Domov // Školský server a sieť // Príručka Ubuntu servera // Sieť Windows

Samba ako radič domény

Aj keď sa samba nedá použiť ako primárny radič domény v Active Directory - Active Directory Primary Domain Controller (PDC), Samba server môže byť nakonfigurovaná tak, aby sa tváril ako radič domény systému Windows NT4. Hlavná výhoda takejto konfigurácie je schopnosť centrálne spravovať prihlasovacie údaje všetkých používateľov a počítačov. Samba dokáže na uchovávanie informácií o používateľoch použiť viacero systémov.

Primárny radič domény

Táto časť hovorí o nastavení systému Samba tak, aby sa tváril ako primárny radič domény (PDC), pričom na uchovávanie informácií o používateľoch použijeme predvolený systém smbpasswd.

  1. Najskôr nainštalujeme systém Samba a balík libpam-smbpass, ktorý slúži na synchronizáciu používateľov. Do príkazového riadka zadáme: 

    sudo apt-get install samba libpam-smbpass

  2. Ďalej otvoríme konfiguračný súbor systému Samba /etc/samba/smb.conf. Bezpečnostný režim security nastavíme na hodnotu user a pracovnú skupinu workgroup nastavíme podľa názvu našej organizácie: 

       workgroup = NIECO
       ...
       security = domain

  3. V zapoznámkovanej časti “Domains” odpoznámkujeme nasledujúce riadky: 

       domain logons = yes
       logon path = \\%N\%U\profile
       logon drive = H:
       logon home = \\%N\%U
       logon script = logon.cmd
       add machine script = sudo /usr/sbin/useradd -n -g machines -c Machine -d /var/lib/samba -s /bin/false %u

    • domain logons: spôsobí, že sa Samba bude pri prihlasovaní tváriť ako radič domény.

    • logon path: umiestnenie domovského priečinka z pohľadu používateľa Windows. Tu je však potrebné odkomentovať aj nastavenie zdieľania v časti [profiles].

    • logon drive: určuje jednotku, pod akou používateľ uvidí svoj priečinok.

    • logon home: určuje umiestnenie domovského priečinka.

    • logon script: určuje skript, ktorý sa spustí na lokálnej stanici po prihlásení používateľa. Skript je potrebné umiestniť do zdieľaného priečinka [netlogon].

    • add machine script: skript, ktorý automaticky vytvorí tzv. dôveryhodné konto stanice - Machine Trust Account potrebné na to, aby sa počítač mohol pripojiť do domény.

      V tomto príklade tiež bude potrebné vytvoriť skupinu s názvom machines pomocou nástroja addgroup. Viac informácií sa nachádza v časti  “Pridávanie a odstraňovanie používateľov”.

    [Note]

    Ak nechcete použiť tzv. cestovné profily (Roaming Profiles), ponechajte možnosti logon home a logon path zapoznámkované.

  4. Odpoznámkujeme zdieľanie priečinka [homes], aby bolo možné pripojiť domovské priečinky: 

    [homes]
       comment = Home Directories
       browseable = no
       read only = no
       create mask = 0700
       directory mask = 0700
       valid users = %S

  5. Ak chceme server použiť ako radič domény, je potrebné nakonfigurovať aj zdieľanie priečinka [netlogon]. Stačí odkomentovať nasledujúce riadky: 

    [netlogon]
       comment = Network Logon Service
       path = /srv/samba/netlogon
       guest ok = yes
       read only = yes
       share modes = no
    [Note]

    Originálny priečinok netlogon je umiestnený na ceste /home/samba/netlogon, ale podľa štandardu Filesystem Hierarchy Standard (FHS) je na tento účel správnejšie použiť priečinok /srv.

  6. Teraz vytvoríme priečinok netlogon a (zatiaľ) prázdny súbor s prihlasovacím skriptom logon.cmd: 

    sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd

    Do tohto súboru môžeme zapísať akýkoľvek skript pozostávajúci z príkazov systému Windows, ktorý upraví prostredie klienta.

  7. Keďže používateľ root je z bezpečnostných dôvodov zablokovaný, je potrebné priradiť niektorú zo systémových skupín ku Windows skupine s názvom  Domain Admins, inak sa nebudú dať pracovné stanice pripojiť do domény. Urobíme to pomocou nástroja net, ktorý takýmto spôsobom zapíšeme do príkazového riadka: 

    sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
    [Note]

    Skupinu sysadmin, ktorú sme my použili, zmeňte na takú, akú používate. Používatelia, ktorí sú členmi skupiny sysadmin, by mali byť členmi aj systémovej skupiny admin. Skupina admin umožňuje použitie príkazu sudo.

  8. Nakoniec reštartuje systém Samba, aby sa nové nastavenie prejavilo: 

    sudo /etc/init.d/samba restart

  9. Odteraz bude možné klientské počítače so systémom Windows pripojiť do domény tak, ako keby sa pripájali do domény na serveri Windows NT4.

Záložný radič domény

Spolu s primárnym radičom domény (PDC) je vhodné mať na sieti aj záložný radič domény Backup Domain Controller (BDC). Tento umožňuje autentifikáciu klientov v prípade, ak nastane výpadok PDC.

Keď chceme systém Samba použiť ako BDC, potrebujeme nejakým spôsobom zosynchronizovať informácie o používateľských účtoch s PDC. Túto úlohu je možné vykonať niekoľkými spôsobmi. Napríklad môžeme použiť nástroje scp, rsync alebo môžeme použiť miesto predvolenej databázy na uchovávanie autentifikačných údajov (passdb backend) databázu LDAP.

Použitie systému LDAP je veľmi výhodný spôsob na synchronizáciu informácii o kontách, pretože oba doménové radiče môžu v rovnakom čase použiť tie isté informácie. Avšak nastavenie LDAP servera môže byť príliš komplikované a neoplatí sa, ak máme v sieti iba malý počet počítačov a používateľov. Viac informácií sa nachádza v časti Samba a LDAP.

  1. Najskôr nainštalujeme balíky samba a libpam-smbpass. V príkazovom riadku zadáme: 

    sudo apt-get install samba libpam-smbpass

  2. Otvoríme súbor /etc/samba/smb.conf a zmeníme nasledujúce riadky v časti [global]: 

       workgroup = NIECO
       ...
       security = user

  3. V časti Domains odkomentujeme riadky: 

       domain logons = yes
       domain master = no

  4. Uistíme sa, že používateľ má právo čítať súbory v priečinku /var/lib/samba. Napríklad ak chceme používateľom v skupine admin povoliť použitie nástroja scp zadáme: 

    sudo chgrp -R admin /var/lib/samba

  5. Teraz synchronizujeme kontá pomocou nástroja scp, ktorým ich skopírujeme z priečinka /var/lib/samba z PDC: 

    sudo scp -r menopouzivatela@pdc:/var/lib/samba /var/lib
    [Note]

    Miesto menopouzivatela zadajte používateľa a miesto pdc zadajte názov stanice alebo IP adresu počítača, ktorý je PDC.

  6. Nakoniec reštartujeme systém samba: 

    sudo /etc/init.d/samba restart

Záložný radič domény môžeme otestovať tak, že zastavíme démona systému Samba na PDC a potom sa skúsime prihlásiť na niektorej Windows stanici, ktorá je súčasťou domény.

Ďalšia vec, ktorú je potrebné mať na pamäti, čo s priečinkami definovanými ako logon home na PDC, ak sa PDC stane nedostupný. V takom prípade nebudú dostupné ani domovské priečinky používateľov. Kvôli tomuto je výhodné nastaviť logon home na iný súborový server, ktorý nie je súčasťou PDC ani BDC.

Zdroje

  • Podrobnejšie informácie o nastavení systému Samba sa nachádzajú na stránke Samba HOWTO Collection

  • Príručka je dostupná aj vo verzii pre tlač.

  • Ďalším dobrým zdrojom je O'Reillyho Using Samba..

  • Kapitola 4 zo Samba HOWTO Collection je zameraná na primárny radič domény.

  • Kapitola 5 zo Samba HOWTO Collection je zameraná na záložný radič domény.