Samba – Samba jako PDC

Stworzenie z Samby Podstawowego Kontrolera Domeny (PDC – Primery Domen Control) pozwala uzyskać:

  1. logowanie domenowe dla klientów WindowsNT/2000/XP
  2. zabezpieczenia klientów Windows 95/98/Me
  3. przekazywanie list użytkowników i grup Samby do klientów Windows
  4. stosowanie "wędrujących" profili

Samba nie jest jednak idealna, pozbawiona jest:

  1. systemu zaufania międzydomenowego (domain trusts)
  2. możliwości replikacji SAM między Sambą a innymi kontrolerami domeny (BDC)
  3. możliwości dodawania użytkowników za pomocą Users Manager fod Domains
  4. możliwości działania jako kontroler domeny Windows 2000

 

Stworzenie konta dla komputera

Dla każdego komputera tworzone jest specjalne konto (tzw. trust computer account) i przydzielane hasło. Dzięki temu unika się sytuacji, gdy nieoprawniony komputer podszywa się pod inny (podając poprawną nazwę NetBIOS) i bezprawnie podłącza się do domeny. Autoryzowane są tak komputery z systemem Windows NT/2000/XP. Systemy Windows 95/98/Me nie mają tej możliwości i dlatego niegdy nie będą prawdziwymi członkami domeny.

Serwer Samby przechowuje konta komputera w następujący sposób: tworzone jest zwykłe konto systemowe dla komputera oraz specjalne konto w plikach Samby. Na zwykłe konto systemowe nie powinno móc się logować, nie powinno ono mieć także katalogu domowego:

useradd -g 100 -c nazwa_komputera -d /dev/null -s /bin/false nazwa_komputera$

Nazwa komputera powinna być oczywiście jego nazwą NetBIOS. Zwróć również uwagę na znak dolara na końcu nazwy komputera przy nazwie konta, jest to właśnie znak iż konto jest kontem komputera a nie użytkownika czy demona.

Następnym krokiem jest stworzenie konta komputera na serwerze Samby:

smbpasswd -a -m nazwa_komutera

Przełącznik -m wskazuje tutaj iż konto jest dla komputera a nie dla użytkownika. Nie będziemy musieli więc podawać hasła dostępu.

Konta dla użytkowników

Podobnie tworzymy konta dla użytkowników. Najpierw dodajemy konto w systemie:

useradd ziutus

A następnie w Sambie:

smbpasswd -a ziutus

Konto administratora domeny

Niezbędne jest również konto użytkownika, który będzie miał prawo dodawać poszczególne komputery do domeny. Definiowane jest ono w sekcji [global], w zmiennej admin users – zwykle jest nim administrator systemu (root). Ma on już konto w systemie, należy tylko stworzyć mu konto w Sambie (najlepiej z innym hasłem niż systemowe:

smbpasswd -a root

Wskazówka: W większosci dystrybucji konto root jest zablokowane przy pomocy dyrektowy invalid users = root. W takim przypadku należy linie zakomentować:

;invalid users = root

Podłączanie komputerów do domeny

Teraz można podłączać komputery do domeny. Dokonujemy tego albo przy instalacji systemu albo później podczas pracy. Wtedy do systemu Windows musi się zalogować administrator i we właściwościach komputera ustalić jego przynależność do domeny. Przy tej czynności zostaniemy poproszeni o login i hasło użytkownika zdefiniowanego w zmiennej admin users. Po tej czynności komputer staje się pełnoprawnym członkiem domeny.

W przypadku przyłączania komputerów z Windows XP mogą wystąpić problemy. Komputery normalnie się przyłączają do domeny ale użytkownicy nie mogą się zalogować do niej. Należy wtedy zmodyfikować wpis w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlerSet\Services\netlogon\parameters\Require\SingorSeal=dword:00000000

Po zmianie trzeba przerestartować system.

Tą samą zmianę można dokonać w następujący sposób: Otwieramy narzędzie do ustalania lokalnych zasad bezpieczeństwa – Start->Panel Sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych. Tam w gałęzi Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje zabezpieczeń dla opcji Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału – zawsze ustaw Wyłączone.

 

Przykładowy plik konfiguracyjny dla Samby

Przykładowy plik konfiguracyjny Samby jako Podstawowego Kontrolera Domeny:

[global]
netbios name = PDC
workgroup = Nazwa_domeny

;
os level = 244
preferred master = yes
domain master = yes
local master = yes

; wymagany poziom bezpieczeństwa dla PDC to user i szyfrowane hasła
security = user
encrypted passwords = yes

; potrzebny jest użytkownik - administrator domeny
admin users = root

; włączamy logowanie domenowe
domain logons = yes

; domyśle miejsce magazynowania wędrujących profili użytkowników
logon path = \\%N\%U\profile

; katalog domowy użytkownika na serwerze i literka, pod jaką będzie mapowany:
logon home = \\%N\%U
logon drive = H:

; skrypt logowania (%G oznacza nazwę grupy, %U oznacza nazwę użytkownika)
logon script = %G.bat

; miescje przechowywania skryptów logowania
[netlogon]
path = /home/samba/netlogon
read only = yes
browseable = no
write list = root

; katalogi domowe użytkowników
path = %H
read only = no
browseable = no
valid users = %S
create mode = 600
directory mode = 0700

;
path = /home/samba/profiles
read only = no
browseable = no
valid users = %S
create mask = 0600
directory mask = 0700

Dodaj komentarz