Волгоград Linux User Group
Проект заморожен Птн Июл 6 02:11:14 MSD 2012
|
|
Волгоград Linux User Group |
|
Организована 23 ноября 2002 года
Проект заморожен Птн Июл 6 02:11:14 MSD 2012 |
|
|
|
Это старая версия AvramenkoAndrew/samba3hоwто за 2006-06-10 18:11:18.. SAMBA 3 – HOWTOДанное руководство включает в себя перевод официального HOWTO с дополнительной информацией (возможно с точки зрения профессионалов даже избыточной), а также набор готовых примеров, информацию по руссифицикации. Писать буду долго, так что если ВведениеСамба – большой комплексный проект. Samba team – группа из 30 индивидуальностей, которые представляют различные страны. Эта команда включает ученых, инженеров, бизнесменов и студентов. Нашу страну представляет Александр Боковой.I. ИнсталляцияII. Основы конфигурированияТипы серверов и режимы безопасностиУправление доменомРезервный контроллер доменаЧленство в доменеОтдельно стоящий серверРуководство по конфигурированию сетей MS WindowsДополнительная конфигурацияБазы данных аккаунтовSamba 3 предоставляет возможность работать с несколькими хранилицами аккаунтов. Полностью активно поддерживаются 3 хранилища: smbpasswd, tdbsam и ldapsam. Ldapsam позволяет хранить информацию не только об аккаунтах самбы, но и о системных аккаунтах. Рекомендуется для простых систем использовать tdbsam. Ldapsam рекомендуется использовать для больших комплексных сетей.Устаревшие хранилища аккаунтов Plaintext – это вообще не хранилище, но для упрощения указано здесь. Он использует открытую аутентификацию через PAM. smbpasswd – позвоялет хранить аккаунты в файле smbpasswd. Не хранит информацию SAM (Security Accaunt Manager). Планируется исключить в будующих релизах. ldapsam_compat – хранение в LDAP, который использует схему для самбы2.2 Новые хранилища аккаунтов tdbsam – позволяет создать большую БД – хранилище аккаунтов. Хранит старую информацию smbpasswd и информацию SAM. Не подходит для нескольких контроллеров домена, т.е. (PDC + один или несколько BDC). ldapsam – хранение аккаунтов в службе каталогов LDAP. mysqlsam – хранение в БД mysql. Подходит для сайтов, которые используют mysql. pgsqlsam – хранение в PostgreSQL. Настройка очень похожа на настройку хранения в mysql. xmlsam – хранение в текстовом файле формата XML. Многие пользователи задают вопрос: почему нельзя просто использовать системную базу данных паролей? Дело в том, что Windows использует свой метод шифрования паролей, который не совместим с шифрование в стиле UNIX. Конвертирование из одного формата в другой невозможно. Кроме того, Windows дописывает много другой информации: размещение профиля, рабочие станции с которых пользователей может входить и др. Важные замечания по поводу безопасности. Первоначально, кажется что шифрование SMB и UNIX очень похоже, но это только внешне. В отличие от паролей UNIX, SMB никогда не передает пароли открытым текстом. Зато, он записывать Mapping. Каждая операция в UNIX'е требует идентификатора пользователя (UID), каждая операция в Windows требует идентификатора безопасности (SID). Самба предоставляет 2 значения установления связи между UID и SID. Samba может записывать информацию о присвоение SID пользователю в бэкэнд или же использовать параметры idmap uid и idmap gid в конфигурационном файле smb.conf. Утилиты управления аккаунтами.smbpasswd
С ее помощью можно:– добавить пользователя – удалить пользователя – включить пользователя – временно отключить пользователя – задать нулевой пароль пользователю – управлять внутридоменными доверями Для запуска smbpasswd как обычный пользователь: Group mappingНачиная с ~SAMBA3 новая функция group mapping позволяет создавать связь между Windows SID групп и группами Unix.Групповые аккаунты могут управляться с использованием программы Win MMC. Соответствующий скрипт должен быть в smb.conf Если этого скрипта нет и если запущен winbindd, идентификатор для группы, созданной с помощью этой программы будет выбран из диапазона, который предоставлен IDMAP. Net groupmap используется, чтобы установить связь между Следующие шаги описывают как создать в Samba PDC пользователей – членов группы Domain Admins 1) Создать 2) В /etc/group прописать членов группы: domadm:x:502:joe,john,mary 3)Создать связь с Внимание: Windows не допускает, чтобы имя пользователя совпадало с именем группы. Удаленное и локальное управлениеnet [RPC|ADS] USER ADD name [password] [-F user flags] [-C comment]<liberal use of snip> Possible flags are listed below. N: No password required D: Account disabled H: Home directory required T: Temporary duplicate of other account U: Regular user account M: MNS logon user account W: Workstation Trust Account S: Server Trust Account L: Automatic Locking X: Password does not expire I: Domain Trust Account Identify mappingIDMAP используется если более чем одна группа Samba установлена в домене. Когда несколько серверов Samba используется, часто приходится пермещать с одного сервера на другой и здесь начинаются чудеса! =)Права пользователей и привелегииУправление доступомБлокировка файловБезопасность самбыInterdomain Trust RelationshipsMSDFSПоддержка печатиМодуль VFSWinbindwinbind – компонент samba, который помогает организовать вход пользователей домена Windows и работать как обыкновенным пользователям вwinbind предоставляет 3 отдельные функции: – аутентификация (PAM); – идентификация (NSS); – winbind поддерживает базу данных, называемую winbind_idmap.tdb, в которой записаны соответствия между UNIX UID, GID и Windows SID. Это используется только для пользователей, не заведенных локально. Можно указать в качестве Политики учетных записейУправление профилямиАутентификация PAMИнтеграция MS Windows и СамбыКодировки и руссификацияПользователиМиграция и обновлениеРешение проблемДополнениеПримеры |
|
|
Powered by
|
Регистрация