Samba: Gå med i Debian till en Windows-domän (I)

Hej kompisar!. Samba tillåter oss att förenas Debian till a Microsoft-domän på två olika sätt som i grunden beror på hur vi förklarar alternativet säkerhet i arkivet smb.conf.

Säkerhet = Domän

Maskinen måste gå med i domänen med kommandot netto RPC-anslutning. Parameter kryptera lösenord i arkivet smb.conf, måste ställas in på sann o ja, vilket är standardvärdet.

Samba Det validerar användar- och lösenordsuppgifterna genom att skicka dem till domänkontrollanten precis som det skulle göra till en styrenhetstyp NT 4.

Säkerhet = Domän är det sätt vi kommer att utveckla i den här artikeln.

Säkerhet = ADS: I det här läget Samba kommer att fungera som domänmedlem i ett kungarike (Rike) i en Active Directory. För detta är det nödvändigt att Debian-maskinen har klienten installerad och konfigurerad Kerberosoch att den är ansluten till Active Directory med hjälp av kommandot nätannonser går med.

Detta läge gör INTE att Samba fungerar som en Active Directory Domain Controller.

Vi kommer att se:

  • Exempel på huvudparametrar i nätverket
  • Minimikrav i domänkontrollanten
  • Minimikrav på Debian-maskinen
  • Vi installerar nödvändiga paket och konfigurerar
  • Vi går med Debian till domänen och gör nödvändiga kontroller
  • Vi tillåter inloggning av domänanvändare i vårt Debian
  • Tips när vi arbetar på Desktops

Exempel på huvudparametrar i nätverket

  • Domänkontrollant: Windows 2003 Server SP2 Enterprise Edition.
  • Kontrollantens namn:w2003
  • Domän namn: vänner.cu
  • Styrenhetens IP: 10.10.10.30
  • ---------------
  • Debian-version: Pressa (6.0.7) [: - $ cat / etc / debian_version]
  • Lagets namn: missa frågan
  • IP-adress: 10.10.10.15
  • Samba-version: 2: 3.5.6 ~ dfsg-3queeze9
  • Winbind-version: 2: 3.5.6 ~ dfsg-3queeze9
  • GNOME-skrivbordsmiljö med GDM3
  • ---------------
  • Debian-version: Wheezy 7.0
  • Lagets namn: miwheezy
  • IP-adress: 10.10.10.20
  • Samba-version: 2: 3.6.6-6
  • Winbind-version: 2: 3.6.6-6
  • Xfce4 skrivbordsmiljö med GDM3

Minimikrav i domänkontrollanten

Metoden som beskrivs i den här artikeln testades ursprungligen mot en domänkontrollant konfigurerad från "ClearOS Enterprise 5.2 SP-1" på CentOS, och allt fungerade bra. Det behöver inte sägas att det är fri programvara.

Vi hänvisar till en domänkontrollant Microsoft Windows Server 2003 SP2 Enterprise Edition, används i många kubanska företag. Jag är ledsen att jag inte har installationsskivan för versionen server 2008 eller en mer avancerad. De förlåter mig engelska, men det enda installationsprogrammet jag har är på det språket.

Snälla och läs artikeln Samba:SmbClient publiceras på samma webbplats så att de får en uppfattning om de användare som skapats i domänkontrollanten.

Om vi ​​använder en fast IP-adress för vår Debian måste vi ha deklarerat en typ "A" -post och dess motsvarande post i omvänd zon i domänkontrollantens DNS.

Det rekommenderas alltid när vi arbetar i ett nätverk med Linux- och Windows-datorer, aktiverar WINS-tjänsten (Windows Internet Namntjänst) helst i domänkontrollanten.

Minimikrav på Debian-maskinen

Filen / Etc / resolv.conf bör ha följande innehåll:

sök friends.cu nameserver 10.10.10.30

Vi utför:

$ värdnamn -f misqueeze.friends.cu $ dnsdomännamn friends.cu $ värd w2003 w2003.friends.cu har adressen 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; SVAR-AVSNITT: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]

Vi installerar nödvändiga paket och konfigurerar

# aptitude installera samba winbind smbclient finger

Under installationen av paketet samba, kommer vi att bli ombedd med namnet på arbetsgruppen, vilket i vårt exempel är FRIENDS.

Vi sparar originalfilen smb.conf och sedan tömmer vi det:

# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf

Vi redigerar filen smb.conf och vi lämnar det med följande innehåll:

[global] ### Nätverkswebbläsare - Identifiering ### arbetsgrupp = VÄNNER serversträng =% h servern vinner server = 10.10.10.30 dns proxy = ingen ### Nätverksanslutning ### gränssnitt = 127.0.0.0/8 eth0 bindgränssnitt endast = ja värdar tillåter = 10.10.10.0/255.255.255.0 ### Felsökning ### loggfil = /var/log/samba/log.%m max loggstorlek = 1000 syslog = 0 panikåtgärd = / usr / dela / samba / panikåtgärd% d ### AUTENTISERING ### säkerhet = domän
kryptera lösenord = ja lokal master = ingen domän master = ingen föredragen master = nej ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 mallskal = / bin / bash winbind använd standarddomän = Ja winbind rpc endast = ja winbind offline-inloggning = ja ### Diverse ### ogiltiga användare = rootmall homedir = / home /% D /% U registerandelar = Nej # unix charset = ISO-8859-1 # display charset = ISO-8859 -1

Vi kontrollerar filens grundläggande syntax smb.conf:

#testparm

Vi redigerar filen /etc/nsswitch.conf och vi ändrar följande rader:

[----] passwd:         winbind-filer
grupp:          winbind-filer
skugga: kompatibel värdar: filer dns vinner [----]

Vi går med Debian till domänen och gör kontroller

# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # fingersteg # getent passwd steg # getent grupp "Domänanvändare"

Naturligtvis kommer maskinkontot att ha skapats korrekt i domänkontrollanten.

Hittills har vi sett att vi kan få korrekt information om domänen, liksom dess användare.

I senare artiklar lär vi oss hur man delar resurser så att de kan användas av användare som är registrerade i domänen, det vill säga vi kan servera filer för användare av en Microsoft-domän, både från en arbetsstation och från en dedikerad server.

Vi tillåter inloggning av domänanvändare i vårt Debian

När vi installerar paketet winbind, Debian konfigurerar automatiskt de inbäddningsbara autentiseringsmodulerna eller Anslutningsbara autentiseringsmoduler PAM.

Men om vi försöker starta en session som domänanvändare, antingen via SSH eller en grafisk session, kommer vi att få meddelandet "Autentiseringsfel".

Det beror på att filerna i PAM-modulerna, mer specifikt gemensam-aut genererades inklusive autentisering genom Kerberos, som INTE används när vi deklarerar säkerhet = domän i arkivet smb.conf.

Så att vi kan starta en session med SSH eller grafisk, måste vi manuellt ändra filerna:

  • /etc/pam.d/common-auth
  • /etc/pam.d/common-session

/etc/pam.d/common-auth

Vi tar bort från raden som refererar till pam_winbind.so, parametrar relaterade till 5 kr. Den delen skulle se ut så här:

[----] # här är modulerna per paket ("Primär" -blocket) auth [success = 2 default = ignorera] pam_unix.so nullok_secure auth [success = 1 default = ignorera]      pam_winbind.so cachad_login try_first_pass
[----]

/etc/pam.d/common-session

[----]
session krävs pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Ovanstående rad måste inkluderas INNAN # här är modulerna per paket ("Primär" -blocket) [----]

Vi startar om de berörda tjänsterna

# service winbind stop # ervice samba restart # service winbind start # service ssh restart

Ovanstående ändringar av PAM-konfigurationsfilerna gör det möjligt för domänanvändare att starta en SSH-session eller lokalt på vår Debian-arbetsstation.

Varje användares hemkataloger skapas också när de loggar in för första gången. Personliga mappar eller kataloger skapas i / home / DOMAIN / domänanvändare.

Om det finns några problem med den grafiska inloggningen rekommenderar vi att du startar om den grafiska inloggningshanteraren (gdm3, kdm, etc.) och om inte tillräckligt, starta om arbetsstationen.

För att begränsa eller begränsa åtkomst via SSH till vårt Debian måste vi redigera filen / Etc / ssh / sshd_config och lägg till i slutet:

 AllowUsers myuser-local strides root

I vårt exempel, steg är en domänanvändare som vi vill tillåta att logga in via SSH, medan xeon är en lokal användare.

Vi kan också inkludera i filen / etc / sudoers med kommandot visudo, till en eller flera användare av domänen.

[----] # Användarbehörighetsspecifikation root ALL = (ALL) ALL xeon ALL = (ALL) ALLA steg ALT = (ALL) ALL [----]

Tips när vi arbetar på Desktops

Om vi ​​vill arbeta på ett skrivbord eller en arbetsstation med en grafisk inloggning och en grafisk miljö måste vi göra domänanvändarna som kommer att logga in lokalt, medlemmar i minst följande grupper: cdrom, diskett, ljud, video y plugdev. Om vi ​​använder ett modem för att ansluta till ett externt nätverk måste vi också göra dem till medlemmar i gruppen dopp.

När det gäller Squeeze, om vi vill ta bort listan över användare i början av den grafiska sessionen, i fallet med gdm3, redigerar vi filen /etc/gdm3/greeter.gconf-defaultsoch avmarkera alternativet / apps / gdm / simple-greeter / disable_user_list, och vi ändrar dess värde till sann.

Vi hoppas att de inte ser vad som förklaras komplicerat eller djävulskt. Låt oss alltid komma ihåg när vi använder Samba Suite på Linux, vi emulerar praktiskt taget nästan alla Windows-funktioner angående SMB / CIFS-nätverk ... och lite mer. Microsoft tillhandahåller "Säkerhet" i utbyte mot mörker. Linux å sin sida, även om det först verkar lite komplicerat, ger säkerhet, transparens och frihet.

Vad finns det att läsa? Ansträngningen är värt det!

Och aktiviteten är över för idag, vänner. Fram till nästa äventyr !!!.

anteckning: Vi testade proceduren som beskrivs i de tre funktionsnivåerna för Microsoft Domain, det vill säga Mixed, Native 2000 och Native 2003.


16 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Erick sade

    Mycket bra inlägg, jag gratulerar dig vän, en fråga du kan göra ett inlägg om hur man skapar en domänserver med samba4, är att jag tvivlar och att jag aldrig har gjort en pdc med samba och de säger att jag inte vet att samba4 förbättrats mycket, hälsningar

    1.    Federico A. Valdes Toujague sade

      Tack till ALLA för att kommentera !!!.

      @Erick: börja enkelt. Installera en ClearOS eller något liknande som PDC. Jag har hjälpt till att installera och konfigurera den i tre små företag. Det största med 3 lag, och de fungerar mycket bra. Administrationen är mycket enkel.

      @Jesus Israel Perales Martinez: Det är inte nödvändigt att installera Samba. Nu om du med ett "normalt filnätverk" menar ett SMB / CIFS-nätverk rekommenderas det.

      @denis: Tack för dina tackord och uppmuntran.

      @DanielC: Det verkar som att du fångade dem "rödhänt". 🙂

  2.   Jesus Israel Perales Martinez sade

    En fråga om alla mina datorer använder GNU är det nödvändigt att jag använder samba för att dela mina filer eller så kan jag göra det med nfs, om så är fallet, kan du göra en handledning för att dela filer med nfs, jag vet väl att jag kan ladda ner allt genom ssh och skicka filer med ftp, även för webbklienter och andra men jag vill ha ett "normalt fil" -nätverk inställt

  3.   Denis sade

    Hej min vän, jag vill först och främst tacka dig för allt du gör varje dag med din vilja att hjälpa andra även när du knappt känner till dem.
    Mycket bra alla dina artiklar, jag säger verkligen att tack vare dem har jag bildat nästan ett sysadmin även om jag vet att jag fortfarande har en lång väg att gå.

  4.   Daniel C. sade

    Jag läste just detta ämne i RSS-flödet och fick samba-uppdateringar.

    Så då säger de inte att Ubuntu inte spionerar! : B

    1.    eliotime3000 sade

      ROFL!

      Ubuntu spionerar inte, Amazon gör det.

  5.   Xavier sade

    Här är receptet som jag gjorde specifikt för Debian i ett ADS-område https://wiki.debian.org/SAMBAclienteWindows

    1.    Federico Antonio Valdes Toujague sade

      Med parametern säkerhet = annonser, det finns många inlägg på webben. Men min nästa artikel kommer att behandla samma ämne.

  6.   eliotime3000 sade

    Jag måste verkligen titta på Samba-mannen för att kunna dela mappar för LAN med Windows.

    PS: Debian Mozilla-teamet har äntligen släppt Iceweasel 24.

  7.   Aldo sade

    Hej, hur bra informationen du delade här är, jag börjar göra en testmigrering med en debianserver som fil & utskrift men jag behöver användare som har Windows 7 och XP för att autentisera med domänen (Windows 2000) som har varit tittar och jag har inte sett det ...
    tack

  8.   Daniel Cordoba sade

    Hej, jag tror att problemet med Debian och dess derivat är att de inte vet eller vet och inte vill göra det för att göra det enklare för den vanliga användaren. Jag är användare av opensuse-versionen och det är så enkelt att konfigurera ett hem- eller kontorsnätverk. Med datorer som har opensuse och Windows XP-7 installerat delar de filer och skrivare. All denna uppgift görs med Yast, det vill säga utan att komma in i terminalen och behöva skriva allt detta. En riktig galenskap i Debian. Med debian Wheezy efter en veckas skrivkod kunde jag inte skriva ut till en delad skrivare på en Windows XP-dator. Med öppningsanvändning med fyra stegs namn på datorn som delar skrivaren (xp), namnet på den delade skrivaren (xp), användarnamn och lösenord. Och det är det, för att dela en eländig skrivare och några hemfiler behöver du inte vara en kodguru. För att inte tala om CUPS. cupsd, ect. Gör något vanligt användarvänligt.

    1.    federico sade

      Håller med dig. Debian är känt för att sätta hårda saker i skrivbordsmiljön. Och på tjänstesidan gör OpenSuse och CentOS livet mycket enklare för serviceadministratörer. Men jag har vant mig vid Debian, och det är den jag föredrar. 🙂
      Tack för kommentaren !!!.

    2.    tyska sade

      Du måste alltid göra transaktioner. Debian har hög kvalitet till nackdel för andra funktioner. Bra tidsanvändning krävs och Debian ägnar den åt sin produkt och tänker mer på dess implementering på servrar. De som hanterar servrar har inte samma behov som andra typer av användare.
      Jag har provat andra distributioner och bara Arch har samma stabilitet. Resten är mycket automatiserad; men det genererar många problem när det används för servrar.
      Det är min personliga åsikt och den är väldigt subjektiv.

  9.   Mauritius sade

    Mycket bra information, tack så mycket. Finns det något inlägg på det mest effektiva sättet att göra en automatisk säkerhetskopiering från en Linux-server som använder Windows-datorer under en domän? tack

    1.    matias sade

      Om du försöker Rsync är det plattform

  10.   matias sade

    God eftermiddag jag hade ett fel när jag kontrollerade # net rpc join -U Administrator och jag löste det genom att lägga till
    i /etc/samba/smb.conf realm = din domän.lokal