Author: krolik
Date: Wed Mar 2 14:06:15 2005
New Revision: 5565
Modified:
PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
Log:
- uzupelnienie (autor: Michal panasewicz AKA wolvverine)
Modified: PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
==============================================================================
--- PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec (original)
+++ PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec Wed Mar 2 14:06:15 2005
@@ -1,6 +1,129 @@
<?xml version="1.0" encoding="iso-8859-2"?>
<section id="uslugi_samba">
<title>Samba - współpraca z Windows</title>
+ <section id="uslugi_samba_pdc">
+ <title>Samba jako Serwer domeny NT4 (PDC)</title>
+ <para>W tym rozdziale przedstawiona zostanie konfiguracja samby w roli
serwera
+ domeny Microsoft Windows NT4 (PDC).</para>
+ <section id="uslugi_samba_pdc_inst">
+ <title>Instalacja</title>
+ <para>Do realizacji tego zadania potrzebne będą
pakiety: <productname>samba</productname> i
+
<productname>samba-clients</productname>.
+ Znaczenie poszczególnych
pakietów:</para>
+ <itemizedlist>
+ <listitem>
+
<para><productname>samba</productname> - pakiet ten zawiera serwer samby</para>
+ </listitem>
+ <listitem>
+
<para><productname>samba-clients</productname> - zestaw narzędzi przydatnych
+ w poruszaniu się w środowisku
Microsoft Networks.</para>
+ </listitem>
+ </itemizedlist>
+ <para>Proces instalacji pakietów przedstawiony został w
dziale <emphasis>Zarządzanie pakietami</emphasis>.</para>
+ </section>
+
+ <section id="uslugi_samba_pdc_konf">
+ <title>Konfiguracja</title>
+ <para>Przy użyciu dowolnego edytora otwieramy plik
<filename>/etc/samba/smb.conf</filename>. Całą konfigurację należy wykonać w
sekcji <option>[global]</option>. Przyjęta w nim została następująca konwencja:
<emphasis><opcja> = <wartość></emphasis>. Jeżeli dana opcja ma
kilka wartości,
+ oddziela się je znakiem spacji. Poszczególne
opcje umieszczane są w osobnych liniach. Komentarze w pliku rozpoczynają się
znakiem <emphasis>"#"</emphasis> lub <emphasis>";"</emphasis>. Poniżej znajduje
się wykaz najważniejszych opcji które należy ustawić podczas realizacji
zadania.</para>
+<screen>workgroup = DOM
+server string = File Server
+announce as = NT Server </screen>
+<para>Ustawiamy nazwę domeny której członkiem będzie nasz serwer oraz
opcjonalnie komentarz (opis) komputera i typ serwera (opcjonalnie).</para>
+<screen>domain logons = yes
+domain master = yes
+preferred master = yes
+local master = yes
+wins support = yes
+os level = 255</screen>
+<para>Ustawiamy logowanie do domeny oraz bycie kontrolerem domeny Windows NT4
i główną przegladarką komputerów w sieci.</para>
+<screen>security = users</screen>
+<para>Określamy poziom bezpieczeństwa. Nasza konfiguracja wymaga ustawień
zabezpieczeń na poziomie użytkownika.</para>
+<screen>nt acl support = yes
+nt pipe support = yes</screen>
+<para>Ustawiamy</para>
+<screen>time server = yes</screen>
+<para>Ustawiamy bycie serwerem czasu (opcjonalnie).</para>
+<para>Następnie restartujemy SAMBĘ i przystępujemy do dalszej
+ konfiguracji. W bazie użytkowników Samby musi znaleźć się
+ konto administratora. Będzie ono wymagane przy dołączaniu
+ stacji klienckich do domeny.</para>
+<screen># smbpasswd -a root
+New SMB password:
+Retype new SMB password:
+Added user root.</screen>
+<para>Hasło roota Samby nie powinno być identyczne z hasłem administratora
systemu!
+następnie tworzymy konta użytkowników - podobnie jak przy zwykłym
+serwowaniu plików, tak i tutaj potrzebujemy nie tylko wpisu w bazie
+Samby, ale i konta uniksowego.</para>
+<screen># useradd -g users jurek</screen>
+<para>Pamiętajmy też o utworzeniu wpisu w bazie użytkowników
+ Samby:</para>
+<screen># smbpasswd -a jurek</screen>
+<para>następnie ustawiamy mapowanie grup w linux na odpowiednie grupy
windows-a, poleceniem net groupmap.
+Domyślne ustawienia Samby (mapowanie na uniksową grupę -1) wymaga
+zmiany, którą wprowadzi polecenie net groupmap modify:</para>
+<screen># net groupmap modify ntgroup="Domain Admins" unixgroup=domadmin
+ Updated mapping entry for Domain Admins</screen>
+<para>Podobnie modyfikujemy wpisy dla grup Domain Users - decydując się na
wybór grupy users oraz Domain Guests - nobody:
+ net groupmap.</para>
+<screen># net groupmap modify ntgroup="Domain Users" unixgroup=users
+Updated mapping entry for Domain Users
+# net groupmap modify ntgroup="Domain Guests" unixgroup=nobody
+Updated mapping entry for Domain Guests</screen>
+<para>Sprawdźmy, czy zmiany będą widoczne:</para>
+<screen># net groupmap list
+...
+Domain Admins (S-1-5-21-353545269-2518139598-3611003224-512) -> domadmin
+Domain Users (S-1-5-21-353545269-2518139598-3611003224-513) -> users
+Domain Admins (S-1-5-21-353545269-2518139598-3611003224-514) -> nobody
+... </screen>
+<para>Praca komputera w domenie wymaga założenia mu konta - tzw. Machine Trust
Account. Jest to specyficzne konto, gdyż jego hasło ustalane jest przy
podłączaniu komputera do domeny i znane tylko parze klient-serwer.
+ Dzięki temu istnieje możliwość sprawdzenia tożsamości
+ próbującego się logować komputera - nawet gdy ktoś dołączy
+ maszynę o tej samej nazwie, to nie powinien uzyskać możliwości
+ dostępu do domeny. Nazwy kont odpowiadają nazwom NetBIOS
+ komputerów, ale z dołączonym na końcu symbolem dolara. Dla
+ stacji biuro będzie to więc biuro$. Konto to powinno być
+ zablokowane, by niemożliwe było uzyskanie dostępu poprzez ssh,
+ czy też inne usługi systemu operacyjnego. Nie jest także
+ konieczny katalog domowy, w zamian za to zdecydujemy się na
+ umieszczenie kont w grupie machines - pozwoli to w jakimś
+ stopniu ogarnąć szybko zwiększającą się liczbę użytkowników
+ systemu serwera.</para>
+<screen># groupadd machines
+# useradd -c "Komputer biurowy" -g machines -d /dev/null -s /bin/false biuro$
+# passwd -S biuro$
+Password locked.</screen>
+<para>Wydaje się, że powinniśmy teraz utworzyć odpowiedni wpis w bazie
+ haseł Samby - nie jest to jednak konieczne. Przy próbie
+ podłączenia komputera do domeny czynność ta zostanie wykonana
+ automatycznie. Gdy jednak zajdzie potrzeba ręcznego utworzenia
+ wpisu, do wywołania smbpasswd dodać musimy parametr -m
+ (machine):</para>
+<screen># smbpasswd -a -m ksiegowosc</screen>
+<para>W tym przypadku nie podajemy symbolu <emphasis>$</emphasis>.
+Oczywiście cały proces dodawania kont maszyn można zautomatyzować.</para>
+<para>Aby dodać Windows XP Profesional lub Microsoft Windows NT Server
+ 4.0 Standard Edition (wersja Home nie obsługuje modelu
+ domenowego w żaden sposób) należy w rejestrze zmienić:</para>
+<para>REGEDIT4</para>
+<para>
+<filename
+
class="directory">HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters</filename></para>
+<para><filename>"RequireSignOrSeal"=dword:00000000</filename></para>
+<para>lub z poziomu Local Group Policy wyłączając (Disabled) Security Options
| Domain Member | Digitally encrypt or sign secure channel data (always)/
+
+wiecej:
+/usr/share/doc/samba-doc/Registry/WinXP_SignOrSeal.reg
+Brian Getsinger (Apple Corp). Mac OS X Server Samba Primary Domain Controller
Configuration http://www.afp548.com/Articles/system/sambapdc.html
+Sherlock Error logging a Win XP machine into a domain running Samba.
+<ulink
+
url="http://www.slakaz.org/articles/6.html";>http://www.slakaz.org/articles/6.html</ulink>
+</para>
+
+ </section>
+ </section>
<section id="uslugi_samba_winbindd">
<title>Serwer członkowski domeny NT4</title>
<para>W tym rozdziale przedstawiona zostanie konfiguracja samby w roli
serwera
@@ -29,9 +152,8 @@
</section>
<section id="uslugi_samba_winbindd_konf">
<title>Konfiguracja</title>
- <para>Przy użyciu dowolnego edytora otwieramy plik
<filename>/etc/samba/smb.conf</filename>. Całą konfigurację z której będzie
- również korzystał demon
<productname>winbindd</productname> należy wykonać w sekcji
<option>[global]</option>. Przyjęta w nim
- została następująca konwencja:
<emphasis><opcja> = <wartość></emphasis>. Jeżeli dana opcja ma
kilka wartości,
+ <para>Przy użyciu dowolnego edytora otwieramy plik
<filename>/etc/samba/smb.conf</filename>. Całą konfigurację z której będzie
+ również korzystał demon
<productname>winbindd</productname> należy wykonać w sekcji
<option>[global]</option>. Przyjęta w nim została następująca konwencja:
<emphasis><opcja> = <wartość></emphasis>. Jeżeli dana opcja ma
kilka wartości,
oddziela się je znakiem spacji. Poszczególne
opcje umieszczane są w osobnych liniach. Komentarze w pliku rozpoczynają się
znakiem <emphasis>"#"</emphasis> lub
<emphasis>";"</emphasis>. Poniżej znajduje się wykaz najważniejszych opcji
które należy
ustawić podczas realizacji zadania. Wykraczają
one nieco poza czystą konfigurację <productname>winbindd</productname> ale są
_______________________________________________
pld-cvs-commit mailing list
[email protected]
http://lists.pld-linux.org/mailman/listinfo/pld-cvs-commit
