Samba: Bli med Debian til et Windows-domene (I)

Hei venner!. Samba lar oss forene oss Debian til a Microsoft-domene på to forskjellige måter som avhenger fundamentalt av hvordan vi erklærer alternativet sikkerhet i arkivet smb.konf.

Sikkerhet = domene

Maskinen må bli med i domenet ved hjelp av kommandoen netto RPC bli med. Parameter kryptere passord i arkivet smb.konf, må settes til sant o ja, som er standardverdien.

Samba det vil validere bruker- og passordlegitimasjonen ved å sende dem til domenekontrolleren nøyaktig som den ville gjort til en NT 4-type kontroller.

Sikkerhet = domene er måten vi vil utvikle oss i denne artikkelen.

Sikkerhet = ADS: I denne modusen Samba vil fungere som et domenemedlem i et kongerike (Realm) av en Active Directory. For dette er det nødvendig at Debian-maskinen har klienten installert og konfigurert Kerberos, og at den er koblet til Active Directory ved hjelp av kommandoen nettannonser blir med.

Denne modusen får IKKE Samba til å fungere som en Active Directory Domain Controller.

Vi vil se:

• Eksempel på hovedparametere for nettverket
• Minimumskrav i domenekontrolleren
• Minimumskrav til Debian-maskinen
• Vi installerer nødvendige pakker og konfigurerer
• Vi blir med Debian til domenet og gjør nødvendige kontroller
• Vi tillater pålogging av domenebrukere i Debian
• Tips når vi jobber på Desktops

Eksempel på hovedparametere for nettverket

• Domenekontroller: Windows 2003 Server SP2 Enterprise Edition.
• Kontrollerens navn:w2003
• Domenenavn: venner.cu
• Kontroller-IP: 10.10.10.30
• ---------------
• Debian-versjon: Klem (6.0.7) [: - $ cat / etc / debian_version]
• Lagnavn: feil
• IP-adresse: 10.10.10.15
• Samba-versjon: 2: 3.5.6 ~ dfsg-3queeze9
• Winbind-versjon: 2: 3.5.6 ~ dfsg-3queeze9
• GNOME-skrivebordsmiljø med GDM3
• ---------------
• Debian-versjon: Wheezy 7.0
• Lagnavn: miwheezy
• IP-adresse: 10.10.10.20
• Samba-versjon: 2: 3.6.6-6
• Winbind-versjon: 2: 3.6.6-6
• Xfce4 skrivebordsmiljø med GDM3

Minimumskrav i domenekontrolleren

Metoden beskrevet i denne artikkelen ble opprinnelig testet mot en Domain Controller konfigurert fra "ClearOS Enterprise 5.2 SP-1" på CentOS, og alt fungerte bra. Unødvendig å si at det er fri programvare.

Vi vil referere til en domenekontroller Microsoft Windows Server 2003 SP2 Enterprise Edition, brukt i mange kubanske selskaper. Jeg beklager at jeg ikke har installasjonsplaten for versjonen serveren 2008 eller en mer avansert. De tilgir meg engelsk, men det eneste installatøren jeg har er på det språket.

Vennligst og les artikkelen Samba:SmbClient publisert på det samme nettstedet slik at de får en ide om brukerne som er opprettet i Domain Controller.

Hvis vi bruker en fast IP-adresse for Debianen vår, må vi ha erklært en "A" -post og dens tilhørende post i Reverse Zone i Domain Controller's DNS.

Det anbefales alltid når vi jobber i et nettverk med Linux- og Windows-datamaskiner, aktiver WINS-tjenesten (Windows Internett-navnetjeneste) helst i Domain Controller.

Minimumskrav til Debian-maskinen

Filen / Etc / resolv.conf skal ha følgende innhold:

søk amigos.cu nameserver 10.10.10.30

Vi utfører:

$ vertsnavn -f misqueeze.friends.cu $ dnsnavnnavn friends.cu $ vert w2003 w2003.friends.cu har adresse 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; SVARSDEL: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

Vi installerer nødvendige pakker og konfigurerer

# aptitude installer samba winbind smbclient finger

Under pakkeinstallasjon samba, blir vi bedt om navnet på arbeidsgruppen, som i vårt eksempel er VENNER.

Vi lagrer originalfilen smb.konf og så tømmer vi det:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Vi redigerer filen smb.konf og vi lar det med følgende innhold:

[global] ### Nettverksbrowser - Identifikasjon ### arbeidsgruppe = VENNER serverstreng =% h server vinner server = 10.10.10.30 dns proxy = nei ### Nettverkstilkobling ### grensesnitt = 127.0.0.0/8 eth0 bare bind grensesnitt = ja verter tillater = 10.10.10.0/255.255.255.0 ### Feilsøking ### loggfil = /var/log/samba/log.%m maks loggstørrelse = 1000 syslog = 0 panikkhandling = / usr / share / samba / panic-action% d ### AUTHENTICATION ### security = domene
kryptere passord = ja lokal master = ingen domene master = ingen foretrukket master = nei ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 malskall = / bin / bash winbind bruk standard domene = Ja winbind rpc bare = ja winbind offline-pålogging = ja ### Diverse ### ugyldige brukere = rotmal homedir = / home /% D /% U registerandeler = Nei # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Vi sjekker den grunnleggende syntaksen til filen smb.konf:

#testparm

Vi redigerer filen /etc/nsswitch.conf og vi endrer følgende linjer:

[----] passwd:         winbind-filer
gruppe:          winbind-filer
skygge: kompatibel verter: filer dns vinner [----]

Vi blir med Debian til domenet og gjør sjekker

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger trancos # getent passwd trancos # getent group "Domain Users"

Selvfølgelig vil maskinkontoen ha blitt opprettet riktig i domenekontrolleren.

Så langt har vi sett at vi kan få riktig informasjon om domenet, samt dets brukere.

I senere artikler vil vi lære hvordan vi kan dele ressurser slik at de kan brukes av brukere som er registrert i domenet, det vil si at vi kan servere filer for brukere av et Microsoft-domene, både fra en arbeidsstasjon og fra en dedikert server.

Vi tillater pålogging av domenebrukere i Debian

Når vi installerer pakken Winbind, Konfigurerer Debian automatisk de innebygde autentiseringsmodulene eller Plugbar autentiseringsmoduler PAM.

Imidlertid, hvis vi prøver å starte en økt som en domenebruker, enten gjennom SSH eller en grafisk økt, vil vi motta meldingen "Autentiseringsfeil".

Det er fordi filene til PAM-modulene, nærmere bestemt felles-autent ble generert inkludert autentisering gjennom Kerberos, som IKKE brukes når vi erklærer sikkerhet = domene i arkivet smb.konf.

For at vi skal kunne starte en økt med SSH eller grafisk, må vi endre filene manuelt:

• /etc/pam.d/common-auth
• /etc/pam.d/common-session

/etc/pam.d/common-auth

Vi fjerner fra linjen som refererer til pam_winbind.so, parametrene relatert til krb5. Den delen vil se slik ut:

[----] # her er modulene per pakke ("Primær" -blokken) auth [suksess = 2 standard = ignorere] pam_unix.so nullok_secure auth [suksess = 1 standard = ignorere]      pam_winbind.so bufret_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
økt kreves pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Linjen ovenfor må inkluderes FØR # her er modulene per pakke ("Primær" -blokken) [----]

Vi starter tjenestene som er involvert på nytt

# service winbind stop # ervice samba restart # service winbind start # service ssh restart

Ovennevnte modifikasjoner av PAM-konfigurasjonsfilene vil tillate domenebrukere å starte en SSH-økt eller lokalt på vår Debian-arbeidsstasjon.

Hver brukers hjemmekataloger vil også bli opprettet når de logger på for første gang. Personlige mapper eller kataloger blir opprettet i / home / DOMAIN / domain-user.

Hvis det er noen problemer med den grafiske påloggingen, anbefaler vi at du starter den grafiske påloggingsadministratoren på nytt (gdm3, kdmosv.), og start ikke arbeidsstasjonen på nytt hvis ikke nok.

For å begrense eller begrense tilgangen via SSH til Debian, må vi redigere filen / Etc / ssh / sshd_config og legg til på slutten:

 AllowUsers myuser-local strides root

I vårt eksempel, skritt er en domenebruker som vi vil tillate å logge på via SSH, mens Xeon er en lokal bruker.

Vi kan også ta med i filen / etc / sudoers ved hjelp av kommandoen visado, til en eller flere brukere av domenet.

[----] # Spesifikasjon av brukerrettigheter root ALL = (ALL) ALL xeon ALL = (ALL) ALL skritt ALL = (ALL) ALL [----]

Tips når vi jobber på Desktops

I tilfelle vi ønsker å jobbe på et skrivebord eller en arbeidsstasjon med et grafisk påloggings- og grafisk miljø, må vi gjøre domenebrukerne som vil logge på lokalt, til medlemmer av minst følgende grupper: cdrom, diskett, lyd, video y plugdev. Hvis vi bruker et modem for å koble til et eksternt nettverk, må vi også gjøre dem til medlemmer av gruppen dip.

I tilfelle Squeeze, hvis vi vil eliminere listen over brukere i begynnelsen av den grafiske økten, i tilfelle av gdm3, redigerer vi filen /etc/gdm3/greeter.gconf-defaults, og fjern merking av alternativet / apps / gdm / simple-greeter / disable_user_list, og vi endrer verdien til sant.

Vi håper de ikke ser hva som blir forklart komplisert eller djevelsk. Husk alltid når du bruker Samba Suite på Linux, vi etterligner praktisk talt nesten alle Windows-funksjonene angående SMB / CIFS-nettverk ... og litt mer. Microsoft tilbyr "Sikkerhet" i bytte mot Darkness. Selv om Linux til å begynne med virker litt komplisert, gir det sikkerhet, gjennomsiktighet og frihet.

Hva er det å lese? Innsatsen er verdt det!

Og aktiviteten er over i dag, Venner. Inntil neste eventyr !!!.

note: Vi testet prosedyren beskrevet i de tre funksjonsnivåene til Microsoft Domain, det vil si Mixed, Native 2000 og Native 2003.