Волгоград Linux User Group |
|
Организована 23 ноября 2002 года
Проект заморожен Птн Июл 6 02:11:14 MSD 2012 |
|
|
Это старая версия AvramenkoAndrew/samba3hоwто за 2006-06-11 14:51:25.. SAMBA 3 HOWTOДанное руководство включает в себя перевод официального HOWTO с дополнительной информацией (возможно с точки зрения профессионалов даже избыточной), а также набор готовых примеров, информацию по руссифицикации. Писать буду долго, так что если Заранее прошу прощение за транслитерованные названия и термины. Например, я не знаю как писать слово samba и как его склонять :) ВведениеСамба большой комплексный проект. Samba team группа из 30 индивидуальностей, которые представляют различные страны. Эта команда включает ученых, инженеров, бизнесменов и студентов. Нашу страну представляет Александр Боковой.Решение проблем с самбой возможно многими способами, например, отправить описание проблемы в рассылки. В дистрибутиве ALT Linux существует для этого специализированная рассылка, в коммерческих дистрибутивах это официальная техническая поддержка (если она есть). Также если нет проблем с английским языком, вопрос можно задать в официальной рассылке или на официальном канале #samba на сервер freenode.net. Вопросы по разработке можно задать на канале # Ежегодно проводится конференция Samba Expirience и многую информацию о развитии самбы можно прочитать на сайте I. ИнсталляцияБинарные пакеты sambы поставляются в большинствоКомпилирование из исходных текстов. Самба разрабатывается в открытом окружении, т.е. Вы можете получить доступ к текущим исходным текстам непосредственно через subversion. Это можно сделать двумя способами: 1. Через SVNweb по адресу: 2. Через обычный Это позволит скачать текущую Для обновления полученных исходных текстов достаточно просто набрать Также доступ к исходным текстам можно получить с помощью rsync или ftp, но это будет не версия реального времени. II. Основы конфигурированияТипы серверов и режимы безопасностиУправление доменомРезервный контроллер доменаЧленство в доменеОтдельно стоящий серверРуководство по конфигурированию сетей MS WindowsДополнительная конфигурацияБазы данных аккаунтовSamba 3 предоставляет возможность работать с несколькими хранилицами аккаунтов. Полностью активно поддерживаются 3 хранилища: smbpasswd, tdbsam и ldapsam. Ldapsam позволяет хранить информацию не только об аккаунтах самбы, но и о системных аккаунтах. Рекомендуется для простых систем использовать tdbsam. Ldapsam рекомендуется использовать для больших комплексных сетей.Устаревшие хранилища аккаунтов Plaintext это вообще не хранилище, но для упрощения указано здесь. Он использует открытую аутентификацию через PAM. smbpasswd позвоялет хранить аккаунты в файле smbpasswd. Не хранит информацию SAM (Security Accaunt Manager). Планируется исключить в будующих релизах. ldapsam_compat хранение в LDAP, который использует схему для самбы2.2 Новые хранилища аккаунтов tdbsam позволяет создать большую БД хранилище аккаунтов. Хранит старую информацию smbpasswd и информацию SAM. Не подходит для нескольких контроллеров домена, т.е. (PDC + один или несколько BDC). ldapsam хранение аккаунтов в службе каталогов LDAP. mysqlsam хранение в БД mysql. Подходит для сайтов, которые используют mysql. pgsqlsam хранение в PostgreSQL. Настройка очень похожа на настройку хранения в mysql. xmlsam хранение в текстовом файле формата XML. Многие пользователи задают вопрос: почему нельзя просто использовать системную базу данных паролей? Дело в том, что Windows использует свой метод шифрования паролей, который не совместим с шифрование в стиле UNIX. Конвертирование из одного формата в другой невозможно. Кроме того, Windows дописывает много другой информации: размещение профиля, рабочие станции с которых пользователей может входить и др. Важные замечания по поводу безопасности. Первоначально, кажется что шифрование SMB и UNIX очень похоже, но это только внешне. В отличие от паролей UNIX, SMB никогда не передает пароли открытым текстом. Зато, он записывать Mapping. Каждая операция в UNIX'е требует идентификатора пользователя (UID), каждая операция в Windows требует идентификатора безопасности (SID). Самба предоставляет 2 значения установления связи между UID и SID. Samba может записывать информацию о присвоение SID пользователю в бэкэнд или же использовать параметры idmap uid и idmap gid в конфигурационном файле smb.conf. Утилиты управления аккаунтами.smbpasswd
С ее помощью можно: добавить пользователя удалить пользователя включить пользователя временно отключить пользователя задать нулевой пароль пользователю управлять внутридоменными доверями Для запуска smbpasswd как обычный пользователь: Group mappingНачиная с ~SAMBA3 новая функция group mapping позволяет создавать связь между Windows SID групп и группами Unix.Групповые аккаунты могут управляться с использованием программы Win MMC. Соответствующий скрипт должен быть в smb.conf Если этого скрипта нет и если запущен winbindd, идентификатор для группы, созданной с помощью этой программы будет выбран из диапазона, который предоставлен IDMAP. Net groupmap используется, чтобы установить связь между Следующие шаги описывают как создать в Samba PDC пользователей членов группы Domain Admins 1) Создать 2) В /etc/group прописать членов группы: domadm:x:502:joe,john,mary 3)Создать связь с Внимание: Windows не допускает, чтобы имя пользователя совпадало с именем группы. Удаленное и локальное управлениеnet [RPC|ADS] USER ADD name [password] [-F user flags] [-C comment]<liberal use of snip> Possible flags are listed below. N: No password required D: Account disabled H: Home directory required T: Temporary duplicate of other account U: Regular user account M: MNS logon user account W: Workstation Trust Account S: Server Trust Account L: Automatic Locking X: Password does not expire I: Domain Trust Account Identify mappingIDMAP используется если более чем одна группа Samba установлена в домене. Когда несколько серверов Samba используется, часто приходится пермещать с одного сервера на другой и здесь начинаются чудеса! =)Права пользователей и привелегииУправление доступомБлокировка файловБезопасность самбыInterdomain Trust RelationshipsMSDFSMS DFS распределенная файловая система позволяет разделять логическое и физическое нахождение файлов и директорий. Это делается для обеспечения высокой доступности, меньших затрат на системы хранения данных и распределения нагрузки.За дополнительной информацией о MS DFS можно обратиться к smb.conf: Поддержка печатиМодуль VFSWinbindwinbind компонент samba, который помогает организовать вход пользователей домена Windows и работать как обыкновенным пользователям вwinbind предоставляет 3 отдельные функции: аутентификация (PAM); идентификация (NSS); winbind поддерживает базу данных, называемую winbind_idmap.tdb, в которой записаны соответствия между UNIX UID, GID и Windows SID. Это используется только для пользователей, не заведенных локально. Можно указать в качестве Политики учетных записейУправление профилямиАутентификация PAMИнтеграция MS Windows и СамбыКодировки и руссификацияПользователиМиграция и обновлениеРешение проблемДополнениеПримеры |
|
Powered by
|