23.12. Построение главного контроллера домена

Проблема
Требуется настроить в Samba главный контроллер домена для локальной сети.
Решение
Контроллер домена ведет центральную базу данных паролей, чтобы после входа
пользователь имел доступ ко всем ресурсам домена без необходимости повтор ной аутентификации при обращении к общим файлам или принтерам домена.
Централизованная настройка общих файлов и принтеров на сервере Samba уп рощает управление доступом. В отличие от одноранговых сетей, системный ад министратор может в полной мере контролировать доступ к сетевым каталогам.
ВНИМАНИЕ
Windows XP Home Edition не поддерживает подключения к доменам — ни к доменам Windows,
ни к доменам Samba. Windows NT 3.x не поддерживает шифрование паролей, поэтому клиенты
NT 3.x не могут подключаться к обычным доменам Samba. На роль доменных клиентов лучше
всего подходят Windows 2000 и XP Pro.
Процесс настройки состоит из пяти этапов.
1. Установка Samba.
2. Настройка smb.conf.
Создание каталогов.
3. Создание учетных записей пользователей и компьютеров.
5. Запуск и подключение клиентов с целью тестирования.
С установкой Samba проблем быть не должно. Установка может осуществляться
из пакетов или по исходным текстам (в зависимости от ваших личных предпочтений).
Далее приводится минимальный файл smb.conf для нового контроллера доме на, с настройкой аутентификации и доступа к домашним каталогам пользовате лей. Совместный доступ к файлам и принтерам в нем не настраивается. Имя ра бочей группы становится новым именем домена:
[global]
workgroup = hoi stein
netbios name » windbag
server string = Samba PDC
domain master = yes
os level = 64
preferred master = yes
local master = yes
domain logons = yes
logon script = netlogon.bat
security = user
encrypt passwords = yes
log f i l e = /var/log/samba/log
log level = 2
392 Глава 23. Samba
max log size = 50
hosts allow = 192.168.1.
[netlogon]
comment = Network Logon Service
path = /var/samba/netlogon
guest ok = Yes
browseable = No
[homes]
comment = User's Home Directories
valid users - *S
browseable = No
writeable = Yes
Сохраните и закройте smb.conf, затем проверьте синтаксические ошибки testparm:
# testparm
Перезапустите Samba.
Затем создайте административные группы, используя системные номера групп:
# groupadd -g 112 sadmins
# groupadd -g 113 machines
Создайте каталог netlogon:
# mkdir -m 0775 /var/samba/netlogon
# chown root.sadmins /var/samba/netlogon
Для каждого компьютера в новом домене Samba необходимо создать учетную
запись. Начните с создания учетных записей Linux для каждого PC на сервере Samba.
Суффикс $ доллара является признаком «доверенной» учетной записи компьютера:
# useradd -g machines -d /dev/null -с "stinkpad" -s /bin/false stinkpad$
# passwd -1 stinkpadS
Затем добавьте все учетные записи в базу данных паролей Samba. Знак $ перед
именем компьютера при этом не указывается:
# smbpasswd -a -m stinkpad
Added user stinkpad$.
Для начала создайте учетную запись root на сервере Samba командой smbpasswd.
Она потребуется вам каждый раз, когда к домену будет присоединяться новый
компьютер с системой Windows NT/2000/XP, потому что первый вход в домен
должен производиться пользователем Samba root. He забывайте об этом, или ваши
компьютеры с Windows NT/2000/XP не смогут присоединиться к домену.
Не откладывайте вход в домен, чтобы произвести синхронизацию с сервером
и предотвратить возможное похищение учетной записи. Компьютер stinkpad
и Samba обмениваются маркерами аутентификации, благодаря чему Samba все гда сможет распознать stinkpad. Это и называется «доверием».
Процедура подключения клиентов Windows к домену Samba зависит от конкрет ной версии Windows. В следующих трех разделах будет показано, как это делается.
Комментарий
Работоспособность контроллера домена Samba может быть проверена парой про стых приемов. Для начала всегда запускается testparm:
$ testparm
Load smb config f i l e s from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section [homes]
Loaded services f i l e OK.
Server role: ROLE_DOMAIN_PDC
Для нас важна последняя строка (Server role: ROLE_DOMAIN_PDC). Затем выпол ните smbtree на сервере:
$ smbtree -N
added interface ip-192.168.1.5 bcast=192.168.1.255 nmask=255.255.255.0
Got a positive name query response from 192.168.1.5 ( 192.168.1.5 )
Got a positive name query response from 192.168.1.5 ( 192.168.1.5 )
HOLSTEIN
Got a positive name query response from 192.168.1.5 ( 192.168.1.5 )
//WINDBAG Samba PDC
Чтобы проверить подключение, запустите smbtree с другого хоста Linux в ло кальной сети.
Представленная конфигурация является сугубо минимальной. В нее можно
легко добавить общие каталоги и принтеры, как и на любом другом сервере Samba.
Общий ресурс netlogon содержит сценарий, автоматически загружаемый на кли енты Windows. Этот сценарий монтирует общие каталоги homes как локальные
диски Z. Весь сценарий выглядит так:
REM NETLOGON.BAT
net use z: \\linux\samba /yes
Присвойте ему имя netlogon.bat и сохраните в каталоге /var/samba/netlogon.
Следующие директивы сообщают, что Samba выполняет функции главного кон троллера домена (PDC):
domain master » yes
os level

• 64
preferred master = yes
local master = yes
domain logons - yes
Помните: в одном домене не может быть двух главных контроллеров, иначе
ничего не будет нормально работать. Файловых серверов Samba может быть не сколько, но главный контроллер домена только один.
См. также
smb.conf(5).