Samba server Windowsi domeenikontrollerina

Allikas: Kuutõrvaja

Samba server Windowsi domeenikontrollerina

Windowsi domeenikontrolleriks konfigureeritud Samba server võimaldab kasutajaid autentida ning hoida kasutajate Windowsi profiile. Nii saab kasutaja suvalisse Windowsi domeeni kuuluvasse arvutisse, so W98 või NT tööjaama, sisse logida oma Samba kasutajanime ja parooliga. Lisaks saab seada Samba serveri sisselogimise eel ja väljalogimise järel käivitada nn logon ja logout skripte.

Windowsi domeenikontrolleriks seatud Samba server peab töötama kasutajarežiimis ning kasutama krüptitud paroole, kusjuures igal Windowsi domeeni masinal peab olema vastav UNIXi kasutaja.

Windowsi domeenikontrolleriks oleva Samba serveri konfiguratsioonifaili näide

Paneme Samba serveri tööle selliselt, et ta hakkab teenindama Windowsi domeeni ZOO. Lisaks näitame, kuidas seada Windows NT masin kalake kuuluma sellesse domeeni. Kui kalakesse logib kasutaja sisse, siis ühendatakse talle Windowsis külge tema UNIXi kodukataloog võrgukettana Z:\ ja failiteenus //samba/avalik võrgukettana Y:\.

Kasutame näiteks sellist konfiguratsioonifaili

[global]
  workgroup = ZOO
  security = user
  encrypt passwords = yes
  server string = Samba Server %v
  domain logons = yes
  logon script = startup.bat

[netlogon]
  path = /usr/local/samba/lib/netlogon
  public = yes
  writeable = no
  browseable = no

[avalik]
  comment = Kõigile kirjutamiseks ja lugemiseks
  path = /home/avalik
  writeable = yes
  public = yes
  guest account = samba
  guest only = yes

Konfiguratsioonifaili patameetrid:

  • workgroup - Windowsi domeeni nimi
  • domain logons - Samba tegutseb Windowsi domeenikontrollerina (PDC)
  • logon script - näitab, millises failis asub logon skript
  • path - näitab, millises kataloogis asub logon skript

Skripti sisu, kusjuures read peavad lõppema DOSi reavahetusega

net use y: \\samba\avalik

DOSi reavahetuste saamiseks uurige näiteks tekstiredaktor Joe kasutamist või moodustage fail Windowsis ning kopeerige FTPga UNIXisse, kusjuures kasutage binary režiimi.

Kasutaja kodukataloog ühendatakse vaikimisi külge Z:\ kettaks.

Windowsi domeeni kliendi konfigureerimine

Samba 2.0.x versiooni Windowsi domeeni kliendiks saab olla Windows 98, NT või XP. Windowsi domeeni kuuluvatele Windowsi masinatel ei tule tekitada kasutajaid. Õigesti konfigureeritud süsteemis asuvad kasutajaid puutuvad failid serveris, samuti kasutaja autentimiseks vajalik info. Põhimõtteliselt tuleb Windowsi klientidele installeerida vaid operatsioonisüsteem, rakendusprogrammid ning seada masin domeeni kuuluma.

Serveri poolel

Selleks tekitage käsitsi UNIXi paroolifaili /etc/passwd iga kliendi ehk arvuti jaoks mis domeenikontrollerit kasutab rida

kalake$:*:505:100:kalake:/dev/null:/bin/false

kus 505 on kasutaja ID, st see peab olema paroolifailis igal real erinev.

Seda lisamist saab ka lihtsustada smb.conf failis direktiivigaadd machine script

add machine script = /usr/sbin/useradd -c Machine -d /dev/null -g machines -s /bin/false %u

Seejärel tekitage selliselt vastav Samba kasutaja

# smbpasswd -a -m kalake

NB! smbpassed käsk ei tööta uuematel samba versioonidel (nt 3.5) ja seal vaja kasutada käsku pdbedit, näiteks

# pdbedit -a -m kalake

Kui te Windowsi üle installeerite, siis peab enne Windowsi järjekordset domeeni ühendamist tema masina Samba parooli uuendama sama käsuga.

Kustutamise skript oleks:

delete user script = /usr/sbin/userdel -r %s

Kliendi so Windowsi poolel

windows 98

Avage Control Panelis Network -> Identification ning seadke sobivaks masina nimi ja näidake ta domeeni kuuluvaks

Account.gif

Sel ajal peab sobivalt konfigureeritud Samba server töötama.

Kui toiming õnnestus, saate sellise teate

Wcz.gif

Windows XP /2000

Control Panel > System > Computer Name

Confxz.jpg

Samba uuendamine

Oluline on hpoida SID sama muidu tuleb kõik domeenis olevad arvutid taaskord domeeni lisada

Abiks käsud

net getlocalsid     Get the SID for the local domain
net setlocalsid     Set the SID for the local domain
net setdomainsid    Set domain SID on member servers
net getdomainsid    Get domain SID on member servers

Näiteks vanal serveril

net getlocalsid ZOO
SID for domain ZOO is: S-1-5-21-3193598704-2875427652-2614662065

ja uuel serveril

# net setlocalsid

Seejärel, et sid kirjutataks ka secrets.tdb faili tuleb anda käsk

net rpc getsid

Lingid

Samba abil windowsi policy tekitamisest

http://www.pcc-services.com/custom_poledit.html

Samba 4 esialgne howto

http://wiki.samba.org/index.php/Samba4/HOWTO

FreeBSD ja Samba

http://www.csua.berkeley.edu/~ranga/notes/freebsd_samba.html