LXF170:Samba
Olkol (обсуждение | вклад) (→Танцы с Windows) |
Olkol (обсуждение | вклад) (→Танцы с Windows) |
||
Строка 205: | Строка 205: | ||
# cp /var/lib/samba/private/krb5.conf /etc | # cp /var/lib/samba/private/krb5.conf /etc | ||
{{Врезка|left|Заголовок=Что же такое Kerberos? |Ширина=98%|Содержание= | {{Врезка|left|Заголовок=Что же такое Kerberos? |Ширина=98%|Содержание= | ||
− | Kerberos – это протокол сетевой аутентификации, использующий систему разрешений для безопасной аутентификации без передачи пароля по сети. Это зрелый протокол, который ведет свое начало из MIT 1980-х, когда он был создан как решение проблем сетевой безопасности, и с 1987 года код его открыт (http://web.mit.edu/kerberos). Он используется контроллерами доменов Active Directory. | + | [[Файл: LXF170.feat_samba4.shema.png|left |400px |thumb|]] Kerberos – это протокол сетевой аутентификации, использующий систему разрешений для безопасной аутентификации без передачи пароля по сети. Это зрелый протокол, который ведет свое начало из MIT 1980-х, когда он был создан как решение проблем сетевой безопасности, и с 1987 года код его открыт (http://web.mit.edu/kerberos). Он используется контроллерами доменов Active Directory. |
− | + | ||
В «Kerber’изированном» соединении участвуют трое: клиент, ресурс и сервер Kerberos, известный как Key Distribution Centre (KDC). Именно благодаря этой тройственности Kerberos и получил свое название в честь трехглавого пса из древнегреческой мифологии, который сторожил врата Аида. | В «Kerber’изированном» соединении участвуют трое: клиент, ресурс и сервер Kerberos, известный как Key Distribution Centre (KDC). Именно благодаря этой тройственности Kerberos и получил свое название в честь трехглавого пса из древнегреческой мифологии, который сторожил врата Аида. | ||
Текущая версия на 11:03, 17 ноября 2018
|
|
|
[править] Танцы с Windows
Стандартный пакет взаимодействия Windows и Linux дорос до версии 4 и может похвастаться поддержкой Active Directory.
При всей нашей любви к Linux, большинству из нас иногда приходится сосуществовать в сети с машинами Windows; тут мы и узнаем, что именно Samba обеспечивает совместный доступ Linux и Windows к файловым системам.
Однако Samba умеет намного больше, и в версии 4 достигла полной совместимости с Microsoft Active Directory. Это очень важно. Долгое время Samba могла выступать в роли контроллера домена Windows NT 4.0, или присоединиться к существующему домену такого типа, но с выходом Windows 2000 Microsoft начал отходить от доменов NT к своей новой Active Directory, расширяя пропасть между экосистемами Linux и Windows. Samba версии 4 являет собой долгожданное средство решения этой проблемы. Она полностью реализует все функции контроллера домена Active Directory, становясь эффективной заменой соответствующих функций в линии продуктов Microsoft Windows Server. Samba – открытая реализация протокола Server Message Block, или SMB. Это сетевой протокол уровня приложения, изначально разработанный в IBM для обеспечения распределенного доступа к файлам и принтерам. Microsoft расширил эту реализацию SMB, включив в нее поддержку аутентификации с помощью собственного NT LAN Manager (NTLM) и, позднее, протоколов NTLMv2. Эту реализацию назвали Common Internet File System [Общей файловой системой Интернет], или CIFS. Дальнейшие расширения, включая поддержку символических ссылок, вышли как SMB2 в Windows Vista. Samba поддерживает SMB2, начиная с версии 3.6. Microsoft ввел SMB2.1 в Windows 7, а SMB3 – в Windows 8. Они именуют разные версии протокола «диалектами», так что CIFS и SMB2 являются диалектами протокола SMB. Хотя эти диалекты проприетарные, их спецификации доступны для общественности: одним из результатов соглашения Microsoft с Европейским судом в 2004 году стал выпуск полной документации для сетевой аутентификации в Active Directory. Это привело к разработке Samba версии 4, причем Microsoft принимал участие в тестировании.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Active Directory (известный как AD) – главный механизм администрирования соединенных в сеть компьютеров Windows. Серверы, на которых работает Active Directory, именуются контроллерами домена. Контроллер домена Active Directory (который мы будем сокращенно называть ADDC) аутентифицирует и авторизует всех пользователей и все компьютеры в сети Windows, назначает политику безопасности для всех компьютеров, а также позволяет устанавливать или обновлять программы. Например, когда пользователь заходит на компьютер, входящий в домен Windows, ADDC проверяет введенный пароль и определяет, является ли пользователь администратором системы или обычным пользователем. AD использует Lightweight Directory Access Protocol (LDAP) версии 2 и 3, Kerberos и DNS. Samba использует собственную реализацию LDAP под названием ldb; она не поддерживает использование OpenLDAP для Active Directory.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Итак, теперь есть два способа использования Samba: один – применять ее как обычно («классическая» Samba), в качестве члена домена или отдельно, и, собственно, это все, что вам нужно для настройки базовой работы. Другой способ – применять Samba в качестве полнофункционального ADDC. Как использовать Samba, зависит от ваших потребностей, однако первое, что вам придется сделать – установить ее. В большинстве дистрибутивов она должна присутствовать в репозиториях, хотя опцией по умолчанию может быть Samba 3.6. Другой вариант – скомпилировать ее из исходника, скачав с www.samba.org/samba/download.
После установки файл настройки Samba именуется smb.conf и обычно располагается в поддиректории, например, /etc/samba. Простейшая настройка для использования в качестве ресурса общего доступа –
[global]
server string = Samba Server Version %v
# Treat unknown users as a guest (where permitted) [Считать неизвестных пользователей гостями (если разрешено)]
security = user
map to guest = Bad User
[tmp]
path = /tmp
read only = No
browsable = Yes
guest ok = Yes
force user = nobody
force group = nobody
create mask = 0755
directory mask = 0755
Это сделает /tmp на сервере доступным как ресур Samba через TCP/IP. Использование security = user и map to guest позволяет гостевым ресурсам подобным же образом работать в устаревшем режиме security = share, с которым современные администраторы Samba могут быть не знакомы. Пользователям с именем пользователя Windows, не распознаваемым Samba, не придется предоставлять свою аутентификационную информацию для доступа к ресурсу: они будут аутентифицироваться как гости. Любые файлы, которые они напишут, будут иметь их пользовательский и групповой ID настроенным на ‘nobody’. Однако если имя пользователя известно Samba, то пользователю будет предложено ввести пароль. Это может показаться странным, но вполне согласуется с тем, как работает Windows.
Запустите демон Samba, smbd, чтобы получить доступ к этому ресурсу в Windows. Для доступа к нему используйте Windows Explorer в качестве браузера сервера Samba (используйте или его имя, или IP-адрес).
Есть еще один сетевой протокол, который долгое время ассоциировался с сетевой работой в Windows и поэтому является неотъемлемой частью пакета Samba – NetBIOS. В настоящее время он считается устаревшим, а работа осуществляется по TCP/IP. NetBIOS предлагает разрешение имен и распределенный доступ к файлам и принтерам для устройств, не имеющих записей в DNS. Раньше он был основным в сетях Windows, но в этом больше нет необходимости, если не используются старые версии Windows; и все же он вам понадобится, если вы хотите, чтобы клиенты, использующие операционные системы старше Windows 2000, имели доступ к вашим ресурсам.
Если вам не нужен NetBIOS, то следующие дополнения к разделу [global] в smb.conf сделают это выраженным явно:
[global]
# disable NetBIOS [Отключить NetBIOS]
disable netbios = yes
smb ports = 445
Но если надо включить NetBIOS, придется внести следующие изменения в smb.conf:
[global]
# NetBIOS identification
workgroup = WORKGROUP
netbios name = MYHOST
wins support = Yes
Данные настройки велят Samba использовать NetBIOS, чтобы распознаваться в сети Windows в своей рабочей группе по умолчанию (машины Windows по умолчанию относятся к рабочей группе с именем WORKGROUP) и действовать как сервер WINS. Название NetBIOS является эквивалентом имени хоста – совпадать с именем хоста ему не обязательно, но это довольно обычная практика. WINS – это Windows Internet Name Service, реализация Microsoft NetBIOS Name Service, и он предоставляет такой же сервис для имен NetBIOS, какой DNS предоставляет для доменных имен (размещая имена хостов по сетевым адресам). Преобразование имени происходит без сервера WINS, но только внутри локальной подсети – если клиент не может разрешить имя NetBIOS, используя сервер WINS, то оно будет разрешено посредством трансляции по сети сообщений «ты где?». Это одна из причин, по которой системные администраторы ненавидят NetBIOS и по которой вам следует отключить его, пока он вам по-настоящему не понадобится. Кроме того, в Сети вы найдете немало примеров того, насколько небезопасен NetBIOS.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Если вам все же не обойтись без NetBIOS, то последнее, что требуется сделать для его поддержки, это запустить процесс Samba – nmbd и процесс smbd. Именно nmbd обеспечивает предоставление имен NetBIOS и сервисы WINS.
Стоит понять, как осуществляется соединение со стороны клиента. До Windows 2000 соединения осуществлялись только через NetBIOS, соединяемый с портом 139 на сервере. Начиная с Windows 2000, соединения осуществляются с использованием и NetBIOS, и TCP/IP; последний соединяется с портом 445 на сервере. Клиент закрывает свое соединение NetBIOS с портом 139, если сервер отвечает на соединение с TCP/IP. Как и следует ожидать, ресурсы можно настроить так, чтобы для доступа к ним требовалась аутентификация. Это первая область, в которой настройка Active Directory отличается от классической. Классическая Samba использует собственную базу пользователей, содержащую зашифрованные пароли, и эти учетные записи не имеют никакого отношения к пользователям Linux. В классической Samba пользователь добавляется следующим образом:
smbpasswd -a myuser
New SMB password:
Retype new SMB password:
Forcing Primary Group to ‘Domain Users’ for myuser
Forcing Primary Group to ‘Domain Users’ for myuser
Added user myuser.
Заметьте, что как только пользователь будет добавлен в Samba, Windows потребует ввести его пароль – даже для гостевых ресурсов. Добавить ресурс для пользователя, так же, как и домашнюю директорию, можно, если ввести в smb.conf следующее:
[myuser]
comment = %U home directory
writable = yes
valid users = myuser
path = %H
или, что является более общей практикой, с помощью специального ресурса [homes], который создает домашний ресурс для каждого пользователя. При попытке пользователя соединиться с ресурсом Samba ищет открытое определение ресурса, подобное приведенному выше. Если ничего не обнаруживается, но ресурс [homes] существует, то он будет использован как шаблон для создания ресурса, нужного пользователю. Соответствующий пример приведен ниже; запись browsable не позволяет показывать [homes] при просмотре сетевого окружения.
[homes]
comment = %U home directory
writable = yes
browsable = no
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Еще один специальный ресурс – [printers]. Как и следует ожидать, он позволяет клиентам Windows использовать принтеры, соединенные с сервером Samba. Он использует CUPS, чтобы поместить в очередь задачи на печать, и клиенту нужно располагать соответствующим драйвером принтера, потому что именно тот конвертирует печатаемый файл в данные raw, которые умеет обрабатывать принтер. Печать требует наличия директории spool и возможности записи в нее:
# mkdir /var/spool/samba
# chmod 1777 /var/spool/samba
Необходимая настройка Samba настраивает печать CUPS и разрешает распределенный доступ к своим принтерам на разделяемом ресурсе [printers]:
[global]
load printers = yes
printing = cups
printcap name = cups
[printers]
comment = Printers
path = /var/spool/samba
browsable = yes
writable = yes
printable = yes
[print$]
comment = Printer Drivers
path = /usr/share/samba/print
writable = yes
Дополнительный ресурс [print$] является опциональным и служит для размещения драйверов принтеров. Он позволяет администратору загружать драйверы на сервер, чтобы пользователям, которые устанавливают принтер, не пришлось искать их самим. Директория для ресурса [print$] должна создаваться вместе с поддиректориями для поддерживаемой архитектуры:
# mkdir -p /usr/share/samba/print/{COLOR,IA 64,W32ALPHA,W32MIPS,W32PPC,W32X86, WIN40,x64}
Простейший способ загрузить драйвер принтера – войти от имени администратора в клиент Windows. В Windows 7 надо перейти на сервер (например, \\MYHOST) и затем щелкнуть по View Remote Printers. Нажмите на Tab, чтобы отобразить панель меню, затем выберите File > Server Properties. Перейдите во вкладку Drivers и щелкните по Add. Запустится мастер Add Printer Driver для сервера. После загрузки драйвера требуется ассоциировать его с принтером: перейдите в принтер и откройте его страницу Properties. Во вкладке Advanced выберите загруженный драйвер из всплывающего списка.
Клиент Windows может добавить принтер (например, в Windows 7 перейдите в Start > Devices и Printers > Add Printer, чтобы добавить сетевой принтер). Если драйвер задан в [print$], он установится автоматически; в противном случае пользователю придется определять местоположение и устанавливать нужный драйвер самостоятельно.
Теперь рассмотрим реализацию Active Directory в Samba 4. Лучше всего будет признать, что, хотя Samba 4 может работать и в качестве Standalone/NT Domain Member, и в качестве Active Directory Domain Controller, эти две настройки совершенно разные и до некоторой степени несовместимые.
Однако настройка Samba в качестве контроллера домена Active Directory проста, потому что здесь имеется специальный инструмент инициализации, решающий задачи настройки:
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
# samba-tool domain provision
Realm [MYDOMAIN.CO.UK]:
Domain [MYDOMAIN]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write ‘none’ to disable forwarding) [10.0.0.138]:
Administrator password:
Retype password:
Пароли должны быть достаточно сложными: одна заглавная буква, одна цифра, и не менее восьми символов. Подходящий пример – “Pa$$w0rd”, именно его мы использовали в наших тестах, хотя он небезопасен. По завершении инициализации вам сообщат, что сгенерирована конфигурация Kerberos, подходящая для Samba 4. Вам нужно будет скопировать этот файл в ссоответствующее место:
# cp /var/lib/samba/private/krb5.conf /etc
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Далее нужно настроить клиент DNS, чтобы он указывал на Samba, потому что это тоже DNS для нового домена Windows. Это можно сделать, или отредактировав /etc/resolv.conf, или, если ваш хост получает сетевые настройки по DHCP, подправив конфигурацию этого сервиса. В любом случае, /etc/resolv.conf должен выглядеть таким образом:
domain mydomain.co.uk
nameserver 127.0.0.1
Samba перенаправляет запросы, которые не в состоянии разрешить сама, на адрес переадресации DNS, который указывается на стадии инициализации. Она использует собственный внутренний сервер DNS, но его можно настроить на использование внешнего BIND.
Завершив настройку, мы можем запустить контроллер домена и выполнить некоторые тесты. Режим Active Directory использует новый исполняемый файл samba вместо привычного smbd. Итак, мы запускаем его вручную, одновременно проводя тесты:
# samba -i -M single mydomain
Copyright Andrew Tridgell and the Samba
Team 1992-2012
samba: using ‘single’ process model
# host -t SRV _ldap._tcp.mydomain.co.uk
_ldap._tcp.mydomain.co.uk has SRV record 0 100 389 myhost.mydomain.co.uk.
# host -t SRV _kerberos._udp.mydomain.co.uk
_kerberos._udp.mydomain.co.uk has SRV record 0 100 88 myhost.mydomain.co.uk.
# host -t A myhost.mydomain.co.uk
host -t A myhost.mydomain.co.uk
Далее, тестируем Kerberos (по запросу, введите пароль администратора):
# kinit administrator@MYDOMAIN.CO.UK
Password for administrator@MYDOMAIN.CO.UK:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MYDOMAIN.CO.UK
Valid starting Expires Service principal
08/02/13 16:25:31 09/02/13 02:25:31 krbtgt/MYDOMAIN.CO.UK@MYDOMAIN.CO.UK
renew until 09/02/13 16:25:21
Здесь вы должны увидеть ресурсы Samba и получить доступ к ним:
$ smbclient -L localhost -U%
Domain=[MYDOMAIN] OS=[Unix]
Server=[Samba 4.0.3]
Sharename Type Comment
[Имя ресурса] [Тип] [Комментарий]
----- ----------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.3)
$ smbclient //localhost/netlogon -UAdministrator%’Pa$$w0rd’ -c ‘ls’
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.3]
. D 0 Thu Feb 7 20:06:55 2013
. D 0 Thu Feb 7 20:08:44 2013
Еще один сервис, предоставляемый Active Directory Domain Controller – это синхронизация времени. Хотя она и не обязательна, эта опция настоятельно рекомендуется, потому что Kerberos исключительно чуток к разнице во времени между клиентами и сервером.
Так называемый Windows Time Service, предоставляемый контроллером домена, это сервер Network Time Protocol (NTP) с расширениями для аутентификации. В Linux имеется ряд реализаций NTP, например, ntpd и open-ntpd, но только ntpd версии 4.2.6 поддерживает необходимые расширения аутентификации, и только тогда, когда скомпилирована поддержка Samba (проверьте совпадение вашей версии ntpd по ntpd --version). Должным образом настроенный ntpd просит Samba произвести необходимую аутентификацию. Настройка ntpd происходит в /etc/ntpd.conf. Вот соответствующий пример:
server 127.127.1.0
fudge 127.127.1.0 stratum 12
ntpsigndsocket /var/lib/samba/ntp_signd/
restrict default mssntp
Самые важные строки, которых может не быть в имеющемся ntpd.conf – две последних. Запись ntpsigndsocket определеяет путь к директории, где Samba размещает файл сокета, через который получает запросы на аутентификацию. Запись restrict сообщает ntpd, что нужно аутентифицировать входящие запросы. Путь сокета определятся настройкой Samba, и вы можете подтвердить правильный путь с помощью
# samba-tool testparm --verbose --suppress-prompt | grep “ntp signd socket directory”
ntp signd socket directory = /var/lib/samba/ntp_signd
Samba создает директорию сокета, однако очень важно, чтобы в ней мог писать ntpd. Если ntpd работает с uid:gid из ntp:ntp, надо также изменить группу директории на ntp.
Перезапустите ntpd, чтобы все изменения в настройке вступили в силу, и затем проверьте лог-файл на предмет наличия предупреждения о том, что ntpd был настроен без опции настройки во время компиляции --enable-ntp-signd. Если вы видите это предупреждение, значит, ваш ntpd не поддерживает нужного механизма аутентификации. Вам придется найти исходники для ntpd и перекомпилировать его, чтобы он включил вышеупомянутую опцию настройки во время компиляции.
К сожалению, инструмента для тестирования аутентификации NTP из Linux нет. Чтобы протестировать ее с компьютера Windows, являющегося членом домена, откройте окно командной строки как Administrator (щелкните по кнопке Пуск, введите cmd и щелкните правой кнопкой по командной строке в окне результата поиска, чтобы выделить Run as administrator) и введите
C:\> w32tm /resync
Sending resync command to local computer
The command completed successfully.
Перед соединением клиента Windows с новым доменом измените его сетевые настройки, чтобы он использовал DNS Samba. Также неплохо вручную настроить часы клиента, чтобы разница с контроллером домена не превышала нескольких секунд. Если часы не синхронизированы, вы можете получать сообщения об ошибках, не имеющие никакого отношения к реальной проблеме. Служба времени Windows будет постоянно синхронизировать часы, когда клиент станет членом домена.
Чтобы добавить клиент к домену, перейдите в Start > Computer > Right-Click > Properties > Change settings. Появится диалоговое окно Computer Name/Domain Changes, где надо выбрать Domain в разделе Member Of и ввести имя домена Samba (например, mydomain), а затем нажать OK. Таким образом будут запрошены администраторские пароль и логин (имя пользователя – Administrator, а пароль – Pa$$w0rd, если вы следовали нашим настройкам, приведенным в примере).
Администрирование домена можно выполнить либо локально на сервере при посредстве утилиты командной строки samba-tool, либо удаленно с компьютера Windows, соединенного с доменом. Администратор, используя правильно настроенный ПК, может запустить инструмент Active Directory Users and Computers. Он предоставит полный контроль над пользователями и компьютерами, и работает в точности так же, как если бы он осуществлял администрирование Microsoft Active Directory.
Добавление пользователей к AD из классической Samba (которая использует smbpasswd) делается по-другому, но так будет более гибко, потому что это можно сделать из командной строки с помощью samba-tool или удаленно из Windows с помощью Active Directory Users and Computers.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Когда создаются пользователи AD, они не имеют отношения к существующим пользователям в /etc/passwd, потому что им присваиваются другие номера uid. Присвоенный uid можно изменить, и это делается довольно просто:
# wbinfo --name-to-sid myuser
S-1-5-21-4099219672-1275272411-291422405-1104 SID_USER (1)
# ldbedit -H idmap.ldb cn=S-1-5-21-
4099219672-1275272411-291422405-1104
Это позволяет редактировать запись из базы данных пользователей Samba с помощью редактора по умолчанию, чтобы вы могли изменить uid пользователя (расположение idmap.ldb зависит от того, что у вас установлено, но это будет нечто вроде /var/lib/samba/private или /usr/local/samba/private):
0 # editing 1 records
1 # record 1
2 dn: CN=S-1-5-21-4099219672-1275272411- 291422405-1105
3 cn: S-1-5-21-4099219672-1275272411-291422405-1105
4 objectClass: sidMap
5 objectSid:: AQUAAAAAAAUVAAAA2CB V9NscA0zFwF4RUQQAAA==
6 type: ID_TYPE_BOTH
7 xidNumber: 3000020
8 distinguishedName: CN=S-1-5-21- 4099219672-1275272411-291422405-1105
Величина, которую здесь требуется изменить – xidNumber; ее можно заменить на правильный uid пользователя Linux. Изменения будут сохранены в базе данных после выхода из сессии редактирования.
Настройка файловых ресурсов может производиться тем же способом, что и в классической Samba – добавлением соответствующих блоков в smb.conf. Вы можете сделать доступным [homes], как в классической Samba, но можете пойти на шаг дальше и предложить перемещаемые профили с помощью разделяемого ресурса [profiles]:
[profiles]
comment = Roaming Profiles
path = /var/lib/samba/profiles
writable = yes
browsable = no
Чтобы настроить пользователя с перемещаемым профилем, используйте инструмент Active Directory Users and Computers для редактирования настроек пользователя и настройки пути его профиля к \\mydomain\profiles\ %USERNAME %. В соответствии с этим, профиль пользователя будет копироваться между локальным диском и областью Profiles на сервере, когда он будет входить и выходить с любого клиента домена.
Для любых потребностей, начиная с обычных файловых ресурсов и заканчивая полной средой Active Directory, Samba 4 дает жизнеспособную альтернативу с открытым кодом дорогим проприетарным альтернативам. |