.


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

16 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם.

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   אריק דיג'ו

    פוסט טוב מאוד, אני מברך אותך חבר, שאלה אחת שאתה יכול לפרסם על איך ליצור שרת דומיין עם samba4, היא שיש לי ספקות וחלק שמעולם לא הכנתי מחשב עם סמבה והם אומרים שאני לא יודע ש- samba4 השתפר מאוד, ברכות

    1.    פדריקו א 'ולדס טוג'אג דיג'ו

      תודה לכולם על ההערות !!!.

      @ אריק: התחל פשוט. התקן ClearOS או משהו כזה כמו PDC. עזרתי להתקין ולהגדיר אותה ב -3 עסקים קטנים. הגדול ביותר עם 50 צוותים, והם עובדים טוב מאוד. הממשל פשוט מאוד.

      ישוע ישראל פראלס מרטינז: אין צורך להתקין את סמבה. עכשיו אם "רשת קבצים רגילה" אתה מתכוון לרשת SMB / CIFS, אז זה מומלץ.

      @denis: תודה על דברי התודה והעידוד שלך.

      @DanielC: נראה שתפסת אותם "באדום". 🙂

  2.   ישו ישראל פראלס מרטינז דיג'ו

    שאלה אם כל המחשבים שלי משתמשים ב- GNU האם יש צורך להשתמש בסמבה כדי לשתף את הקבצים שלי או שאני יכול לעשות את זה עם nfs, אם כן, האם אתה יכול לעשות הדרכה לשיתוף קבצים באמצעות nfs, אני יודע שאני יכול להוריד הכל על ידי ssh ולשלוח קבצים על ידי ftp, גם עבור לקוחות אינטרנט ואחרים, אך ברצוני להגדיר רשת "קבצים רגילה"

  3.   דניס דיג'ו

    שלום חבר שלי, רציתי קודם כל להודות לך על כל מה שאתה עושה כל יום עם הנכונות שלך לעזור לאחרים גם כשאת בקושי מכירה אותם.
    טוב מאוד כל המאמרים שלך, אני באמת אומר לך שבזכותם כבר יצרתי כמעט סיסאדמין למרות שאני יודע שיש לי עוד דרך ארוכה לעבור.

  4.   דניאל סי דיג'ו

    בדיוק קראתי נושא זה בפיד RSS וקיבלתי עדכוני סמבה.

    אז אז הם לא אומרים שאובונטו לא מרגלת! : ב

    1.    אליוטיים 3000 דיג'ו

      ROFL!

      אובונטו לא מרגלת, אמזון כן.

  5.   חאווייר דיג'ו

    הנה המתכון שעשיתי ספציפית עבור דביאן בתחום ADS https://wiki.debian.org/SAMBAclienteWindows

    1.    פדריקו אנטוניו ואלדס טוג'אג דיג'ו

      עם הפרמטר אבטחה = מודעות, ישנם פוסטים רבים באינטרנט. עם זאת, המאמר הבא שלי יעסוק באותו נושא.

  6.   אליוטיים 3000 דיג'ו

    אני באמת אצטרך להסתכל על איש סמבה כדי להיות מסוגל לשתף תיקיות עבור LAN עם Windows.

    נ.ב: צוות דביאן מוזילה הוציא סוף סוף את Iceweasel 24.

  7.   אלדו דיג'ו

    שלום, כמה המידע ששיתפת כאן טוב, אני מתחיל לבצע העברת בדיקה עם שרת דביאן כמו קובץ והדפסה, אך אני זקוק למשתמשים שיש להם חלונות 7 ו- XP כדי לבצע אימות עם התחום (חלונות 2000) שהיה מסתכל ולא ראיתי את זה ...
    תודה

  8.   קורדובה דניאל דיג'ו

    שלום, אני חושב שהבעיה עם דביאן ונגזרותיה היא שהם לא יודעים או יודעים ולא רוצים לעשות את זה, כדי להקל על הדברים עבור המשתמש הנפוץ. אני משתמש בגרסת opensuse וזה כל כך קל להגדיר רשת ביתית או משרדית. כאשר מחשבים מותקנים בהם חלונות פתוחים ומותקנים ב- Windows XP, הם חולקים קבצים ומדפסות. כל המשימה הזו נעשית עם Yast, כלומר בלי להיכנס למסוף ולהצטרך לכתוב את כל זה. טירוף אמיתי בדביאן. עם Debian Wheezy לאחר שבוע של כתיבת קוד לא יכולתי להדפיס למדפסת משותפת במחשב Windows XP. עם שימוש פתוח עם 7 שלבים שם המחשב שמשתף את המדפסת (xp), שם המדפסת המשותפת (xp), שם משתמש וסיסמה. וזהו, כדי לשתף מדפסת אומללה וכמה קבצי בית אתה לא צריך להיות גורו קוד. שלא לדבר על CUPS. cupsd, ect. עשו משהו נפוץ ידידותי למשתמש.

    1.    פדריקו דיג'ו

      מסכים איתך מאוד. דביאן ידועה בכך שהיא מקשה על דברים בסביבת שולחן העבודה. ומצד השירותים, OpenSuse ו- CentOS מקלים על מנהלי השירותים את החיים בהרבה. עם זאת, התרגלתי לדביאן, והיא זו שאני מעדיף. 🙂
      תודה על התגובה !!!.

    2.    גרמנית דיג'ו

      אתה תמיד צריך לבצע עסקאות. לדביאן איכות גבוהה לרעת תכונות אחרות. נדרש שימוש טוב בזמן ודביאן מקדישה אותו למוצר שלה תוך מחשבה רבה יותר על יישומו בשרתים. לאנשים שמנהלים שרתים אין את אותם צרכים כמו סוגים אחרים של משתמשים.
      ניסיתי הפצות אחרות ורק ל- Arch יש את אותה יציבות. השאר אוטומטיים מאוד; אך הוא מייצר בעיות רבות בעת השימוש בו לשרתים.
      זו דעתי האישית והיא סובייקטיבית מאוד.

  9.   מאוריציוס דיג'ו

    מידע טוב מאוד, תודה רבה. האם יש איזשהו פוסט על הדרך היעילה ביותר לבצע גיבוי אוטומטי משרת לינוקס שניגש למחשבי Windows תחת תחום? תודה

    1.    מתיאס דיג'ו

      אם אתה מנסה Rsync זה חוצה פלטפורמות

  10.   מתיאס דיג'ו

    אחר צהריים טובים הייתה לי שגיאה בבדיקת # net rpc join -U Administrator ופתרתי את הוספתו
    ב- /etc/samba/smb.conf realm = התחום שלך.מקום