Stworzenie z Samby Podstawowego Kontrolera Domeny (PDC – Primery Domen Control) pozwala uzyskać:
- logowanie domenowe dla klientów WindowsNT/2000/XP
- zabezpieczenia klientów Windows 95/98/Me
- przekazywanie list użytkowników i grup Samby do klientów Windows
- stosowanie "wędrujących" profili
Samba nie jest jednak idealna, pozbawiona jest:
- systemu zaufania międzydomenowego (domain trusts)
- możliwości replikacji SAM między Sambą a innymi kontrolerami domeny (BDC)
- możliwości dodawania użytkowników za pomocą Users Manager fod Domains
- możliwości działania jako kontroler domeny Windows 2000
Stworzenie konta dla komputera
Dla każdego komputera tworzone jest specjalne konto (tzw. trust computer account) i przydzielane hasło. Dzięki temu unika się sytuacji, gdy nieoprawniony komputer podszywa się pod inny (podając poprawną nazwę NetBIOS) i bezprawnie podłącza się do domeny. Autoryzowane są tak komputery z systemem Windows NT/2000/XP. Systemy Windows 95/98/Me nie mają tej możliwości i dlatego niegdy nie będą prawdziwymi członkami domeny.
Serwer Samby przechowuje konta komputera w następujący sposób: tworzone jest zwykłe konto systemowe dla komputera oraz specjalne konto w plikach Samby. Na zwykłe konto systemowe nie powinno móc się logować, nie powinno ono mieć także katalogu domowego:
useradd -g 100 -c nazwa_komputera -d /dev/null -s /bin/false nazwa_komputera$
Nazwa komputera powinna być oczywiście jego nazwą NetBIOS. Zwróć również uwagę na znak dolara na końcu nazwy komputera przy nazwie konta, jest to właśnie znak iż konto jest kontem komputera a nie użytkownika czy demona.
Następnym krokiem jest stworzenie konta komputera na serwerze Samby:
smbpasswd -a -m nazwa_komutera
Przełącznik -m wskazuje tutaj iż konto jest dla komputera a nie dla użytkownika. Nie będziemy musieli więc podawać hasła dostępu.
Konta dla użytkowników
Podobnie tworzymy konta dla użytkowników. Najpierw dodajemy konto w systemie:
useradd ziutus
A następnie w Sambie:
smbpasswd -a ziutus
Konto administratora domeny
Niezbędne jest również konto użytkownika, który będzie miał prawo dodawać poszczególne komputery do domeny. Definiowane jest ono w sekcji [global], w zmiennej admin users – zwykle jest nim administrator systemu (root). Ma on już konto w systemie, należy tylko stworzyć mu konto w Sambie (najlepiej z innym hasłem niż systemowe:
smbpasswd -a root
Wskazówka: W większosci dystrybucji konto root jest zablokowane przy pomocy dyrektowy invalid users = root. W takim przypadku należy linie zakomentować:
;invalid users = root
Podłączanie komputerów do domeny
Teraz można podłączać komputery do domeny. Dokonujemy tego albo przy instalacji systemu albo później podczas pracy. Wtedy do systemu Windows musi się zalogować administrator i we właściwościach komputera ustalić jego przynależność do domeny. Przy tej czynności zostaniemy poproszeni o login i hasło użytkownika zdefiniowanego w zmiennej admin users. Po tej czynności komputer staje się pełnoprawnym członkiem domeny.
W przypadku przyłączania komputerów z Windows XP mogą wystąpić problemy. Komputery normalnie się przyłączają do domeny ale użytkownicy nie mogą się zalogować do niej. Należy wtedy zmodyfikować wpis w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlerSet\Services\netlogon\parameters\Require\SingorSeal=dword:00000000
Po zmianie trzeba przerestartować system.
Tą samą zmianę można dokonać w następujący sposób: Otwieramy narzędzie do ustalania lokalnych zasad bezpieczeństwa – Start->Panel Sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych. Tam w gałęzi Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje zabezpieczeń dla opcji Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału – zawsze ustaw Wyłączone.
Przykładowy plik konfiguracyjny dla Samby
Przykładowy plik konfiguracyjny Samby jako Podstawowego Kontrolera Domeny:
[global]
netbios name = PDC
workgroup = Nazwa_domeny
;
os level = 244
preferred master = yes
domain master = yes
local master = yes
; wymagany poziom bezpieczeństwa dla PDC to user i szyfrowane hasła
security = user
encrypted passwords = yes
; potrzebny jest użytkownik - administrator domeny
admin users = root
; włączamy logowanie domenowe
domain logons = yes
; domyśle miejsce magazynowania wędrujących profili użytkowników
logon path = \\%N\%U\profile
; katalog domowy użytkownika na serwerze i literka, pod jaką będzie mapowany:
logon home = \\%N\%U
logon drive = H:
; skrypt logowania (%G oznacza nazwę grupy, %U oznacza nazwę użytkownika)
logon script = %G.bat
; miescje przechowywania skryptów logowania
[netlogon]
path = /home/samba/netlogon
read only = yes
browseable = no
write list = root
; katalogi domowe użytkowników
path = %H
read only = no
browseable = no
valid users = %S
create mode = 600
directory mode = 0700
;
path = /home/samba/profiles
read only = no
browseable = no
valid users = %S
create mask = 0600
directory mask = 0700