Samba: Prisijunkite prie „Debian“ prie „Windows“ domeno (I)

Sveiki, draugai!. Samba leidžia mums susivienyti debian į „Microsoft“ domenas dviem skirtingais būdais, kurie iš esmės priklauso nuo to, kaip mes paskelbsime variantą saugumas archyve smb.conf.

Saugumas = domenas

Mašina turi prisijungti prie domeno naudodama komandą neto RPK prisijungti. Parametras šifruoti slaptažodžius archyve smb.conf, turi būti nustatyta į tiesa o taip, kuri yra numatytoji jo vertė.

Samba jis patvirtins vartotojo ir slaptažodžio kredencialus perduodamas juos domeno valdikliui tiksliai taip, kaip tai darytų NT 4 tipo valdikliui.

Saugumas = domenas yra būdas, kurį plėtosime šiame straipsnyje.

Saugumas = ADS: Šiuo režimu Samba veiks kaip domeno narys Karalystėje (Karalystė) „Active Directory“. Tam būtina, kad Debian mašinoje būtų įdiegtas ir sukonfigūruotas klientas Kerberosir kad jis yra sujungtas su „Active Directory“ komanda prisijungia neto skelbimai.

Šis režimas NEVEIKIA „Samba“ veikti kaip „Active Directory“ domeno valdiklis.

Mes pamatysime:

• Pagrindiniai tinklo parametrai
• Minimalūs domeno valdiklio reikalavimai
• Minimalūs „Debian“ mašinos reikalavimai
• Įdiegiame reikiamus paketus ir sukonfigūruojame
• Mes prisijungiame prie „Debian“ prie domeno ir atliekame būtinus patikrinimus
• Mes leidžiame prisijungti prie domeno vartotojų mūsų „Debian“
• Patarimai, kai dirbame darbalaukiuose

Pagrindiniai tinklo parametrai

• Domeno valdiklis: „Windows 2003 Server SP2 Enterprise Edition“.
• Valdiklio vardas:w2003
• Domeno vardas: draugai.cu
• Valdiklio IP: 10.10.10.30
• ---------------
• „Debian“ versija: Išspausti (6.0.7) [: - $ cat / etc / debian_version]
• Komandos pavadinimas: išspausti
• IP adresas: 10.10.10.15
• Samba versija: 2: 3.5.6 ~ dfsg-3spausti9
• „Winbind“ versija: 2: 3.5.6 ~ dfsg-3spausti9
• GNOME darbalaukio aplinka su GDM3
• ---------------
• „Debian“ versija: Švokštimas 7.0
• Komandos pavadinimas: dusulys
• IP adresas: 10.10.10.20
• Samba versija: 2: 3.6.6-6
• „Winbind“ versija: 2: 3.6.6-6
• „Xfce4“ darbalaukio aplinka su GDM3

Minimalūs domeno valdiklio reikalavimai

Šiame straipsnyje aprašytas metodas iš pradžių buvo išbandytas su domeno valdikliu, sukonfigūruotu iš „ClearOS Enterprise 5.2 SP-1“ „CentOS“, ir viskas veikė gerai. Nereikia nė sakyti, kad tai yra nemokama programinė įranga.

Mes nurodysime domeno valdiklį „Microsoft Windows Server 2003 SP2 Enterprise Edition“, naudojamas daugelyje Kubos bendrovių. Atsiprašau, kad neturiu versijos diegimo disko Serveris 2008 arba labiau pažengęs. Jie atleidžia man anglų kalbą, bet vienintelis mano turimas montuotojas yra ta kalba.

Prašau ir perskaitykite straipsnį Samba: „SmbClient“ paskelbti toje pačioje svetainėje, kad jie galėtų suprasti domeno valdiklyje sukurtų vartotojų idėją.

Jei „Debian“ naudojame fiksuotą IP adresą, mes turime deklaruoti „A“ tipo įrašą ir jį atitinkantį įrašą atvirkštinėje zonoje domeno valdiklio DNS.

Visada rekomenduojama, kai dirbame tinkle su „Linux“ ir „Windows“ kompiuteriais, įjunkite WINS paslaugą („Windows Internet Name Service“) pageidautina domeno valdiklyje.

Minimalūs „Debian“ mašinos reikalavimai

Failas / Etc / resolv.conf turėtų būti tokio turinio:

ieškokite friends.cu vardų serverio 10.10.10.30

Mes vykdome:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu turi adresą 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; ATSAKYMŲ SKYRIUS: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

Įdiegiame reikiamus paketus ir sukonfigūruojame

# aptitude įdiegti samba winbind smbclient finger

Diegiant paketą Samba, mūsų bus paprašyta pavadinti darbo grupę, kuri mūsų pavyzdyje yra DRAUGAI.

Mes išsaugome originalų failą smb.conf ir tada mes jį ištuštiname:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Redaguojame failą smb.conf ir paliekame jį su tokiu turiniu:

[global] ### Tinklo naršyklė - identifikavimas ### darbo grupė = FRIENDS serverio eilutė =% h serveris laimi serverį = 10.10.10.30 DNS proxy = ne ### Network Connection ### interface = 127.0.0.0/8 eth0 bind interfaces tik = taip prieglobos leidžia = 10.10.10.0/255.255.255.0 ### Derinimas ### žurnalo failas = /var/log/samba/log.%m maksimalus žurnalo dydis = 1000 syslog = 0 panikos veiksmas = / usr / share / samba / panikos veiksmas% d ### PATVIRTINIMAS ### security = domenas
šifruoti slaptažodžius = taip vietinis meistras = ne domeno valdytojas = ne pageidaujamas meistras = ne ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 šablono apvalkalas = / bin / bash winbind naudoti numatytąjį domeną = taip winbind rpc tik = taip winbind prisijungimas neprisijungus = taip ### Įvairūs ### negaliojantys vartotojai = šakninis šablonas homedir = / home /% D /% U registro dalijimasis = Ne # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Mes patikriname pagrindinę failo sintaksę smb.conf:

#testparm

Redaguojame failą /etc/nsswitch.conf ir mes modifikuojame šias eilutes:

[----] slaptažodis:         „winbind“ failai
grupė:          „winbind“ failai
šešėlis: hon hosts: failai dns laimi [----]

Mes prisijungiame prie „Debian“ prie domeno ir atliekame patikrinimus

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger trancos # getent passwd trancos # getent grupė „Domeno vartotojai“

Žinoma, domeno valdiklyje mašininė paskyra bus teisingai sukurta.

Iki šiol matėme, kad galime gauti teisingos informacijos apie Domeną ir jo vartotojus.

Vėlesniuose straipsniuose sužinosime, kaip dalytis ištekliais, kad jais galėtų naudotis „Domain“ registruoti vartotojai, tai yra, galime aptarnauti failus „Microsoft Domain“ vartotojams tiek iš darbo vietos, tiek iš tam skirto serverio.

Mes leidžiame prisijungti prie domeno vartotojų mūsų „Debian“

Kai įdiegsime paketą Winbind, Debian automatiškai sukonfigūruoja prijungiamus autentifikavimo modulius arba Prijungiami autentifikavimo moduliai PAM.

Tačiau jei bandysime pradėti seansą kaip domeno vartotojas, naudodamiesi SSH arba grafine sesija, gausime pranešimą „Autentifikavimo klaida“.

Taip yra todėl, kad PAM modulių failai, tiksliau bendras-aut buvo sugeneruotas, įskaitant autentifikavimą per „Kerberos“, kuris NENaudojamas deklaruojant saugumas = domenas archyve smb.conf.

Kad galėtume pradėti sesiją naudodamiesi SSH ar grafiniu būdu, turime rankiniu būdu modifikuoti failus:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

Mes pašaliname iš eilutės, kuri nurodo pam_winbind.taipparametrai, susiję su krb5. Ta dalis atrodytų taip:

[----] # čia yra paketų moduliai (blokas „Pagrindinis“)      pam_winbind.so cached_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
reikalingas seansas pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Pirmiau nurodyta eilutė turi būti įtraukta PRIEŠ # čia yra pakuotės moduliai (blokas „Pagrindinis“) [----]

Mes iš naujo paleidžiame susijusias paslaugas

# service winbind stop #ervice samba restart # service winbind start # service ssh restart

Pirmiau minėti PAM konfigūracijos failų pakeitimai leis Domeno vartotojams inicijuoti SSH sesiją arba vietoje mūsų Debian darbo stotyje.

Kiekvieno vartotojo namų katalogai taip pat bus sukurti pirmą kartą prisijungus. Asmeniniai aplankai ar katalogai bus sukurti / home / DOMAIN / domain-user.

Jei kyla kokių nors problemų dėl grafinio prisijungimo, rekomenduojame iš naujo paleisti grafinio prisijungimo tvarkyklę (gdm3, kdmir kt.) ir, jei to nepakanka, paleiskite darbo vietą iš naujo.

Norėdami apriboti arba apriboti prieigą per SSH prie mūsų „Debian“, turime redaguoti failą / etc / ssh / sshd_config ir pabaigoje pridėkite:

 „AllowUsers“ myuser-local žingsnių šaknis

Mūsų pavyzdyje žingsniai yra domeno vartotojas, kuriam norime leisti prisijungti per SSH, o Xeon yra vietinis vartotojas.

Taip pat galime įtraukti į bylą / etc / sudoers naudojant komandą visado, vienam ar daugiau domeno naudotojų.

[----] # Vartotojo privilegijos specifikacijos šaknis ALL = (ALL) ALL xeon ALL = (ALL) ALL strings ALL = (VISAS) VISAS [----]

Patarimai, kai dirbame darbalaukiuose

Jei norime dirbti su darbalaukiu ar darbo stotimi su grafiniu prisijungimu ir grafine aplinka, privalome padaryti, kad domeno vartotojai, kurie prisijungs vietoje, būtų bent jau šių grupių nariai: CD, diskelis, garso, vaizdo įrašai y plugdev. Jei prisijungdami prie išorinio tinklo naudojame modemą, turime juos padaryti ir grupės nariais kritimo.

„Squeeze“ atveju, jei norime pašalinti vartotojų sąrašą grafinės sesijos pradžioje, „gdm3“ atveju redaguojame failą /etc/gdm3/greeter.gconf-defaultsir nekomentuokite galimybės / apps / gdm / simple-greeter / disable_user_list, ir mes pakeičiame jo vertę į tiesa.

Tikimės, kad jie nemato to, kas paaiškinta sudėtinga ar velniška. Visada turėkime omenyje, kai „Samba Suite“ naudojate „Linux“, mes praktiškai imituojame beveik visas „Windows“ funkcijas, susijusias su SMB / CIFS tinklais ... ir šiek tiek daugiau. „Microsoft“ teikia „Saugumą“ mainais į „Darkness“. Savo ruožtu „Linux“, nors iš pradžių atrodo šiek tiek sudėtinga, suteikia saugumą, skaidrumą ir laisvę.

Ką čia skaityti? Pastangos to verta!

Šiandien ši veikla baigėsi, Draugai. Iki kito nuotykio !!!.

Pažymėti: Mes išbandėme procedūrą, aprašytą trijuose „Microsoft“ domeno funkcionalumo lygiuose, tai yra „Mixed“, „Native 2000“ ir „Native 2003“.