Samba : Windows 도메인에 Debian 가입 (I)

안녕하세요 친구!. 삼바 우리가 단결 할 수 있도록 데비안 ~에 Microsoft 도메인 옵션을 선언하는 방법에 근본적으로 의존하는 두 가지 방법으로 보안 아카이브에서 smb.conf.

보안 = 도메인

컴퓨터는 다음 명령을 사용하여 도메인에 가입해야합니다. net rpc 조인. 매개 변수 암호 암호화 아카이브에서 smb.conf,로 설정해야합니다. 참된 o 예, 이는 기본값입니다.

삼바 NT 4 유형 컨트롤러와 똑같이 도메인 컨트롤러에 전달하는 사용자 및 암호 자격 증명의 유효성을 검사합니다.

보안 = 도메인 이 기사에서 개발할 방법입니다..

보안 = ADS:이 모드에서 삼바 왕국 (왕국). 이를 위해서는 데비안 머신에 클라이언트가 설치되고 구성되어 있어야합니다. Kerberos, 그리고 명령을 통해 Active Directory에 결합되었는지 확인합니다. 순 광고 가입.

이 모드는 Samba가 Active Directory 도메인 컨트롤러로 작동하도록하지 않습니다.

우리는 볼 것이다:

• 샘플 네트워크 주요 매개 변수
• 도메인 컨트롤러의 최소 요구 사항
• 데비안 머신의 최소 요구 사항
• 필요한 패키지를 설치하고 구성합니다.
• 데비안을 도메인에 가입시키고 필요한 확인을합니다.
• 데비안에서 도메인 사용자의 로그인을 허용합니다.
• 데스크탑에서 일할 때의 팁

샘플 네트워크 주요 매개 변수

• 도메인 컨트롤러: Windows 2003 Server SP2 Enterprise Edition.
• 컨트롤러 이름:w2003
• 도메인 이름: friends.cu
• 컨트롤러 IP: 10.10.10.30
• ---------------
• 데비안 버전: 스퀴즈(6.0.7) [:-$ cat / etc / debian_version]
• 팀 이름: 꽉 쥐다
• IP 주소: 10.10.10.15
• 삼바 버전: 2 : 3.5.6 ~ dfsg-3squeeze9
• Winbind 버전: 2 : 3.5.6 ~ dfsg-3squeeze9
• GDM3이있는 그놈 데스크탑 환경
• ---------------
• 데비안 버전: 위지 7.0
• 팀 이름: 미 위지
• IP 주소: 10.10.10.20
• 삼바 버전: 2 : 3.6.6-6
• Winbind 버전: 2 : 3.6.6-6
• GDM4을 사용하는 Xfce3 데스크탑 환경

도메인 컨트롤러의 최소 요구 사항

이 문서에 설명 된 방법은 처음에 CentOS의 "ClearOS Enterprise 5.2 SP-1"에서 구성된 도메인 컨트롤러에 대해 테스트되었으며 모든 것이 올바르게 작동했습니다. 말할 필요도없이 자유 소프트웨어입니다.

도메인 컨트롤러를 참조하겠습니다. 마이크로소프트 윈도우 서버 2003 SP2 엔터프라이즈 에디션, 많은 쿠바 회사에서 사용됩니다. 버전 설치 디스크가 없어서 죄송합니다 서버 2008 또는 더 진보 된 것. 그들은 나에게 영어를 용서하지만 내가 가진 유일한 설치 프로그램은 그 언어로되어 있습니다.

기사를 읽으십시오 삼바 : SmbClient 동일한 사이트에 게시되어 도메인 컨트롤러에서 만든 사용자에 대한 아이디어를 얻습니다.

Debian에 고정 IP 주소를 사용하는 경우 도메인 컨트롤러 DNS의 역방향 영역에 "A"레코드와 해당 레코드를 선언해야합니다.

Linux 및 Windows 컴퓨터가있는 네트워크에서 작업 할 때는 항상 WINS 서비스를 활성화하는 것이 좋습니다 (Windows 인터넷 이름 서비스) 가급적이면 도메인 컨트롤러에서.

데비안 머신의 최소 요구 사항

파일 / 기타 / resolv.conf에 다음 내용이 있어야합니다.

friends.cu 네임 서버 검색 10.10.10.30

우리는 다음을 실행합니다.

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu의 주소는 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; 답변 섹션 : 30.10.10.10.in-addr.arpa. 1200 인치 PTR w2003.amigos.cu. [----]

필요한 패키지를 설치하고 구성합니다.

# 적성 설치 삼바 winbind smbclient 손가락

패키지 설치 중 삼바, 워킹 그룹의 이름을 묻는 메시지가 표시됩니다.이 예에서는 AMIGOS.

원본 파일을 저장합니다 smb.conf 그런 다음 비 웁니다.

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

우리는 파일을 편집합니다 smb.conf 다음 내용으로 남겨 둡니다.

[global] ### 네트워크 브라우저-식별 ### 작업 그룹 = FRIENDS 서버 문자열 = % h 서버 승리 서버 = 10.10.10.30 dns 프록시 = 아니요 ### 네트워크 연결 ### 인터페이스 = 127.0.0.0/8 eth0 바인딩 인터페이스 only = yes hosts allow = 10.10.10.0/255.255.255.0 ### Debugging ### log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = / usr / share / samba / panic-action % d ### AUTHENTICATION ### 보안 = 도메인
암호 암호화 = 예 로컬 마스터 = 도메인 마스터 없음 = 선호하는 마스터 없음 = 아니요 ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 템플릿 셸 = / bin / bash winbind 기본 도메인 사용 = 예 winbind rpc only = yes winbind offline logon = yes ### Miscellaneous ### invalid users = root template homedir = / home / % D / % U registry sharing = No # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

파일의 기본 구문을 확인합니다. smb.conf:

#testparm

우리는 파일을 편집합니다 /etc/nsswitch.conf 다음 줄을 수정합니다.

[----] 암호 :         winbind 파일
그룹:          winbind 파일
섀도우 : 호환 호스트 : 파일 dns 승리 [----]

데비안을 도메인에 가입하고 확인합니다.

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger strides # getent passwd strides # getent 그룹 "Domain Users"

물론 컴퓨터 계정은 도메인 컨트롤러에서 올바르게 생성됩니다.

지금까지 우리는 도메인과 그 사용자에 대한 정확한 정보를 얻을 수 있음을 확인했습니다.

이후 기사에서는 도메인에 등록 된 사용자가 사용할 수 있도록 리소스를 공유하는 방법, 즉 워크 스테이션과 전용 서버 모두에서 Microsoft 도메인 사용자에게 파일을 제공 할 수있는 방법을 배웁니다.

데비안에서 도메인 사용자의 로그인을 허용합니다.

패키지를 설치할 때 윈 바인드, 데비안은 내장형 인증 모듈을 자동으로 구성하거나 플러그 형 인증 모듈 팸.

그러나 SSH 또는 그래픽 세션을 통해 도메인 사용자로 세션을 시작하려고하면 "인증 실패"메시지가 표시됩니다.

PAM 모듈의 파일, 특히 공통 인증 Kerberos를 통한 인증을 포함하여 생성되었으며 선언 할 때 사용되지 않습니다. 보안 = 도메인 아카이브에서 smb.conf.

SSH 또는 그래픽을 통해 세션을 시작하려면 파일을 수동으로 수정해야합니다.

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

참조하는 줄에서 제거합니다. pam_winbind.so, 관련 매개 변수 krb5. 그 부분은 다음과 같습니다.

[----] # 여기에 패키지 별 모듈 ( "Primary"블록)이 있습니다. auth [success = 2 default = ignore] pam_unix.so nullok_secure auth [success = 1 default = ignore]      pam_winbind.so 캐시된_로그인 try_first_pass
[----]

/etc/pam.d/common-session

[----]
세션 필수 pam_mkhomedir.so skel = / etc / skel / umask = 0022
### 위의 줄이 포함되어야합니다. # 여기에 패키지 별 모듈 ( "Primary"블록)이 있습니다. [----]

관련된 서비스를 다시 시작합니다.

# service winbind stop # ervice samba restart # service winbind start # service ssh restart

위의 PAM 구성 파일 수정을 통해 도메인 사용자는 SSH 세션을 시작하거나 Debian 워크 스테이션에서 로컬로 시작할 수 있습니다.

각 사용자의 홈 디렉토리는 처음 로그인 할 때도 생성됩니다. 개인 폴더 또는 디렉토리가 생성됩니다. / 홈 / DOMAIN / 도메인 사용자.

그래픽 로그인에 문제가있는 경우 그래픽 로그인 관리자 (gdm3, KDM등), 충분하지 않은 경우 워크 스테이션을 다시 시작하십시오.

SSH를 통한 Debian 액세스를 제한하거나 제한하려면 파일을 편집해야합니다. / etc / ssh / sshd_config 끝에 추가하십시오.

 AllowUsers myuser-local strides 루트

이 예에서는 보폭 SSH를 통해 로그인하도록 허용하려는 도메인 사용자입니다. 제온 로컬 사용자입니다.

파일에 포함 할 수도 있습니다. / etc / sudoers 명령 사용 시각 장애인, 도메인의 한 명 이상의 사용자에게.

[----] # 사용자 권한 사양 root ALL = (ALL) ALL xeon ALL = (ALL) ALL strides ALL = (ALL) ALL [----]

데스크탑에서 일할 때의 팁

그래픽 로그인 및 그래픽 환경을 사용하여 데스크톱 또는 워크 스테이션에서 작업하려는 경우 로컬로 로그인 할 도메인 사용자를 최소한 다음 그룹의 구성원으로 만들어야합니다. cdrom, 플로피, 오디오, 비디오 y 플러그 데브. 모뎀을 사용하여 외부 네트워크에 연결하는 경우 해당 모뎀도 그룹의 구성원으로 만들어야합니다. 찍어.

Squeeze의 경우 그래픽 세션이 시작될 때 사용자 목록을 제거하려면 gdm3의 경우 파일을 편집합니다. /etc/gdm3/greeter.gconf-defaults, 옵션의 주석 처리를 제거하십시오. / apps / gdm / simple-greeter / disable_user_list, 우리는 그 값을 참된.

우리는 그들이 복잡하거나 사악한 설명을 보지 않기를 바랍니다. Linux에서 Samba Suite를 사용할 때는 항상 SMB / CIFS 네트워크와 관련된 거의 모든 Windows 기능을 에뮬레이트한다는 점을 명심하십시오. Microsoft는 Darkness의 대가로 "보안"을 제공합니다. Linux는 처음에는 약간 복잡해 보이지만 보안, 투명성 및 자유를 제공합니다.

읽을 것이 무엇입니까? 노력은 그만한 가치가 있습니다!

오늘은 활동이 끝났습니다. 다음 모험까지 !!!.

주의: Microsoft 도메인의 세 가지 기능 수준 (혼합, 기본 2000 및 기본 2003)에 설명 된 절차를 테스트했습니다.