Самба: Придружите се Дебиану Виндовс домини (И)

Здраво пријатељи! Самба омогућава нам да се ујединимо Дебиан хас а Мицрософт домен на два различита начина која у основи зависе од начина на који декларишемо опцију безбедност у архиву смб.цонф.

Безбедност = домен

Машина се мора придружити домену помоћу наредбе нет рпц јоин. Параметар шифрирање лозинки у архиву смб.цонф, мора бити постављено на прави o да, што је његова подразумевана вредност.

Самба верификоваће акредитиве корисника и лозинке прослеђујући их Домаин Цонтроллер-у тачно као што би то учинио Цонтроллер-у типа НТ 4.

Безбедност = домен је начин на који ћемо се развијати у овом чланку.

Безбедност = ОГЛАСИ: У овом режиму Самба ће деловати као члан домена у Краљевству (Реалм) Ацтиве Дирецтори-а. За ово је неопходно да Дебиан машина има инсталиран и конфигуриран клијент Керберос, и да је помоћу команде придружен Ацтиве Дирецтори нето огласи се придружују.

Овај режим НЕ омогућава да Самба ради као Ацтиве Дирецтори Домаин Цонтроллер.

Видећемо:

• Узорак главних параметара мреже
• Минимални захтеви у контролору домена
• Минимални захтеви за Дебиан машину
• Инсталирамо потребне пакете и конфигуришемо
• Придружујемо се Дебиану домени и вршимо потребне провере
• Дозвољавамо пријаву корисника домена у наш Дебиан
• Савети када радимо на радним површинама

Узорак главних параметара мреже

• Домаин Цонтроллер: Виндовс 2003 Сервер СП2 Ентерприсе Едитион.
• Име контролера: в2003
• Име домена: амигос.цу
• ИП контролера: КСНУМКС
• ---------------
• Дебиан верзија: Стисни (6.0.7) [: - $ цат / етц / дебиан_версион]
• Име тима: мискуеезе
• ИП адреса: КСНУМКС
• Самба верзија: 2: 3.5.6 ~ дфсг-3скуеезе9
• Винбинд верзија: 2: 3.5.6 ~ дфсг-3скуеезе9
• ГНОМЕ окружење радне површине са ГДМ3
• ---------------
• Дебиан верзија: Вхеези 7.0
• Име тима: мивхеези
• ИП адреса: КСНУМКС
• Самба верзија: 2: 3.6.6-6
• Винбинд верзија: 2: 3.6.6-6
• Ксфце4 радно окружење са ГДМ3

Минимални захтеви у контролору домена

Метода описана у овом чланку испрва је тестирана на контролору домена конфигурисаном из „ЦлеарОС Ентерприсе 5.2 СП-1“ на ЦентОС-у и све је функционисало у реду. Непотребно је рећи да је то Слободни софтвер.

Позваћемо се на контролора домена Мицрософт Виндовс Сервер 2003 СП2 Ентерприсе Едитион, који се користи у многим кубанским компанијама. Жао ми је што немам диск за инсталацију верзије Сервер КСНУМКС или напреднији. Опраштају ми енглески, али једини инсталацијски програм који имам је тај језик.

Молимо вас и прочитајте чланак Самба: СмбЦлиент објављени на истој веб локацији како би имали представу о корисницима створеним у Домен контролеру.

Ако за наш Дебиан користимо фиксну ИП адресу, мора да смо декларисали запис типа „А“ и његов одговарајући запис у Реверзној зони у ДНС-у Домаин Цонтроллер-а.

Увек се препоручује када радимо на мрежи са Линук и Виндовс рачунарима, омогућимо ВИНС услугу (Виндовс Интернет Сервице Наме) пожељно у контролору домена.

Минимални захтеви за Дебиан машину

Датотека / Етц / ресолв.цонф треба да има следећи садржај:

претрага пријатеља.цу намесервер 10.10.10.30

Извршавамо:

$ хостнаме -ф мискуеезе.фриендс.цу $ днсдомаиннаме фриендс.цу $ хост в2003 в2003.фриендс.цу има адресу 10.10.10.30 $ диг -к 10.10.10.30 [----] ;; ОДЈЕЉАК ОДГОВОРА: 30.10.10.10.ин-аддр.арпа. 1200 У ПТР в2003.амигос.цу. [----]

Инсталирамо потребне пакете и конфигуришемо

# аптитуде инсталирај самба винбинд смбцлиент прст

Током инсталације пакета Самба, од нас ће се тражити име Радне групе, што је у нашем примеру ПРИЈАТЕЉИ.

Сачувамо оригиналну датотеку смб.цонф а онда га испразнимо:

# цп /етц/самба/смб.цонф /етц/самба/смб.цонф.оригинал # цп / дев / нулл /етц/самба/смб.цонф

Ми уређујемо датотеку смб.цонф и остављамо га са следећим садржајем:

[глобал] ### Нетворк Бровсер - Идентифицатион ### воркгроуп = ФРИЕНДС сервер стринг =% х сервер вин сервер = 10.10.10.30 днс проки = но ### Нетворк Цоннецтион ### интерфацес = 127.0.0.0/8 етх0 бинд интерфаце само = да хостови дозвољавају = 10.10.10.0/255.255.255.0 ### Отклањање грешака ### лог датотека = /вар/лог/самба/лог.%м макс. самба / паниц-ацтион% д ### АУТХЕНТИЦАТИОН ### сецурити = домен
шифрирај лозинке = да локални мастер = нема мастер мастер = нема жељеног мастер = не ### Винбинд ### винбинд уид = 15000-20000 винбинд гид = 15000-20000 темплате схелл = / бин / басх винбинд користи подразумевани домен = Да винбинд рпц само = да винбинд ван мреже пријављивање = да ### Разно ### неваљани корисници = роот шаблон хомедир = / хоме /% Д /% У дељења регистра = Не # уник цхарсет = ИСО-8859-1 # дисплаи цхарсет = ИСО-8859 -1

Проверавамо основну синтаксу датотеке смб.цонф:

#тестпарм

Ми уређујемо датотеку /етц/нссвитцх.цонф и мењамо следеће редове:

[----] пассвд:         винбинд датотеке
група:          винбинд датотеке
схадов: цомпат домаћини: датотеке днс побеђује [----]

Придружујемо се Дебиану домени и вршимо провјере

# сервис винбинд стоп # сервис самба рестарт # сервис винбинд старт # нет рпц јоин -У Администратор # сервис винбинд стоп # сервис самба рестарт # сервис винбинд старт # нет рпц тестјоин -У Администратор # нет рпц инфо -У Администратор # вбинфо -у # вбинфо -г # транцос прста # гетент пассвд транцос # гетент група "Корисници домена"

Наравно, Машински налог ће бити правилно креиран у Домен контролеру.

До сада смо видели да можемо добити тачне информације о домену, као и о његовим корисницима.

У каснијим чланцима научићемо како да делимо ресурсе како би их могли да користе корисници регистровани у домену, односно можемо да служимо датотеке за кориснике Мицрософт домене, како са радне станице тако и са наменског сервера.

Дозвољавамо пријаву корисника домена у наш Дебиан

Када инсталирамо пакет винбинд, Дебиан аутоматски конфигурише уграђене модуле за потврду идентитета или Утични модули за потврду идентитета ПАМ.

Међутим, ако покушамо да започнемо сесију као корисник домене, било путем ССХ-а или графичке сесије, добићемо поруку „Неуспех аутентификације“.

То је зато што датотеке ПАМ модула, тачније заједничко-аут је генерисано укључујући потврду идентитета путем Кербероса, која се НЕ користи када је изјавимо сигурност = домен у архиву смб.цонф.

Да бисмо започели сесију путем ССХ-а или графички, морамо ручно изменити датотеке:

• /етц/пам.д/цоммон-аутх
• /етц/пам.д/цоммон-сессион

/етц/пам.д/цоммон-аутх

Уклањамо из реда који се односи на пам_винбинд.со, параметри повезани са крб5. Тај део би изгледао овако:

[----] # овде су модули по пакету („Примарни“ блок) аутх [суццесс = 2 дефаулт = игноре] пам_уник.со нуллок_сецуре аутх [суццесс = 1 дефаулт = игноре]      пам_винбинд.со цацхед_логин три_фирст_пасс
[----]

/етц/пам.д/цоммон-сессион

[----]
потребна сесија пам_мкхомедир.со скел = / етц / скел / умаск = 0022
### Горња линија мора бити укључена ПРЕ # овде су модули по пакету (блок "Примарни") [----]

Поново покрећемо укључене услуге

# сервис винбинд стоп # ервице самба рестарт # сервис винбинд старт # сервис ссх рестарт

Горе наведене модификације ПАМ конфигурационих датотека омогућиће корисницима домене да покрену ССХ сесију или локално на нашој Дебиан радној станици.

Кућни директоријуми сваког корисника ће се такође креирати када се први пут пријаве. Лични директоријуми или директоријуми ће се креирати у / хоме / ДОМЕН / домаин-усер.

Ако постоје било какве потешкоће у графичком пријављивању, препоручујемо поновно покретање графичког менаџера за пријаву (гдмКСНУМКС, кдмитд.) и ако није довољно, поново покрените радну станицу.

Да бисмо ограничили или ограничили приступ путем ССХ-а нашем Дебиану, морамо уредити датотеку / етц / ссх / ссхд_цонфиг и додајте на крају:

 АлловУсерс миусер-лоцал кораке напредује роот

У нашем примеру, кораци је корисник домена којем желимо да дозволимо да се пријави преко ССХ-а, док кеон је локални корисник.

Такође можемо укључити у датотеку / етц / судоерс користећи команду висудо, једном или више корисника домена.

[----] # Спецификација корисничких привилегија роот АЛЛ = (АЛЛ) АЛЛ кеон АЛЛ = (АЛЛ) АЛЛ кораци АЛЛ = (АЛЛ) АЛЛ [----]

Савети када радимо на радним површинама

У случају да желимо да радимо на радној површини или радној станици са графичким пријављивањем и графичким окружењем, кориснике домена који ће се локално пријавити морамо учинити члановима најмање следећих група: цдром, дискета, аудио, видео y плугдев. Ако користимо модем за повезивање са спољном мрежом, морамо их такође учинити члановима групе дип.

У случају Скуеезе, ако желимо да елиминишемо листу корисника на почетку графичке сесије, у случају гдм3, уређујемо датотеку /етц/гдм3/греетер.гцонф-дефаултси раскоментаришите опцију / аппс / гдм / симпле-греетер / дисабле_усер_лист, а његову вредност мењамо у прави.

Надамо се да они не виде оно што је објашњено компликовано или дијаболично. Увек имајте на уму када користите Самба Суите на Линуку, ми практично опонашамо готово све Виндовс функције у вези са СМБ / ЦИФС мрежама ... и мало више. Мицрософт пружа „Безбедност“ у замену за Даркнесс. Линук са своје стране, иако у почетку делује помало компликовано, пружа сигурност, транспарентност и слободу.

Шта читати? Труд је вредан тога!

А активност је за данас завршена, пријатељи. До следеће авантуре !!!.

Приметити: Тестирали смо поступак описан на три нивоа функционалности Мицрософт домене, односно Микед, Нативе 2000 и Нативе 2003.