Domov // Školský server a sieť // Primárny radič domény pomocou Samba

Nastavenie PDC

Nastavenie PDC

V tomto okamžiku máme nastavený súborový server tak, že rozlišuje rôzne úrovne prístupu používateľov a nastal čas, nastaviť ho aby vystupoval ako radič domény. Premena samostatného servera na radič domény nie je nijako zložitá.

Prvou vecou, ktorú musíme urobiť, je pridanie nastavení doménového radiča do globálnej časti konfiguračného súboru:

## Primary domain controller ##
   domain logons = yes

## Browsing ##
   domain master = yes
   local master = yes
   preferred master = yes
   os level = 34

To, že bude Samba vystupovať ako primárny radič domény (Primary Domain ControllerPDC) zaistí voľba domain logons. Zvyšné štyri voľby nastavujú prechádzanie siete a nebudem sa tu nimi zdržiavať.

Druhou vecou, ktorú musíme urobiť, je pripravenie nezapisovateľného, neverejného a neprehliadateľného zdieľania s názvom [netlogon]:

[netlogon]
   comment = Prihlasovacie služby
   path = /home/sambadir/logon
   public = no
   writeable = no
   browsable = no

Nezabudnite vytvoriť adresár /home/sambadir/logon s právami nastavenými tak, aby z neho mohla Samba čítať. Tento adresár slúži na umiestnenie prihlasovacích skriptov, súborov skupinovej politiky a ďalších nástrojov potrebných pre prihlasovacie skripty, (dávkové súbory MS-DOS, ktoré budú spustené pri každom prihlásení do domény, ale o nich neskôr). Aby sa tieto nastavenia aplikovali je potrebné Sambu reštartovať, len nezabudnite pred reštartom skontrolovať a vygenerovať nový konfiguračný súbor.

V tomto okamžiku môžeme nastaviť stroje s Windows 98/ME do našej domény MYSKUPINA. Aby sme to mohli urobiť aj s Windows 2k/XP/Vista, bude treba ešte niekoľko dodatočných krokov, takže nastavte Windows 98 na prihlasovanie do domény a tešte sa (samozrejme ešte nemáme prihlasovacie skripty).

Nastavenie pre Windows 2k a novšie

Keďže operačné systémy Windows 2k, XP a Vista majú riešené prihlasovanie do domény trochu inak a sú na prácu v doméne lepšie pripravené, je treba urobiť jeden krok naviac. Tým krokom je vytvorenie tzv. dôveryhodných účtov (trusted accounts) pre počítače. Dôveryhodný účet nie je účet používateľa, ale účet počítača, ktorý má rovnaké meno ako je NetBIOS meno počítača, pridávaného do domény, aby však boli odlíšené od bežných používateľských mien, majú na konci znak dolár ($). Pre tento účel je dobré vytvoriť samostatnú systémovú skupinu, aby boli účty počítačov pekne spolu, ktorú nazvime povedzme smbcomp:

groupadd --system smbcomp

Teraz môžme vytvoriť účet počítaču, postup bude podobný ako pri bežnom používateľovi, len na koniec mena pridáme dolár a príkazu smbpasswd pridáme parameter -m, aby vedel, že vytvárame počítačový účet. Celé si to ukážme na príklade počítača s menom W2k:

useradd -g smbcomp -d /dev/null -c "účet počítača" -s /bin/false W2k$
smbpasswd -a -m W2k$

Pre tento účet sme nastavili domovský priečinok na /dev/null, pretože počítač domovský priečinok nepotrebuje, rovnako ako shell (/bin/false) a okrem komentára (-c ...)sme mu nastavili aj primárnu skupinu na nami vytvorenú skupinu smbcomp. Všimnite si, že v pri vytváraní dôveryhodného účtu sa smbpasswd nepýta na heslo pre účet.

Chyba načítania profiluKeď sme toto všetko urobili pre všetky naše stroje s Windows 2k, nastal čas všetky ich prihlásiť do domény. Pri nastavovaní domény sa objaví prihlasovací dialóg pre zadanie používateľského mena a hesla, tam zadajte údaje účtu, ktorý je zahrnutý vo voľbe admin users (teda niektorý z členov skupiny admini). Po reštarte nezabudnite v prihlasovacom dialógu nastaviť prihlásenie do domény. Ak boli v počítači vytvorené lokálne účty používateľov, pokojne ich odstráňte, už nie sú potrebné. Po prihlásení používateľa do domény sa zatiaľ objaví informačné okno so správou o neexistencii adresára s profilom používateľa, je to preto, že si profily nechávam na neskôr, takže to nevzdávajte.

Cestovné profily

Cestovné profily sú vymoženosťou, ktorá má zvýšiť používateľské pohodlie. Ich podstatou je, že nastavenie používateľského účtu nie je uložené lokálne, ale na radiči domény, odkiaľ sa po prihlásení prekopíruje do počítača. Myšlienka je to krásna a viem si to predstaviť v heterogénnej sieti. Ale vôbec si to neviem predstaviť v sieti, kde sú nie len rôzne operačné systémy (rôzne verzie Windows) ale aj rôzne HW vybavenie (napr. veľkosť a rozlíšenie monitora). Pravdou je, že v Sambe je možné vytvoriť rôzne profily pre rôzne operačné systémy a dokonca i pre rôzne počítače, ale nikdy som to neskúšal. Uspokojil som sa vždy s vypnutím cestovných profilov, pomocou konfiguračnej voľby v globálnej sekcii:

logon path =

Táto voľba vypne použitie cestovných profilov, vynúti vytvorenie lokálneho profilu pri prvom prihlásení z počítača, a tento lokálny profil pri odhlásení vymazaný nebude, teda bude k dispozícii aj pri ďalšom prihlásení. Zdôrazňujem, že za rovná sa nemá byť nič, ani prázdne úvodzovky v hodnote voľby.

Článok (seriál) je prevzatý zo Sprievodcu dedinčana svetom IT, zo súhlasom autora (mňa) a je zverejnený pod licenciou Creative Commons Attribution-Share Alike 3.0 Unported License (CC-by-sa). Inými slovami, tu zverejnené informácie môžete rozmnožovať, rozširovať, vystavovať dielo a odvodené diela za podmienky uvedenia autora a použitia rovnakej licencie, a to aj na komerčné účely.