Xin chào các bạn!. Samba cho phép chúng ta đoàn kết Debian có một Miền Microsoft theo hai cách khác nhau phụ thuộc cơ bản vào cách chúng tôi khai báo tùy chọn an ninh trong kho lưu trữ smb.conf.
Bảo mật = Miền
Máy phải tham gia miền bằng lệnh tham gia net rpc. Tham số mã hóa mật khẩu trong kho lưu trữ smb.conf, phải được đặt thành đúng o Vâng, là giá trị mặc định của nó.
Samba nó sẽ xác thực thông tin xác thực Người dùng và Mật khẩu bằng cách chuyển chúng đến Bộ điều khiển miền chính xác như đối với Bộ điều khiển loại NT 4.
Bảo mật = Miền là cách chúng tôi sẽ phát triển trong bài viết này.
Bảo mật = ADS: Trong chế độ này Samba sẽ hoạt động như một thành viên miền trong Vương quốc (Vương quốc) của một Active Directory. Đối với điều này, điều cần thiết là máy Debian đã cài đặt và cấu hình máy khách Kerberosvà nó được tham gia vào Active Directory bằng lệnh quảng cáo ròng tham gia.
Chế độ này KHÔNG làm cho Samba hoạt động như một Bộ điều khiển miền Active Directory.
Chúng ta sẽ thấy:
- Các thông số chính của mạng mẫu
- Yêu cầu tối thiểu trong Bộ điều khiển miền
- Yêu cầu tối thiểu trên máy Debian
- Chúng tôi cài đặt các gói cần thiết và cấu hình
- Chúng tôi tham gia Debian vào Miền và thực hiện các kiểm tra cần thiết
- Chúng tôi cho phép đăng nhập của Người dùng miền trong Debian của chúng tôi
- Mẹo khi chúng tôi làm việc tại Máy tính để bàn
Các thông số chính của mạng mẫu
- Bộ điều khiển miền: Windows 2003 Server SP2 Enterprise Edition.
- Tên người điều khiển:w2003
- Tên miền: friends.cu
- Bộ điều khiển IP: 10.10.10.30
- ---------------
- Phiên bản Debian: Bóp (6.0.7) [: - $ cat / etc / debian_version]
- Tên đội: bóp méo
- Địa chỉ IP: 10.10.10.15
- Phiên bản Samba: 2: 3.5.6 ~ dfsg-3squeeze9
- Phiên bản winbind: 2: 3.5.6 ~ dfsg-3squeeze9
- Môi trường máy tính để bàn GNOME với GDM3
- ---------------
- Phiên bản Debian: khò khè 7.0
- Tên đội: khò khè
- Địa chỉ IP: 10.10.10.20
- Phiên bản Samba: 2: 3.6.6-6
- Phiên bản winbind: 2: 3.6.6-6
- Môi trường máy tính để bàn Xfce4 với GDM3
Yêu cầu tối thiểu trong Bộ điều khiển miền
Phương pháp được mô tả trong bài viết này ban đầu đã được thử nghiệm dựa trên Bộ điều khiển miền được định cấu hình từ "ClearOS Enterprise 5.2 SP-1" trên CentOS và mọi thứ đều hoạt động tốt. Không cần phải nói rằng nó là Phần mềm miễn phí.
Chúng tôi sẽ đề cập đến Bộ điều khiển miền Phiên bản doanh nghiệp Microsoft Windows Server 2003 SP2, được sử dụng trong nhiều công ty Cuba. Xin lỗi tôi không có đĩa cài đặt phiên bản Máy chủ 2008 hoặc nâng cao hơn. Họ tha thứ cho tôi tiếng Anh, nhưng trình cài đặt duy nhất tôi có là ngôn ngữ đó.
Mời bạn và đọc bài viết Samba:SmbClient được xuất bản trên cùng trang web này để họ có ý tưởng về những người dùng được tạo trong Bộ điều khiển miền.
Nếu chúng tôi sử dụng địa chỉ IP cố định cho Debian của mình, chúng tôi phải khai báo bản ghi loại "A" và bản ghi tương ứng của nó trong Vùng Đảo ngược trong DNS của Bộ điều khiển miền.
Chúng tôi luôn khuyến nghị khi chúng ta làm việc trên mạng với máy tính Linux và Windows, hãy bật dịch vụ WINS (Dịch vụ tên Internet của Windows) tốt nhất là trong Bộ điều khiển miền.
Yêu cầu tối thiểu trên máy Debian
Tập tin / Etc / resolv.conf nên có nội dung sau:
tìm kiếm máy chủ định danh amigos.cu 10.10.10.30
Chúng tôi thực hiện:
$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu có địa chỉ 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; PHẦN TRẢ LỜI: 30.10.10.10.in-addr.arpa. 1200 IN PTR w2003.amigos.cu. [----]
Chúng tôi cài đặt các gói cần thiết và cấu hình
# aptitude cài đặt ngón tay samba winbind smbclient
Trong quá trình cài đặt gói samba, chúng tôi sẽ được hỏi về tên của Nhóm làm việc, trong ví dụ của chúng tôi là BẠN B.
Chúng tôi lưu tệp gốc smb.conf và sau đó chúng tôi làm trống nó:
# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf
Chúng tôi chỉnh sửa tệp smb.conf và chúng tôi để lại nó với nội dung sau:
[global] ### Network Browser - Identification ### workgroup = FRIENDS server string =% h server win server = 10.10.10.30 dns proxy = no ### Network Connection ### interface = 127.0.0.0/8 eth0 chỉ ràng buộc giao diện = yes hosts allow = 10.10.10.0/255.255.255.0 ### Debugging ### log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 hoảng loạn action = / usr / share / samba / crazy-action% d ### AUTHENTICATION ### security = miền mã hóa mật khẩu = yes local master = no domain master = no favourite master = no ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 template shell = / bin / bash winbind use default domain = Yes winbind rpc only = yes winbind offline logon = yes ### Linh tinh ### người dùng không hợp lệ = root template homedir = / home /% D /% U đăng ký chia sẻ = No # unix charset = ISO-8859-1 # display charset = ISO-8859 -1
Chúng tôi kiểm tra cú pháp cơ bản của tệp smb.conf:
#testparm
Chúng tôi chỉnh sửa tệp /etc/nsswitch.conf và chúng tôi sửa đổi các dòng sau:
[----] mật khẩu: tập tin winbind nhóm: tập tin winbind shadow: compat hosts: files dns thắng [----]
Chúng tôi tham gia Debian vào Miền và kiểm tra
# service winbind stop # service samba restart # service winbind start # net rpc join -U Administrator # service winbind stop # service samba restart # service winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # finger trancos # getent passwd trancos # getent nhóm "Người dùng miền"
Tất nhiên, Tài khoản máy sẽ được tạo chính xác trong Bộ điều khiển miền.
Cho đến nay, chúng tôi thấy rằng chúng tôi có thể có được thông tin chính xác về Tên miền, cũng như người dùng của nó.
Trong các bài viết sau, chúng ta sẽ tìm hiểu cách chia sẻ tài nguyên để người dùng đã đăng ký trong Miền có thể sử dụng chúng, tức là chúng ta có thể cung cấp tệp cho người dùng Miền của Microsoft, cả từ máy trạm và máy chủ chuyên dụng.
Chúng tôi cho phép đăng nhập của Người dùng miền trong Debian của chúng tôi
Khi chúng tôi cài đặt gói winbind, Debian tự động định cấu hình Mô-đun Xác thực Có thể cài đặt hoặc Mô-đun xác thực có thể cắm PAM.
Tuy nhiên, nếu chúng tôi cố gắng bắt đầu một phiên với tư cách là Người dùng miền, thông qua SSH hoặc phiên đồ họa, chúng tôi sẽ nhận được thông báo "Lỗi xác thực".
Đó là vì các tệp của mô-đun PAM, cụ thể hơn là auth chung được tạo bao gồm xác thực thông qua Kerberos, KHÔNG được sử dụng khi chúng tôi khai báo bảo mật = miền trong kho lưu trữ smb.conf.
Để chúng tôi bắt đầu một phiên qua SSH hoặc đồ họa, chúng tôi phải sửa đổi thủ công các tệp:
- /etc/pam.d/common-auth
- /etc/pam.d/common-session
/etc/pam.d/common-auth
Chúng tôi xóa khỏi dòng đề cập đến pam_winbind.so, các thông số liên quan đến krb5. Phần đó sẽ trông như thế này:
[----] # đây là các mô-đun cho mỗi gói (khối "Chính") auth [thành công = 2 mặc định = bỏ qua] pam_unix.so nullok_secure auth [thành công = 1 mặc định = bỏ qua] pam_winbind.so cache_login try_first_pass [----]
/etc/pam.d/common-session
[----] phiên bắt buộc pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Dòng trên phải được bao gồm TRƯỚC # đây là các mô-đun cho mỗi gói (khối "Chính") [----]
Chúng tôi khởi động lại các dịch vụ liên quan
# service winbind stop # ervice samba restart # service winbind start # service ssh restart
Các sửa đổi ở trên đối với tệp cấu hình PAM sẽ cho phép người dùng Miền bắt đầu phiên SSH hoặc cục bộ trên máy trạm Debian của chúng tôi.
Thư mục chính của mỗi người dùng cũng sẽ được tạo khi họ đăng nhập lần đầu tiên. Các thư mục hoặc thư mục cá nhân sẽ được tạo trong / home / DOMAIN / domain-user.
Nếu có bất kỳ khó khăn nào trong quá trình đăng nhập đồ họa, chúng tôi khuyên bạn nên khởi động lại trình quản lý đăng nhập đồ họa (gdm3, kdm, v.v.) và nếu không đủ, hãy khởi động lại máy trạm.
Để hạn chế hoặc hạn chế quyền truy cập qua SSH vào Debian của chúng tôi, chúng tôi phải chỉnh sửa tệp / etc / ssh / sshd_config và thêm vào cuối:
AllowUsers myuser-local strides root
Trong ví dụ của chúng tôi, sải bước là người dùng miền mà chúng tôi muốn cho phép đăng nhập qua SSH, trong khi xeon là người dùng cục bộ.
Chúng tôi cũng có thể đưa vào tệp / etc / sudoers sử dụng lệnh thị thực, cho một hoặc nhiều người dùng của Miền.
[----] # Đặc tả đặc quyền người dùng root ALL = (ALL) ALL xeon ALL = (TẤT CẢ) TẤT CẢ các bước TẤT CẢ = (TẤT CẢ) TẤT CẢ [----]
Mẹo khi chúng tôi làm việc tại Máy tính để bàn
Trong trường hợp chúng tôi muốn làm việc trên Máy tính để bàn hoặc Máy trạm với đăng nhập đồ họa và môi trường đồ họa, chúng tôi phải làm cho người dùng miền sẽ đăng nhập cục bộ, thành viên của ít nhất các nhóm sau: cdrom, đĩa mềm, âm thanh, video y plugdev. Nếu chúng tôi sử dụng modem để kết nối với mạng bên ngoài, chúng tôi cũng phải biến chúng thành thành viên của nhóm nhúng.
Trong trường hợp của Squeeze, nếu chúng ta muốn loại bỏ danh sách người dùng ở đầu phiên đồ họa, trong trường hợp của gdm3, chúng ta chỉnh sửa tệp /etc/gdm3/greeter.gconf-defaultsvà bỏ ghi chú tùy chọn / apps / gdm / simple-welcomeer / disable_user_listvà chúng tôi thay đổi giá trị của nó thành đúng.
Chúng tôi hy vọng họ không thấy những gì được giải thích phức tạp hoặc ma quỷ. Hãy luôn nhớ rằng khi sử dụng Samba Suite trên Linux, chúng tôi thực tế mô phỏng hầu hết các chức năng của Windows liên quan đến mạng SMB / CIFS ... và hơn thế nữa. Microsoft cung cấp "Bảo mật" để đổi lấy Bóng tối. Về phần mình, Linux, mặc dù thoạt đầu có vẻ hơi phức tạp nhưng lại cung cấp Bảo mật, Minh bạch và Tự do.
Có gì để đọc? Nỗ lực là xứng đáng!
Và hoạt động đã kết thúc cho ngày hôm nay, các bạn. Cho đến cuộc phiêu lưu tiếp theo !!!.
Ghi: Chúng tôi đã thử nghiệm quy trình được mô tả trong ba Mức chức năng của Miền Microsoft, đó là Hỗn hợp, Bản địa 2000 và Bản địa 2003.
Bài viết rất hay, tôi xin chúc mừng bạn, một câu hỏi mà bạn có thể thực hiện một bài về cách tạo máy chủ tên miền với samba4, là tôi có nghi ngờ và một phần là tôi chưa bao giờ làm pdc với samba và họ nói tôi không biết rằng samba4 đã cải thiện rất nhiều, xin chào
Cảm ơn TẤT CẢ đã bình luận !!!.
@Erick: bắt đầu đơn giản. Cài đặt ClearOS hoặc thứ gì đó tương tự như PDC. Tôi đã giúp cài đặt và cấu hình nó trong 3 doanh nghiệp nhỏ. Lớn nhất với 50 đội, và họ hoạt động rất tốt. Việc quản trị rất đơn giản.
@Jesus Israel Perales Martinez: Không cần thiết phải cài đặt Samba. Bây giờ nếu một "mạng tệp bình thường" mà bạn có nghĩa là mạng SMB / CIFS, thì nó được khuyến khích.
@denis: Cảm ơn bạn vì những lời cảm ơn và động viên.
@DanielC: Có vẻ như bạn đã bắt được họ "đỏ mặt". 🙂
Một câu hỏi đặt ra là nếu tất cả máy tính của tôi sử dụng GNU thì tôi có cần thiết phải sử dụng samba để chia sẻ tệp của mình không hay tôi có thể làm điều đó với nfs không, nếu vậy, bạn có thể làm hướng dẫn chia sẻ tệp bằng nfs không, tôi biết rằng tôi có thể tải xuống mọi thứ bằng ssh và gửi tệp bằng ftp, cũng cho ứng dụng khách web và những người khác nhưng tôi muốn thiết lập mạng "tệp bình thường"
Xin chào bạn của tôi, trước hết tôi muốn cảm ơn bạn vì tất cả những gì bạn làm hàng ngày với sự sẵn lòng giúp đỡ người khác ngay cả khi bạn hầu như không biết họ.
Rất tốt tất cả các bài báo của bạn, tôi thực sự nói với bạn rằng nhờ chúng tôi đã hình thành gần như một sysadmin mặc dù tôi biết rằng tôi vẫn còn một chặng đường dài phía trước.
Tôi vừa mới đọc chủ đề này trên RSS feed, và tôi đã nhận được các bản cập nhật về samba.
Vì vậy, sau đó họ không nói rằng Ubuntu không gián điệp! : B
ROFL!
Ubuntu không gián điệp, Amazon thì có.
Đây là công thức mà tôi đã thực hiện cụ thể cho Debian trong lĩnh vực ADS https://wiki.debian.org/SAMBAclienteWindows
Với tham số bảo mật = quảng cáo, có rất nhiều bài viết trên web. Tuy nhiên, bài viết tiếp theo của tôi sẽ giải quyết cùng chủ đề đó.
Tôi thực sự sẽ phải xem xét người đàn ông Samba để có thể chia sẻ các thư mục cho mạng LAN với Windows.
Tái bút: Nhóm Debian Mozilla cuối cùng đã phát hành Iceweasel 24.
Xin chào, thông tin mà bạn đã chia sẻ ở đây thật hay, tôi đang bắt đầu thực hiện quá trình di chuyển thử nghiệm với máy chủ debian như file & print nhưng tôi cần xác thực những người dùng có windows 7 và XP với miền (windows 2000) mà tôi có đã ở trong. đang tìm kiếm và tôi đã không thấy nó ...
Cảm ơn
Xin chào, tôi nghĩ vấn đề với Debian và các dẫn xuất của nó là họ không biết hoặc biết và không muốn làm điều đó, để làm cho mọi thứ dễ dàng hơn cho người dùng phổ thông. Tôi là người dùng phiên bản opensuse và việc cấu hình mạng gia đình hoặc mạng văn phòng rất dễ dàng. Với máy tính đã cài đặt opensuse và windows xp-7, chúng chia sẻ tệp và máy in. Tất cả tác vụ này được thực hiện với Yast, nghĩa là, không cần nhập thiết bị đầu cuối và phải viết tất cả những điều này. Một sự điên rồ thực sự trong Debian. Với debian Wheezy sau một tuần viết mã, tôi không thể in ra máy in dùng chung trên máy tính windows xp. Với opensuse với 4 bước tên máy tính dùng chung máy in (xp), tên máy in dùng chung (xp), tên người dùng và mật khẩu. Và đó là nó, để chia sẻ một máy in khốn khổ và một số tệp gia đình, bạn không cần phải là một chuyên gia viết mã. Chưa kể CUPS. cốcd, vv. Làm điều gì đó thân thiện với người dùng thông thường.
Rất đồng ý với bạn. Debian nổi tiếng với việc đưa mọi thứ trở nên khó khăn trong môi trường Máy tính để bàn. Và về mặt dịch vụ, OpenSuse và CentOS làm cho cuộc sống của Quản trị viên dịch vụ dễ dàng hơn nhiều. Tuy nhiên, tôi đã quen với Debian và đó là Debian tôi thích hơn. 🙂
Cảm ơn vì đã bình luận !!!.
Bạn luôn phải thực hiện các giao dịch. Debian có chất lượng cao làm tổn hại đến các tính năng khác. Cần phải sử dụng tốt thời gian và Debian dành thời gian đó cho sản phẩm của mình và suy nghĩ nhiều hơn về việc triển khai nó trên máy chủ. Những người quản lý máy chủ không có nhu cầu như các loại người dùng khác.
Tôi đã thử các bản phân phối khác và chỉ Arch có độ ổn định tương tự. Phần còn lại được tự động hóa cao; nhưng nó phát sinh nhiều vấn đề khi sử dụng nó cho các máy chủ.
Đó là ý kiến cá nhân của tôi và nó rất chủ quan.
Thông tin rất tốt, cảm ơn bạn rất nhiều. Có bài viết nào về cách hiệu quả nhất để tạo sao lưu tự động từ máy chủ Linux truy cập máy tính Windows theo miền không? cảm ơn
Nếu bạn thử Rsync thì đó là nền tảng chéo
Xin chào, tôi đã gặp lỗi khi kiểm tra # net rpc tham gia -U Administrator và tôi đã giải quyết được bằng cách thêm
trong /etc/samba/smb.conf domains = your domain.local