เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
5.1. ตัวควบคุมโดเมนหลัก
ส่วนนี้ครอบคลุมถึงการกำหนดค่า Samba เป็นตัวควบคุมโดเมนหลัก (PDC) โดยใช้แบ็กเอนด์ smbpasswd เริ่มต้น
1. ขั้นแรก ติดตั้ง Samba และ libpam-winbind เพื่อซิงค์บัญชีผู้ใช้ โดยป้อนข้อมูลต่อไปนี้ในพร้อมท์เทอร์มินัล:
sudo apt ติดตั้ง samba libpam-winbind
2. ถัดไป กำหนดค่า Samba โดยแก้ไข /etc/samba/smb.confส่วน ความปลอดภัย ควรตั้งค่าโหมดเป็น ผู้ใช้งานและ เวิร์กกรุ๊ป ควรเกี่ยวข้องกับองค์กรของคุณ:
เวิร์กกรุ๊ป = ตัวอย่าง
...
security = user
3. ในส่วน "โดเมน" ที่แสดงความคิดเห็น ให้เพิ่มหรือยกเลิกการแสดงข้อคิดเห็นต่อไปนี้ (บรรทัดสุดท้ายถูกแยกให้พอดีกับรูปแบบของเอกสารนี้):
การเข้าสู่ระบบโดเมน = ใช่
เส้นทางการเข้าสู่ระบบ = \\%N\%U\profile ไดรฟ์เข้าสู่ระบบ = H:
เข้าสู่ระบบหน้าแรก = \\%N\%U สคริปต์การเข้าสู่ระบบ = logon.cmd
เพิ่มสคริปต์เครื่อง = sudo /usr/sbin/useradd -N -g machines -c Machine -d
/var/lib/samba -s /bin/false %u
หากท่านไม่ต้องการใช้ โปรไฟล์โรมมิ่ง ออกจาก เข้าสู่ระบบหน้าแรก และ เส้นทางการเข้าสู่ระบบ ตัวเลือกแสดงความคิดเห็น
• การเข้าสู่ระบบโดเมน: ให้บริการ netlogon ทำให้ Samba ทำหน้าที่เป็นตัวควบคุมโดเมน
• เส้นทางการเข้าสู่ระบบ: วางโปรไฟล์ Windows ของผู้ใช้ไว้ในโฮมไดเร็กทอรีของตน นอกจากนี้ยังสามารถกำหนดค่า a [โปรไฟล์] แบ่งปันการวางโปรไฟล์ทั้งหมดไว้ในไดเร็กทอรีเดียว
• ไดรฟ์เข้าสู่ระบบ: ระบุพาธโลคัลไดเร็กทอรีโฮม
• เข้าสู่ระบบหน้าแรก: ระบุตำแหน่งโฮมไดเร็กทอรี
• สคริปต์การเข้าสู่ระบบ: กำหนดสคริปต์ที่จะเรียกใช้ในเครื่องเมื่อผู้ใช้เข้าสู่ระบบแล้ว สคริปต์จะต้องอยู่ในส่วน [เน็ตล็อกออน] หุ้น
• เพิ่มสคริปต์เครื่อง: สคริปต์ที่จะสร้าง .โดยอัตโนมัติ บัญชีความน่าเชื่อถือของเครื่อง ที่จำเป็นสำหรับเวิร์กสเตชันเพื่อเข้าร่วมโดเมน
ในตัวอย่างนี้ ต้องสร้างกลุ่มเครื่องจักรโดยใช้ยูทิลิตี้ addgroup ดูหัวข้อ 1.2 “การเพิ่มและการลบผู้ใช้” [p. 181] สำหรับรายละเอียด
4. ยกเลิกการใส่เครื่องหมาย [บ้าน] แบ่งปันเพื่อให้ เข้าสู่ระบบหน้าแรก ที่จะทำแผนที่:
[บ้าน]
ความคิดเห็น = หน้าแรก ไดเรกทอรีที่เรียกดูได้ = ไม่
อ่านอย่างเดียว = ไม่สร้างหน้ากาก = 0700
รูปแบบไดเรกทอรี = 0700 ผู้ใช้ที่ถูกต้อง = %S
5. เมื่อกำหนดค่าเป็นตัวควบคุมโดเมน a [เน็ตล็อกออน] ต้องกำหนดค่าการแชร์ หากต้องการเปิดใช้งานการแชร์ ให้ยกเลิกความคิดเห็น:
[เน็ตล็อกออน]
ความคิดเห็น = เส้นทางบริการเข้าสู่ระบบเครือข่าย = /srv/samba/netlogon guest ok = ใช่
อ่านอย่างเดียว = ใช่ โหมดแชร์ = ไม่
ต้นฉบับ เน็ตล็อกออน เส้นทางแบ่งปันคือ /home/samba/netlogonแต่ตาม Filesystem Hierarchy Standard (FHS) / srv20 เป็นตำแหน่งที่ถูกต้องสำหรับข้อมูลเฉพาะไซต์ที่ระบบให้มา
6. ตอนนี้สร้าง เน็ตล็อกออน ไดเรกทอรีและว่างเปล่า (สำหรับตอนนี้) เข้าสู่ระบบ. cmd ไฟล์สคริปต์:
sudo mkdir -p /srv/samba/netlogon.php
sudo สัมผัส /srv/samba/netlogon/logon.cmd
คุณสามารถป้อนคำสั่งสคริปต์การเข้าสู่ระบบ Windows ปกติใน เข้าสู่ระบบ. cmd เพื่อปรับแต่งสภาพแวดล้อมของลูกค้า
7. รีสตาร์ท Samba เพื่อเปิดใช้งานตัวควบคุมโดเมนใหม่:
sudo systemctl รีสตาร์ท smbd.service nmbd.service
8. สุดท้าย มีคำสั่งเพิ่มเติมสองสามคำสั่งที่จำเป็นในการตั้งค่าสิทธิ์ที่เหมาะสม
ด้วยระบบเส้นทาง ราก ถูกปิดใช้งานโดยค่าเริ่มต้น เพื่อที่จะเข้าร่วมเวิร์กสเตชันกับโดเมน กลุ่มระบบจะต้องถูกแมปกับ Windows ผู้ดูแลระบบโดเมน กลุ่ม. การใช้ยูทิลิตี้เน็ตจากเทอร์มินัลให้ป้อน:
sudo net groupmap เพิ่ม ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
เปลี่ยนแปลง ดูแลระบบ ไปยังกลุ่มใดก็ได้ที่คุณต้องการ นอกจากนี้ ผู้ใช้ที่ใช้ในการเข้าร่วมโดเมนจะต้องเป็นสมาชิกของ ดูแลระบบ กลุ่มเช่นเดียวกับสมาชิกของระบบ ผู้ดูแลระบบ กลุ่ม. NS ผู้ดูแลระบบ กลุ่มอนุญาตให้ใช้ sudo
หากผู้ใช้ยังไม่มีข้อมูลประจำตัว Samba คุณสามารถเพิ่มพวกเขาด้วยยูทิลิตี้ smbpasswd เปลี่ยน ดูแลระบบ ชื่อผู้ใช้อย่างเหมาะสม:
sudo smbpasswd -ดูแลระบบ
นอกจากนี้ จำเป็นต้องให้สิทธิ์แก่ . อย่างชัดเจน ผู้ดูแลระบบโดเมน กลุ่มเพื่อให้ เพิ่มสคริปต์เครื่อง
(และหน้าที่ของผู้ดูแลระบบอื่นๆ) ในการทำงาน สิ่งนี้ทำได้โดยการดำเนินการ:
การให้สิทธิ์ net rpc -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. ขณะนี้ คุณควรจะสามารถเข้าร่วมไคลเอ็นต์ Windows กับโดเมนได้ในลักษณะเดียวกับการเข้าร่วมโดเมน NT4 ที่ทำงานบนเซิร์ฟเวอร์ Windows