你好朋友!。 桑巴 让我们团结起来 Debian 到一个 Microsoft网域 从根本上取决于我们如何声明选项的两种不同方式 保安 在档案中 配置文件.
安全=域
机器必须使用以下命令加入域 净RPC连接。 参数 加密密码 在档案中 配置文件,必须设置为 true o 含,这是其默认值。
桑巴 它将通过将用户和密码凭据准确地传递到域控制器NT 4来将它们传递到域控制器,从而对其进行验证。
安全=域 这是我们在本文中将开发的方法.
安全性= ADS:在此模式下 桑巴 将作为王国的域成员(境界)。 为此,必须在Debian计算机上安装并配置客户端。 Kerberos的,并通过命令将其加入Active Directory 净广告加入.
此模式不会使Samba充当Active Directory域控制器。
我们会看到:
- 样本网络主要参数
- 域控制器中的最低要求
- Debian机器上的最低要求
- 我们安装必要的软件包并进行配置
- 我们将Debian加入域并进行必要的检查
- 我们允许在Debian中登录域用户
- 在台式机工作时的提示
样本网络主要参数
- 域控制器:Windows 2003 Server SP2企业版。
- 控制器名称:w2003
- 域名:amigos.cu
- 控制器IP:10.10.10.30
- ---------------
- Debian版本:挤压(6.0.7)[:-$ cat / etc / debian_version]
- 队名:压错
- IP地址:10.10.10.15
- 桑巴版:2:3.5.6〜dfsg-3squeeze9
- Winbind版本:2:3.5.6〜dfsg-3squeeze9
- 带有GDM3的GNOME桌面环境
- ---------------
- Debian版本:Wheezy 7.0
- 队名:miwheezy
- IP地址:10.10.10.20
- 桑巴版:2:3.6.6-6
- Winbind版本:2:3.6.6-6
- 带有GDM4的Xfce3桌面环境
域控制器中的最低要求
最初针对在CentOS上从“ ClearOS Enterprise 5.2 SP-1”配置的域控制器对本文描述的方法进行了测试,并且一切正常。 不用说它是自由软件。
我们将引用域控制器 Microsoft Windows Server 2003 SP2企业版,在许多古巴公司中使用。 抱歉,我没有版本安装光盘 服务器2008“ 或更高级的他们原谅我英语,但我唯一的安装程序是那种语言。
请阅读这篇文章 桑巴舞:SmbClient 在同一网站上发布,以便他们对在域控制器中创建的用户有所了解。
如果我们为Debian使用固定IP地址,则必须在域控制器的DNS的反向区域中声明“ A”类型的记录及其对应的记录。
当我们在装有Linux和Windows计算机的网络上工作时,始终建议启用WINS服务(Windows Internet名称服务),最好在域控制器中。
Debian机器上的最低要求
文件 / etc / resolv.conf中 应该具有以下内容:
搜索amigos.cu名称服务器10.10.10.30
我们执行:
$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu地址为10.10.10.30 $ dig -x 10.10.10.30 [----] ;; 解答:30.10.10.10.in-addr.arpa。 1200 IN PTR w2003.amigos.cu。 [----]
我们安装必要的软件包并进行配置
#aptitude安装samba winbind smbclient finger
软件包安装期间 桑巴,我们将被要求提供工作组的名称,在我们的示例中为 朋友.
我们保存原始文件 配置文件 然后我们将其清空:
#cp /etc/samba/smb.conf /etc/samba/smb.conf.original#cp / dev / null /etc/samba/smb.conf
我们编辑文件 配置文件 并保留以下内容:
[全局] ###网络浏览器-标识###工作组= FRIENDS服务器字符串=%h服务器获胜服务器= 10.10.10.30 dns代理=否###网络连接###接口= 127.0.0.0/8 eth0绑定接口仅=是主机允许= 10.10.10.0/255.255.255.0 ###调试###日志文件= /var/log/samba/log.%m最大日志大小= 1000 syslog = 0紧急操作= / usr / share /桑巴舞/惊慌行动%d ###验证###安全= 域 加密密码=是本地主机=没有域主机=没有首选主机=否### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000模板shell = / bin / bash winbind使用默认域=是winbind rpc仅=是winbind脱机登录=是###其他###无效用户=根模板homedir = / home /%D /%U注册表共享=否#unix字符集= ISO-8859-1#显示字符集= ISO-8859 -1
我们检查文件的基本语法 配置文件:
#testparm
我们编辑文件 /etc/nsswitch.conf 并且我们修改了以下几行:
[----] passwd: winbind文件 组: winbind文件 阴影:兼容主机:文件dns胜出[----]
我们将Debian加入域并进行检查
#service winbind stop#service samba restart#service winbind start#net rpc join -U管理员#service winbind stop#service samba restart#service winbind start#net rpc testjoin -U Administrator#net rpc info -U Administrator#wbinfo -u# wbinfo -g#手指大步前进#getent passwd大步前进#getent组“域用户”
当然,将在域控制器中正确创建计算机帐户。
到目前为止,我们已经看到我们可以获得有关域及其用户的正确信息。
在后面的文章中,我们将学习如何共享资源,以便域中注册的用户可以使用它们,也就是说,我们可以从工作站和专用服务器为Microsoft域的用户提供文件。
我们允许在Debian中登录域用户
当我们安装软件包 winbind的,Debian会自动配置可嵌入的身份验证模块或 可插拔身份验证模块 PAM。
但是,如果我们尝试通过SSH或图形会话以域用户身份启动会话,则会收到消息“身份验证失败”。
这是因为PAM模块的文件,更具体地说是 普通认证 已生成,包括通过Kerberos的身份验证,当我们声明时不会使用 安全=域 在档案中 配置文件.
为了使我们能够通过SSH或图形方式启动会话,我们必须手动修改文件:
- /etc/pam.d/common-auth
- /etc/pam.d/共同会话
/etc/pam.d/common-auth
我们从引用的行中删除 pam_winbind.so,相关参数 krb5。 该部分看起来像这样:
[----]#这是每个软件包的模块(“主”块)auth [成功= 2默认=忽略] pam_unix.so nullok_secure auth [成功= 1默认=忽略] pam_winbind.so cached_login try_first_pass [----]
/etc/pam.d/共同会话
[----] 所需的会话pam_mkhomedir.so skel = / etc / skel / umask = 0022 ###上面的行必须包含在#之前#这是每个软件包的模块(“主”块)[----]
我们重启涉及的服务
#服务winbind停止#服务samba重新启动#服务winbind启动#服务ssh重新启动
对PAM配置文件的上述修改将使Domain用户可以在我们的Debian工作站上发起SSH会话或在本地发起SSH会话。
每个用户的主目录也将在他们首次登录时创建。 个人文件夹或目录将在 /主页/ DOMAIN /域用户.
如果图形登录有任何困难,我们建议重新启动图形登录管理器(gdm3, KDM等),如果还不够,请重新启动工作站。
要通过SSH限制或限制对Debian的访问,我们必须编辑该文件 的/ etc / SSH / sshd_config中 并在末尾添加:
AllowUsers myuser-local跨步为root
在我们的示例中 大步向前 是我们要允许通过SSH登录的域用户,而 至强 是本地用户。
我们也可以在文件中 / etc / sudoers 使用命令 维苏多,一个或多个域用户。
[----]#用户权限规范root ALL =(ALL)ALL xeon ALL =(ALL)ALL跨越ALL =(ALL)ALL [----]
在台式机工作时的提示
如果要在具有图形登录和图形环境的台式机或工作站上工作,我们必须使要在本地登录的域用户至少属于以下组的成员: cdrom,软盘,音频,视频 y 插件开发。 如果我们使用调制解调器连接到外部网络,则还必须使它们成为该组的成员。 沾.
对于Squeeze,如果要在图形会话开始时消除用户列表,对于gdm3,我们将编辑文件 /etc/gdm3/greeter.gconf-默认值,然后取消注释该选项 / apps / gdm /简单问候/ disable_user_list,我们将其值更改为 true.
我们希望他们不要认为所解释的是复杂的或令人讨厌的。 在Linux上使用Samba套件时,请始终牢记,我们实际上模拟了几乎所有与SMB / CIFS网络有关的Windows功能……等等。 Microsoft提供“安全性”以换取Darkness。 就Linux而言,尽管乍一看似乎有些复杂,但它提供了安全性,透明性和自由性。
有什么要看的? 努力是值得的!
朋友们,活动今天结束了。 直到下一次冒险!
注意:我们测试了Microsoft域的三个功能级别(即Mixed,Native 2000和Native 2003)中描述的过程。
非常好的帖子,我向你的朋友表示祝贺,一个问题是你可以发表关于如何使用samba4制作域服务器的问题,那就是我有疑问,并且我有一部分从未与samba进行过pdc,他们说我不知道samba4改善很多,问候
感谢所有评论!
@Erick:从简单开始。 安装ClearOS或类似PDC的东西。 我已经帮助3个小型企业安装和配置了它。 拥有50支队伍中最古老的一支,他们运作良好。 管理非常简单。
@耶稣以色列Perales Martinez:不需要安装Samba。 现在,如果“正常文件网络”是指SMB / CIFS网络,则建议使用。
@denis:谢谢您的感谢和鼓励。
@DanielC:好像您是抓住他们的。 🙂
一个问题,如果我的所有个人电脑都使用GNU,是否有必要使用samba来共享我的文件,或者我可以使用nfs来进行共享?如果是的话,你能做一个使用nfs来共享文件的教程吗,我知道我可以通过ssh下载所有内容并通过ftp发送文件,也适用于Web客户端和其他人,但我想设置一个“普通文件”网络
您好,我的朋友,我首先要感谢您每天所做的一切,即使您几乎不认识别人,也愿意提供帮助。
很好,您的所有文章,我真的告诉您,由于他们,我几乎已经组建了系统管理员,尽管我知道我还有很长的路要走。
我刚刚在RSS feed上阅读了此主题,并且得到了samba更新。
因此,他们就不会说Ubuntu不会间谍! :B
ROFL!
Ubuntu不会监视,Amazon可以监视。
这是我在ADS领域中专门针对Debian的食谱 https://wiki.debian.org/SAMBAclienteWindows
带参数 安全性=广告,网络上有很多帖子。 但是,我的下一篇文章将讨论相同的主题。
我真的必须看看Samba管理员才能与Windows共享LAN的文件夹。
PS:Debian Mozilla团队已经终于发布了Iceweasel 24。
您好,您在这里共享的信息有多好,我开始使用文件和打印之类的Debian服务器进行测试迁移,但是我需要具有Windows 7和XP的用户才能通过我已经使用过的域(Windows 2000)进行身份验证看,我还没看过...
谢谢
您好,我认为Debian及其衍生产品的问题在于他们不了解或不希望这样做,以便为普通用户提供便利。 我是opensuse版本的用户,配置家庭或办公室网络非常容易。 使用具有opensuse和Windows xp-7的计算机,它们共享文件和打印机。 所有这些任务都是由Yast完成的,也就是说,无需进入终端并必须编写所有这些内容。 Debian中的真正疯狂。 经过一周的代码编写工作,使用debian Wheezy无法在Windows XP计算机上使用共享打印机进行打印。 使用带有4个步骤的opensuse共享打印机的计算机名称(xp),共享打印机的名称(xp),用户名和密码。 就是这样,共享一个痛苦的打印机和一些主文件,您不必成为代码专家。 更不用说CUPS了。 cupsd等做一些普通的用户友好的事情。
强烈同意你的看法。 Debian以在桌面环境中处理困难而闻名。 在服务方面,OpenSuse和CentOS使服务管理员的工作变得更加轻松。 但是,我已经习惯了Debian,这是我更喜欢的一种。 🙂
感谢您的评论!
您总是必须进行交易。 Debian具有高品质,不利于其他功能。 需要充分利用时间,Debian将其专用于产品,以更多地考虑其在服务器上的实现。 管理服务器的人员与其他类型的用户没有相同的需求。
我尝试了其他发行版,但只有Arch具有相同的稳定性。 其余的都是高度自动化的。 但在用于服务器时会产生许多问题。
这是我个人的看法,非常主观。
非常好的信息,非常感谢。 关于从访问域下Windows计算机的Linux服务器进行自动备份的最有效方法,是否有任何文章? 谢谢
如果您尝试Rsync,它是跨平台的
下午好,我在检查#net rpc join -U Administrator时出错,我通过添加解决了该问题
在/etc/samba/smb.conf中,领域=您的domain.local