Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Решения на открытых кодах - Работа с ресурсами домена: Samba
Для работы в составе домена Windows (использование единой базы учетных записей пользователей, подключение,предоставление общих ресурсов и т. п.) предусмотрен пакет Samba. Этот пакет входит во все дистрибутивы Linux, и обычно нет необходимости загружать инсталляционные файлы с сайта www.samba.org.

Установка

По умолчанию Samba, как правило, может быть не запущен. Обычно в Linux есть средства настройки параметров основных сетевых служб. Проверить, работает ли демон Samba, можно, перечислив все активные процессы и отфильтровав вывод команды по названию службы:

   ps -A I grep smb

Если Samba работает, то вы должны увидеть приблизительно такую информацию:

   3200 ? 00:00:00 smbd
   4207 ? 00:00:00 smbd


Для перезапуска службы (необходимая операция в случае изменения конфигурации демона) можно использовать команду:

   service smb restart

Кроме сервиса smbd, если вам понадобятся пользовательские учетные записи домена Windows, необходимо установить в режим автоматической загрузки и демон Winbind (имя winbindd). Команда его запуска и перезагрузки выполняется аналогично.

Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безопасности системы High или Medium, то аутентификация в домене Windows будет невозможна. Поэтому включите вариант No Firewall (через меню | Main | System Settings или в режиме терминала командой redhat-config-securitylevel).

Настроить работу в домене Windows можно в одном из двух режимов: либо на основе NTLM-аутентификации (традиционный вариант, совместим с доменами Windows NT), либо на основе Kerberos (поддерживается в Windows 200*). Далее мы рассмотрим варианты настроек при использовании протокола Kerberos; другие варианты вы легко сможете найти в Интернете.

Настройка Kerberos

Kerberos обычно уже установлен в системе. Вам необходимо только отредактировать файл его конфигурации, указав адреса серверов аутентификации домена.

Протокол Kerberos будет работать только в том случае, если рассогласование времени между компьютером пользователя и контроллером домена составляет меньше 5 минут. Чтобы обеспечить его корректную работу, предварительно синхронизуйте время на компьютерах и проверьте идентичность установленных часовых поясов.

Настройки Kerberos можно выполнить с помощью имеющихся в системе графических утилит, но проще вручную отредактировать файл конфигурации, расположенный по следующему пути: /etc/krb5.conf. В этом файле обычно достаточно отредактировать только параметры доменной области (realm) и центра выдачи ключей (KDC):

[realms]
LOCAL. DOMAIN =
kdc = tcp/dcl.local.domain:88 tcp/dc2.local.domain:88
admin_server = del.local.domain
default domain local.domain


В данном примере DNS-имя домена - local.domain, а контроллеры домена имеют имена del и dc2.

[domain_realm]
.local.domain = LOCAL.DOMAIN
local.domain = LOCAL.DOMAIN
fkdc
enable-kerberos4 = false


Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена только в верхнем регистре, так, как это сделано в данном примере.

Подключение к домену (Kerberos)

Настройка параметров Kerberos в графическом режиме в Red Hat. После того как вы отредактируете конфигурацию, необходимо получить билет Kerberos. Чтобы получить для пользователя с правами администратора домена Windows, выполните следующую команду: kinit administrator@LOCAL.DOMAIN.

Обратите внимание, что имя домена должно быть набрано прописными буквами. Команда должна отработать без ошибок. Самая распространенная ошибка возникает в случае, если время системы Linux отличается от времени контроллера домена. В этом случае синхронизуйте время и повторите команду.Проверить полученный билет можно, выполнив команду klist. Она должна показать параметры полученного билета (имя учетной записи, срок действия билета).

Настройки Samba содержатся в файле конфигурации, который расположен по следующему пути: /usr/samba/lib/smb.conf.

Файл состоит из нескольких разделов:
[globals] — глобальные настройки,
[homes] — домашние папки пользователей,
[printers] — настройки печати и пользовательских разделов, в которых определяются сетевые папки. Имена разделов заключаются в квадратные скобки, параметры определяются в виде key = value.

Файл конфигурации снабжен комментариями, так что для вас не составит особого труда разобраться с правилами его редактирования. Вы можете просто снять комментарии с тех строк, которые описывают наиболее подходящую конфигурацию сервера, и настроить по образцу совместный доступ к ресурсам.

Отсутствие ошибок в файле можно проверить с помощью команды testparm. Если она сообщит об ошибке, следует перепроверить внесенные настройки.

В файле /etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничиваются только локальными параметрами (в строках упомянуто только files).
Поэтому проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как files, так и winbind.

Например, так:
group: files winbind
hosts: files dns nis winbind
networks: files winbind
passwd: files winbind
shadow: files winbind
shells: files winbind


Для включения компьютера с Linux в домен Windows по протоколу Kerberos необходимо выполнить следующую команду (подключение происходит к домену, указанному в параметрах по умолчанию):
net ads join -U administrator%password
В этой строке administrator и password соответственно имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выполнении операции.

Проверить возможности работы в домене можно, попытавшись отобразить перечень учетных записей. Сначала следует протестировать наличие подключения командой

wbinfo -t

Эта команда должна выдать сообщение, аналогичное приведенному ниже:

[root@linux ~]# wbinfo -t
checking the trust secret via RPC calls succeeded


Командой wbinfo -u можно отобразить список пользователей, а применив ее с ключом -d — список групп. Проверьте, что служба winbind успешно получает пароли с контроллера домена. Для этого выполните команду:

getent passwd

В списке паролей вы должны увидеть записи, относящиеся к домену (имена пользователей будут показаны в начале строки в виде домен\пользователь).

Предоставление ресурсов в общий доступ

Операцию можно осуществить как с использованием графического интерфейса, так и путем правки конфигурации программы. Приведенный ниже краткий пример показывает основные параметры предоставления ресурса в общий доступ:

[Documents]
comment = Архив документов
path = /usr/local/docs
valid users = @"domain\domain users" domain\userl
admin users = @ domain\group2
writable=yes
browseable=yes


Необходимые дополнительные параметры (настройку протоколирования доступа, корзины, варианты предоставления ресурса с произвольной маской доступа и т. п.) легко уточнить по справочной документации. Обратите внимание, что в секции [global] файла конфигурации можно установить, для каких диапазонов адресов будут предоставляться в совместное использование ресурсы, максимальное число одновременно открытых файлов и т. п.:

[global]
workgroup = TEST
realm = DOMAIN. LOCAL
preferred master = no
server string = Linux Machine
security = ADS
encrypt passwords - yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
max open files m = 100000
printcap name = cups
printing = cups
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 600-20000
idmap gid = 600-20000
hosts allow = 192.168.0.


При предоставлении ресурсов в доступ пользователям домена следует учитывать, что пользователь, подключающийся к ресурсу, будет иметь на компьютере личную папку. Можно настроить ее автоматическое создание при первом подключении, если добавить в /etc/pam.d/sshd следующую строку: session required/lib/security/pam_mkhomedir.so

Другой вариант заключается в создании пользовательских папок вручную. При этом следует учитывать, что папки должны создаваться по следующему пути, учитывающему название домена:
/home/DOMAIN/username.

Далее необходимо предоставить права доступа к данной папке соответствующим пользователям, запустив выполнение команды chown -R.

Учетная запись Гость (Guest)

Учетной записи Гость (Guest) в Windows соответствует учетная запись nobody в Linux. По умолчанию анонимный доступ к ресурсам запрещен. Если вы хотите его разрешить, то удостоверьтесь в существовании в системе учетной записи nobody и откорректируйте конфигурацию Samba по следующему образцу:

[global]
security = user
map to guest = Bad Password

[share_definition]
guest ok = yes


Другой способ состоит в использовании параметра:

security = share.

В этом случае доступ к ресурсу будет осуществляться только с параметрами гостевой учетной записи

Подключение к общим ресурсам

Использование командной строки для подключения к ресурсам домена практически повторяет команды Windows. Для подключения ресурса нужно выполнить команду:
net use m: \\servername\service

или, для подключения сетевого принтера:

net use lptl: \\servername\spoolservice

Если нужно подключить ресурсы *nix компьютеров, то используется команда:

smbclient:
smbclient //hostname/service


Эту же команду следует выполнить для того, чтобы отобразить ресурсы, предоставленные в совместное использование с компьютера:

smbclient -L hostname

Сервер Linux в качестве контроллера домена

Сервер Linux может выступать в качестве контроллера домена Windows. Соответствующие настройки вносятся в конфигурацию сервера Samba; их описание легко найти в Интернете. В качестве контроллера домена сервер Linux хранит учетные записи пользователей. При этом вы можете применять сценарии, исполняемые при входе пользователей в домен, однако вам недоступны групповые политики, активно используемые при управлении доменом Windows 200*. Групповые политики предполагается реализовать в версии Samba 4, которая в настоящее время проходит тестирование. Возможный выход в такой ситуации заключается в применении дополнительных пакетов для реализации необходимых функций. Например, для автоматизации установки и удаления программ Windows можно применить WPKG (http://wpkg.org).


 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014