Dokumentation5.1. Primärer Domänencontroller
In diesem Abschnitt wird die Konfiguration von Samba als primärer Domänencontroller (PDC) unter Verwendung des Standard-smbpasswd-Backends behandelt.
1. Installieren Sie zunächst Samba und libpam-winbind, um die Benutzerkonten zu synchronisieren, indem Sie Folgendes in eine Terminal-Eingabeaufforderung eingeben:
sudo apt install samba libpam-winbind
2. Als nächstes konfigurieren Sie Samba durch Bearbeiten /etc/samba/smb.confdem „Vermischten Geschmack“. Seine Sicherheitdienst Der Modus sollte auf eingestellt sein Benutzerund der Arbeitsgruppe sollte sich auf Ihre Organisation beziehen:
Arbeitsgruppe = BEISPIEL
...
Sicherheit = Benutzer
3. Fügen Sie im kommentierten Abschnitt „Domänen“ Folgendes hinzu oder kommentieren Sie es aus (die letzte Zeile wurde geteilt, um dem Format dieses Dokuments zu entsprechen):
Domänenanmeldungen = ja
Anmeldepfad = \\%N\%U\profile Anmeldelaufwerk = H:
logon home = \\%N\%U logon script = logon.cmd
Maschinenskript hinzufügen = sudo /usr/sbin/useradd -N -g Maschinen -c Maschine -d
/var/lib/samba -s /bin/false %u
Wenn Sie es nicht verwenden möchten Roaming-Profile lassen Sie die Melden Sie sich zu Hause an und Anmeldepfad Optionen kommentiert.
• Domänenanmeldungen: stellt den Netlogon-Dienst bereit, der Samba dazu veranlasst, als Domänencontroller zu fungieren.
• Anmeldepfad: legt das Windows-Profil des Benutzers in seinem Home-Verzeichnis ab. Es ist auch möglich, a zu konfigurieren [Profile] Teilen Sie alle Profile in einem einzigen Verzeichnis.
• Anmeldelaufwerk: Gibt den lokalen Pfad des Home-Verzeichnisses an.
• Zuhause anmelden: Gibt den Speicherort des Home-Verzeichnisses an.
• Anmeldeskript: Bestimmt das Skript, das lokal ausgeführt werden soll, sobald sich ein Benutzer angemeldet hat. Das Skript muss im platziert werden [netlogon] Aktien.
• Maschinenskript hinzufügen: ein Skript, das automatisch das erstellt Maschinenvertrauenskonto Wird benötigt, damit eine Workstation der Domäne beitreten kann.
In diesem Beispiel muss die Maschinengruppe mit dem Dienstprogramm addgroup erstellt werden, siehe Abschnitt 1.2, „Hinzufügen und Löschen von Benutzern“ [S. 181] für Einzelheiten.
4. Kommentieren Sie den Kommentar aus [Häuser] Teilen, um das zu ermöglichen Melden Sie sich zu Hause an abzubilden:
[Häuser]
Kommentar = Home-Verzeichnisse durchsuchbar = Nein
Nur lesen = keine Maske erstellen = 0700
Verzeichnismaske = 0700 gültige Benutzer = %S
5. Bei Konfiguration als Domänencontroller a [netlogon] Die Freigabe muss konfiguriert werden. Um die Freigabe zu aktivieren, entfernen Sie den Kommentar:
[netlogon]
Kommentar = Pfad zum Netzwerkanmeldedienst = /srv/samba/netlogon Gast ok = Ja
Nur lesen = Ja Freigabemodi = Nein
Das Original Netzanmeldung Freigabepfad ist /home/samba/netlogon, aber gemäß dem Filesystem Hierarchy Standard (FHS), / srv20 ist der richtige Speicherort für die vom System bereitgestellten standortspezifischen Daten.
6. Erstellen Sie nun die Netzanmeldung Verzeichnis und ein leeres (vorerst) logon.cmd Skriptdatei:
sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd
Sie können alle normalen Windows-Anmeldeskriptbefehle eingeben logon.cmd um die Umgebung des Kunden anzupassen.
7. Starten Sie Samba neu, um den neuen Domänencontroller zu aktivieren:
sudo systemctl restart smbd.service nmbd.service
8. Abschließend sind noch einige zusätzliche Befehle erforderlich, um die entsprechenden Rechte einzurichten.
Mit der Wurzel Da die Funktion standardmäßig deaktiviert ist, muss eine Systemgruppe Windows zugeordnet werden, um eine Workstation der Domäne hinzuzufügen Domänenadministratoren Gruppe. Geben Sie mit dem Dienstprogramm „net“ an einem Terminal Folgendes ein:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
Change Sysadmin zu der Gruppe, die Sie bevorzugen. Außerdem muss der Benutzer, der der Domäne beigetreten ist, Mitglied der sein Sysadmin Gruppe sowie ein Mitglied des Systems Administrator Gruppe. Die Administrator Die Gruppe erlaubt die Verwendung von Sudo.
Wenn der Benutzer noch nicht über Samba-Anmeldeinformationen verfügt, können Sie diese mit dem Dienstprogramm smbpasswd hinzufügen und ändern Sysadmin Benutzername passend:
sudo smbpasswd -a sysadmin
Außerdem müssen dem ausdrücklich Rechte gewährt werden Domänenadministratoren Gruppe, um das zu ermöglichen Maschinenskript hinzufügen
(und andere Admin-Funktionen) funktionieren. Dies wird erreicht durch die Ausführung von:
net rpc Rights grant -U sysadmin „EXAMPLE\Domain Admins“ SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. Sie sollten nun in der Lage sein, Windows-Clients auf die gleiche Weise der Domäne hinzuzufügen wie einer NT4-Domäne, die auf einem Windows-Server ausgeführt wird.