Так получилось, что после обновления моего MOPS до Slackware 11, конфигурация samba порушилась, и соответственно основные файлы конфигурации были безвозвратно утеряны, поэтому пришлось вводить мою машину в домен заново. Копаясь в статьях, я нашел немало интересного, но, как и всегда, мало полезного, так как все авторы пишут по-своему и к своей версии ОС (не исключаю и себя), однако, я пошел путем наименьшего сопротивления, не понимаю людей, которые не пользуют встроеные пакеты, зачем удалять и компилить все собственноручно, если в пакете все встроено? В общем, моя политика такова: если есть в ОС пакет – значит его кто-то использует, значит, он наверняка устроит и меня!
Конфигурация моей сети:
Домен = avtograd.local
Контроллер домена = server0
Сеть = 192.168.0.1/26
Итак, первое, что мы делаем – это создаем файл /etc/krb5.conf со следующими параметрами:
[libdefaults]
clockskew = 300
default_realm = AVTOGRAD.LOCAL
[realms]
AVTOGRAD.LOCAL = {
kdc = server0.avtograd.local
admin_server = server0.avtograd.local
}
[domain_realm]
.avtograd.local = avtograd.local
avtograd.local = AVTOGRAD.LOCAL
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
Естественно понятно, что он нужен для шифрации в домене, так как домен без Kerberos, это как офис без охраны. При возникновении проблем в дальнейшем (в логах samba или winbind появятся ошибки авторизации и т.п.) нужно будет поставить пакет kerberos5.tgz.
Затем изменяем файл конфигурации samba в /etc/samba/smb.conf (лучше вообще стандартный файл переименовать, и создать новый):
[global]
interfaces = eth1 lo
hosts allow = 192.168.0. 127.
netbios name = dbaluev
workgroup = avtograd
password server = server0
server string = AdminPC
security = domain
allow trusted domains = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
ldap ssl = no
strict locking = No
time server = Yes
auth methods = winbind
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
log file = /var/log/samba/log.%m
max log size = 50
log level = 1
display charset = KOI8-R
unix charset = KOI8-R
dos charset = cp866
#============================ Share Definitions ==============================
# Домашние директории, очень удобно, когда заходишь в свой хомдир
[homes]
comment = Home Directories
browseable = no
writable = yes
# Эта часть необходима для Win домена
[netlogon]
comment = Network Logon Service
path = /usr/local/samba/lib/netlogon
guest ok = yes
writable = no
share modes = no
# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
[Profiles]
path = /usr/local/samba/profiles
browseable = no
guest ok = yes
[Public]
comment = Public
path = /public
public = yes
writable = yes
printable = no
create mask = 0666
Сохраняем, презапускаем самбу
/etc/rc.d/rc.samba start
после чего запускаем winbind
winbindd
Следующим шагом мы попробуем зайти в домен и зарегистрироватся там, при этом нужно иметь права администратора
net join -U administrator
в ответ должны получить:
Password:
Joined domain AVTOGRAD.
Теперь наша станция входит в домен, однако следует проверить безопасность и работу winbindd:
# wbinfo -p
Ping to winbindd succeeded on fd 6
# wbinfo -t
checking the trust secret via RPC calls succeeded
# wbinfo -u
abagayev
Administrator
akochetkov
....
# wbinfo -g
BUILTIN\administrators
BUILTIN\users
Администраторы домена
.....
Работа демона winbindd в полном порядке, шифрация происходит как требуется, осталось лишь заставить winbindd стартовать как и samba, при запуске станции, плюс разобраться с русификацией, что мы сделаем немного позже.
Замечу лишь, что конечно многие скажут, мол почему я не использовал режим ads? Ответ прост: дело в том, что пакет самба, собранный в Slackware, собран без поддержки данного режима.
Литература:
1. Squid, Windows PDC, пользователи, интернет
2. SAMBA с авторизацией в домене с win2003 сервером, Городецкий Денис
3. Slackware 10.2 Samba AD Win 2003, mcleod095
Комментарии
Сейчас занимаюсь примерно тем же, только на Arch:)