Primárny radič domény pomocou Samba
Súborový a tlačový server Samba môže plniť úlohu primárneho radiča domény (Primary domain controller – PDC). To nie je žiadna novinka, ktorá by mnohých prekvapila. No napriek tomu nie každý vie ako takýto PDC pomocou Samby nastaviť. A práve postup nastavenia PDC na systéme Debian v podmienkach školy sa v tomto článku pokúsim priblížiť.
Úvod
V úvode sa nechystám zahltiť Vás informáciami o tom, čo všetko Samba dokáže. Jednoducho predstavím sieť, v ktorej budem jednotlivé nastavenia popisovať. Ako môžete vidieť, schéma siete je jednoduchá. Jedná sa o sieť s niekoľkými stanicami s rôznymi verziami operačného systému Windows, jednou stanicou s operačným systémom Linux a jeden server s našou Sambou. Aby sme sa v tom ľahko vyznali, mená staníc popisujú operačný systém, ktorý na nich beží.
Pri písaní tohoto postupu predpokladám, že viete čo je to sieť, viete ako sa upravujú v Linuxe súbory a viete nastaviť sieť v systéme Windows. So Sambou nemusíte mať žiadne skúsenosti.
Nastavenie sieťovej vrstvy
Naša skúšobná sieť bude mať adresu 172.16.1.0/24 a bude pripojená do internetu prostredníctvom nejakého smerovača, ktorého nastavením sa tu nebudem zaoberať. Jednotlivé stroje v sieti budú pracovať s týmito nastaveniami siete:
| Hostname | IP adresa | Maska | Brána | DNS |
| GW | 172.16.1.1 | – | – | – |
| PDC | 172.16.1.2 | 255.255.255.0 | 172.16.1.1 | – |
| W98 | 172.16.1.11 | 255.255.255.0 | 172.16.1.1 | 172.16.1.2 |
| W2k | 172.16.1.12 | 255.255.255.0 | 172.16.1.1 | 172.16.1.2 |
| WXP | 172.16.1.13 | 255.255.255.0 | 172.16.1.1 | 172.16.1.2 |
| WVi | 172.16.1.14 | 255.255.255.0 | 172.16.1.1 | 172.16.1.2 |
| Lin | 172.16.1.15 | 255.255.255.0 | 172.16.1.1 | 172.16.1.2 |
Ako ste si iste všimli, stroj s našou Sambou plní zároveň úlohu servera DNS. Je možné nastaviť DNS aj tak, aby poznal aj NetBIOS mená staníc, ale tomu sa tu venovať nebudem. Ani nastavením smerovača sa tu nebudem vôbec zdržiavať a v ďalšom texte ho budem považovať za správne nastavený a poskytujúci prístup na internet. Všetky adresy budem nastavovať staticky, ale nič Vám nebráni použiť nejaký DHCP server. No a to je na úvod všetko, tak hurá do práce!
Inštalácia
Nie, netreba sa báť, nezačnem teraz písať o sťahovaní zdrojových kódov a kompilácii Samby, hoci nikomu v tom nebránim. Samba je súčasťou úložiska Debianu, takže ju nainštalujeme prostredníctvom systému apt. Pred tým sa však pozrime, čo všetko nám Debian vo vzťahu k Sambe ponúka:
aptitude search ^samba p samba - súborový a tlačový server pre Unix, obdoba LanManager v samba-client - p samba-common - spoločné súbory pre Samba, používané serverom i klientom p samba-dbg - ladiace symboly Samba p samba-doc - dokumentácia Samba p samba-doc-pdf - PDF dokumentácia Samba p samba-tools - nástroje poskytované sadou Samba
Ale to nie je všetko:
aptitude search ^smb p smb-nat - nástroj na kontrolu Netbios Auditing Tool p smb2www - sieťový klient SMB/CIFS s webovým rozhraním p smb4k - prehliadač zdieľaní Samba (SMB) pre KDE p smbc - samba-commander - curses prehliadač siete samba p smbclient - ako LanManager, jednoduchý klient pre Unix p smbfs - príkazy mount a umount pre smbfs (pre jadrá >= ako 2.2.x p smbget - downloader pre protokol SMB/CIFS p smbind - na PHP založený nástroj pre správu DNS zón v BINDe p smbldap-tools - skripty pre správu Unixových a Samba účtov v LDAP p smbnetfs - User-space súborový systém pre SMB/NMB (Windows) sieťové servery a zdieľania
Tých balíkov, ako sami vidíte, je dosť, ale pre samotnú funkčnosť ich netreba všetky. Samotnú inštaláciu dosiahneme zadaním inštalácie balíka samba, ktorý prostredníctvom závislostí nainštaluje aj všetky ostatné, ktoré sú potrebné:
aptitude install samba
Tento príkaz nainštaluje aj nasledujúce balíky:
- libcups2
- libtalloc1
- libwbclient0
- samba-common
- ucf
V závislosti od Vášho nastavenia môže ešte pridať aj odporúčané balíčky, ale ako vyplýva z názvu, sú len odporúčané, nie však potrebné. Počas inštalácie sa inštalátor spýta na meno pracovnej skupiny, tak zadajte podľa vlastnej potreby, ja budem používať pracovnú skupinu MYSKUPINA. Inštalátor sa spýta aj na to, či chcete používať nastavenie WINS serverov cez DHCP, keďže som však spomínal statické nastavenie, netrápi ma spolupráca s klientom DHCP a pokojne odpoviem nie. Ak inštalácia prebehne úspešne (a neviem prečo by nemala), je Samba pripravená na používanie.
- Predch.
- Nasled. >>
rado
Odoslané o 2010-09-08 12:01:17
...pokracovanie predosleho prispevku:
2) Priklad z 4. strany, ktory, ak som spravne
pochopil by mal byt alternativou pre pouzitie read list:
[triedniucit]
comment = Adresár triednych
path = /home/sambadir/triedny
invalid users = +studenti
read list = @trucitelia, @admini
* nemalo by byt write list namiesto read list?Slavko
Odoslané o 2010-09-08 12:13:51
Ad1: Áno, je to pozostatok predvoleného stavu, ale neškodný, keďže neskoršie nastavenie prepisuje skoršie...
Ad2: Musím sa pozrieť podrobnejšie na konfig, ale pravdepodobne áno
V oboch prípadoch ďakujem za upozornenie :-), opravím!
Marek
Odoslané o 2009-09-23 00:24:15
Dobry den, instaloval som Samba 3.0.33 ako PDC na CentOS skoro podla navodu. Mam problem pri prístupe k zdielanej zlozke z PC s WinXP korektne
zaradeneho do domeny pod prihlasenym uzivatelom root. Zdielana zlozka v exploreri je viditelna ale pri snahe zobrazit jej obsah mi vypise ze uzivatel nema pristup.
Rovnako aj pre inych uzivatelov zo skupiny... napr. usersSlavko
Odoslané o 2009-09-23 15:43:18
bez konfigurácie ťažko môžem zistiť, ktorý z možných (alebo nemožných) dôvodov to je. Treba byť konkrétnejší...
martin
Odoslané o 2009-11-20 08:44:54
@ Marek, skusal som to rozehat v centos, mal som rovnaky problem mne pomohlo:
setsebool samba_enable_home_dirs=1, aj ked presne neviem co to je, tu by mohol pomoct s vysvetlenim slavko
@ slavko, velmi pekny navod, zacinam sa zoznamovat s linux. systemami (som tll=total linux lama), este stale mi nejde prihlasit m$ stanice do domeny,
aj ked prihlasujem vzdy s uzivatelom zo skupiny admini, dostanem hlasku ze prihlasenie zlyhalo: nezname meno pouzivatela
alebo heslo. kto poradi?martin
Odoslané o 2009-12-11 09:55:43
to mam, pridanie do domeny mi funguje vtedy ked mam zapnuty dc. zapinam ho prikazom
setsebool samba_domain_controller on
ale po restarte samy je znova off:
[root@SX0001 ~]# getsebool -a | grep samba
samba_domain_controller --> off
samba_enable_home_dirs --> on
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_share_nfs --> off
use_samba_home_dirs --> off
virt_use_samba --> off
co robim ze?Slavko
Odoslané o 2009-12-11 14:58:44
Ako som už písal, SELinux nepoužívam, takže len dohad: treba nejako nastaviť, aby to po (re)štarte znova povolilo "samba_domain_controller". Inými slovami vytvoriť štartovací skript, alebo pohľadať konfigurák, v ktorom sa to nastavuje. Ale naozaj neviem kde a ako :-)
Je to distro/selinux závislé...
Slavko
Odoslané o 2009-11-22 09:02:01
hmm, ak postupoval podľa článku, tak má dôveryhodný účet vytvorený...
fleg
Odoslané o 2009-11-22 10:45:24
Ta chybova hlaska vyskakuje vtedy ak dane pc nema konto, pomerne casto ludia nevedia napisat meno pc spravne.
Slavko
Odoslané o 2009-11-20 13:23:29
nedám ruku do ohňa, ale nebude to setsebool súvisieť so SELinux? Teda z bezpečnostonou politikou? Neviem, nepoužívam...
ad: nezname meno pouzivatela alebo heslo, ťažko mi je, jedine ma napadá skontrolovať meno a heslo (také ako Y-Z, š-3, veľké/malé a pod), ale teraz si nie som istý, či sa toto hlásenie nezobrazí aj pri pokuse o prihlásenie zo stroja, ktorý nebol pridaný do domény. Naposledy som riešil problémy s prihlasovaním sa do domény so sambou 3.0.? a XP, kde bolo treba niečo poupraviť v registroch, ale už nepamätám a hľadanie poznámok by zabralo viac času ako google :-P
myslím, že od 3.2 to už je OK.
Majo
Odoslané o 2009-09-17 22:19:15
Dobry den, v provom rade chcem pochvalit navod je dobry! Mam vsak jeden problem pri nastavovani domeny vo Viste. Vypise mi aby som zadal login a heslo uctu v sambe ale nezobere mi to nic namiesto toho vypise:
http://img1.imgup.eu/domena_chyba.jpg
Viete mi s tym niekto poradit? Mam Fedoru 11.
DakujemSlavko
Odoslané o 2009-09-17 23:42:57
Neviem či poradím, ale pripomína mi to jednu situáciu, pri ktorej mi ostal pridaný nejaký divný účet pre počítač alebo pre usera. Skúste odobrať a opäť pridať všetky relevantné účty...
Majo
Odoslané o 2009-09-18 00:01:33
Dakujem za pomoc uz som to skusal ale skusim to este raz, pretoze to musim rozbehnut.
Nie je mi vsak iste co mam napisat do "Computer name".
http://img89.imageshack.us/i/57685731.jpg/Majo
Odoslané o 2009-09-18 00:00:13
Dakujem skusal som to ale skusim to este raz.
Nie je mi vsak uplne jasne co mam napisat do "Computer name"
http://img89.imageshack.us/i/57685731.jpg/Slavko
Odoslané o 2009-09-18 15:05:56
Computer name = meno počítača, môj sa volá bonifác, teda meno, pod ktorým bude vystupovať v sieti M$ a musí byť pre neho (ak nie je vytváraný automaticky) vytvorený počítačový účet v sambe i v systéme.
Etch
Odoslané o 2009-01-15 15:11:00
Velmi pekny prispevok /navod/ :-)
Dakujem pomocou neho som rozchodil PDC na Debiane bez problemov.
Dakujem.Slavko
Odoslané o 2009-01-15 21:48:33
Dík :-)
ale musím poznamenať, že to je naozaj len základ...Janco
Odoslané o 2009-06-20 08:55:07
Daju sa nejak riesit aj politiky? Teda obmedzenia na WinXP a pod?
janco
Odoslané o 2009-06-20 20:44:22
este otazocka, neplanuje sa nejaky clanocek na temu LDAP a jeho spriahnutie so sambou ? O:-)
slavko
Odoslané o 2009-06-20 20:55:47
neviem, toho 'sa' nepoznám, hoci ho ľudia často spomínajú :-P
janco
Odoslané o 2009-06-20 22:22:20
a este otazocka ma napadla, potreboval by som poradit ako dosiahnem, aby sa dalo prihlasit na WinXP pod domenovym menom ak je napr. stanica odpojena od internetu teda PDC je offline... ???
Slavko
Odoslané o 2009-06-20 22:38:47
za technickú podporu proprietárnych produktov si účtujem od 15 €/hod, pokročilé nastavenia od 20 €/hod. Ak máte záujem, kontaktujte ma emailom...
Slavko
Odoslané o 2009-06-20 17:03:51
dá i nedá :-)
podpora AD je v sambe od verzie 4, ktorá je zatiaľ vo vývoji. Ak však WinXP dokáže spracovať politiky z nejakého súboru cez príkazový riadok, možno využiť prihalsovací skript...
Všeobecné
Súvisiace
Podporujem
rado
Odoslané o 2010-09-08 12:00:45
Zdravim, v prvom rade dakujem za clanok, pre zacinajuceho sambistu alebo niekoho, kto si potrebuje zopakovat nejake veci je to pomoc.
Mam ale nejake komenty:
1) Priklad z 2. strany ukazujuci nastavenie domovskeho adresara.
[homes]
comment = Domovský adresár
browseable = no
read only = yes
create mask = 0700
directory mask = 0700
writeable = yes
valid users = %S
* myslim, ze read only by malo byt no, resp. by tam nemalo byt vobec a staci writeable = yes, pretoze podla man smb.conf je read only "inverted synonym" pre writeable - co ak spravne chapem znamena ze read only = no a writeable = yes je to iste.
Odpovedať