Волгоград Linux User Group |
|
Организована 23 ноября 2002 года
Проект заморожен Птн Июл 6 02:11:14 MSD 2012 |
|
|
Это старая версия AvramenkoAndrew/samba3hоwто за 2006-06-10 18:24:40.. SAMBA 3 HOWTOДанное руководство включает в себя перевод официального HOWTO с дополнительной информацией (возможно с точки зрения профессионалов даже избыточной), а также набор готовых примеров, информацию по руссифицикации. Писать буду долго, так что если ВведениеСамба большой комплексный проект. Samba team группа из 30 индивидуальностей, которые представляют различные страны. Эта команда включает ученых, инженеров, бизнесменов и студентов. Нашу страну представляет Александр Боковой.I. ИнсталляцияII. Основы конфигурированияТипы серверов и режимы безопасностиУправление доменомРезервный контроллер доменаЧленство в доменеОтдельно стоящий серверРуководство по конфигурированию сетей MS WindowsДополнительная конфигурацияБазы данных аккаунтовSamba 3 предоставляет возможность работать с несколькими хранилицами аккаунтов. Полностью активно поддерживаются 3 хранилища: smbpasswd, tdbsam и ldapsam. Ldapsam позволяет хранить информацию не только об аккаунтах самбы, но и о системных аккаунтах. Рекомендуется для простых систем использовать tdbsam. Ldapsam рекомендуется использовать для больших комплексных сетей.Устаревшие хранилища аккаунтов Plaintext это вообще не хранилище, но для упрощения указано здесь. Он использует открытую аутентификацию через PAM. smbpasswd позвоялет хранить аккаунты в файле smbpasswd. Не хранит информацию SAM (Security Accaunt Manager). Планируется исключить в будующих релизах. ldapsam_compat хранение в LDAP, который использует схему для самбы2.2 Новые хранилища аккаунтов tdbsam позволяет создать большую БД хранилище аккаунтов. Хранит старую информацию smbpasswd и информацию SAM. Не подходит для нескольких контроллеров домена, т.е. (PDC + один или несколько BDC). ldapsam хранение аккаунтов в службе каталогов LDAP. mysqlsam хранение в БД mysql. Подходит для сайтов, которые используют mysql. pgsqlsam хранение в PostgreSQL. Настройка очень похожа на настройку хранения в mysql. xmlsam хранение в текстовом файле формата XML. Многие пользователи задают вопрос: почему нельзя просто использовать системную базу данных паролей? Дело в том, что Windows использует свой метод шифрования паролей, который не совместим с шифрование в стиле UNIX. Конвертирование из одного формата в другой невозможно. Кроме того, Windows дописывает много другой информации: размещение профиля, рабочие станции с которых пользователей может входить и др. Важные замечания по поводу безопасности. Первоначально, кажется что шифрование SMB и UNIX очень похоже, но это только внешне. В отличие от паролей UNIX, SMB никогда не передает пароли открытым текстом. Зато, он записывать Mapping. Каждая операция в UNIX'е требует идентификатора пользователя (UID), каждая операция в Windows требует идентификатора безопасности (SID). Самба предоставляет 2 значения установления связи между UID и SID. Samba может записывать информацию о присвоение SID пользователю в бэкэнд или же использовать параметры idmap uid и idmap gid в конфигурационном файле smb.conf. Утилиты управления аккаунтами.smbpasswd
С ее помощью можно: добавить пользователя удалить пользователя включить пользователя временно отключить пользователя задать нулевой пароль пользователю управлять внутридоменными доверями Для запуска smbpasswd как обычный пользователь: Group mappingНачиная с ~SAMBA3 новая функция group mapping позволяет создавать связь между Windows SID групп и группами Unix.Групповые аккаунты могут управляться с использованием программы Win MMC. Соответствующий скрипт должен быть в smb.conf Если этого скрипта нет и если запущен winbindd, идентификатор для группы, созданной с помощью этой программы будет выбран из диапазона, который предоставлен IDMAP. Net groupmap используется, чтобы установить связь между Следующие шаги описывают как создать в Samba PDC пользователей членов группы Domain Admins 1) Создать 2) В /etc/group прописать членов группы: domadm:x:502:joe,john,mary 3)Создать связь с Внимание: Windows не допускает, чтобы имя пользователя совпадало с именем группы. Удаленное и локальное управлениеnet [RPC|ADS] USER ADD name [password] [-F user flags] [-C comment]<liberal use of snip> Possible flags are listed below. N: No password required D: Account disabled H: Home directory required T: Temporary duplicate of other account U: Regular user account M: MNS logon user account W: Workstation Trust Account S: Server Trust Account L: Automatic Locking X: Password does not expire I: Domain Trust Account Identify mappingIDMAP используется если более чем одна группа Samba установлена в домене. Когда несколько серверов Samba используется, часто приходится пермещать с одного сервера на другой и здесь начинаются чудеса! =)Права пользователей и привелегииУправление доступомБлокировка файловБезопасность самбыInterdomain Trust RelationshipsMSDFSMS DFS распределенная файловая система позволяет разделять логическое и физическое нахождение файлов и директорий. Это делается для обеспечения высокой доступности, меньших затрат на системы хранения данных и распределения нагрузки.За дополнительной информацией о MS DFS можно обратиться к Часть smb.conf Поддержка печатиМодуль VFSWinbindwinbind компонент samba, который помогает организовать вход пользователей домена Windows и работать как обыкновенным пользователям вwinbind предоставляет 3 отдельные функции: аутентификация (PAM); идентификация (NSS); winbind поддерживает базу данных, называемую winbind_idmap.tdb, в которой записаны соответствия между UNIX UID, GID и Windows SID. Это используется только для пользователей, не заведенных локально. Можно указать в качестве Политики учетных записейУправление профилямиАутентификация PAMИнтеграция MS Windows и СамбыКодировки и руссификацияПользователиМиграция и обновлениеРешение проблемДополнениеПримеры |
|
Powered by
|