Samba server Windowsi domeenikontrollerina
Sisukord
Samba server Windowsi domeenikontrollerina
Windowsi domeenikontrolleriks konfigureeritud Samba server võimaldab kasutajaid autentida ning hoida kasutajate Windowsi profiile. Nii saab kasutaja suvalisse Windowsi domeeni kuuluvasse arvutisse, so W98 või NT tööjaama, sisse logida oma Samba kasutajanime ja parooliga. Lisaks saab seada Samba serveri sisselogimise eel ja väljalogimise järel käivitada nn logon ja logout skripte.
Windowsi domeenikontrolleriks seatud Samba server peab töötama kasutajarežiimis ning kasutama krüptitud paroole, kusjuures igal Windowsi domeeni masinal peab olema vastav UNIXi kasutaja.
Windowsi domeenikontrolleriks oleva Samba serveri konfiguratsioonifaili näide
Paneme Samba serveri tööle selliselt, et ta hakkab teenindama Windowsi domeeni ZOO. Lisaks näitame, kuidas seada Windows NT masin kalake kuuluma sellesse domeeni. Kui kalakesse logib kasutaja sisse, siis ühendatakse talle Windowsis külge tema UNIXi kodukataloog võrgukettana Z:\ ja failiteenus //samba/avalik võrgukettana Y:\.
Kasutame näiteks sellist konfiguratsioonifaili
[global] workgroup = ZOO security = user encrypt passwords = yes server string = Samba Server %v domain logons = yes logon script = startup.bat [netlogon] path = /usr/local/samba/lib/netlogon public = yes writeable = no browseable = no [avalik] comment = Kõigile kirjutamiseks ja lugemiseks path = /home/avalik writeable = yes public = yes guest account = samba guest only = yes
Konfiguratsioonifaili patameetrid:
- workgroup - Windowsi domeeni nimi
- domain logons - Samba tegutseb Windowsi domeenikontrollerina (PDC)
- logon script - näitab, millises failis asub logon skript
- path - näitab, millises kataloogis asub logon skript
Skripti sisu, kusjuures read peavad lõppema DOSi reavahetusega
net use y: \\samba\avalik
DOSi reavahetuste saamiseks uurige näiteks tekstiredaktor Joe kasutamist või moodustage fail Windowsis ning kopeerige FTPga UNIXisse, kusjuures kasutage binary režiimi.
Kasutaja kodukataloog ühendatakse vaikimisi külge Z:\ kettaks.
Windowsi domeeni kliendi konfigureerimine
Samba 2.0.x versiooni Windowsi domeeni kliendiks saab olla Windows 98, NT või XP. Windowsi domeeni kuuluvatele Windowsi masinatel ei tule tekitada kasutajaid. Õigesti konfigureeritud süsteemis asuvad kasutajaid puutuvad failid serveris, samuti kasutaja autentimiseks vajalik info. Põhimõtteliselt tuleb Windowsi klientidele installeerida vaid operatsioonisüsteem, rakendusprogrammid ning seada masin domeeni kuuluma.
Serveri poolel
Selleks tekitage käsitsi UNIXi paroolifaili /etc/passwd iga kliendi ehk arvuti jaoks mis domeenikontrollerit kasutab rida
kalake$:*:505:100:kalake:/dev/null:/bin/false
kus 505 on kasutaja ID, st see peab olema paroolifailis igal real erinev.
Seda lisamist saab ka lihtsustada smb.conf failis direktiivigaadd machine script
add machine script = /usr/sbin/useradd -c Machine -d /dev/null -g machines -s /bin/false %u
Seejärel tekitage selliselt vastav Samba kasutaja
# smbpasswd -a -m kalake
NB! smbpassed käsk ei tööta uuematel samba versioonidel (nt 3.5) ja seal vaja kasutada käsku pdbedit, näiteks
# pdbedit -a -m kalake
Kui te Windowsi üle installeerite, siis peab enne Windowsi järjekordset domeeni ühendamist tema masina Samba parooli uuendama sama käsuga.
Kustutamise skript oleks:
delete user script = /usr/sbin/userdel -r %s
Kliendi so Windowsi poolel
windows 98
Avage Control Panelis Network -> Identification ning seadke sobivaks masina nimi ja näidake ta domeeni kuuluvaks
Sel ajal peab sobivalt konfigureeritud Samba server töötama.
Kui toiming õnnestus, saate sellise teate
Windows XP /2000
Control Panel > System > Computer Name
Samba uuendamine
Oluline on hpoida SID sama muidu tuleb kõik domeenis olevad arvutid taaskord domeeni lisada
Abiks käsud
net getlocalsid Get the SID for the local domain net setlocalsid Set the SID for the local domain net setdomainsid Set domain SID on member servers net getdomainsid Get domain SID on member servers
Näiteks vanal serveril
net getlocalsid ZOO SID for domain ZOO is: S-1-5-21-3193598704-2875427652-2614662065
ja uuel serveril
# net setlocalsid
Seejärel, et sid kirjutataks ka secrets.tdb faili tuleb anda käsk
net rpc getsid
Lingid
Samba abil windowsi policy tekitamisest
http://www.pcc-services.com/custom_poledit.html
Samba 4 esialgne howto
http://wiki.samba.org/index.php/Samba4/HOWTO
FreeBSD ja Samba
http://www.csua.berkeley.edu/~ranga/notes/freebsd_samba.html