[Comm] Samba3 в какчестве PDC (пока - NT4)
Aleksey Avdeev
=?iso-8859-1?q?solo_=CE=C1_solin=2Espb=2Eru?=
Пн Янв 12 21:49:24 MSK 2004
Здравствуйте.
Озадачен созданием домена под 3 Самбой. Если с самой Самбой,
в части домена под NT4 (поднимаю kerberos, чтобы перейти к
домену Win2000 - но это другая история), вроде бы разобрался, то
с сомой организацией домена - не совсем (мало информации :-().
Поэтому опишу сдесь что сделал и буду готов к гнилым помидорам.
;-) (ИМХО: скорее всего есть в моём решении ляпы с точки зрения
безопасности.)
Собственно что хотел сделать:
1. Пользователи Samba (коме root) ресурсов на сервере не имеют
(кроме тех, что контролирует Samba);
2. Пароли пользователя root в системе и samba - различны. И,
пожалуй, ясен путь как вывести root изпод Самбы (скрипты + sudo).
3. На пользователям доступны следующие следующие ресурсы (без
учёта Profiles и netlogon):
а) //<samba>/homes - полный доступ владельцу, нет доступа другим;
б) //<samba>/public - всем на чтение, доменным юзерам на
запись, удалять файлы и/или каталоги может только владелец;
в) //<samba>/public/<юзер> - всем на чтение, юзеру <юзер> на
запись, удалять файлы и/или каталоги может только владелец;
г) //<samba>/domainpublic - всем пользователям домена на
чтение, им же - на запись, удалять файлы и/или каталоги может
только владелец;
д) //<samba>/domainpublic/<юзер> - всем пользователям домена
на чтение, юзеру <юзер> на запись, удалять файлы и/или каталоги
может только владелец;
Реализовал так:
[solo на solo solo]$ testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[Profiles]"
Processing section "[public]"
Processing section "[domainpublic]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
# Global parameters
[global]
dos charset = CP866
unix charset = UTF8
display charset = KOI8-R
workgroup = ALTDOMAIN
server string = Samba server on %h (v. %v)
interfaces = lo, eth0
bind interfaces only = Yes
map to guest = Bad User
passdb backend = tdbsam, smbpasswd
username map = /etc/samba/smbusers
log level = 3
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = wins lmhosts bcast
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = lpstat
add user script = /usr/lib/samba/useradd.sh %u %D
add machine script = /usr/lib/samba/machineadd.sh %u %U
logon script = %U.bat
logon path = \\%L\Profiles\%U
logon drive = z:
logon home = \\%L\%U\.profile
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins proxy = Yes
wins support = Yes
template shell = /bin/bash
hosts allow = 10.4.1., 127.
use sendfile = Yes
printing = cups
[homes]
comment = Home Directory for '%u'
path = /home/samba/%D/%u
read only = No
directory mask = 0700
browseable = No
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
valid users = root, @smbusers
write list = root, @wehll, @root
browseable = No
[Profiles]
path = /var/lib/samba/profiles
write list = root, @wehll, @root, @smbusers
read only = No
create mask = 0600
directory mask = 0700
browseable = No
[public]
comment = Public Stuff
path = /home/samba/public
write list = root, @wehll, @root, @smbusers
force group = smbusers
create mask = 0644
directory mask = 03755
guest ok = Yes
[domainpublic]
comment = Public Stuff Domain
path = /home/samba/%D/public
valid users = root, @wehll, @root, @smbusers
write list = root, @wehll, @root, @smbusers
force group = smbusers
create mask = 0640
directory mask = 03750
[solo на solo solo]$ sudo net groupmap list
System Operators (S-1-5-32-549) -> -1
Domain Admins (S-1-5-21-4161302599-1229860975-3578772647-512) ->
root
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> smbguests
Domain Guests (S-1-5-21-4161302599-1229860975-3578772647-514) ->
smbguests
Power Users (S-1-5-32-547) -> -1
Domain Computers
(S-1-5-21-4161302599-1229860975-3578772647-1843) -> machines
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> root
Domain Users (S-1-5-21-4161302599-1229860975-3578772647-513) ->
smbusers
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> smbusers
Скрипты прилагаю. (Они ещё сыроваты.) Из замечаний:
1. machineadd.sh - планирую переписать по образцу useradd.sh;
2. .USERTEMPL.bat сделан по образцу
<http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=1&sid=0f6b8257642417e448a35c049f59254d>
Что мне непонятно/не устраивает:
1. Непонятно как задать пользователя с "недопустимым" с точки
зрения Linux (при текущих настройках :-)) именем, но корректным
с точки зрения Win без использования /etc/samba/smbusers. (Хочу
воспользоваться полем "NT username" в tdbsam, но непонял как это
сделать.)
2. Не разобрался как задать профиль пользователя по умолчанию и
групповые политики в _полном_ объёме.
3. Непонял как управлять доменом из MS консоли: что писать в
/etc/samba/smb.conf - пожалуй понятно, непонятно как вообще
достучаться из данной тулзы до самба сервера. (Понял что на
Samba должен быть админский ресурс со скриптами... Непонял как
это всё создать.)
4. Что-то неладное твориться с сетевым окружением на Win200:
после входа в самбовский домен ресурсы сервера (и он сам) видны
только через "Вся сеть"/<домен>/<сервер>. (Или это нормально,
если PDC поддерживает только домен NT4?)
Вообщем, готов принимать гнилые помидоры...
PS: У меня samba3-3.0-alt46.1, но данные вопросы скорее
самба-специфичны... :-)
--
С уважением. Алексей.
----------- следующая часть -----------
An embedded and charset-unspecified text was scrubbed...
Name: machineadd.sh
URL: <http://lists.altlinux.org/pipermail/community/attachments/20040112/8e40c1d6/attachment-0006.ksh>
----------- следующая часть -----------
An embedded and charset-unspecified text was scrubbed...
Name: useradd.sh
URL: <http://lists.altlinux.org/pipermail/community/attachments/20040112/8e40c1d6/attachment-0007.ksh>
----------- следующая часть -----------
An embedded and charset-unspecified text was scrubbed...
Name: userstruct.sh
URL: <http://lists.altlinux.org/pipermail/community/attachments/20040112/8e40c1d6/attachment-0008.ksh>
----------- следующая часть -----------
An embedded and charset-unspecified text was scrubbed...
Name: .USERTEMPL.bat
URL: <http://lists.altlinux.org/pipermail/community/attachments/20040112/8e40c1d6/attachment-0002.bat>
Подробная информация о списке рассылки community