Samba: Bergabunglah dengan Debian ke Domain Windows (I)

Helo kawan !. Samba membolehkan kita bersatu Debian mempunyai a Domain Microsoft dalam dua cara berbeza yang bergantung pada asasnya bagaimana kita menyatakan pilihan keselamatan dalam arkib smb.conf.

Keselamatan = Domain

Mesin mesti bergabung dengan domain menggunakan arahan rpc bersih bergabung. Parameter menyulitkan kata laluan dalam arkib smb.conf, mesti ditetapkan ke benar o yes, yang merupakan nilai lalai.

Samba ia akan mengesahkan kelayakan Pengguna dan Kata Laluan dengan menyerahkannya ke Domain Controller persis seperti yang berlaku pada Controller type NT 4.

Keselamatan = Domain adalah cara yang akan kita kembangkan dalam artikel ini.

Keselamatan = ADS: Dalam mod ini Samba akan bertindak sebagai ahli domain di Kerajaan (RealmDirektori Aktif. Untuk ini, mesin Debian perlu dipasang dan dikonfigurasi oleh klien Kerberos, dan itu digabungkan ke Direktori Aktif melalui perintah iklan bersih bergabung.

Mod ini TIDAK menjadikan Samba beroperasi sebagai Pengawal Domain Direktori Aktif.

Kita akan lihat:

• Contoh Parameter Utama Rangkaian
• Keperluan minimum dalam Domain Controller
• Keperluan minimum pada mesin Debian
• Kami memasang pakej dan konfigurasi yang diperlukan
• Kami bergabung dengan Debian ke Domain dan melakukan pemeriksaan yang diperlukan
• Kami membenarkan log masuk Pengguna Domain di Debian kami
• Petua semasa kita bekerja di Desktop

Contoh Parameter Utama Rangkaian

• Pengawal Domain: Windows 2003 Server SP2 Enterprise Edition.
• Nama Pengawal:w2003
• Nama domain: kawan.cu
• IP Pengawal: 10.10.10.30
• ---------------
• Versi Debian: Picit (6.0.7) [: - $ cat / etc / debian_version]
• Nama pasukan: keliru
• Alamat IP: 10.10.10.15
• Versi Samba: 2: 3.5.6 ~ dfsg-3squeeze9
• Versi Winbind: 2: 3.5.6 ~ dfsg-3squeeze9
• Persekitaran desktop GNOME dengan GDM3
• ---------------
• Versi Debian: Semput 7.0
• Nama pasukan: miwheezy
• Alamat IP: 10.10.10.20
• Versi Samba: 2: 3.6.6-6
• Versi Winbind: 2: 3.6.6-6
• Persekitaran desktop Xfce4 dengan GDM3

Keperluan minimum dalam Domain Controller

Kaedah yang dijelaskan dalam artikel ini pada awalnya diuji terhadap Domain Controller yang dikonfigurasi dari "ClearOS Enterprise 5.2 SP-1" di CentOS, dan semuanya berjalan dengan baik. Tidak perlu dikatakan bahawa ia adalah Perisian Percuma.

Kami akan merujuk kepada Pengawal Domain Microsoft Windows Server 2003 SP2 Enterprise Edition, digunakan di banyak syarikat Cuba. Maaf saya tidak mempunyai cakera pemasangan versi Pelayan 2008 atau yang lebih maju. Mereka memaafkan saya bahasa Inggeris, tetapi satu-satunya pemasang saya ada dalam bahasa itu.

Sila dan baca artikelnya Samba: Pelanggan Smb diterbitkan di laman web yang sama sehingga mereka mempunyai idea tentang pengguna yang dibuat di Domain Controller.

Sekiranya kita menggunakan alamat IP tetap untuk Debian kita, kita mesti menyatakan rekod jenis "A" dan rekodnya yang sesuai di Zon Balik di DNS Pengawal Domain.

Selalu disarankan ketika kita bekerja di rangkaian dengan komputer Linux dan Windows, aktifkan perkhidmatan WINS (Perkhidmatan Nama Internet Windows) lebih baik di Domain Controller.

Keperluan minimum pada mesin Debian

Fail ini /etc/resolv.conf harus mempunyai kandungan berikut:

cari pelayan nama amigos.cu 10.10.10.30

Kami melaksanakan:

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu mempunyai alamat 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; BAHAGIAN JAWAPAN: 30.10.10.10.in-addr.arpa. 1200 DALAM PTR w2003.amigos.cu. [----]

Kami memasang pakej dan konfigurasi yang diperlukan

# kemampuan memasang samba winbind smbclient finger

Semasa pemasangan pakej samba, kami akan diminta untuk nama Kumpulan Kerja, yang dalam contoh kami adalah Kawan-kawan.

Kami menyimpan fail asal smb.conf dan kemudian kami mengosongkannya:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Kami mengedit fail smb.conf dan kami meninggalkannya dengan kandungan berikut:

[global] ### Penyemak Imbas Rangkaian - Pengenalpastian ### kumpulan kerja = Rangkaian pelayan RAKAN =% h pelayan memenangi pelayan = 10.10.10.30 dns proksi = tidak ### Sambungan Rangkaian ### antara muka = ​​127.0.0.0/8 eth0 mengikat antara muka sahaja = ya host membenarkan = 10.10.10.0/255.255.255.0 ### Debugging ### fail log = /var/log/samba/log.%m ukuran log maksimum = 1000 syslog = 0 tindakan panik = / usr / kongsi / samba / panik-tindakan% d ### KEBENARAN ### keselamatan = domain
enkripsi kata laluan = ya master tempatan = tidak ada master domain = tidak ada master yang disukai = tidak ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 template shell = / bin / bash winbind gunakan domain lalai = Ya winbind rpc hanya = ya log masuk offline winbind = ya ### Pelbagai ### pengguna tidak sah = templat root homedir = / rumah /% D /% perkongsian pendaftaran U = Tidak # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Kami memeriksa sintaks asas fail smb.conf:

#testparm

Kami mengedit fail /etc/nsswitch.conf dan kami mengubah baris berikut:

[----] kata laluan:         fail winbind
kumpulan:          fail winbind
bayangan: rakan hos: fail dns menang [----]

Kami bergabung dengan Debian ke Domain dan melakukan pemeriksaan

# perkhidmatan winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # langkah jari # langkah passwd langkah # kumpulan getent "Pengguna Domain"

Sudah tentu, Akaun Mesin akan dibuat dengan betul di Domain Controller.

Sejauh ini kita dapat melihat bahawa kita dapat memperoleh maklumat yang betul mengenai Domain, dan juga penggunanya.

Dalam artikel selanjutnya, kita akan belajar bagaimana membagikan sumber daya sehingga dapat digunakan oleh pengguna yang terdaftar di Domain, yaitu, kita dapat melayani file untuk pengguna Domain Microsoft, baik dari stesen kerja dan dari pelayan khusus.

Kami membenarkan log masuk Pengguna Domain di Debian kami

Semasa kami memasang pakej winbind, Debian secara automatik mengkonfigurasi Modul Pengesahan Pluggable atau Modul Pengesahan Palam PAM.

Namun, jika kita mencoba memulai sesi sebagai Pengguna Domain, baik melalui SSH atau sesi grafik, kita akan menerima pesan "Autentikasi Failure".

Ini kerana fail modul PAM, lebih khusus lagi common-auth dihasilkan termasuk pengesahan melalui Kerberos, yang TIDAK digunakan semasa kami menyatakan keselamatan = domain dalam arkib smb.conf.

Untuk memulakan sesi melalui SSH atau grafik, kita mesti mengubah fail secara manual:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

Kami membuang dari garis yang merujuk kepada pam_winbind.so, parameter yang berkaitan dengan krb5. Bahagian itu akan kelihatan seperti ini:

[----] # berikut adalah modul per-paket (blok "Utama") auth [kejayaan = 2 lalai = abaikan] pam_unix.so nullok_secure auth [kejayaan = 1 lalai = abaikan]      pam_winbind.so cached_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
sesi diperlukan pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Baris di atas mesti disertakan SEBELUM # berikut adalah modul per-paket (blok "Utama") [----]

Kami memulakan semula perkhidmatan yang terlibat

# perkhidmatan winbind stop # ervice samba restart # service winbind start # service ssh restart

Pengubahsuaian di atas pada fail konfigurasi PAM akan membolehkan pengguna Domain memulakan sesi SSH atau secara tempatan di stesen kerja Debian kami.

Direktori rumah setiap pengguna juga akan dibuat semasa mereka masuk untuk pertama kalinya. Folder atau direktori peribadi akan dibuat di / rumah / DOMAIN / pengguna domain.

Sekiranya terdapat kesukaran dalam log masuk grafik, kami mengesyorkan memulakan semula pengurus log masuk grafik (gdm3, kdm, dan lain-lain) dan jika tidak mencukupi, mulakan semula stesen kerja.

Untuk menghadkan atau menyekat akses melalui SSH ke Debian kami, kami mesti mengedit failnya / etc / ssh / sshd_config dan tambahkan pada akhir:

 AllowUsers myuser-local strides root

Dalam contoh kami, langkah adalah pengguna domain yang ingin kami izinkan untuk log masuk melalui SSH, sementara Kesempatan adalah pengguna tempatan.

Kami juga boleh memasukkan dalam fail / etc / sudoers menggunakan arahan visudo, kepada satu atau lebih pengguna Domain.

[----] # Spesifikasi hak istimewa pengguna root ALL = (ALL) ALL xeon ALL = (ALL) ALL strides ALL = (ALL) ALL [----]

Petua semasa kita bekerja di Desktop

Sekiranya kita ingin mengerjakan Desktop atau Workstation dengan persekitaran log masuk dan grafik, kita mesti menjadikan pengguna domain yang akan log masuk secara tempatan, anggota sekurang-kurangnya kumpulan berikut: cdrom, disket, audio, video y plugdev. Sekiranya kita menggunakan modem untuk menyambung ke rangkaian luaran, kita juga mesti menjadikan mereka ahli kumpulan celup.

Dalam kes Squeeze, jika kita ingin menghilangkan senarai pengguna pada awal sesi grafik, dalam hal gdm3, kita mengedit fail /etc/gdm3/greeter.gconf-defaults, dan melepaskan pilihan / apps / gdm / simple-greeter / disable_user_list, dan kami menukar nilainya menjadi benar.

Kami berharap mereka tidak melihat apa yang dijelaskan rumit atau jahat. Sentiasa ingat ketika menggunakan Samba Suite di Linux, kami praktikal meniru hampir semua fungsi Windows mengenai rangkaian SMB / CIFS ... dan sedikit lagi. Microsoft menyediakan "Security" sebagai pertukaran untuk Darkness. Sebaliknya, Linux, walaupun pada mulanya nampaknya agak rumit, memberikan Keselamatan, Ketelusan dan Kebebasan.

Apa yang ada untuk dibaca? Usaha Sepatutnya!

Dan aktiviti ini selesai untuk hari ini, Friends. Sehingga pengembaraan seterusnya !!!.

Nota: Kami menguji prosedur yang dijelaskan dalam tiga Tingkat Fungsi Domain Microsoft, iaitu, Campuran, Native 2000, dan Native 2003.