Documentazione<Precedenti | Contenuti | Succ.>
5.1. Controller di dominio primario
Questa sezione tratta la configurazione di Samba come controller di dominio primario (PDC) utilizzando il backend smbpasswd predefinito.
1. Innanzitutto, installa Samba e libpam-winbind per sincronizzare gli account utente, inserendo quanto segue in un prompt del terminale:
sudo apt installa samba libpam-winbind
2. Quindi, configura Samba modificando /etc/samba/smb.conf. sicurezza la modalità dovrebbe essere impostata su Utente gruppo di lavoro dovrebbe riguardare la tua organizzazione:
gruppo di lavoro = ESEMPIO
...
security = user
3. Nella sezione "Domini" commentata aggiungi o decommenta quanto segue (l'ultima riga è stata divisa per adattarsi al formato di questo documento):
accessi al dominio = sì
percorso di accesso = \\%N\%U\unità di accesso al profilo = H:
login home = \\%N\%U script di accesso = logon.cmd
aggiungi script macchina = sudo /usr/sbin/useradd -N -g macchine -c Macchina -d
/var/lib/samba -s /bin/false %u
Se desideri non utilizzare Profili di roaming lasciare il accedi a casa e percorso di accesso opzioni commentate.
· XNUMX€ accessi al dominio: fornisce il servizio di accesso alla rete facendo in modo che Samba agisca come controller di dominio.
· XNUMX€ percorso di accesso: inserisce il profilo Windows dell'utente nella sua home directory. È anche possibile configurare un [profili] condividere mettendo tutti i profili in un'unica directory.
· XNUMX€ unità di accesso: specifica il percorso locale della directory home.
· XNUMX€ accedi a casa: specifica la posizione della directory home.
· XNUMX€ script di accesso: determina lo script da eseguire localmente una volta che un utente ha effettuato l'accesso. Lo script deve essere posizionato nel [accesso alla rete] Condividere.
· XNUMX€ aggiungi lo script della macchina: uno script che creerà automaticamente il Conto fiduciario macchina necessario affinché una workstation si unisca al dominio.
In questo esempio sarà necessario creare il gruppo di macchine utilizzando l'utilità addgroup, vedere Sezione 1.2, «Aggiunta ed eliminazione di utenti» [p. 181] per i dettagli.
4. Rimuovi il commento [le case] condividere per consentire il accedi a casa da mappare:
[le case]
comment = Home Directory navigabili = no
sola lettura = nessuna maschera di creazione = 0700
maschera di directory = 0700 utenti validi = %S
5. Se configurato come controller di dominio a [accesso alla rete] la condivisione deve essere configurata. Per abilitare la condivisione, rimuovere il commento:
[accesso alla rete]
comment = Percorso del servizio di accesso alla rete = /srv/samba/netlogon guest ok = yes
sola lettura = sì modalità di condivisione = no
L'originale accesso alla rete il percorso di condivisione è /home/samba/netlogon, ma secondo il Filesystem Hierarchy Standard (FHS), / srv20 è la posizione corretta per i dati specifici del sito forniti dal sistema.
6. Ora crea il accesso alla rete directory e un vuoto (per ora) accesso.cmd file di script:
sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd
Puoi inserire qualsiasi normale comando di script di accesso a Windows in accesso.cmd per personalizzare l'ambiente del cliente.
7. Riavvia Samba per abilitare il nuovo controller di dominio:
sudo systemctl riavviare smbd.service nmbd.service
8. Infine, sono necessari alcuni comandi aggiuntivi per impostare i diritti appropriati.
Con radice essendo disabilitato per impostazione predefinita, per unire una workstation al dominio, un gruppo di sistema deve essere mappato su Windows Amministratori di dominio gruppo. Utilizzando l'utilità di rete, da terminale inserire:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
Cambiare sysadmin al gruppo che preferisci. Inoltre, l'utente utilizzato per unirsi al dominio deve essere un membro del sysadmin gruppo, nonché membro del sistema Admin gruppo. Il Admin il gruppo consente l'uso di sudo.
Se l'utente non dispone ancora delle credenziali Samba, è possibile aggiungerle con l'utility smbpasswd, modificare il sysadmin nome utente in modo appropriato:
sudo smbpasswd -a amministratore di sistema
Inoltre, i diritti devono essere esplicitamente forniti al Amministratori di dominio gruppo per consentire il aggiungi script macchina
(e altre funzioni di amministrazione) per funzionare. Ciò si ottiene eseguendo:
net rpc rights grant -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. Ora dovresti essere in grado di unire i client Windows al dominio nello stesso modo in cui li unisci a un dominio NT4 in esecuzione su un server Windows.