http://www.banita.pl/konf/smbporady5.html
http://www.banita.pl/konf/smbpdc.html
http://www.banita.pl/konf/smbhasla.html
Dziś zajmiemy się konfiguracją Samby jako podstawowego kontrolera domeny w skrócie PDC.
Dodajemy do systemu Linux grupę "machines". Grupa ta będzie odzwierciedlać komputery jakie dodamy do domeny.
#groupadd machines
Stworzyć skrypt logon.bat (pod winxp) i wgrać do katalogu /etc/samba/logon.
net time \\marionet /set /yesZasób będący katalogiem domowym z systemu linux mapuje się sam, bez naszej ingerencji to tzw. homes czyli np. /home/samba/mariop gdzie najczęściej przechowywane są pliki prywatne użytkownika. Poligon to zasób dla wszystkich. Jest jeszcze zasób /home/samba/profile, w którym kopiowane będą wszystkie tzw. mobilne profile poszczególnych użytkowników. Ze względów bezpieczeństwa nie chcemy aby był widoczny dla zwykłego użytkownika.
net use m: \\marionet\poligon
Utwórz plik konfiguracyjny samby /etc/samba/smb.conf:
############################################################
#plik konfiguracyjny smb.conf:
[global]
workgroup = marionet
netbios name = samba
server string = Serwer linuksowy samby ver: %v %N
encrypt passwords = yes
# smb passwd file = /etc/samba/private/smbpasswd
update encrypted = no
unix password sync = no
add machine script = /usr/sbin/useradd -d /dev/null -g machines -c 'Konto Maszyny %I' -s /bin/false %u
#logowanie domenowe
domain logons = yes
logon script = logon.bat
log file = /var/log/samba/log.%I
max log size = 50
log level = 2
os level = 200
domain master = yes
local master = yes
preferred master = yes
wins support = yes
map to guest = Bad User
printing = cups
printcap name = cups
unix charset = ISO8859-2
dos charset = CP852
##profile mobilne z windows
logon path = \\samba\profile_wins\%U
logon drive =
#zasoby
[printers]
path = /var/spool/samba
browsable = no
guest ok = yes
printable = yes
writable = no
printer admin = root
[netlogon]
path = /etc/samba/logon
comment = Usługa logowania domenowego
browseable = no
write ok = no
[poligon]
comment = dysk dla wszystkich
path=/dla_wszystkich
create mask = 0777
directory mask = 0777
browsable = yes
writable = yes
guest ok = yes
[homes]
comment = katalog domowy użytkownika
create mask = 0650
directory mask = 0700
guest ok = no
browseable = yes
write ok = yes
[profile_wins]
path = /home/samba/profile
read only = no
browsable = no
guest ok = no
writable = yes
directory mask = 0700
create mask = 0600
###################################################################
Objaśnienia :
Po wpisaniu takiego pliku ważne jest aby utworzyć katalogi (zasoby).
sekcja global zawiera : workgroup - nazwa domeny, netbios name - najlepiej nazwa taka sama jak domeny, określa nazwę netbios serwera samby, admin users - określa jaki użytkownik będzie pełnił rolę administratora, który będzie mógł dołączyć maszynę po raz pierwszy do domeny, server string - opis serwera, security = user - uwierzytelnianie na poziomie użytkownika wcześniej mieliśmy share (na poziomie zasobów - jedno hasło, jeden użytkownik), encrypt passwords = yes - włączenie szyfrowania haseł, smb passwd file = /etc/samba/private/smbpasswd - lokalizacja pliku haseł i użytkowników, update encrypted = no
unix password sync = no - brak synchronizacji hasła użytkownika linux a samby, czyli nie musi być to samo.
# polskie znaczki Samba 3.0 ta sekcja umożliwia dodanie polskich czcionek. Np w komentarzu użytkownika w pliku /etc/passwd możemy używać polskich czcionek i one pojawią się na pasku menu start (niebieskie tło - "użytkownik samby". add machine script... - automatyczny skrypt dodaje maszynę (komputer) do domeny (do pliku /etc/passwd) jako komputer$
Ręcznie też możemy wprowadzić maszynę do systemu, ale po co?
#useradd -c "Konto Maszyny" -s /bin/false -g machines komputer$
domain logons = yes -logowanie domenowe, logon script = logon.bat, skrypt napisany pod windowsem, domain master = yes, local master = yes, prefered master = yes, time server = yes, serwer domeny, czasu, podstawowa przeglądarka, #wins server = 192.168.1.2 serwer wins, wins support = yes,
map to guest = Bad User logowanie gości, nt acl support = no, log file = /var/log/samba/log.%I, logi dla każdego IP, max log size = 50, log level = 2, os level = 200 max ilosc polaczen.
logon drive = - nie mapuj dysku z profilami uzytkownika, logon path = \\marionet\profile_wins\%U miejsce gdzie beda się zgrywały logi zamiast "marionet" można użyć \\%L co znaczy nazwę netbios maszyny, profile_wins - poniżej jest określona ścieżka czyli /samba/home/profile dla logów.
Należy pamiętać aby ścieżki użytkowników Linux nie pogrywały się ze ścieżkami profilów.
Więc w systemie Linux, Samba dodajemy użytkownika i tworzymy ścieżki. Zakładam, że już jest utworzona grupa "smbuser":
#useradd -c "Użytkownik Samby" -s /bin/false -g smbuser -d /home/samba/mariop mariop
#passwd mariop
#mkdir /home/samba/mariop
#chown mariop.smbuser /home/samba/mariop
#chmod 700 /home/samba/mariop
#smbpasswd -a mariop
W systemie Windows XP Prof.
Powyższa konfiguracja nie powinna stwarzać problemów. Jednak jeśli winXP będzie uparty można zastosować jego konfigurację (z pozycji klienta).
Panel sterowania -> Połączenia sieciowe -> Karta sieciowa -> Protokół TCP/IP-> Zaawansowane->Karta WINS-> dodaj:
192.168.1.10 (Serwer samby):
Odznaczyć opcję LMHOSTS.
Dokonać restartu WinXP.
Niestety windows XP jest toporny we współpracy z Sambą, toteż trzeba dokonać małych zmian w regułach grup użytkowników:
uruchom -> gpedit.msc i ustaw jak na rysunku :
Gdybyśmy chcieli aby użytkownik nie mógł zapisywać nic na pulpicie i w moich dokumentach lokalnie wówczas ustawiamy "Zapobiegaj propagowaniu zmian ..." jednak dopiero po skopiowaniu ostatecznego profilu na serwer. Najważniejsza jest jednak 1 opcja która wyłącza durne info o braku uprawnień.
Brak komentarzy:
Prześlij komentarz