DataLife Engine > Версия для печати > Контроллер домена (PDC) на sambe

Задача поднять контроллер домена (PDC) с помощью samba на ОС Linux CentOS 5.2 (LDAP не используем).
Рабочие станции комплектуются ОС MS Windows XP.

Сервер имеет два сетевых интерфейса:
внешний: eth0 xxx.xxx.xxx.xxx
внутренний: eth1 192.168.1.1/255.255.255.0

Группы:
smb_wst – для компьютеров домена
smb_usr – для пользователей домена
smb_adm – для админов

1. Ставим самбу yum install samba

2. Правим /etc/samba/smb.conf

#==== Settings =====

[global]
# Имя домена
workgroup = sclad
# Описание сервера
server string = Samba Server Version %v

# nebios имя машины
netbios name = sclad

# Интерфейс на котором самба слушает подключения
interfaces = lo eth1 192.168.1.0/255.255.255.0
# Хосты, которым разрешено обращаться к нашему серверу
hosts allow = 127. 192.168.1.
# Порты на которые самба слушает подключения
smb ports = 139

# Лог файл самбы
log file = /var/log/samba/%m.log
# Максимальный размер лога (в Кб)
max log size = 50

# Тип безопасности user(необходимо для PDC)
security = user
# Использовать зашированные пароли
encrypt passwords = yes

domain logons = yes

# Скрипт, который запустится при входе пользователя
logon script = logon.bat
# Сетевой путь к перемещаемому профилю (для неперемещаемых профилей оставляем пусто)
logon path =

# Делаем из samb'ы PDC
local master = yes
domain master = yes
os level = 33
preferred master = yes

# использовать принтеры
load printers = yes
cups options = raw

#==== Share Definitions =====

[homes]
comment = Home Directories
browseable = no
writable = yes

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

[shared]
comment = Share
path = /docs/shared
browseable = yes
guest ok = yes
writable = yes

[netlogon]
comment = Network Logon Service
path = /docs/netlogon
guest ok = yes
writable = no
share modes = no

3. Создаем папки (шары):
/docs/shared/
/docs/netlogon/

4. Создаем логон-скрипт:
/docs/netlogon/logon.bat

5. Стартуем службу:

[root@sclad /]# service smb start
Starting SMB services: [ OK ]
Starting NMB services: [ OK ]

6. Добавляем комп в домен:

[root@sclad ~]# adduser comp$
[root@sclad ~]# smbpasswd -a -m comp
Added user comp$.

7. Создаем группы:

[root@sclad script]# groupadd smb_wst
[root@sclad script]# groupadd smb_usr
[root@sclad script]# groupadd smb_adm

8. Добавляем root-а в домен (самбу), добавляем его в группу smb_adm:

[root@sclad samba]# smbpasswd -a root
New SMB password: *****
Retype new SMB password: *****
Added user root.
[root@sclad etc]# groups root
root : root bin daemon sys adm disk wheel
[root@sclad etc]# gpasswd -a root smb_adm
Adding user root to group smb_adm
[root@sclad etc]# groups root
root : root bin daemon sys adm disk wheel smb_adm

9. Создаем пользователя vasia в домене, добавляем его в группу smb_usr:

[root@sclad etc]# useradd vasia
[root@sclad etc]# smbpasswd -a vasia
New SMB password: *****
Retype new SMB password: *****
Added user vasia.
[root@sclad etc]# usermod -G smb_usr vasia
[root@sclad etc]# groups vasia
vasia : vasia smb_usr

10. Подключаем комп к домену:
Мой компьютер – Свойства. Вкладка ”Имя компьютера”.

11. Теперь необходимо смапить линксовые группы с группами Windows, т.е. установить соответствие между Windows SIDs группой и UNIX группами.

11.1. Смотри SID домена:

[root@sclad samba]# net lookup name sclad
S-1-5-21-1385638664-950386362-3318781817 3 (Domain) SCLAD

11.2. Мапим группы:
Domain Users = smb_usr (SID окончание 513)
Domain Admins = smb_adm (SID окончание 512)

[root@sclad samba]# net groupmap add
Usage: net groupmap add {rid=|sid=} unixgroup= [type=] [ntgroup=] [comment=]
[root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-513" unixgroup=smb_usr ntgroup="Domain Users"
Successfully added group Domain Users to the mapping db as a domain group
[root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-512" unixgroup=smb_adm ntgroup="Domain Admins"
Successfully added group Domain Admins to the mapping db as a domain group
[root@sclad samba]# net groupmap list
Domain Admins (S-1-5-21-1385638664-950386362-3318781817-512) -> smb_adm
Domain Users (S-1-5-21-1385638664-950386362-3318781817-513) -> smb_usr

11.3. Проверяем:
- логинемся под пользователем vasia и видим, что он не имеет прав локального администратора,
- логинемся под root и видим, что он локальный адимин.

12. Добавляем самбу в ”автозапуск”:

[root@sclad samba]# chkconfig smb on
[root@sclad samba]# chkconfig --list | grep mb
smb 0:off 1:off 2:on 3:on 4:on 5:on 6:off

PS: