Samba: Pievienojieties Debian Windows domēnam (I)

Sveiki draugi!. Samba ļauj mums apvienoties Debian ir a Microsoft domēns divos dažādos veidos, kas ir būtiski atkarīgi no tā, kā mēs deklarējam iespēju drošība arhīvā smb.conf.

Drošība = domēns

Iekārtai ir jāpievienojas domēnam, izmantojot komandu neto rpc pievienoties. Parametrs šifrēt paroles arhīvā smb.conf, jābūt iestatītam uz patiess o jā, kas ir tā noklusējuma vērtība.

Samba tas apstiprinās lietotāja un paroles akreditācijas datus, nododot tos domēna kontrolierim tieši tāpat kā kontrolierim NT 4.

Drošība = domēns ir veids, kā mēs attīstīsimies šajā rakstā.

Drošība = ADS: Šajā režīmā Samba darbosies kā domēna loceklis Karalistē (Valstība) no Active Directory. Šim nolūkam ir nepieciešams, lai Debian mašīnā klients būtu instalēts un konfigurēts Kerberosun ka tas ir pievienots Active Directory, izmantojot komandu pievienojas tīkla reklāmas.

Šis režīms NAV LABĀT Samba darboties kā Active Directory domēna kontrollerim.

Mēs redzēsim:

• Tīkla galveno parametru paraugs
• Obligātās prasības domēna kontrolierī
• Obligātās prasības Debian mašīnai
• Mēs instalējam nepieciešamās paketes un konfigurējam
• Mēs pievienojamies Debian domēnam un veicam nepieciešamās pārbaudes
• Mēs pieļaujam domēna lietotāju pieteikšanos mūsu Debian
• Padomi, kad mēs strādājam pie galddatoriem

Tīkla galveno parametru paraugs

• Domēna kontrolieris: Windows 2003 Server SP2 Enterprise Edition.
• Kontroliera nosaukums:w2003
• Domēna vārds: draugi.cu
• Kontroliera IP: 10.10.10.30
• ---------------
• Debian versija: Saspiest (6.0.7) [: - $ cat / etc / debian_version]
• Komandas nosaukums: nepareizi saspiest
• IP adrese: 10.10.10.15
• Samba versija: 2: 3.5.6 ~ dfsg-3squeeze9
• Winbind versija: 2: 3.5.6 ~ dfsg-3squeeze9
• GNOME darbvirsmas vide ar GDM3
• ---------------
• Debian versija: Sēkšana 7.0
• Komandas nosaukums: dusmas
• IP adrese: 10.10.10.20
• Samba versija: 2: 3.6.6-6
• Winbind versija: 2: 3.6.6-6
• Xfce4 darbvirsmas vide ar GDM3

Obligātās prasības domēna kontrolierī

Šajā rakstā aprakstītā metode sākotnēji tika pārbaudīta pret domēna kontrolleri, kas CentOS konfigurēts no "ClearOS Enterprise 5.2 SP-1", un viss darbojās pareizi. Lieki teikt, ka tā ir bezmaksas programmatūra.

Mēs atsauksies uz domēna kontrolleri Microsoft Windows Server 2003 SP2 Enterprise Edition, ko izmanto daudzos Kubas uzņēmumos. Atvainojiet, ka man nav versijas instalēšanas diska Servera 2008 vai progresīvāka. Viņi man piedod angļu valodu, bet vienīgais instalētājs, kas man ir, ir šajā valodā.

Lūdzu un izlasiet rakstu Samba: SmbClient publicēti šajā pašā vietnē, lai viņiem būtu priekšstats par domēna kontrolierī izveidotajiem lietotājiem.

Ja Debianam izmantojam fiksētu IP adresi, mums jābūt deklarētam "A" ierakstam un tam atbilstošajam ierakstam Reversā zonā domēna kontrollera DNS.

Vienmēr ieteicams, kad strādājam tīklā ar Linux un Windows datoriem, iespējojiet pakalpojumu WINS (Windows interneta vārdu pakalpojums) vēlams domēna kontrolierī.

Obligātās prasības Debian mašīnai

Fails / Etc / resolv.conf jābūt šādam saturam:

meklēt amigos.cu vārdu serveri 10.10.10.30

Mēs izpildām:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu ir adrese 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; ATBILDES SADAĻA: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

Mēs instalējam nepieciešamās paketes un konfigurējam

# aptitude install samba winbind smbclient pirkstu

Pakotnes instalēšanas laikā samba, mums tiks lūgts norādīt darba grupas nosaukumu, kas mūsu piemērā ir DRAUGI.

Mēs saglabājam oriģinālo failu smb.conf un tad mēs to iztukšojam:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Mēs rediģējam failu smb.conf un mēs to atstājam ar šādu saturu:

[global] ### Tīkla pārlūks - identifikācija ### darbgrupa = FRIENDS servera virkne =% h serveris uzvar serveri = 10.10.10.30 DNS starpniekserveris = nav ### Tīkla savienojums ### saskarnes = 127.0.0.0/8 eth0 tikai saistīšanas saskarnes = jā saimnieki atļauj = 10.10.10.0/255.255.255.0 ### Atkļūdošana ### žurnāla fails = /var/log/samba/log.%m max žurnāla lielums = 1000 syslog = 0 panikas darbība = / usr / share / samba / panic-action% d ### AUTHENTICATION ### security = domēns
šifrēt paroles = jā vietējais meistars = nav domēna kapteinis = nav vēlamā galvenā = nē ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 veidnes apvalks = / bin / bash winbind izmantot noklusējuma domēnu = Jā winbind rpc tikai = jā winbind bezsaistes pieteikšanās = jā ### Dažādi ### nederīgi lietotāji = saknes veidne homedir = / home /% D /% U reģistra koplietošana = Nē # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Mēs pārbaudām faila pamata sintaksi smb.conf:

#testparm

Mēs rediģējam failu /etc/nsswitch.conf un mēs modificējam šādas rindas:

[----] parole:         winbind faili
grupa:          winbind faili
ēna: hon hosts: faili dns uzvar [----]

Mēs pievienojamies Debian domēnam un veicam pārbaudes

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # pirkstu soļi # getent passwd soļi # getent grupa "Domēna lietotāji"

Protams, mašīnas konts domēna kontrolierī būs izveidots pareizi.

Līdz šim mēs esam redzējuši, ka mēs varam iegūt pareizu informāciju par Domēnu, kā arī par tā lietotājiem.

Turpmākajos rakstos mēs uzzināsim, kā koplietot resursus, lai tos varētu izmantot domēnā reģistrētie lietotāji, tas ir, mēs varēsim apkalpot failus Microsoft domēna lietotājiem gan no darbstacijas, gan no īpaša servera.

Mēs pieļaujam domēna lietotāju pieteikšanos mūsu Debian

Kad mēs instalējam pakotni Winbind, Debian automātiski konfigurē iegultās autentifikācijas moduļus vai Pievienojami autentifikācijas moduļi PAM.

Tomēr, ja mēs mēģināsim sākt sesiju kā domēna lietotāju, izmantojot SSH vai grafisku sesiju, mēs saņemsim ziņojumu "Autentifikācijas kļūme".

Tas ir tāpēc, ka PAM moduļu faili, precīzāk kopīgais-aut tika ģenerēts, ieskaitot autentifikāciju, izmantojot Kerberos, kas NAV izmantota paziņojot drošība = domēns arhīvā smb.conf.

Lai sāktu sesiju, izmantojot SSH vai grafiski, faili ir manuāli jāpārveido:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

Mēs noņemam no rindas, uz kuru attiecas pam_winbind.soparametri, kas saistīti ar 5 krb. Šī daļa izskatīsies šādi:

[----] # šeit ir paketes moduļi (bloks “Primārais”) auth [success = 2 default = ignore] pam_unix.so nullok_secure auth [success = 1 default = ignore]      pam_winbind.so kešatmiņā_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
nepieciešama sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Iepriekš minētā rinda ir jāiekļauj PIRMS # šeit ir paketes moduļi (bloks "Primārais") [----]

Mēs restartējam iesaistītos pakalpojumus

# service winbind stop # serviss samba restart # service winbind start # service ssh restart

Iepriekš minētās PAM konfigurācijas failu izmaiņas ļaus domēna lietotājiem sākt SSH sesiju vai lokāli mūsu Debian darbstacijā.

Katra lietotāja mājas direktoriji tiks izveidoti arī pirmo reizi piesakoties. Personīgās mapes vai direktoriji tiks izveidoti / home / DOMAIN / domain-user.

Ja rodas grūtības ar grafisko pieteikšanos, iesakām restartēt grafiskā pieteikšanās pārvaldnieku (gdm3, kdmutt.) un, ja ar to nepietiek, restartējiet darbstaciju.

Lai ierobežotu vai ierobežotu mūsu Debian piekļuvi, izmantojot SSH, mums ir jārediģē fails / etc / ssh / sshd_config un beigās pievienot:

 AllowUsers myuser-local soļu sakne

Mūsu piemērā soļi ir domēna lietotājs, kuram mēs vēlamies ļaut pieteikties, izmantojot SSH xeon ir vietējais lietotājs.

Mēs varam arī iekļaut failā / etc / sudoers izmantojot komandu Visudo, vienam vai vairākiem domēna lietotājiem.

[----] # Lietotāja privilēģiju specifikācijas sakne ALL = (ALL) ALL xeon ALL = (ALL) ALL soļi ALL = (ALL) ALL [----]

Padomi, kad mēs strādājam pie galddatoriem

Gadījumā, ja mēs vēlamies strādāt pie darbvirsmas vai darbstacijas ar grafisku pieteikšanos un grafisko vidi, mums domēna lietotājiem, kuri pieteiksies lokāli, jāpadara vismaz šādu grupu dalībnieki: cdrom, diskete, audio, video y plugdev. Ja mēs izmantojam modemu, lai izveidotu savienojumu ar ārēju tīklu, mums tie jāpadara arī par grupas dalībniekiem iemērkšana.

Squeeze gadījumā, ja grafiskās sesijas sākumā vēlamies izslēgt lietotāju sarakstu, gdm3 gadījumā mēs rediģējam failu /etc/gdm3/greeter.gconf-defaultsun komentēt opciju / apps / gdm / simple-greeter / disable_user_list, un mēs mainām tā vērtību uz patiess.

Mēs ceram, ka viņi neredz sarežģīto vai velnišķīgo. Vienmēr paturiet prātā, lietojot Samba Suite operētājsistēmā Linux, mēs praktiski atdarinām gandrīz visas Windows funkcijas attiecībā uz SMB / CIFS tīkliem ... un nedaudz vairāk. Korporācija Microsoft nodrošina "Drošību" apmaiņā pret Darkness. Savukārt Linux, lai arī sākumā tas šķiet mazliet sarežģīts, tomēr nodrošina drošību, pārredzamību un brīvību.

Ko tur lasīt? Pūles ir tā vērts!

Un aktivitāte šodien ir beigusies, Draugi. Līdz nākamajam piedzīvojumam !!!.

Atzīmēt: Mēs pārbaudījām procedūru, kas aprakstīta trīs Microsoft domēna funkcionalitātes līmeņos, tas ir, Mixed, Native 2000 un Native 2003.