[devel] Fw: samba-3.0 in AD draft
Alexander Bokovoy
=?iso-8859-1?q?a=2Ebokovoy_=CE=C1_sam-solutions=2Enet?=
Сб Дек 22 19:50:43 MSK 2001
Черновик документации по Samba 3.0 в книжку к дистрибутиву. Автор -- Игорь
Вергейчик, разработчик Samba 3.0. Эта часть касается работы c Active
Directory.
----- Forwarded message from Ihar Viarheichyk <i.viarheichyk на sam-solutions.net> -----
Date: Sat, 22 Dec 2001 18:42:14 +0200
From: Ihar Viarheichyk <i.viarheichyk на sam-solutions.net>
To: Alexander Bokovoy <a.bokovoy на sam-solutions.net>
Subject: samba-3.0 in AD draft
User-Agent: Mutt/1.3.24i
Вот. Просмотри, на предмет неточностей.
--
Igor Vergeichik
ICQ 47298730
Работа в среде Active Directory
Для объединеия конпьютеров в домены Widows 2000 server использует схему,
отличную от NT доменов, которая называется Active Directory. Эта схема
обладает гораздо большей масштабируемостью и позволяет централизованно
администрировать машины, входящие в домен. Active Directory базируется на
протоколе авторизации Kerberos, при котором имя пользователя и пароль не
передаются по сети, а используется механизм так называемых билетов,
выдаваемых сервером на определенное время. Получив билет, машина, входящая в
домен может авторизоваться на других машинах домена без участия сервера.
1. Установка Samba.
Samba-3.0, в отличие от более ранних версий Samba, имеет возможность
работать в сетях Wndows, работающих в режиме Active Directory (или Windows
2000 native mode). Вы должны установить пакет с Samba3-3.0 вместо Samba-2.2.
Active Directory имеет другую схему именования доменов, компьютером и
пользователей, основанную на DNS.
Допустим, существует сеть с именем my.firm.com, и компьютерами
host1.my.firm.com, host2.my.firm.com, host3.my.firm.com.
Тогда Active Directory домен будет называться my.firm.com. Пользователи
Active Directory будут иметь имена вида user на my.firm.com
2. Настройка системных файлов.
/etc/krb5.conf должен содержать по крайней мере следующие строки:
[realms]
MY.FIRM.COM = {
kdc = your.kerberos.server
}
где MY.FIRM.COM - имя домена (или реалма, в терминологии Kerberos). Имя
задается обязательно в верхнем регистре.
your.kerberos.server - имя или IP адрес KDC (Kerberos Domain
Controller), аналог PDC (Primary Domain Controller) в доменах Windows
NT. Например, server.my.firm.com или 192.168.117.11
Правильность указания параметров можно проверить, выполнив команду
kinit username на REALM (например administrator на MY.FIRM.COM)
и убедившись, что пароль был принят сервером. REALM всегда задается в
верхнем регистре.
Вы также должны убедиться, что возможно получить имя KDC по его IP адресу
(так называемый Reverse DNS lookup). Имя KDC должно либо совпадать с netbios
именем компьютера (имя машины в сети windows без указания домена), либо
состоять из netbios-имении и инени домена. Если получить имя KDC по адресу
невозможно, вы получите ошибку "local error" при попытке войти в домен.
Если ваш DNS не поддерживает Reverse lookup, либо KDC не зарегистрирован в
DNS, вы можете указать соответствие IP адреса и имени в /etc/hosts.
3. Настройка smb.conf
Для работы в Active Directory smb.conf должен содержать следующие параметры:
* realm = <REALM>
Задает Kerberos realm, обычно совпадает с именем домена в верхнем
регистре, например realm = MY.FIRM.COM
* workgroup = <WORKGROUP>
Это обычно часть реалма до первой точки, например workgroup = MY
* security = ADS
Тип домена - Active Directory.
* encrypt passwords = true
В случае Active Directory пароли всегда шифруются.
* ads server = <your.kerberos.server>
Обычно этот параметр указывать не обязательно, тк как Samba сама
определяет адрес KDC, если в сети есть WINS-сервер, и он указан в
smb.conf.
4. Регистрация компьютера в Active Directory домене.
Убедитесть что Samba не запущена. Если запущена, ее нужно остановить:
service smb stop
service winbind stop
Чтобы включить компьютер в домен, выполните команду
net ads join -U administrator
где administrator - имя пользователя домена, имеющего право создавать
новые учетные записи. Обычно это administartor.
Если не было выдано сообщение об ошибке, то машина была успешно
зарегистрирована в домене. В случае ошибки проверьте правильность задания
параметров в smb.conf и /etc/krb5.conf. Убедитесь что пользователь,
указанный после -U в net ads join имеет необходимые права на создание
новых учетных записей.
Теперь можно запустить необходимые службы:
service smb start
service winbind start
5. Проверка правильной работы в Active Directory
Для работы с компьютерами, зарегистрированными в Active Directory,
не требутется указывать имя пользоателя и пароль.
Попробуйте выполнить команду
smbclient -k -L <имя компьютера в домене>
Вы должны получить список доступных ресурсов, при этом smbclient не
должен запрашивать имя пользователя и пароль.
Чтобы проверить, что ваша доступ к ресурсам вашей машины возможен с
других машин домена, вы можете попробовать выполнить все ту же команду
smbclient -k -L <имя вашего компьютера в домене>
и получить список доступных ресурсов.
Можно также попробовать открыть какой-нибудь ресурс на вышей машине с
windows-машины, входящей в домен. В любом случает имя пользователя и
пароль запрашиваться не должны.
6. Некоторые особенности работы в Active Directory.
В отличие от Windows NT доменов, авторизация в Active Directory
проихводится не по имени и паролю, а c помощью билетов протокола
Kerberos. Из-за этого работа с smbclient может поначалу показаться
необычной.
Во-первых, при вызове mbclient нужно указывать опцию -k.
Во-вторых, билеты Kerberos даются на определенное время (обчно на сутки,
но это зависит от настроек сервера). Поэтому их нужно периодически
обновлять с помощью команды kinit:
kinit username на REALM
где username - ваше имя в Actiev Directory домене REALM
Так что если smbclient вдруг перестает подключаться к доменным ресурсам,
попробуйте обновить билет, скорее всего дело именно в этом.
----- End forwarded message -----
--
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
`Senior software developer and analyst for SaM-Solutions Ltd.`
---
Nov 21 20:58:58 alconost kernel: VFS: Busy inodes after unmount.
Self-destruct in 5 seconds. Have a nice day...
Подробная информация о списке рассылки Devel