23.12. Построение главного контроллера домена
Проблема
Требуется настроить главный контроллер домена (PDC) в Samba для локальной сети, чтобы централизовать управление доступом к общим ресурсам и обеспечить единую систему аутентификации для пользователей.
Решение
Контроллер домена ведет базу данных паролей, обеспечивая пользователю доступ ко всем ресурсам домена после единого входа. Такая настройка упрощает управление доступом к общим файлам и принтерам, позволяет администратору контролировать доступ к сетевым ресурсам и поддерживать централизованную безопасность.
ВНИМАНИЕ:
Windows XP Home Edition не поддерживает подключение к доменам (ни Windows, ни Samba). Клиенты Windows NT 3.x не могут подключаться к доменам Samba из-за отсутствия поддержки шифрования паролей. Для полноценного подключения рекомендуется использовать Windows 2000, XP Pro или более поздние версии.
Этапы настройки контроллера домена в Samba
- Установка Samba из пакетов или по исходным текстам.
- Настройка конфигурационного файла
smb.conf
. - Создание каталогов и учетных записей пользователей и компьютеров.
- Перезапуск Samba и подключение клиентов для тестирования работоспособности.
Минимальный конфигурационный файл smb.conf
для нового контроллера домена с настройкой аутентификации и доступом к домашним каталогам пользователей выглядит следующим образом:
[global]
workgroup = holstein
netbios name = windbag
server string = Samba PDC
domain master = yes
os level = 64
preferred master = yes
local master = yes
domain logons = yes
logon script = netlogon.bat
security = user
encrypt passwords = yes
log file = /var/log/samba/log
log level = 2
max log size = 50
hosts allow = 192.168.1.
[netlogon]
comment = Network Logon Service
path = /var/samba/netlogon
guest ok = Yes
browseable = No
[homes]
comment = User's Home Directories
valid users = %S
browseable = No
writeable = Yes
Сохраните smb.conf
и проверьте его синтаксис с помощью testparm
:
# testparm
Перезапустите Samba для применения настроек. Затем создайте административные группы:
# groupadd -g 112 sadmins
# groupadd -g 113 machines
Создайте каталог netlogon
для скриптов входа:
# mkdir -m 0775 /var/samba/netlogon
# chown root:sadmins /var/samba/netlogon
Для каждого компьютера создайте учётную запись с суффиксом $
:
# useradd -g machines -d /dev/null -c "stinkpad" -s /bin/false stinkpad$
# smbpasswd -a -m stinkpad
Для подключения новых клиентов Windows к домену требуется учетная запись root в Samba, которую создают командой:
# smbpasswd -a root
Эта учетная запись потребуется при первом подключении компьютера Windows к домену.
Проверка работоспособности контроллера домена Samba
Проверьте конфигурацию командой testparm
для подтверждения роли контроллера домена (ROLE_DOMAIN_PDC):
$ testparm
Для проверки подключения выполните smbtree
с сервера или другого устройства в сети:
$ smbtree -N
Настройка сценария Netlogon
Сценарий netlogon.bat
автоматически монтирует домашние каталоги на Windows-клиенты:
REM NETLOGON.BAT
net use z: \\linux\samba /yes
Поместите netlogon.bat
в каталог /var/samba/netlogon
.
Настройка контроллера домена включает следующие директивы в smb.conf
:
domain master = yes
os level = 64
preferred master = yes
local master = yes
domain logons = yes
Помните, что в домене должен быть только один главный контроллер, иначе возможны конфликты.
См. также
smb.conf(5)