23.12. Построение главного контроллера домена

Проблема

Требуется настроить главный контроллер домена (PDC) в Samba для локальной сети, чтобы централизовать управление доступом к общим ресурсам и обеспечить единую систему аутентификации для пользователей.

Решение

Контроллер домена ведет базу данных паролей, обеспечивая пользователю доступ ко всем ресурсам домена после единого входа. Такая настройка упрощает управление доступом к общим файлам и принтерам, позволяет администратору контролировать доступ к сетевым ресурсам и поддерживать централизованную безопасность.

ВНИМАНИЕ:

Windows XP Home Edition не поддерживает подключение к доменам (ни Windows, ни Samba). Клиенты Windows NT 3.x не могут подключаться к доменам Samba из-за отсутствия поддержки шифрования паролей. Для полноценного подключения рекомендуется использовать Windows 2000, XP Pro или более поздние версии.

Этапы настройки контроллера домена в Samba

  1. Установка Samba из пакетов или по исходным текстам.
  2. Настройка конфигурационного файла smb.conf.
  3. Создание каталогов и учетных записей пользователей и компьютеров.
  4. Перезапуск Samba и подключение клиентов для тестирования работоспособности.

Минимальный конфигурационный файл smb.conf для нового контроллера домена с настройкой аутентификации и доступом к домашним каталогам пользователей выглядит следующим образом:

[global]
workgroup = holstein
netbios name = windbag
server string = Samba PDC
domain master = yes
os level = 64
preferred master = yes
local master = yes
domain logons = yes
logon script = netlogon.bat
security = user
encrypt passwords = yes
log file = /var/log/samba/log
log level = 2
max log size = 50
hosts allow = 192.168.1.

[netlogon]
comment = Network Logon Service
path = /var/samba/netlogon
guest ok = Yes
browseable = No

[homes]
comment = User's Home Directories
valid users = %S
browseable = No
writeable = Yes

Сохраните smb.conf и проверьте его синтаксис с помощью testparm:

# testparm

Перезапустите Samba для применения настроек. Затем создайте административные группы:

# groupadd -g 112 sadmins
# groupadd -g 113 machines

Создайте каталог netlogon для скриптов входа:

# mkdir -m 0775 /var/samba/netlogon
# chown root:sadmins /var/samba/netlogon

Для каждого компьютера создайте учётную запись с суффиксом $:

# useradd -g machines -d /dev/null -c "stinkpad" -s /bin/false stinkpad$
# smbpasswd -a -m stinkpad

Для подключения новых клиентов Windows к домену требуется учетная запись root в Samba, которую создают командой:

# smbpasswd -a root

Эта учетная запись потребуется при первом подключении компьютера Windows к домену.

Проверка работоспособности контроллера домена Samba

Проверьте конфигурацию командой testparm для подтверждения роли контроллера домена (ROLE_DOMAIN_PDC):

$ testparm

Для проверки подключения выполните smbtree с сервера или другого устройства в сети:

$ smbtree -N

Настройка сценария Netlogon

Сценарий netlogon.bat автоматически монтирует домашние каталоги на Windows-клиенты:

REM NETLOGON.BAT
net use z: \\linux\samba /yes

Поместите netlogon.bat в каталог /var/samba/netlogon.

Настройка контроллера домена включает следующие директивы в smb.conf:

domain master = yes
os level = 64
preferred master = yes
local master = yes
domain logons = yes

Помните, что в домене должен быть только один главный контроллер, иначе возможны конфликты.

См. также

smb.conf(5)