Το Samba ως Ελεγκτής Τομέα

Τεκμηρίωση του Ubuntu > Ubuntu 10.04 > > >

Το Samba ως Ελεγκτής Τομέα

Παρόλο που δεν μπορεί να λειτουργήσει σαν ένας Ελεγκτής Τομέα Ενεργού Καταλόγου (Active Directory Primary Domain Controller (PDC)), ένας διακομιστής Samba μπορεί να ρυθμιστεί να εμφανίζεται σαν ένας ελεγκτής τομέα σε στυλ Windows NT4. Ένα μείζων πλεονέκτημα αυτής της ρύθμισης είναι η ικανότητα να συγκεντρώνει τις πιστοποιήσεις του χρήστη και της μηχανής. Το Samba μπορεί επίσης να χρησιμοποιεί πολλαπλά προγράμματα υποστήριξης για να αποθηκεύει τις πληροφορίες του χρήστη.

Κύριος Ελεγκτής Τομέα

Αυτή η ενότητα καλύπτει τη ρύθμιση του Samba σαν ένα Κύριο Ελεγκτή Τομέα (Primary Domain Controller (PDC)) χρησιμοποιώντας το προεπιλεγμένο πρόγραμμα υποστήριξης smbpasswd.

Πρώτον, εγκαταστήστε τα Samba, και libpam-smbpass για να συγχρονίσετε τους λογαριασμούς χρηστών, πληκτρολογώντας τα ακόλουθα σε ένα τερματικό εντολών:
```
sudo apt-get install samba libpam-smbpass
```
Μετά, ρυθμίστε το Samba τροποποιώντας το /etc/samba/smb.conf. Η κατάσταση ασφάλεια θα πρέπει να τεθεί σε χρήστης, και η ομάδα εργασίας θα πρέπει να ταιριάζει στον οργανισμό σας:
```
   workgroup = EXAMPLE
   ...
   security = user
```

Στο σχόλιο του τομέα “Domains” εισάγετε ή αποσχολιάστε τα ακόλουθα:

   domain logons = yes
   logon path = \\%N\%U\profile
   logon drive = H:
   logon home = \\%N\%U
   logon script = logon.cmd
   add machine script = sudo /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false %u

domain logons: παρέχει την υπηρεσία netlogon που επιτρέπει το Samba να συμπεριφέρεται σαν ελεγκτής τομέα
logon path: τοποθετεί το προφίλ χρήστη των Windows στον αρχικό τους κατάλογο. Επίσης είναι δυνατό να ρυθμιστεί ένα διαμοιρασμένο [profiles] για να τοποθετηθούν όλα τα προφίλ σε ένα κατάλογο.
logon drive: προσδιορίζει το τοπικό μονοπάτι του αρχικού καταλόγου.
logon home:προσδιορίζει την τοποθεσία του αρχικού καταλόγου
logon script: καθορίζει το σενάριο που θα εκτελεστεί τοπικά όταν ένας χρήστη εισέρχεται. Το σενάριο χρειάζεται να τοποθετηθεί στο διαμοιρασμένο [netlogon].
add machine script: ένα σενάριο το οποίο αυτόματα θα δημιουργήσει τοMachine Trust Account που χρειάζεται ώστε ένας σταθμός εργασίας να εισέλθει στον τομέα.

Σε αυτό το παράδειγμα η ομάδα machines θα χρειαστεί να δημιουργηθεί χρησιμοποιώντας την λειτουργία addgroup δείτε το “Προσθήκη και Διαγραφή Χρηστών” για λεπτομέρειες.

Also, rights need to be explicitly provided to the Domain Admins group to allow the add machine script (and other admin functions) to work. This is achieved by executing:
```
net rpc rights grant "EXAMPLE\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
```


	Εάν επιθυμείτε να μη χρησιμοποιήσετε το Roaming Profiles αφήστε τις επιλογές logon home και logon path με σχόλια.

Διαγράψτε τα σχόλια του διαμοιρασμένου [homes] για να επιτραπεί η αντιστοίχηση στο logon home:
```
[homes]
   comment = Home Directories
   browseable = no
   read only = no
   create mask = 0700
   directory mask = 0700
   valid users = %S
```

Όταν ρυθμιστεί σαν ελεγκτής τομέα ένα διαμοιρασμένο [netlogon] χρειάζεται να ρυθμιστεί. Για να ενεργοποιήσετε το διαμοιρασμένο, διαγράψτε τα σχόλια:

[netlogon]
   comment = Network Logon Service
   path = /srv/samba/netlogon
   guest ok = yes
   read only = yes
   share modes = no

Το αρχικό μονοπάτι του διαμοιρασμένου netlogon είναι /home/samba/netlogon, αλλά σύμφωνα με την Πρότυπη Ιεραρχία αρχείων Συστήματος (Filesystem Hierarchy Standard (FHS)), /srv είναι η σωστή τοποθεσία για δεδομένα σχετικά με site που παρέχεται από το σύστημα.

Τώρα δημιουργήστε τον κατάλογο netlogon , και ένα άδειο (για τώρα) αρχείο σεναρίου logon.cmd :
```
sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd
```
Μπορείτε να εισάγετε οποιεσδήποτε εντολές σεναρίου των Windows στο logon.cmd για να προσαρμόσετε το περιβάλλον του πελάτη.

Με το root να είναι απενεργοποιημένο από προεπιλογή, για να εισέλθει ένας σταθμός εργασίας στον τομέα, μια ομάδα συστήματος πρέπει να αντιστοιχηθεί στην ομάδα των Windows Domain Admins. Χρησιμοποιώντας τη λειτουργία net, πληκτρολογήστε από ένα τερματικο:

sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d

Αλλάξτε το sysadmin σε όποια ομάδα προτιμάτε. Επίσης, ο χρήστης που χρησιμοποιείται για να εισέλθει στον τομέα πρέπει να είναι μέλος της ομάδας sysadmin, καθώς και και μέλος της ομάδας συστήματος admin. Η ομάδα admin επιτρέπει τη χρήση του sudo.

Τέλος, επανεκκινήστε το Samba για να ενεργοποιήσετε το νέο ελεγκτή τομέα:
```
sudo restart smbd
sudo restart nmbd
```
Θα μπορείτε τώρα να προσχωρήσετε πελάτες των Windows στον Τομέα με τον ίδιο τρόπο που τους προσχωρείτε σε έναν τομέα NT4 που τρέχει σε διακομιστή Windows.

Ελεγκτής Τομέα Αντιγράφου Ασφαλείας

Με έναν Κύριο Ελεγκτή Τομέα (Primary Domain Controller (PDC)) στο δίκτυο είναι καλύτερο να έχετε έναν Ελεγκτή Τομέα Αντιγράφου Ασφαλείας (Backup Domain Controller (BDC))επίσης. Αυτό θα επιτρέπει στους πελάτες πιστοποιούνται σε περίπτωση που ο Κύριος Ελεγκτής Τομέα δεν είναι διαθέσιμος.

Όταν ρυθμίζετε το Samba σαν Ελεγκτή Τομέα Αντιγράφου Ασφαλείας χρειάζεται έναν τρόπο να συγχρονίζετε τις πληροφορίες λογαριασμών με τον Κύριο Ελεγκτή Τομέα. Υπάρχουν πολλοί τρόποι για να το πετύχετε αυτό scp, rsync, ή χρησιμοποιώντας το LDAP ως passdb backend.

Η χρησιμοποίηση του LDAP είναι ο πιο αυτοδύναμος τρόπος να συγχρονίσετε τις πληροφορίες λογαριασμού, επειδή και οι δύο ελεγκτές τομέα μπορούν να χρησιμοποιήσουν τις ίδιες πληροφορίες σε πραγματικό χρόνο. Παρόλα αυτά, το να στήσετε έναν διακομιστή LDAP μπορεί να είναι πού περίπλοκο για ένα μικρό νούμερο χρηστών και λογαριασμών υπολογιστών. Δείτε “Samba και LDAP” για λεπτομέρειες.

Πρώτα, εγκαταστήστε τα samba και libpam-smbpass. Από ένα τερματικό πληκτρολογήστε:
```
sudo apt-get install samba libpam-smbpass
```
Τώρα, επεξεργαστείτε το /etc/samba/smb.conf και διαγράψτε τα σχόλια στο ακόλουθο [global]:
```
   workgroup = EXAMPLE
   ...
   security = user
```
Στο σχολιασμένο Domainsδιαγράψτε τα σχόλια ή προσθέστε:
```
   domain logons = yes
   domain master = no
```
Σιγουρευτείτε ότι ένας χρήστης έχει δικαιώματα ανάγνωσης των αρχείων στο /var/lib/samba. Για παράδειγμα, για να επιτρέπεται στους χρήστες στην ομάδα admin να scp τα αρχεία, πληκτρολογήστε:
```
sudo chgrp -R admin /var/lib/samba
```

Μετά, συγχρονίστε τους λογαριασμούς χρηστών, χρησιμοποιώντας το scp για να αντιγράψετε τον κατάλογο /var/lib/samba από τον Κύριο Ελεγκτή Τομέα:

sudo scp -r username@pdc:/var/lib/samba /var/lib


	Αντικαταστήστε το username με ένα έγκυρο όνομα χρήστη και pdc με το όνομα του κεντρικού υπολογιστή ή την IP διεύθυνση του κανονικού Κύριου Ελεγκτή Τομέα.

Τέλος, επανεκκινήστε το samba:
```
sudo restart smbd
sudo restart nmbd
```

Μπορείτε να ελέγξετε ότι ο Ελεγκτής Τομέα Αντιγράφου Ασφαλείας δουλεύει σταματώντας το Samba daemon στον Κύριο Ελεγκτή Τομέα, μετά προσπαθώντας να εισέλθετε σε έναν πελάτη των Windows που έχει προσχωρηθεί στον τομέα.

Κάτι άλλο που πρέπει να θυμάστε είναι αν ρυθμίσατε την επιλογή logon home σαν κατάλογο στον Κύριο Ελεγκτή Τομέα, και αυτός γίνει μη διαθέσιμος, η πρόσβαση στην μονάδα του χρήστη Home θα είναι επίσης μη διαθέσιμη. Για αυτό το λόγο είναι καλύτερο να ρυθμίσετε το logon home να βρίσκεται σε έναν ξεχωριστό διακομιστή από τον Κύριο Ελεγκτή Τομέα και τον Ελεγκτή Τομέα Αντιγράφου Ασφαλείας.

Πόροι

Για διαμορφώσεις του Samba σε βάθος δείτε το Samba HOWTO Collection
Ο οδηγός είναι επίσης διαθέσιμος σε έντυπη μορφή.
Το Χρησιμοποιώντας το Samba του O'Reilly είναι μια καλή παραπομπή.
Το Κεφάλαιο 4του Samba HOWTO Collection εξηγεί πως να στήσετε ένα Κύριο Ελεγκτή Τομέα.
Το Κεφάλαιο 5 του Samba HOWTO Collection εξηγεί πως να στήσετε έναν Ελεγκτή Τομέα Αντιγράφου Ασφαλείας.
The Ubuntu Wiki Samba page.


Ασφάλιση Αρχείου και Εκτυπωτή Διακομιστή Samba		Ενοποίηση Ενεργού Καταλόγου Samba