Ввод Linux Slackware 11 в домен Windows 2003 Server

bum — Mon, 21 Apr 2008 20:35:52 +0400

Так получилось, что после обновления моего MOPS до Slackware 11, конфигурация samba порушилась, и соответственно основные файлы конфигурации были безвозвратно утеряны, поэтому пришлось вводить мою машину в домен заново. Копаясь в статьях, я нашел немало интересного, но, как и всегда, мало полезного, так как все авторы пишут по-своему и к своей версии ОС (не исключаю и себя), однако, я пошел путем наименьшего сопротивления, не понимаю людей, которые не пользуют встроеные пакеты, зачем удалять и компилить все собственноручно, если в пакете все встроено? В общем, моя политика такова: если есть в ОС пакет – значит его кто-то использует, значит, он наверняка устроит и меня!

Конфигурация моей сети:
Домен = avtograd.local
Контроллер домена = server0
Сеть = 192.168.0.1/26

Итак, первое, что мы делаем – это создаем файл /etc/krb5.conf со следующими параметрами:
[libdefaults] clockskew = 300 default_realm = AVTOGRAD.LOCAL



[realms]

        AVTOGRAD.LOCAL = {

                kdc = server0.avtograd.local

                admin_server = server0.avtograd.local

                }

[domain_realm]

        .avtograd.local = avtograd.local

        avtograd.local = AVTOGRAD.LOCAL

[logging]

        default = SYSLOG:NOTICE:DAEMON

        kdc = FILE:/var/log/kdc.log

        kadmind = FILE:/var/log/kadmind.log

[appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 debug = false }

Естественно понятно, что он нужен для шифрации в домене, так как домен без Kerberos, это как офис без охраны. При возникновении проблем в дальнейшем (в логах samba или winbind появятся ошибки авторизации и т.п.) нужно будет поставить пакет kerberos5.tgz.
Затем изменяем файл конфигурации samba в /etc/samba/smb.conf (лучше вообще стандартный файл переименовать, и создать новый):
[global] interfaces = eth1 lo hosts allow = 192.168.0. 127. netbios name = dbaluev workgroup = avtograd password server = server0 server string = AdminPC security = domain allow trusted domains = yes socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 os level = 0 preferred master = No local master = No domain master = No dns proxy = No ldap ssl = no strict locking = No time server = Yes auth methods = winbind winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum groups = yes winbind enum users = yes log file = /var/log/samba/log.%m max log size = 50 log level = 1 display charset = KOI8-R unix charset = KOI8-R dos charset = cp866 #============================ Share Definitions ============================== # Домашние директории, очень удобно, когда заходишь в свой хомдир [homes] comment = Home Directories browseable = no writable = yes



# Эта часть необходима для Win домена

 [netlogon]

   comment = Network Logon Service

   path = /usr/local/samba/lib/netlogon

   guest ok = yes

   writable = no

   share modes = no

# Un-comment the following to provide a specific roving profile share

# the default is to use the user's home directory

[Profiles]

   path = /usr/local/samba/profiles

   browseable = no

   guest ok = yes

[Public] comment = Public path = /public public = yes writable = yes printable = no create mask = 0666

Сохраняем, презапускаем самбу
/etc/rc.d/rc.samba start
после чего запускаем winbind
winbindd
Следующим шагом мы попробуем зайти в домен и зарегистрироватся там, при этом нужно иметь права администратора
net join -U administrator
в ответ должны получить:
Password: Joined domain AVTOGRAD.
Теперь наша станция входит в домен, однако следует проверить безопасность и работу winbindd:
# wbinfo -p Ping to winbindd succeeded on fd 6



# wbinfo -t

checking the trust secret via RPC calls succeeded

# wbinfo -u

abagayev

Administrator

akochetkov

....

# wbinfo -g BUILTIN\administrators BUILTIN\users Администраторы домена .....
Работа демона winbindd в полном порядке, шифрация происходит как требуется, осталось лишь заставить winbindd стартовать как и samba, при запуске станции, плюс разобраться с русификацией, что мы сделаем немного позже.
Замечу лишь, что конечно многие скажут, мол почему я не использовал режим ads? Ответ прост: дело в том, что пакет самба, собранный в Slackware, собран без поддержки данного режима.

Литература:
1. Squid, Windows PDC, пользователи, интернет
2. SAMBA с авторизацией в домене с win2003 сервером, Городецкий Денис
3. Slackware 10.2 Samba AD Win 2003, mcleod095