<הקודם | תוכן | הבא>

2.3. תצורת סמבה

ישנן מספר דרכים להגדיר את Samba. לפרטים על כמה תצורות נפוצות ראה פרק 18, Samba [עמ' 305]. כדי להגדיר את Samba לשימוש ב-LDAP, ערוך את קובץ התצורה שלו /etc/samba/smb.conf הערה על ברירת המחדל passend backend פרמטר והוספת כמה כאלה הקשורים ל-ldap. הקפד להשתמש באותם ערכים שבהם השתמשת בעת הפעלת smbldap-populate:

# passdb backend = tdbsam workgroup = דוגמה

# הגדרות LDAP

passdb backend = ldapsam:ldap://hostname ldap סיומת = dc=example,dc=com

סיומת משתמש ldap = ou=סיומת קבוצת אנשים ldap = ou=קבוצות

סיומת ldap machine = ou=מחשבים סיומת ldap idmap = ou=Idmap

ldap admin dn = cn=admin,dc=example,dc=com

# או כבוי אם TLS/SSL אינו מוגדר ldap ssl = start tls

ldap passwd sync = כן

שנה את הערכים כך שיתאימו לסביבה שלך.

אל האני smb.conf כפי שנשלח על ידי החבילה הוא די ארוך ויש לו דוגמאות תצורה רבות. דרך קלה לדמיין את זה ללא כל הערות היא להפעיל testparm -s.

כעת הודע ל-Samba לגבי הסיסמה של משתמש ה-rootDN (זו שהוגדרה במהלך ההתקנה של חבילת slapd):

sudo smbpasswd -W

כשלב אחרון כדי שמשתמשי ה-LDAP שלך יוכלו להתחבר לסמבה ולאמת, אנו צריכים שמשתמשים אלו יופיעו במערכת גם כמשתמשי "יוניקס". אחת הדרכים לעשות זאת היא להשתמש ב-libnss-ldap. ניתן למצוא הוראות מפורטות בסעיף 1.10, "אימות LDAP" [עמ'. 134] סעיף, אבל אנחנו צריכים רק את החלק של ה-NSS.

1. התקן את libnss-ldap

sudo apt התקן את libnss-ldap

אין צורך להשתמש באישורי ההתחברות של LDAP rootDN, אז אתה יכול לדלג על שלב זה.

2. הגדר את פרופיל LDAP עבור NSS:

sudo auth-client-config -t nss -p lac_ldap

3. הפעל מחדש את שירותי Samba:

sudo systemctl הפעל מחדש את smbd.service nmbd.service

4. כדי לבדוק במהירות את ההגדרה, ראה אם ​​getent יכול לרשום את קבוצות הסמבה:

קבוצת getent

...

מפעילי חשבון:*:548: מפעילי הדפסה:*:550: מפעילי גיבוי:*:551: משכפלים:*:552:

אם יש לך משתמשי LDAP קיימים שברצונך לכלול בסמבה החדשה שלך, הנתמכת ב-LDAP, הם יצטרכו, כמובן, לקבל גם כמה מהתכונות הספציפיות הנוספות של Samba. כלי השירות smbpasswd יכול לעשות זאת עבורך:

sudo smbpasswd -שם משתמש

תתבקש להזין סיסמה. היא תיחשב כסיסמה החדשה של אותו משתמש. לעשות את זה כמו קודם זה הגיוני. שים לב שלא ניתן להשתמש בפקודה זו כדי ליצור משתמש חדש מאפס ב-LDAP (אלא אם כן אתה משתמש ldapsam: מהימן ו ldapsam:editposix, לא מכוסה במדריך זה).

כדי לנהל חשבונות משתמשים, קבוצות ומחשבים, השתמש בכלי השירות המסופקים על ידי חבילת smbldap-tools. הנה כמה דוגמאות:

• כדי להוסיף משתמש חדש עם ספריית בית:

sudo smbldap-useradd -a -P -m שם משתמש

אל האני -a אפשרות מוסיפה את תכונות הסמבה, ואת -P option קורא לכלי השירות smbldap-passwd לאחר יצירת המשתמש ומאפשר לך להזין סיסמה עבור המשתמש. סוף כל סוף, -m יוצר ספריית בית מקומית. בדוק עם הפקודה getent:

שם המשתמש של getent passwd

אם לא תקבל תגובה, אז תצורת libnss-ldap שלך שגויה.

• כדי להסיר משתמש:

שם משתמש sudo smbldap-userdel

בפקודה לעיל, השתמש ב- -r אפשרות להסיר את ספריית הבית של המשתמש.

• כדי להוסיף קבוצה:

sudo smbldap-groupadd -שם קבוצה

לגבי smbldap-useradd, ה -a מוסיף את תכונות הסמבה.

• כדי להפוך משתמש קיים לחבר בקבוצה:

sudo smbldap-groupmod -m שם משתמש שם קבוצה

אל האני -m האפשרות יכולה להוסיף יותר ממשתמש אחד בו-זמנית על ידי רישום שלהם בפורמט מופרד בפסיקים.

• כדי להסיר משתמש מקבוצה:

sudo smbldap-groupmod -x שם משתמש שם קבוצה

• כדי להוסיף חשבון מכשיר Samba:

sudo smbldap-useradd -t 0 -w שם משתמש

חלף שם משתמש עם שם תחנת העבודה. ה -0 אפשרות יוצרת את חשבון המכונה ללא דיחוי, בעוד ש -w אפשרות מציינת את המשתמש כחשבון מכונה. כמו כן, שימו לב ל הוסף סקריפט מכונה פרמטר /etc/samba/smb.conf שונה לשימוש smbldap-useradd.

בחבילת smbldap-tools יש כלי עזר שלא כוסו כאן. הנה רשימה מלאה:

smbldap-groupadd37 smbldap-groupdel38 smbldap-groupmod39 מופע קבוצתי של smbldap40 smbldap-passwd41 smbldap-לאכלס42 smbldap-useradd43 smbldap-userdel44 smbldap-userinfo45 smbldap-userlist46 smbldap-usermod47 smbldap-usershow48

<הקודם | תוכן | הבא>