dokumentasi<Sebelum | Contents [show] | Seterusnya>
5.1. Pengawal Domain Utama
Bahagian ini merangkumi konfigurasi Samba sebagai Pengawal Domain Utama (PDC) menggunakan hujung belakang smbpasswd lalai.
1. Mula-mula, pasang Samba, dan libpam-winbind untuk menyegerakkan akaun pengguna, dengan memasukkan yang berikut dalam gesaan terminal:
sudo apt pasang samba libpam-winbind
2. Seterusnya, konfigurasikan Samba dengan menyunting /etc/samba/smb.conf. Yang keselamatan mod hendaklah ditetapkan kepada pengguna, Dan kumpulan kerja harus berkaitan dengan organisasi anda:
kumpulan kerja = CONTOH
...
keselamatan = pengguna
3. Dalam bahagian "Domain" yang diulas, tambah atau nyahkomen perkara berikut (baris terakhir telah dipecahkan agar sesuai dengan format dokumen ini):
log masuk domain = ya
laluan log masuk = \\%N\%U\profil pemacu log masuk = H:
log masuk rumah = \\%N\%U skrip log masuk = log masuk.cmd
tambah skrip mesin = sudo /usr/sbin/useradd -N -g machines -c Machine -d
/var/lib/samba -s /bin/false %u
Jika anda ingin tidak menggunakan Profil Perayauan tinggalkan log masuk ke rumah and laluan log masuk pilihan mengulas.
• log masuk domain: menyediakan perkhidmatan netlogon yang menyebabkan Samba bertindak sebagai pengawal domain.
• laluan log masuk: meletakkan profil Windows pengguna ke dalam direktori rumah mereka. Ia juga mungkin untuk mengkonfigurasi a [profil] berkongsi meletakkan semua profil di bawah satu direktori.
• pemacu log masuk: menentukan laluan tempatan direktori rumah.
• log masuk rumah: menentukan lokasi direktori rumah.
• skrip log masuk: menentukan skrip untuk dijalankan secara tempatan sebaik sahaja pengguna telah log masuk. Skrip perlu diletakkan dalam [netlogon] bahagian.
• tambah skrip mesin: skrip yang secara automatik akan mencipta Akaun Amanah Mesin diperlukan untuk stesen kerja untuk menyertai domain.
Dalam contoh ini kumpulan mesin perlu dibuat menggunakan utiliti kumpulan tambahan lihat Bahagian 1.2, “Menambah dan Memadam Pengguna” [m.s. 181] untuk butiran.
4. Nyahkomen [rumah] kongsi untuk membolehkan log masuk ke rumah untuk dipetakan:
[rumah]
komen = Direktori Laman Utama boleh dilayari = tidak
baca sahaja = tiada buat topeng = 0700
topeng direktori = 0700 pengguna sah = %S
5. Apabila dikonfigurasikan sebagai pengawal domain a [netlogon] perkongsian perlu dikonfigurasikan. Untuk mendayakan perkongsian, nyahkomen:
[netlogon]
komen = Laluan Perkhidmatan Logon Rangkaian = /srv/samba/netlogon tetamu ok = ya
baca sahaja = ya kongsi mod = tidak
Asal netlogon berkongsi laluan adalah /home/samba/netlogon, tetapi menurut Piawaian Hierarki Sistem Fail (FHS), / srv20 ialah lokasi yang betul untuk data khusus tapak yang disediakan oleh sistem.
6. Sekarang buat netlogon direktori, dan kosong (buat masa ini) log masuk.cmd fail skrip:
sudo mkdir -p /srv/samba/netlogon
sudo sentuh /srv/samba/netlogon/logon.cmd
Anda boleh memasukkan mana-mana arahan skrip log masuk Windows biasa log masuk.cmd untuk menyesuaikan persekitaran pelanggan.
7. Mulakan semula Samba untuk mendayakan pengawal domain baharu:
sudo systemctl mulakan semula smbd.service nmbd.service
8. Akhir sekali, terdapat beberapa arahan tambahan yang diperlukan untuk menyediakan hak yang sesuai.
Dengan akar dilumpuhkan secara lalai, untuk menyertai stesen kerja ke domain, kumpulan sistem perlu dipetakan ke Windows Pentadbir Domain kumpulan. Menggunakan utiliti bersih, dari terminal masukkan:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
Tukar pentadbir sistem kepada mana-mana kumpulan yang anda suka. Selain itu, pengguna yang pernah menyertai domain perlu menjadi ahli pentadbir sistem kumpulan, serta ahli sistem admin kumpulan. The admin kumpulan membenarkan penggunaan sudo.
Jika pengguna belum mempunyai kelayakan Samba lagi, anda boleh menambahnya dengan utiliti smbpasswd, tukar pentadbir sistem nama pengguna dengan sewajarnya:
sudo smbpasswd -a sysadmin
Juga, hak perlu diberikan secara jelas kepada Pentadbir Domain kumpulan untuk membenarkan tambah skrip mesin
(dan fungsi pentadbir lain) untuk berfungsi. Ini dicapai dengan melaksanakan:
pemberian hak rpc bersih -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. Anda kini sepatutnya boleh menyertai klien Windows ke Domain dengan cara yang sama seperti menyertai mereka ke domain NT4 yang dijalankan pada pelayan Windows.