Noha a Samba kiszolgáló nem képes Active Directory elsődleges tartományvezérlőként (PDC) működni, beállítható a Windows NT4-stílusú tartományvezérlőként való megjelenésre. Ennek a beállításnak nagy előnye a felhasználó- és géphitelesítési adatok központosítása. A Samba képes a felhasználói információk tárolására több háttérprogramot is használni.
Ez a szakasz lefedi a Samba beállítását elsődleges tartományvezérlőként (PDC), az alapértelmezett smbpasswd háttérprogram használatával.
-
A felhasználói fiókok szinkronizálásához első lépésként telepítse a Sambát és a libpam-smbpass csomagot a következő parancs kiadásával:
sudo apt-get install samba libpam-smbpass
-
Ezután állítsa be a Sambát az
/etc/samba/smb.conf
fájl szerkesztésével. A security mód user legyen, a workgroup pedig kapcsolódjon az aktuális szervezethez:workgroup = EXAMPLE ... security = user
-
A megjegyzésbe tett „Domains” szakaszba vegye fel vagy vegye ki megjegyzésből a következőt:
domain logons = yes logon path = \\%N\%U\profile logon drive = H: logon home = \\%N\%U logon script = logon.cmd add machine script = sudo /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false %u
Ha nem szeretne központi profilt használni, akkor hagyja a logon home és logon path beállításokat megjegyzésben.
-
domain logons: a netlogon szolgáltatást biztosítja, ennek segítségével a Samba tartományvezérlőként viselkedhet.
-
logon path: a felhasználó Windows profilját a saját mappájába helyezi. Lehetőség van egy [profiles] megosztás beállítására, amely minden profilt egy könyvtárba helyez.
-
logon drive: megadja a saját könyvtár helyi útvonalát.
-
logon home: megadja a saját könyvtár helyét.
-
logon script: megadja a felhasználó bejelentkezése után helyileg futtatandó parancsfájlt. A parancsfájlt a [netlogon] megosztásba kell tenni.
-
add machine script: ez a parancsfájl fogja automatikusan létrehozni a tartományhoz csatlakozáshoz szükséges Machine Trust Account-ot.
Ebben a példában létre kell hozni a machines csoportot az addgroup segédprogrammal, részletekért lásd a „Felhasználók hozzáadása és törlése” szakaszt.
-
-
Vegye ki megjegyzésből a [homes] megosztást a logon home leképezéséhez:
[homes] comment = Saját könyvtárak browseable = no read only = no create mask = 0700 directory mask = 0700 valid users = %S
-
Tartományvezérlőként való beállításkor egy [netlogon] megosztást is be kell állítani. Ehhez vegye ki megjegyzésből a következőt:
[netlogon] comment = Hálózati bejelentkezési szolgáltatás path = /srv/samba/netlogon guest ok = yes read only = yes share modes = no
A netlogon megosztás eredeti útvonala a
/home/samba/netlogon
, de a Filesystem Hierarchy Standard (FHS) szerint az /srv a rendszer által biztosított telephely-specifikus adatok megfelelő helye. -
Most hozza létre a
netlogon
könyvtárat és egy (egyelőre) üreslogon.cmd
parancsfájlt:sudo mkdir -p /srv/samba/netlogon sudo touch /srv/samba/netlogon/logon.cmd
A kliens környezetének személyre szabásához tetszőleges Windows bejelentkezési parancsfájl-parancsokat megadhat a
logon.cmd
fájlban. -
Restart Samba to enable the new domain controller:
sudo restart smbd sudo restart nmbd
-
Lastly, there are a few additional commands needed to setup the appropriate rights.
Mivel a root alapértelmezésben le van tiltva, egy munkaállomás tartományhoz csatlakoztatásához egy rendszercsoportot meg kell feleltetni a Windows Domain Admins csoportnak. A net segédprogram segítségével adja ki a következő parancsot:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
A sysadmin helyett tetszőleges másik csoportot is megadhat. Ezen kívül a tartományhoz csatlakozó felhasználónak a rendszer admin csoportja mellett a sysadmin csoportban is tagnak kell lennie. Az admin csoportbeli tagság lehetővé teszi a sudo használatát.
If the user does not have Samba credentials yet, you can add them with the smbpasswd utility, change the sysadmin username appropriately:
sudo smbpasswd -a sysadmin
Ezen kívül a jogokat külön meg kell adni a Domain Admins csoportnak az add machine script (és más rendszergazdai funkciók) működéséhez. Ehhez adja ki a következő parancsot:
net rpc rights grant -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
-
Ezután ugyanúgy képesnek kell lennie windowsos kliensek csatlakoztatására a tartományba, mintha Windows kiszolgálón futó NT4 tartományba léptetné be azokat.
Ha a hálózaton van elsődleges tartományvezérlő (PDC), ajánlatos tartalék tartományvezérlőt (BDC) is tartani. Ez lehetővé teszi a kliensek hitelesítését akkor is, ha a PDC elérhetetlenné válik.
A Samba BDC-ként való beállításakor szükség van a fiókinformációk szinkronizálására a PDC-vel. Ez többféleképpen is megvalósítható: scp, rsync vagy LDAP használatával passdb háttérprogramként.
Az LDAP használata a legrobusztusabb, mivel mindkét tartományvezérlő valós időben képes ugyanazokat az információkat használni. Azonban egy LDAP kiszolgáló beállítása fölöslegesen bonyolult lehet kevés felhasználói és számítógépes fiók esetén. Részletekért lásd a „Samba és LDAP” részt.
-
Első lépésként telepítse a samba és libpam-smbpass csomagokat. Egy terminálból adja ki a következőt:
sudo apt-get install samba libpam-smbpass
-
Szerkessze az
/etc/samba/smb.conf
fájlt, és a [global] szakaszban vegye ki megjegyzésből a következőt:workgroup = EXAMPLE ... security = user
-
A megjegyzésben lévő Domains alatt vegye fel a következőket:
domain logons = yes domain master = no
-
Győződjön meg róla, hogy a felhasználónak joga van írni a
/var/lib/samba
könyvtár fájljait. Például az admin csoport tagjai számára az scp használatának engedélyezéséhez adja ki a következőt:sudo chgrp -R admin /var/lib/samba
-
Ezután szinkronizálja a felhasználói fiókokat a
/var/lib/samba
könyvtárat az scp segítségével átmásolva a PDC-re:sudo scp -r felhasználónév@pdc:/var/lib/samba /var/lib
A felhasználónevet helyettesítse a felhasználónévvel, a pdc-t pedig a tényleges PDC gépnevével vagy IP-címével.
-
Végül indítsa újra a sambat:
sudo restart smbd sudo restart nmbd
A tartalék tartományvezérlő működését a PDC Samba démonjának leállításával, majd a tartományba csatlakozott valamely windowsos kliensre való bejelentkezés megpróbálásával tesztelheti.
Szintén szem előtt kell tartani, hogy amennyiben a logon home beállításban egy, a PDC-n levő könyvtárat adott meg, a PDC elérhetetlenné válásakor a felhasználók saját meghajtója is elérhetetlenné válik. Emiatt a legjobb megoldás egy harmadik, a PDC-től és a BDC-től is eltérő fájlkiszolgálón található logon home beállítása.
-
Összetettebb Samba beállításokért lásd a Samba HOWTO Collection oldalt
-
A kézikönyv nyomtatott formában is elérhető.
-
Az O'Reilly Using Samba könyve szintén jó referencia.
-
A Samba HOWTO Collection 4. fejezete részletezi az elsődleges tartományvezérlő beállítását.
-
A Samba HOWTO Collection 5. fejezete részletezi a tartalék tartományvezérlő beállítását.
-
Az Ubuntu wiki Samba oldala is jó kiindulópont.