Dokumentasi<Sebelumnya | Konten | Selanjutnya>
5.1. Pengontrol Domain Utama
Bagian ini mencakup mengonfigurasi Samba sebagai Pengontrol Domain Utama (PDC) menggunakan backend smbpasswd default.
1. Pertama, instal Samba, dan libpam-winbind untuk menyinkronkan akun pengguna, dengan memasukkan yang berikut ini di prompt terminal:
sudo apt install samba libpam-winbind
2. Selanjutnya, konfigurasikan Samba dengan mengedit /etc/samba/smb.conf. itu keamanan mode harus disetel ke pemakai, Dan workgroup harus berhubungan dengan organisasi Anda:
kelompok kerja = CONTOH
...
keamanan = pengguna
3. Di bagian "Domain" yang dikomentari, tambahkan atau batalkan komentar berikut (baris terakhir telah dipisah agar sesuai dengan format dokumen ini):
login domain = ya
jalur masuk = \\%N\%U\drive masuk profil = H:
masuk beranda = \\%N\%U skrip masuk = masuk.cmd
tambahkan skrip mesin = sudo /usr/sbin/useradd -N -g mesin -c Mesin -d
/var/lib/samba -s /bin/false %u
Jika Anda ingin tidak menggunakan Profil Jelajah tinggalkan masuk ke rumah dan jalur masuk opsi dikomentari.
• login domain: menyediakan layanan netlogon yang menyebabkan Samba bertindak sebagai pengontrol domain.
• jalur masuk: menempatkan profil Windows pengguna ke direktori home mereka. Dimungkinkan juga untuk mengonfigurasi [profil] share menempatkan semua profil di bawah satu direktori.
• drive masuk: menentukan jalur lokal direktori home.
• masuk rumah: menentukan lokasi direktori home.
• skrip masuk: menentukan skrip untuk dijalankan secara lokal setelah pengguna masuk. Skrip harus ditempatkan di [netlogon] berbagi.
• tambahkan skrip mesin: skrip yang secara otomatis akan membuat Akun Kepercayaan Mesin diperlukan untuk workstation untuk bergabung dengan domain.
Dalam contoh ini, grup mesin perlu dibuat menggunakan utilitas addgroup, lihat Bagian 1.2, “Menambahkan dan Menghapus Pengguna” [hal. 181] untuk rinciannya.
4. Batalkan komentar pada [rumah] bagikan untuk mengizinkan masuk ke rumah untuk dipetakan:
[rumah]
komentar = Direktori Beranda dapat dijelajahi = tidak
hanya baca = tidak buat topeng = 0700
direktori mask = 0700 pengguna yang valid = %S
5. Saat dikonfigurasi sebagai pengontrol domain a [netlogon] berbagi perlu dikonfigurasi. Untuk mengaktifkan berbagi, batalkan komentar:
[netlogon]
komentar = Jalur Layanan Logon Jaringan = /srv/samba/netlogon tamu ok = ya
hanya baca = ya mode berbagi = tidak
Asli netlogon jalur berbagi adalah /home/samba/netlogon, tetapi menurut Filesystem Hierarchy Standard (FHS), / srv20 adalah lokasi yang benar untuk data spesifik situs yang disediakan oleh sistem.
6. Sekarang buat netlogon direktori, dan kosong (untuk saat ini) logon.cmd berkas skrip:
sudo mkdir -p /srv/samba/netlogon
sudo sentuh /srv/samba/netlogon/logon.cmd
Anda dapat memasukkan perintah skrip masuk Windows normal apa pun di logon.cmd untuk menyesuaikan lingkungan klien.
7. Mulai ulang Samba untuk mengaktifkan pengontrol domain baru:
sudo systemctl restart smbd.service nmbd.service
8. Terakhir, ada beberapa perintah tambahan yang diperlukan untuk mengatur hak yang sesuai.
Dengan akar dinonaktifkan secara default, untuk menggabungkan workstation ke domain, grup sistem perlu dipetakan ke Windows Admin Domain kelompok. Menggunakan utilitas bersih, dari terminal masukkan:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
Perubahan sysadmin ke grup mana pun yang Anda sukai. Selain itu, pengguna yang digunakan untuk bergabung dengan domain harus menjadi anggota sysadmin kelompok, serta anggota sistem admin kelompok. NS admin grup memungkinkan penggunaan sudo.
Jika pengguna belum memiliki kredensial Samba, Anda dapat menambahkannya dengan utilitas smbpasswd, ubah sysadmin nama pengguna dengan tepat:
sudo smbpasswd -a sysadmin
Juga, hak perlu diberikan secara eksplisit kepada Admin Domain grup untuk mengizinkan tambahkan skrip mesin
(dan fungsi admin lainnya) untuk bekerja. Ini dicapai dengan mengeksekusi:
net rpc rights grant -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. Anda sekarang dapat menggabungkan klien Windows ke Domain dengan cara yang sama seperti menggabungkan mereka ke domain NT4 yang berjalan di server Windows.