Samba:DebianをWindowsドメインに参加させる(I)

皆さん、こんにちは!。 サンバ 私たちが団結することを可能にします DebianのMicrosoftドメイン オプションの宣言方法に基本的に依存するXNUMXつの異なる方法で セキュリティ アーカイブ内 smb.conf.

セキュリティ=ドメイン

マシンは、コマンドを使用してドメインに参加する必要があります ネットRPC参加。 パラメータ パスワードを暗号化する アーカイブ内 smb.conf、に設定する必要があります true o はい、これはデフォルト値です。

サンバ ユーザーとパスワードの資格情報は、コントローラータイプNT 4の場合とまったく同じように、ドメインコントローラーに渡すことで検証されます。

セキュリティ=ドメイン この記事で開発する方法です.

セキュリティ= ADS:このモードでは サンバ 王国のドメインメンバーとして機能します(レルム)ActiveDirectoryの。 このためには、Debianマシンにクライアントがインストールおよび構成されている必要があります Kerberos、およびコマンドを使用してActiveDirectoryに参加していること ネット広告が参加.

このモードでは、SambaはActiveDirectoryドメインコントローラーとして動作しません。

表示されます:

  • サンプルネットワークの主なパラメータ
  • ドメインコントローラーの最小要件
  • Debianマシンの最小要件
  • 必要なパッケージをインストールして構成します
  • Debianをドメインに参加させ、必要なチェックを行います
  • Debianでドメインユーザーのログインを許可します
  • デスクトップで作業するときのヒント

サンプルネットワークの主なパラメータ

  • ドメインコントローラー:Windows 2003 Server SP2EnterpriseEdition。
  • コントローラ名:w2003
  • ドメイン名:amigos.cu
  • コントローラIP:007
  • ---------------
  • Debianバージョン:スクイーズ(6.0.7)[:-$ cat / etc / debian_version]
  • チーム名:ミスクイーズ
  • IPアドレス:007
  • Sambaバージョン:2:3.5.6〜dfsg-3squeeze9
  • Winbindバージョン:2:3.5.6〜dfsg-3squeeze9
  • GDM3を使用したGNOMEデスクトップ環境
  • ---------------
  • Debianバージョン:Wheezy 7.0
  • チーム名:miwheezy
  • IPアドレス:007
  • Sambaバージョン:2:3.6.6-6
  • Winbindバージョン:2:3.6.6-6
  • GDM4を使用したXfce3デスクトップ環境

ドメインコントローラーの最小要件

この記事で説明する方法は、CentOS上の「ClearOSEnterprise 5.2 SP-1」から構成されたドメインコントローラーに対して最初にテストされ、すべてが正しく機能しました。 言うまでもなく、それはフリーソフトウェアです。

ドメインコントローラーを参照します Microsoft Windows Server 2003 SP2 エンタープライズ エディション、多くのキューバ企業で使用されています。 バージョンインストールディスクがないのでごめんなさい サーバ2008 またはより高度なもの。 彼らは私に英語を許してくれますが、私が持っている唯一のインストーラーはその言語です。

記事を読んでください Samba:SmbClient ドメインコントローラーで作成されたユーザーのアイデアを持っているように、この同じサイトで公開されています。

Debianに固定IPアドレスを使用する場合は、ドメインコントローラのDNSの逆引きゾーンでタイプ「A」レコードとそれに対応するレコードを宣言している必要があります。

LinuxおよびWindowsコンピューターを使用するネットワークで作業する場合は、WINSサービスを有効にすることを常にお勧めします(Windowsインターネットネームサービス)できればドメインコントローラで。

Debianマシンの最小要件

ファイル /etc/resolv.conf 次の内容が必要です。

friends.cu nameserver10.10.10.30を検索します

実行します:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003w2003.friends.cuのアドレスは10.10.10.30 $ dig -x 10.10.10.30 [----] ;; 回答セクション:30.10.10.10.in-addr.arpa。 1200 IN PTRw2003.amigos.cu。 [----]

必要なパッケージをインストールして構成します

#aptitude install samba winbind smbclient finger

パッケージのインストール中 サンバ、ワーキンググループの名前を尋ねられます。この例では次のようになります。 フレンズ.

元のファイルを保存します smb.conf そしてそれを空にします:

#cp /etc/samba/smb.conf /etc/samba/smb.conf.original#cp / dev / null /etc/samba/smb.conf

ファイルを編集します smb.conf そして、私たちはそれを次の内容で残します:

[グローバル] ###ネットワークブラウザ-識別###ワークグループ= FRIENDSサーバー文字列=%hサーバーがサーバーに勝つ= 10.10.10.30dnsプロキシ=いいえ###ネットワーク接続###インターフェイス= 127.0.0.0 / 8eth0バインドインターフェイスonly = yes hosts allow = 10.10.10.0/255.255.255.0###デバッグ###ログファイル= / var / log / samba / log。%m最大ログサイズ= 1000 syslog = 0パニックアクション= / usr / share / samba / panic-action%d ### AUTHENTICATION ### security = ドメイン
パスワードの暗号化=はいローカルマスター=ドメインマスターなし=優先マスターなし=いいえ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000テンプレートシェル= / bin / bashwinbindデフォルトドメインを使用=はいwinbindrpcのみ=はいwinbindオフラインログオン=はい###その他###無効なユーザー=ルートテンプレートhomedir = /ホーム/%D /%Uレジストリ共有=いいえ#unix文字セット= ISO-8859-1#表示文字セット= ISO-8859 -1

ファイルの基本的な構文を確認します smb.conf:

#testparm

ファイルを編集します /etc/nsswitch.conf 次の行を変更します。

[----] passwd:         winbindファイル
グループ:          winbindファイル
シャドウ:互換ホスト:ファイルDNSが勝ちます[----]

Debianをドメインに参加させ、チェックを行います

#service winbind stop#service samba restart#service winbind start#net rpc join -U Administrator#service winbind stop#service samba restart#service winbind start#net rpc testjoin -U Administrator#net rpc info -U Administrator#wbinfo -u# wbinfo -g#finger trancos#getent passwd trancos#getent group "Domain Users"

もちろん、マシンアカウントはドメインコントローラーで正しく作成されています。

これまで、ドメインとそのユーザーに関する正しい情報を取得できることを確認してきました。

後の記事では、ドメインに登録されているユーザーがリソースを使用できるようにリソースを共有する方法を学習します。つまり、ワークステーションと専用サーバーの両方から、Microsoftドメインのユーザーにファイルを提供できます。

Debianでドメインユーザーのログインを許可します

パッケージをインストールするとき ウィンバインド、Debianは埋め込み可能認証モジュールを自動的に構成しますまたは プラグ可能な認証モジュール PAM。

ただし、SSHまたはグラフィカルセッションのいずれかを介してドメインユーザーとしてセッションを開始しようとすると、「認証の失敗」というメッセージが表示されます。

これは、PAMモジュールのファイル、より具体的には 共通認証 Kerberosによる認証を含めて生成されましたが、宣言時には使用されません セキュリティ=ドメイン アーカイブ内 smb.conf.

SSHまたはグラフィカルを介してセッションを開始するには、ファイルを手動で変更する必要があります。

  • /etc/pam.d/common-auth
  • /etc/pam.d/common-session

/etc/pam.d/common-auth

を参照する行から削除します pam_winbind.so、に関連するパラメータ krb5。 その部分は次のようになります。

[----]#パッケージごとのモジュール(「プライマリ」ブロック)は次のとおりです。auth[success = 2 default = ignore] pam_unix.so nullok_secure auth [success = 1 default = ignore]      pam_winbind.so キャッシュされた_ログイン try_first_pass
[----]

/etc/pam.d/common-session

[----]
セッションが必要ですpam_mkhomedir.soskel = / etc / skel / umask = 0022
###上記の行は、#パッケージごとのモジュール(「プライマリ」ブロック)の前に含める必要があります[----]

関連するサービスを再開します

#service winbind stop#ervice samba restart#service winbind start#service ssh restart

PAM構成ファイルに対する上記の変更により、ドメインユーザーはSSHセッションを開始するか、Debianワークステーションでローカルに開始できます。

各ユーザーのホームディレクトリも、ユーザーが初めてログインしたときに作成されます。 個人用フォルダまたはディレクトリは、 /ホーム/ドメイン/ドメイン-ユーザー.

グラフィカルログインに問題がある場合は、グラフィカルログインマネージャを再起動することをお勧めします(gdm3, KDMなど)、十分でない場合は、ワークステーションを再起動します。

SSH経由でDebianへのアクセスを制限または制限するには、ファイルを編集する必要があります /etc/ssh/sshd_config そして最後に追加します:

 AllowUsersmyuser-ローカルストライドルート

この例では、 歩幅 SSH経由でのログインを許可したいドメインユーザーです。 ゼオン ローカルユーザーです。

ファイルに含めることもできます /etc/sudoers コマンドを使用する visudo、ドメインのXNUMX人以上のユーザーに。

[----]#ユーザー特権の指定root ALL =(ALL)ALL xeon ALL =(ALL)ALL strides ALL =(ALL)ALL [----]

デスクトップで作業するときのヒント

グラフィカルログインとグラフィカル環境を備えたデスクトップまたはワークステーションで作業する場合は、ローカルにログインするドメインユーザーを、少なくとも次のグループのメンバーにする必要があります。 cdrom、フロッピー、オーディオ、ビデオ y plugindev。 モデムを使用して外部ネットワークに接続する場合は、それらをグループのメンバーにする必要もあります ディップ.

Squeezeの場合、グラフィカルセッションの開始時にユーザーのリストを削除したい場合、gdm3の場合、ファイルを編集します。 /etc/gdm3/greeter.gconf-デフォルト、およびオプションのコメントを解除します / apps / gdm / simple-greeter / disable_user_list、およびその値をに変更します true.

複雑または悪魔的な説明が何であるかを彼らが理解しないことを願っています。 LinuxでSambaSuiteを使用するときは、SMB / CIFSネットワークに関するほぼすべてのWindows機能を実質的にエミュレートすることを常に念頭に置いてください...そしてもう少し。 マイクロソフトは、闇と引き換えに「セキュリティ」を提供しています。 Linuxは、最初は少し複雑に見えますが、セキュリティ、透明性、自由を提供します。

何を読む? 努力はそれだけの価値があります!

そして、今日の活動は終わりました、フレンズ。 次の冒険まで!!!。

注意:Microsoftドメインの2000つの機能レベル、つまり、Mixed、Native 2003、およびNativeXNUMXで説明されている手順をテストしました。


16コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   エリック

    非常に良い投稿です。お友達、おめでとうございます。samba4でドメインサーバーを作成する方法について投稿できる質問の4つは、疑問があり、sambaでpdcを実行したことがないということです。彼らは、sambaXNUMXを知らないと言っています。大幅に改善されました、ご挨拶

    1.    FedericoA.ValdésToujague

      コメントしてくれたALLに感謝します!!!。

      @Erick:簡単に始めましょう。 ClearOSまたはPDCのようなものをインストールします。 私は3つの中小企業でそれをインストールして構成するのを手伝いました。 50チームで最大で、非常にうまく機能します。 管理は非常に簡単です。

      @Jesus Israel Perales Martinez:Sambaをインストールする必要はありません。 ここで、「通常のファイルネットワーク」がSMB / CIFSネットワークを意味する場合は、それをお勧めします。

      @denis:感謝と励ましの言葉をありがとう。

      @DanielC:あなたは彼らを「赤字」で捕まえたようです。 🙂

  2.   イエス・イスラエル・ペラレス・マルティネス

    すべてのPCがGNUを使用している場合、ファイルを共有するためにsambaを使用する必要がありますか、それともnfsで実行できますか?そうであれば、nfsを使用してファイルを共有するためのチュートリアルを実行できますか?sshですべてをダウンロードできることを知っていますftpでファイルを送信します。これもWebクライアントなどに使用しますが、「通常のファイル」ネットワークを設定したいと思います。

  3.   デニス

    こんにちは私の友人、私はまず第一にあなたが彼らをほとんど知らなくても他人を助けるためにあなたの意欲であなたが毎日するすべてに感謝したいと思いました。
    すべての記事が非常に良いです。彼らのおかげで、私はまだ長い道のりがあることを知っていますが、ほとんどシステム管理者を形成していると本当に言います。

  4.   ダニエルC

    RSSフィードでこのトピックを読んでいたところ、Sambaの更新がありました。

    だから彼らはUbuntuがスパイしないとは言いません! :B

    1.    エリオタイム3000

      ROFL!

      Ubuntuはスパイしませんが、Amazonはスパイします。

  5.   ザビエル

    これが私がADSレルムでDebianのために特別に作ったレシピです https://wiki.debian.org/SAMBAclienteWindows

    1.    フェデリコ・アントニオ・ヴァルデス・トゥジャグ

      パラメータ付き セキュリティ=広告、ウェブ上にはたくさんの投稿があります。 ただし、次の記事では同じトピックを扱います。

  6.   エリオタイム3000

    LANのフォルダをWindowsと共有できるようにするには、Sambaの男性を実際に確認する必要があります。

    PS:DebianMozillaチームはすでについにIceweasel24をリリースしました。

  7.   アルド

    こんにちは、ここで共有した情報がどれほど優れているか、ファイルと印刷などのDebianサーバーでテスト移行を開始していますが、Windows 7とXPを使用しているユーザーは、以前のドメイン(Windows 2000)で認証する必要があります見て、私はそれを見ていません...
    感謝

  8.   ダニールコルドバ

    こんにちは、Debianとその派生物の問題は、一般ユーザーのために物事を容易にするために、彼らがそれを知らないか、知らない、そしてしたく​​ないということだと思います。 私はopenSUSEバージョンのユーザーであり、ホームネットワークまたはオフィスネットワークの構成はとても簡単です。 opensuseとwindowsxp-7がインストールされているコンピューターでは、ファイルとプリンターを共有します。 このすべてのタスクはYastを使用して実行されます。つまり、端末にアクセスしてこれらすべてを書き込む必要はありません。 Debianの本当の狂気。 コードを4週間書いた後、debian Wheezyを使用すると、WindowsXPコンピューターの共有プリンターに印刷できませんでした。 opensuseで、プリンターを共有するコンピューターの名前(xp)、共有プリンターの名前(xp)、ユーザー名、およびパスワードのXNUMXつのステップを使用します。 惨めなプリンターといくつかのホームファイルを共有するために、コードの第一人者である必要はありません。 CUPSは言うまでもありません。 cupsd、電気ショック療法。 一般的なユーザーフレンドリーなことをします。

    1.    フェデリコ

      あなたに強く同意します。 Debianは、デスクトップ環境で物事を困難にすることで知られています。 また、サービス側では、OpenSuseとCentOSにより、サービス管理者の作業が大幅に楽になります。 しかし、私はDebianに慣れており、それが私が好むものです。 🙂
      コメントありがとうございます!!!。

    2.    ドイツ語

      あなたは常に取引をしなければなりません。 Debianは他の機能を犠牲にして高品質です。 時間の有効活用が必要であり、Debianはサーバーへの実装についてもっと考えて製品に専念しています。 サーバーを管理する人々は、他のタイプのユーザーと同じニーズを持っていません。
      私は他のディストリビューションを試しましたが、Archだけが同じ安定性を持っています。 残りは高度に自動化されています。 しかし、サーバーでの使用に関しては多くの問題が発生します。
      それは私の個人的な意見であり、非常に主観的です。

  9.   モーリシャス

    とても良い情報、ありがとうございました。 ドメインの下のWindowsコンピューターにアクセスするLinuxサーバーから自動バックアップを作成する最も効率的な方法に関する投稿はありますか? ありがとう

    1.    マティアス

      Rsyncを試してみると、クロスプラットフォームです

  10.   マティアス

    こんにちは、#net rpc join -U Administratorをチェックするときにエラーが発生し、追加して解決しました
    /etc/samba/smb.confレルム内=あなたのdomain.local