Главная > Linux > Контроллер домена (PDC) на sambe
Контроллер домена (PDC) на sambe16 марта 2009. Разместил: dimon |
Задача поднять контроллер домена (PDC) с помощью samba на ОС Linux CentOS 5.2 (LDAP не используем).
Рабочие станции комплектуются ОС MS Windows XP. Сервер имеет два сетевых интерфейса: внешний: eth0 xxx.xxx.xxx.xxx внутренний: eth1 192.168.1.1/255.255.255.0 Группы: smb_wst – для компьютеров домена smb_usr – для пользователей домена smb_adm – для админов 1. Ставим самбу yum install samba 2. Правим /etc/samba/smb.conf #==== Settings ===== [global] # Имя домена workgroup = sclad # Описание сервера server string = Samba Server Version %v # nebios имя машины netbios name = sclad # Интерфейс на котором самба слушает подключения interfaces = lo eth1 192.168.1.0/255.255.255.0 # Хосты, которым разрешено обращаться к нашему серверу hosts allow = 127. 192.168.1. # Порты на которые самба слушает подключения smb ports = 139 # Лог файл самбы log file = /var/log/samba/%m.log # Максимальный размер лога (в Кб) max log size = 50 # Тип безопасности user(необходимо для PDC) security = user # Использовать зашированные пароли encrypt passwords = yes domain logons = yes # Скрипт, который запустится при входе пользователя logon script = logon.bat # Сетевой путь к перемещаемому профилю (для неперемещаемых профилей оставляем пусто) logon path = # Делаем из samb'ы PDC local master = yes domain master = yes os level = 33 preferred master = yes # использовать принтеры load printers = yes cups options = raw #==== Share Definitions ===== [homes] comment = Home Directories browseable = no writable = yes [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = no writable = no printable = yes [shared] comment = Share path = /docs/shared browseable = yes guest ok = yes writable = yes [netlogon] comment = Network Logon Service path = /docs/netlogon guest ok = yes writable = no share modes = no 3. Создаем папки (шары): /docs/shared/ /docs/netlogon/ 4. Создаем логон-скрипт: /docs/netlogon/logon.bat 5. Стартуем службу: [root@sclad /]# service smb start Starting SMB services: [ OK ] Starting NMB services: [ OK ] 6. Добавляем комп в домен: [root@sclad ~]# adduser comp$ [root@sclad ~]# smbpasswd -a -m comp Added user comp$. 7. Создаем группы: [root@sclad script]# groupadd smb_wst [root@sclad script]# groupadd smb_usr [root@sclad script]# groupadd smb_adm 8. Добавляем root-а в домен (самбу), добавляем его в группу smb_adm: [root@sclad samba]# smbpasswd -a root New SMB password: ***** Retype new SMB password: ***** Added user root. [root@sclad etc]# groups root root : root bin daemon sys adm disk wheel [root@sclad etc]# gpasswd -a root smb_adm Adding user root to group smb_adm [root@sclad etc]# groups root root : root bin daemon sys adm disk wheel smb_adm 9. Создаем пользователя vasia в домене, добавляем его в группу smb_usr: [root@sclad etc]# useradd vasia [root@sclad etc]# smbpasswd -a vasia New SMB password: ***** Retype new SMB password: ***** Added user vasia. [root@sclad etc]# usermod -G smb_usr vasia [root@sclad etc]# groups vasia vasia : vasia smb_usr 10. Подключаем комп к домену: Мой компьютер – Свойства. Вкладка ”Имя компьютера”. 11. Теперь необходимо смапить линксовые группы с группами Windows, т.е. установить соответствие между Windows SIDs группой и UNIX группами. 11.1. Смотри SID домена: [root@sclad samba]# net lookup name sclad S-1-5-21-1385638664-950386362-3318781817 3 (Domain) SCLAD 11.2. Мапим группы: Domain Users = smb_usr (SID окончание 513) Domain Admins = smb_adm (SID окончание 512) [root@sclad samba]# net groupmap add Usage: net groupmap add {rid= [root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-513" unixgroup=smb_usr ntgroup="Domain Users" Successfully added group Domain Users to the mapping db as a domain group [root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-512" unixgroup=smb_adm ntgroup="Domain Admins" Successfully added group Domain Admins to the mapping db as a domain group [root@sclad samba]# net groupmap list Domain Admins (S-1-5-21-1385638664-950386362-3318781817-512) -> smb_adm Domain Users (S-1-5-21-1385638664-950386362-3318781817-513) -> smb_usr 11.3. Проверяем: - логинемся под пользователем vasia и видим, что он не имеет прав локального администратора, - логинемся под root и видим, что он локальный адимин. 12. Добавляем самбу в ”автозапуск”: [root@sclad samba]# chkconfig smb on [root@sclad samba]# chkconfig --list | grep mb smb 0:off 1:off 2:on 3:on 4:on 5:on 6:off PS: Вернуться назад |