Изучаем Linux, 302 (смешанные среды): Управление доменом

Использование Samba для сетевой аутентификации

С точки зрения SMB/CIFS домен и рабочая группа ничем не отличаются – в обоих случаях это единый набор компьютеров, обычно находящихся в одной локальной сети. Однако в домене имеется специальный компьютер – контроллер домена, который управляет учетными записями и подключениями клиентов ко всем серверам домена, а также выполняет ряд дополнительных ролей. Samba может работать в качестве контроллера домена, но для этого необходимо настроить ряд параметров.

Об этой серии

Эта серия статьей поможет вам освоить задачи администрирования операционной системы Linux. Вы можете использовать материалы этих статей для подготовки к экзаменам программы LPIC третьего уровня (LPIC-3).

Чтобы посмотреть описания статей этой серии и получить ссылки на них, обратитесь к нашему перечню материалов для подготовки к экзаменам LPIC-3. Этот перечень постоянно дополняется новыми статьями по мере их готовности и содержит текущие (по состоянию на ноябрь 2010 года) цели экзаменов сертификации LPIC-3.

Краткий обзор

В этой статье рассматриваются следующие темы:

  • Членство в домене.
  • Настройка первичного контроллера домена.
  • Настройка резервного контроллера домена.
  • Добавление компьютеров в домен.
  • Управление сценариями входа в систему.
  • Управление перемещаемыми профилями.
  • Управление системными политиками.

Эта статья поможет вам подготовиться к сдаче экзамена LPI 302 (специализация "Смешанные среды") и содержит материалы цели 312.4 темы 312. Цель имеет вес 4.


Предварительные требования

Чтобы извлечь наибольшую пользу из этой статьи, необходимо обладать практическими навыками работы с инструментами командной строки Linux и знать основы конфигурирования Samba. Вы должны знать общую структуру конфигурационного файла smb.conf и уметь редактировать его в каком-либо текстовом редакторе. Вы должны уметь настроить сервер Samba для работы с файлами.


Настройка основных доменных функций

О факультативном экзамене LPI-302

Как и многие другие программы, программа сертификации Linux Professional Institute (LPIC) предусматривает различные уровни сертификации, где для получения каждого последующего уровня необходимо обладать более глубокими знаниями и практическим опытом. Экзамен LPI-302 – это факультативный экзамен третьего уровня программы LPIC, требующий продвинутых знаний в области системного администрирования Linux.

Для получения сертификата LPIC третьего уровня (LPIC-3) необходимо успешно сдать два экзамена первого уровня (101 и 102), два экзамена второго уровня (201 и 202), а также базовый экзамен 301 третьего уровня (LPIC-3). Если вы получили сертификат третьего уровня, вы можете сдавать факультативные экзамены по определенным специализациям, например, экзамен LPI-302.

Основная функция контроллера домена заключается в управлении проверкой подлинности других компьютеров. Для этого сервер Samba должен уметь принимать определенные типы данных аутентификации от клиентов и соответствующим образом отвечать им. Для включения этой возможности необходимо настроить несколько параметров в файле smb.conf. На практике контроллеры домена выполняют дополнительные роли в сетевом окружении, поэтому может потребоваться настроить дополнительные параметры Samba.

Прежде чем двигаться дальше, необходимо рассказать о взаимодействии компьютеров в домене Microsoft® Windows NT®. Контроллер домена является ядром такой сети. Клиентами домена могут быть файловые серверы или серверы печати под управлением Samba, операционной системы Windows® или другого программного обеспечения. Эти компьютеры называются серверами, являющимися членами домена, и являются как серверами (по отношению к рабочим станциям пользователей), так и клиентами (по отношению к контроллеру домена). Архитектура сетевого окружения может повлиять на эти отношения. Например, в одноранговой сети один и тот же компьютер может являться как сервером-членом домена, так и клиентом файлового сервера. Контроллер домена может работать в качестве файлового сервера и даже в качестве клиента.

Настройка обязательных доменных функций

Минимальная конфигурация для работы Samba в качестве контроллера домена предполагает настройку следующих параметров smb.conf.

workgroup = EXAMPLE
security = User
encrypt passwords = Yes
passdb backend = tdbsam:/etc/samba/private/passdb.tdb
domain logons = Yes
admin users = ntadmin

Создайте ваш собственный канал

Вы можете создать ваш собственный RSS, Atom или HTML канал обновлений и получать уведомления о новых или обновленных статьях нашего сайта. Для этого перейдите на страницу developerWorks RSS feeds, выберите зону Linux, установите флажок Статьи и введите в качестве ключевой фразы Linux Professional Institute, после чего выберите требуемый тип канала.

Некоторые из этих параметров при необходимости можно изменить, а некоторые – нет. Рассмотрим их подробно:

  • workgroup – задает имя домена Windows NT. Домен – это просто рабочая группа с дополнительными возможностями.
  • security – этот параметр должен иметь значение User.
  • encrypt passwords – этот параметр должен иметь значение Yes.
  • passdb backend – этот параметр может иметь любое допустимое значение, однако, если предполагается использовать и основной, и резервный контроллеры домена, то, возможно, потребуется задать для него определенное значение в соответствии с разделом Настройка резервного контроллера домена.
  • domain logons – этот параметр должен иметь значение Yes.
  • admin users – задает имена одного или нескольких пользователей (в нашем примере ntadmin), которые будут являться администраторами. Эти пользователи будут иметь привилегии пользователя root для любых общих ресурсов, к которым они подключаются. Чтобы иметь возможность присоединять новые компьютеры к домену, необходимо указать администраторов либо таким способом, либо добавить пользователя root в базу учетных записей Samba.

Эти параметры накладывают определенные условия, а именно: сервер Samba должен содержать локальные учетные записи Linux всех пользователей, которых он должен аутентифицировать, и эти учетные записи также должны присутствовать в базе паролей Samba. Как только Samba будет настроена в соответствии с этими требованиями, она начнет принимать доменные учетные записи компьютеров под управлением Microsoft Windows 9x/Me или компьютеров Samba, настроенных с параметром security = Server. Для обеспечения работы с учетными записями компьютеров под управлением более новых ОС Windows или компьютеров Samba, настроенной с параметром security = Domain, необходимо создать доверительные учетные записи компьютеров.

Создание доверительных учетных записей компьютеров

Любой компьютер можно свободно добавить в сетевое окружение рабочей группы, однако для получения всех преимуществ доменного окружения компьютер должен являться полноправным членом домена. С точки зрения пользователя главное преимущество доменного окружения заключается в использовании механизма единого входа (single sign-on), которая означает, что пользователю достаточно один раз ввести имя и пароль, чтобы получить доступ к любому серверу, также являющемуся членом домена. С точки зрения администрирования Samba членство в домене позволяет использовать на рядовых серверах домена параметр конфигурации security = Domain. Этот параметр обеспечивает более надежную защиту по сравнению с параметром security = Server, хотя для полного присоединения компьютера к домену требуется выполнить ряд дополнительных действий.

Для полного присоединения к домену компьютер (как рядовой сервер домена, так и клиентская рабочая станция) должен иметь собственную учетную запись на контроллере домена. К самим контроллерам домена это требование не предъявляется. Учетная запись компьютера никак не связана с учетными записями работающих на нем пользователей и называется доверительной учетной записью компьютера.

Лучше всего использовать отдельную группу Linux, которая будет содержать доверительные учетные записи всех компьютеров. Следующая команда создает группу с именем trust, которая и будет использоваться для этих целей:

# groupadd -r trust

После того, как группа доверительных учетных записей компьютеров создана, можно переходить к созданию самих учетных записей – по одной для каждого члена домена (клиента или сервера) в вашей сети. В качестве имен учетных записей вы должны использовать NetBIOS-имена компьютеров, преобразованные в нижний регистр и оканчивающиеся знаком доллара ($). Например, если NetBIOS-имя вашего компьютера WEMBLETH, то его доверительная учетная запись будет называться wembleth$. Для создания учетных записей можно использовать команды useradd и smbpasswd, как показано ниже:

# useradd -d /dev/null -M -g trust -s /bin/false wembleth$
# smbpasswd -a -m wembleth$

В этом примере мы создали доверительную учетную запись компьютера с именем wembleth$, задали для нее домашнюю директорию /dev/null (-d /dev/null), указали, что эту директорию не нужно создавать (-M), добавили учетную запись в группу trust (-g trust) и установили в качестве командной оболочки значение /bin/false (-s /bin/false). Во второй команде для этой учетной записи была создана запись в базе паролей Samba и указан ее тип с помощью параметра -m (доверительная учетная запись компьютера).

Если вы создали нового пользователя для параметра admin user, то необходимо задать для него пароль Samba с помощью команды smbpasswd (аналогично команде smbpasswd ntadmin для задания его пользовательского пароля). Эта учетная запись будет использоваться при добавлении компьютеров в домен и обладает высокими привилегиями Samba. Если вы не намерены использовать эту учетную запись для выполнения других задач, то мы рекомендуем закомментировать строку admin users в файле smb.conf после того, как вы присоедините все клиентские компьютеры к домену.

Настройка дополнительных доменных функций

Конфигурация, рассмотренная в предыдущем разделе, является достаточной для выполнения наиболее важных функций контроллера домена, тем не менее контроллеры домена, как правило, выполняют дополнительные роли в сетях NetBIOS. В частности, контроллер домена может выступать в роли главного обозревателя домена, сервера Windows Internet Name Service (WINS, другой вариант названия – NetBIOS Name Server) или сервера времени. Эти дополнительные службы можно настроить с помощью следующих параметров:

domain master = Yes
preferred master = Yes
os level = 65
wins support = Yes
time server = Yes

После того, как эти изменения будут сохранены в файле smb.conf, Samba по прошествии определенного времени обнаружит их и изменит свой режим работы. Если вы хотите ускорить этот процесс, то для немедленной перезагрузки конфигурации можете послать серверу сигнал SIGHUP или использовать сценарии инициализации SysV вашего дистрибутива.

Добавление компьютеров в домен

К этому моменту наша конфигурация обеспечивает полноценную работу Samba в качестве контроллера домена, и мы можем приступать к добавлению компьютеров в домен. То, каким образом это делается, зависит от операционной системы, установленной на сервере-члене домена или клиентской рабочей станции. В случае использования операционной системы Windows 7 необходимо выполнить следующие действия:

  1. Добавьте в системный реестр следующие записи:

    HKEY_LOCAL_MACHINE\System\CCS\Services\LanmanWorkstation\Parameters
        DWORD  DomainCompatibilityMode = 1
        DWORD  DNSNameResolutionRequired = 0

    Вместо этого вы можете загрузить файл Win7_Samba3DomainMember.reg и дважды щелкнуть на нем для его запуска. Это действие не нужно выполнять в Windows Vista® или более ранних версиях Windows.

  2. В панели Control Panel System запустите оснастку Security.
  3. Нажмите System.
  4. Нажмите Change Settings в разделе Computer Name, Domain, and Workgroup Settings.

    Откроется окно свойств системы.

  5. Нажмите Change.

    Откроется окно Computer Name/Domain Changes, изображенное на рисунке 1.

    Рисунок 1. Присоединение компьютера к домену с помощью окна Computer Name/Domain Changes
    Рисунок 1. Присоединение компьютера к домену с помощью окна Computer Name/Domain Changes
  6. Выберите параметр Domain и введите в текстовом поле имя домена.
  7. Нажмите OK.

    Откроется окно Windows Security, изображенное на рисунке 2.

    Рисунок 2. Окно Windows Security с запросом на ввод учетных данных администратора
    Рисунок 2. Окно Windows Security с запросом на ввод учетных данных администратора
  8. Введите имя и пароль учетной записи администратора Samba, указанной в параметре admin users, и нажмите OK.

Вам будет предложено перезагрузить компьютер, после чего он будет присоединен к домену.

Примечание. Не все версии Windows могут быть присоединены к домену. Например, Домашние (Home) версии Windows можно использовать только в рабочих группах.

После того, как компьютер будет присоединен к домену и перезагружен, вы увидите окно входа с приглашением нажать Ctrl-Alt-Del для входа в систему. Чтобы войти в систему, используйте имя и пароль учетной записи, зарегистрированной на сервере Samba. После этого вы сможете получить доступ к любому компьютеру, который является членом этого же домена; для авторизации будет использоваться ваша учетная запись, которую вы указали при входе в систему, и, таким образом, вам не придется вводить пароль повторно. Если вы настроили на компьютере общие файловые ресурсы или принтеры, то для аутентификации компьютер будет использовать сервер Samba.

Если вы хотите, чтобы сервер Samba функционировал в качестве обычного рядового сервера, то его также необходимо присоединить к домену. Для этого первым делом необходимо настроить в его конфигурационном файле smb.conf следующие параметры:

password server = SERVERNAME
domain logons = No
encrypt passwords = Yes
security = Domain
domain master = No
preferred master = No
os level = 1
wins support = No

Многие из этих параметров имеют значения, противоположные значениям параметров контроллера домена; при настройке этих параметров необходимо убедиться, что главным браузером или сервером NetBIOS-имен будет являться только один компьютер. Параметр password server должен указывать на контроллер используемого домена. Для параметра security можно выбрать одно из двух значений: Domain (для полного присоединения к домену, как в нашем примере) или Server (в этом случае Samba не будет полностью присоединена к домену, но будет отправлять запросы на проверку паролей контролеру домена с использованием более простых, не доменных протоколов). Если вы установили параметр security = Domain, то вы должны полностью присоединить компьютер к домену, выполнив следующую команду:

# net join member -U ntadmin

Вместо ntadmin укажите имя пользователя административной учетной записи. Когда вам будет предложено ввести пароль, введите пароль пользователя ntadmin. Если все пройдет успешно, то вы увидите сообщение о том, что компьютер был присоединен к домену, указанному в параметре workgroup файла smb.conf.

После того, как сервер Samba будет присоединен к домену, компьютер будет выполнять проверку подлинности (но только для Samba), обращаясь к контроллеру домена. В теме 313.3 (Winbind) рассматривается настройка Linux-компьютеров, позволяющая использовать контроллер домена для проверки подлинности не только связанных с Samba приложений.


Создание доменных общих ресурсов и пользовательских настроек

После того, как мы проверили базовую функциональность подключения к домену, можно пойти дальше и создать специальный доменный общий ресурс под названием NETLOGON, а также сконфигурировать Samba таким образом, чтобы она сохраняла пользовательские настройки рабочего стола Windows на контроллере домена.

Создание общих ресурсов NETLOGON

На общем ресурсе NETLOGON хранятся сценарии входа в систему. Эти сценарии выполняются каждый раз, когда пользователь подключается к домену. Таким образом, следует создавать и проверять работу этих сценариев в Windows, поскольку это не сценарии Linux.

Общий ресурс NETLOGON – это обыкновенный общий файловый ресурс с соответствующим именем (создание общих файловых ресурсов рассматривается в теме 312.2). Обычно доступ на запись к ресурсу NETLOGON ограничивается и разрешается только определенным пользователям. Типовая конфигурация может выглядеть следующим образом:

[netlogon]
   comment = Network Logon Service
   path = /var/samba/netlogon
   guest ok = No
   read only = Yes
   write list = abe

В этом примере был создан общий ресурс с доступом только на чтение, расположенный в директории /var/samba/netlogon. Параметр write list предоставляет пользователю abe право на запись в этот общий ресурс. Заметим, что пользователь abe должен иметь разрешения файловой системы Linux на запись в директорию /var/samba/netlogon; если разрешения Linux не позволяют пользователю abe записывать данные в эту директорию, то указывать его в параметре write list бесполезно.

Клиенты Windows должны знать о том, какие сценарии, хранящиеся на общем ресурсе NETLOGON, должны запускаться. Это решается с помощью глобального параметра logon script. В следующем простом примере просто указывается имя файла:

logon script = LOGON.BAT

В этом примере всем клиентам сообщается о том, что будет запускаться файл LOGON.BAT. Тем не менее, иногда для различных клиентов необходимо указывать различные сценарии входа. Например, можно использовать отдельный сценарий для каждой операционной системы. В этом случае конфигурация может выглядеть следующим образом:

logon script = LOGON-%a.BAT

В этом примере переменная %a принимает различные значения для различных клиентских операционных систем, как показано в таблице 1. Можно также использовать другие переменные (см. материалы цели 312.1). Если вы решите использовать предыдущий пример, то для клиентов под управлением Windows 7 будет запускаться сценарий входа LOGON-Vista.BAT, а для клиентов под управлением Windows XP – LOGON-WinXP.BAT. Заметьте, что не все операционные системы используют сценарии входа. Например, их не использует Linux, поэтому нет необходимости создавать сценарий LOGON-CIFSFS.BAT.

Таблица 1. Значения переменной %a
ЗначениеКлиентская операционная система
SambaSamba
CIFSFSФайловая система Linux Common Internet File System (CIFS)
OS2IBM® Operating System/2® (OS/2)
WfWgWindows for Workgroups
Win95Windows 95, 98 или Me
WinNTWindows NT
Win2KMicrosoft Windows 2000
WinXPWindows XP
WinXP64Windows XP 64 bit
Win2K3Windows Server® 2003
VistaWindows Vista или Windows 7
UNKNOWNВсе остальные клиенты

В дополнение к сетевым сценариям входа общий ресурс NETLOGON может содержать файл системных политик. Этот файл может автоматически вносить изменения в системный реестр Windows, обеспечивая его лучшую работу в домене. В операционных системах Windows 9x/Me файл политик называется Config.POL и создается на компьютере Windows с помощью инструмента Policy Editor (Poledit.exe). В операционных системах Windows NT, Windows 2000, Windows Server 2003, Windows XP, Windows Vista и Windows 7 этот файл называется NTConfig.POL и создается из группы Start > Programs > Administrative Tools. Рассмотрение процесса создания файлов политик выходит за рамки этой статьи, однако вам необходимо знать о возможной необходимости размещения этого файла на общем ресурсе NETLOGON.

Создание перемещаемых профилей

Обычно операционная система Windows хранит информацию о настройках пользователей на локальном компьютере. Это удобно, если каждый пользователей всегда работает за одним компьютером, однако это не всегда так. Например, в компьютерном классе университета каждый студент может работать на различных компьютерах. В этой ситуации лучше хранить настройки пользователей на удаленном сервере. Для этого как раз и предназначены перемещаемые профили.

Чтобы начать использовать перемещаемые профили для Windows NT, Windows 2000, Windows XP, Windows Vista и Windows 7, необходимо создать общий ресурс PROFILES. Этот общий ресурс обычно делается невидимым для пользователей, чтобы не путать их. Кроме того, доступ к файлам и директориям этого ресурса ограничивается внутри Samba для того, чтобы пользователи не могли получить доступ к чужим профилям. Несмотря на это, пользователям должен быть предоставлен доступ на чтение и запись в директорию Linux, используемую в качестве общего ресурса (в зависимости от групповых политик может потребоваться установить для этой директории флаги доступа 0777). Общий ресурс Samba для хранения перемещаемых профилей может выглядеть следующим образом:

[profiles]
   comment = NT Profiles Share
   directory = /var/samba/profiles
   read only = No
   create mode = 0600
   directory mode = 0700
   browseable = No

Традиционно этот общий ресурс создается на контроллере домена под управлением Samba, хотя можно размещать его на любом другом файловом сервере. Кроме того, при создании ресурса PROFILES необходимо сообщить о его расположении операционной системе Windows. Для этого можно использовать глобальный параметр logon path:

logon path = \\%L\PROFILES\%U

В этом примере в названии пути к директории с перемещаемыми профилями мы использовали переменные %L (NetBIOS-имя текущего сервера) и %U (имя пользователя, запускающего сеанс). Убедитесь, что перемещаемые профили действительно сохраняются на созданном общем ресурсе PROFILES.


Настройка резервного контроллера домена

Домены Windows NT могут иметь несколько контроллеров домена для обеспечения избыточности в случае выхода из строя одного из них. В терминах домена Windows NT один из них является первичным контроллером домена (Primary Domain Controller, PDC), а остальные – резервными контроллерами домена (Backup Domain Controller, BDC). Такая конфигурация несколько усложняет общую картину, но является незаменимой в тех случаях, если работа сетевого окружения зависит от исправности контроллера домена.

Включение резервного контроллера домена в Samba лучше всего осуществлять с помощью протокола LDAP, в котором хранится информация об учетных записях. LDAP был разработан для обмена информацией между базами данных, необходимого для конфигураций такого типа, поэтому имеет смысл связать первичный и резервный контроллеры домена с главным и подчиненным серверами LDAP, соответственно. Серверы LDAP и серверы Samba могут работать как на одном компьютере, так и на разных. Можно также использовать один сервер LDAP для первичного и резервного контроллеров домена, хотя это не лучший способ, поскольку при этом частично теряется отказоустойчивость, в особенности, если сервер LDAP работает на том же компьютере, что и один из контроллеров домена.

Для простейшей настройки первичного контроллера домена с использованием сервера LDAP необходимо настроить несколько дополнительных параметров Samba, идентифицирующих сервер LDAP. Минимальная конфигурация глобальных параметров выглядит следующим образом:

passdb backend = ldapsam://localhost:389
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org

В этом примере мы настраиваем Samba на использование сервера LDAP, запущенного на том же самом компьютере (passdb backend = ldapsam://localhost:389), а также определяем наиболее важные свойства LDAP, используемые для идентификации и администрирования учетных данных.

Примечание. Конфигурация LDAP сама по себе является непростой задачей. Предполагается, что ваши главный и подчиненный серверы LDAP к этому моменту уже настроены. Для получения дополнительной информации о LDAP обратитесь к разделу Ресурсы.

Я рекомендую вам сначала настроить ваш первичный контроллер домена на использование главного сервера LDAP и провести всестороннюю проверку этой конфигурации. После этого можно приступать к настройке резервного контроллера домена, начав с выполнения нескольких предварительных действий:

  1. Наберите на резервном контроллере домена команду net rpc getsid.

    С помощью этой команды вы получите важный идентификатор, который должен совпадать на компьютерах первичного и резервного контроллеров домена.

  2. Наберите на резервном контроллере домена команду smbpasswd -w mypass, где mypass – это пароль администратора LDAP.
  3. Синхронизируйте локальные базы данных учетных записей на первичном и резервном контроллерах домена.

    Это можно сделать по-разному, но простейший способ заключается в копировании файлов /etc/passwd, /etc/group и /etc/shadow с одного компьютера на другой. Если вы используете LDAP для управления учетными записями Linux, то это действие может оказаться необязательным.

  4. Скопируйте общий ресурс NETLOGON с первичного контроллера домена на резервный.

    Помимо параметров конфигурации общего ресурса NETLOGON из файла smb.conf не забудьте скопировать саму директорию. Следует регулярно синхронизировать содержимое этой директории, а также последние изменения.

После выполнения этих действий можно создавать конфигурацию резервного контроллера домена в файле smb.conf.

passdb backend= ldapsam:ldap://slave-ldap.example.org
domain master = No
domain logons = Yes
os level = 64
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org
idmap backend = ldap:ldap://master-ldap.example.org
idmap uid = 10000-20000
idmap gid = 10000-20000

Эти параметры заставляют резервный контроллер домена отказаться от участия в выборах главного обозревателя (и позволить выиграть выборы первичному контроллеру), использовать подчиненный сервер LDAP (slave-ldap.example.org) в качестве базы данных паролей и использовать главный сервер LDAP (master-ldap.example.org) для хранения сопоставлений между учетными записями Linux и Windows.


Настройка доверительных отношений между доменами

Домены, о которых рассказывается в этой статье – это домены Windows NT, которые поддерживает Samba 3.x. Однако начиная с Windows 2000, Microsoft перешла к новой архитектуре доменов, известной как домены Active Directory®. Samba 3.x может быть присоединена к домену Active Directory в качестве члена-сервера, но ее возможности работы в качестве полноценного контроллера домена Active Directory в лучшем случае ограничены. В Samba 4.x поддержка Active Directory значительно улучшена, но в текущий момент (по состоянию на март 2011 г.) эта версия Samba находится в стадии альфа-тестирования.

Active Directory, по существу, объединяет три различных стека сетевых протоколов: Server Message Block (SMB)/CIFS, LDAP и Kerberos. SMB/CIFS отвечает за возможность совместного использования файлов и принтеров, LDAP позволяет хранить информацию об учетных записях, а Kerberos обеспечивает шифрование. Все эти технологии доступны и в Linux, но их интеграция может оказаться сложной задачей. Как уже упоминалось, можно настроить совместную работу Samba и LDAP для управления учетными записями – этот подход настоятельно рекомендуется использовать, если вы планируете использовать резервный контроллер домена. Samba 3.x также можно увязать с Kerberos, хотя мы не рассматриваем здесь эти вопросы. Samba 4 частично реализует собственные функции LDAP и Kerberos, совмещая их в главном пакете дистрибутива.

Более подробно интеграция Samba с Active Directory рассматривается в теме 314.3.

В крупных организациях различные подразделения могут иметь свои собственные домены Windows NT. Эта конфигурация позволяет каждому подразделению управлять собственными учетными записями, но может ограничить возможности по использованию ресурсов других подразделений. Например, в двух соседних подразделениях может возникнуть необходимость в использоваии общих ресурсов печати. Такой тип междоменного предоставления ресурсов может быть реализован посредством создания доверительных отношений между доменами, или для краткости просто доверительных отношений.

Доверительные отношения обладают следующими двумя особенностями, о которых необходимо помнить. Во-первых, эти отношения не являются транзитивными, т. е. действуют только для тех доменов, для которых они были явно настроены. Например, если домен PHYSICS доверяет домену GEOLOGY, а домен GEOLOGY – домену BIOLOGY, то домен PHYSICS не будет автоматически доверять домену BIOLOGY. Во-вторых, доверительные отношения являются односторонними. Например, если домен PHYSICS доверяет домену GEOLOGY, то это не означает, что GEOLOGY доверяет домену PHYSICS. Для создания двусторонних доверительных отношений необходимо настроить доверительные отношения с соседом в каждом домене.

Для настройки доверительных отношений между доменами каждый домен должен быть отдельно настроен соответствующим образом. Первый домен является доверяющим доменом, и его ресурсы будут доступны пользователям другого домена, который в этом случае будет являться доверяемым доменом. Предположим, например, что в домене PHYSICS есть широкоформатный принтер, который хотят использовать пользователи домена GEOLOGY. В этом случае домен PHYSICS будет являться доверяющим доменом, а домен GEOLOGY – доверяемым. Чтобы приступить к настройке доверительных отношений, сначала необходимо создать на доверяющем домене (PHYSICS) учетные записи Linux и Samba для доверяемого домена (GEOLOGY):

# useradd -d /dev/null -M -g trust -s /bin/false geology$
# smbpasswd -a -i geology

Обратите внимание на то, что вы должны использовать символ доллара ($) при создании учетной записи Linux с помощью useradd, но не при создании учетной записи Samba с помощью smbpasswd. Команда smbpasswd попросит вас ввести пароль для учетной записи доверительных отношений. Запомните этот пароль, поскольку вскоре он вам потребуется. Контроллер доверяемого домена GEOLOGY будет использовать эту учетную запись так, как если бы он являлся обычным членом доверяющего домена, позволяя пользователям домена GEOLOGY получать доступ к ресурсам домена PHYSICS.

После того, как учетная запись доверительных отношений создана, можно настраивать доверяемый контроллер домена на ее использование:

# net rpc trustdom establish physics

Выполните эту команду на компьютере Linux, который является членом доверяемого домена (в нашем случае GEOLOGY). Когда надо будет ввести пароль, то введите тот пароль, который был указан в команде smbpasswd для доверяющего домена. Если все прошло успешно, то пользователи домена GEOLOGY смогут теперь получить доступ к серверам домена PHYSICS. Если вам необходимо настроить двусторонние доверительные отношения, необходимо повторить эти действия во втором домене, поменяв роли доменов местами.

Для отмены доверительных отношений выполните в доверяемом домене следующую команду:

# net rpc trustdom revoke physics

Вместо предыдущей команды можно использовать следующую команду в доверяющем домене:

# net rpc trustdom del geology

Что дальше

Следующая статья этой серии содержит материалы цели 312.5 темы 312. В ней рассматривается инструмент Samba Web Administration Tool, который позволяет конфигурировать Samba с помощью Web-интерфейса.

Ресурсы

Научиться

Получить продукты и технологии

  • Загрузите файл Win7_Samba3DomainMember.reg (EN), который требуется для присоединения компьютера под управлением Windows 7 к домену Samba.

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux
ArticleID=820207
ArticleTitle=Изучаем Linux, 302 (смешанные среды): Управление доменом
publish-date=06072012