Dokumenty<Poprzedni | Spis treści | Następne>
5.1. Główny kontroler domeny
W tej sekcji opisano konfigurowanie Samby jako podstawowego kontrolera domeny (PDC) przy użyciu domyślnego zaplecza smbpasswd.
1. Najpierw zainstaluj Sambę i bibliotekę libpam-winbind, aby zsynchronizować konta użytkowników, wpisując w wierszu poleceń następujące polecenie:
sudo apt zainstaluj sambę libpam-winbind
2. Następnie skonfiguruj Sambę poprzez edycję /etc/samba/smb.conf, bezpieczeństwo należy ustawić tryb użytkowniki Workgroup powinno odnosić się do Twojej organizacji:
grupa robocza = PRZYKŁAD
...
security = użytkownik
3. W komentowanej sekcji „Domeny” dodaj lub odkomentuj następujące pozycje (ostatnia linia została podzielona w celu dopasowania do formatu tego dokumentu):
logowanie do domeny = tak
ścieżka logowania = \\%N\%U\profile dysk logowania = H:
logon home = \\%N\%U skrypt logowania = logon.cmd
dodaj skrypt maszynowy = sudo /usr/sbin/useradd -N -g maszyny -c Maszyna -d
/var/lib/samba -s /bin/false %u
Jeśli nie chcesz używać Profile mobilne zostawić zaloguj się do domu i ścieżka logowania Opcje skomentowane.
• logowania do domeny: udostępnia usługę netlogon, dzięki której Samba działa jako kontroler domeny.
• ścieżka logowania: umieszcza profil systemu Windows użytkownika w jego katalogu domowym. Możliwa jest także konfiguracja np [profile] udostępnij, umieszczając wszystkie profile w jednym katalogu.
• dysk logowania: określa ścieżkę lokalną katalogu domowego.
• zaloguj się do domu: określa lokalizację katalogu domowego.
• skrypt logowania: określa skrypt, który będzie uruchamiany lokalnie po zalogowaniu się użytkownika. Skrypt należy umieścić w pliku [logowanie do sieci] dzielić.
• dodaj skrypt maszynowy: skrypt, który automatycznie utworzy plik Konto zaufania maszyny potrzebne, aby stacja robocza mogła dołączyć do domeny.
W tym przykładzie grupa komputerów będzie musiała zostać utworzona za pomocą narzędzia addgroup, patrz Sekcja 1.2, „Dodawanie i usuwanie użytkowników” [p. 181], aby poznać szczegóły.
4. Odkomentuj [domy] udostępnij, aby umożliwić zaloguj się do domu do zmapowania:
[domy]
komentarz = Możliwość przeglądania katalogów domowych = nie
tylko do odczytu = bez tworzenia maski = 0700
maska katalogu = 0700 ważnych użytkowników = %S
5. Po skonfigurowaniu jako kontroler domeny [logowanie do sieci] należy skonfigurować udział. Aby włączyć udostępnianie, odkomentuj:
[logowanie do sieci]
komentarz = ścieżka usługi logowania do sieci = /srv/samba/netlogon gość ok = tak
tylko do odczytu = tak tryby udostępniania = nie
Oryginał logowanie do sieci ścieżka udostępniania to /home/samba/netlogon, ale zgodnie ze standardem hierarchii systemu plików (FHS), / srv20 to właściwa lokalizacja danych specyficznych dla obiektu dostarczonych przez system.
6. Teraz utwórz logowanie do sieci katalog i pusty (na razie) logon.cmd plik skryptu:
sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd
Można wprowadzić dowolne zwykłe polecenia skryptu logowania systemu Windows logon.cmd dostosować środowisko klienta.
7. Uruchom ponownie Sambę, aby włączyć nowy kontroler domeny:
sudo systemctl uruchom ponownie smbd.service nmbd.service
8. Na koniec istnieje kilka dodatkowych poleceń potrzebnych do ustawienia odpowiednich uprawnień.
Wraz z korzeń jest domyślnie wyłączona, aby przyłączyć stację roboczą do domeny, należy zmapować grupę systemową do folderu Windows Administratorzy domeny Grupa. Korzystając z narzędzia sieciowego, w terminalu wprowadź:
sudo net groupmap add ntgroup="Administratorzy domeny" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
zmiana sysadmin do dowolnej grupy, którą wolisz. Ponadto użytkownik, który dołączył do domeny, musi być członkiem domeny sysadmin grupą, a także członkiem systemu Admin Grupa. ten Admin grupa pozwala na użycie Sudo.
Jeśli użytkownik nie ma jeszcze poświadczeń Samby, możesz je dodać za pomocą narzędzia smbpasswd, zmień plik sysadmin nazwa użytkownika odpowiednio:
sudo smbpasswd - administrator systemu
Należy także wyraźnie przyznać prawa użytkownikom Administratorzy domeny grupę, aby umożliwić dodaj skrypt maszyny
(i inne funkcje administracyjne) do działania. Osiąga się to poprzez wykonanie:
net rpc Rights Grant -U sysadmin "PRZYKŁAD\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. Teraz powinno być możliwe dołączenie klientów Windows do domeny w taki sam sposób, jak dołączenie ich do domeny NT4 działającej na serwerze Windows.