Samba som domenekontroller [Guide]

[mikis]

Jeg har blitt spurt om å lage en guide om hvordan man setter opp samba som domenekontroller (Primary Domain Controller). Denne guiden er skrevet i full fart, så spør gjerne hvis noe er uklart.

 

smb.conf

[global]
workgroup = Mitt_domene
netbios name = Servernavn
server string = Samba PDC
time server = yes

nt acl support = no

// Viktig i forbindelse med sikkerhet. Hvilke ip'er som skal ha tilgang
hosts allow = 127.0.0.1 192.168.0.0/24

security = user
null passwords = no

// Passordene må krypteres hvis klientene er XP
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

// Størrelse på loggfil i Kb
max log size = 50

// Nødvendig for å kunne synkonisere Linux passordet ved endring av passordet på Windows
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *Please*retype*new*password* %n\n *password*successfully*updated*

local master = yes
wins support = yes
os level = 64
domain master = yes
preferred master = yes

// Spesifiserer at Samba skal være domeneserver for Win95 klienter
domain logons = yes

// Hvor Samba henter hjemmeområdene fra 
logon home = \\%L\%U

// Hvilken stasjon hjemmeområdet mappes til
logon drive = H:

// Hvilke skript som skal kjøres med pålogging.
// Disse skriptene må ligge i stien definert i området netlogon nedenfor
logon script = %U.bat or netlogon.bat

[hjem]
comment = Eget område
browseable = no
writable = yes
valid users = %S
create mode = 0664
directory mode = 0775

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
writable = no
share modes = no

[profiler]
path = /home/samba/profiles
browseable = no
writeable = yes
create mode = 0600
directory mode = 0700
profile acls = yes
read only = no
default case = lower
preserve case = no
short preserve case = no
case sensitive = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/

[felles]
path = /home/samba/shares/felles
browseable = yes
writable = no
write list = @admins

 

Opprette grupper for maskiner og administratorer:

$ /usr/sbin/groupadd -g 200 admins
$ /usr/sbin/groupadd -g 201 machines 

 

Opprette mappene som er definert i smb.conf:

$ mkdir -m 0775 /home/samba /home/samba/netlogon
$ chown root.admins /home/samba/netlogon
$ mkdir /home/samba/profiler
$ chown 1757 /home/samba/profiler
$ mkdir -m 0777 /home/samba/shares /home/samba/shares/felles

 

Opprette Unix-brukere for maskinene i nettverket. Disse brukerne trenger hverken login shell eller home mapper. Bruker derfor false som login shell og /dev/null som home mappe.

 

$ /usr/sbin/useradd -g machines -d /dev/null -c "Maskin_navn" -s /bin/false Netbios_navn$
$ passwd -l Netbios_navn$

 

Merk at netbiosnavnet må ha $ på slutten.

 

Konvertere Unix-kontoen til en Samba maskinkonto:

$ smbpasswd -a -m Netbios_navn$ 

(Merk at du ikke blir spurt om å skrive inn passord)

 

Opprette brukere for Samba. Merk at disse først må opprettes som normale Unix-brukere. Du må også opprette en Samba root-bruker. Den skal brukes for å melde inn maskinene i domenet.

$ smbpasswd -a brukernavn

 

Hvordan man melder inn en windows-klient i domenet kan du lese her:

http://www.windowsnetworking.com/articles_...s/wxpjoind.html

 

Det finnes skript for opprettelse av Samba-maskiner og -brukere. Man kan også med fordel bruke webmin med modulen Samba Machine Maintainer for innmelding av maskiner. Da slipper man unna mange kommandoer.

 

EDIT: Kommentarer i smb.conf

Endret 12. april 2006 av mikis

[Axentrix]

Finfint, mangler litt komentarer i smb.conf, men ellers bra

Har prosjekt etter påske, hvor jeg tenkte jeg skulle sette opp samba som domenekontroller, med autentisering mot en win2k3 server. Så denne guiden kom godt med

[mikis]

Ok, skal prøve å få lagt inn noen kommentarer i løpet av påsken

[Gjest Slettet+432]

Konge guide! Takk for at du tok deg tid til å lage den

[Zenit]

Fin guide Jeg liker å ha profil-katalogen plassert i hjemmeområdet til hver bruker når jeg setter opp slikt, men det er mange måter å gjøre det på. Rettighetene for fellesområdet er kanskje noe slappe, men det spørs jo hva man vil oppnå. Fellesområder blir fort vanskelig.

[Big_JT]

Noe ganske likt det jeg kjører selv på et lite domene jeg drifter. Skal sette opp noe lignende hjemme snart også, så denne kom greit med.

 

Et lite spørsmål. Hvist domenekontroleren går ned. Kan en bruker logge på en maskin han har vært inne på før? (Lokale profiler osv.) Eller går alt strake veien til sydpolen?

[Gjest Slettet+432]

Du sier man trenger å opprette brukere... Hva skal brukerne ha til shell og hjemmemappe, kan man bare bruke en helt standard unix bruker, kanskje?

 

Edit: Det funket ikke på maskinen jeg testet på, den klarer ikke slå opp navnet i dns, har satt opp dns tjener som peker til adressen, og klientmaskinen har også dns tjeneren som primær tjener.

Endret 22. april 2006 av Slettet+432

[Torbjørn]

kan du også skrive noe om profilhåndtering

 

som default vil windowsklienter kopiere over hele profilen ved pålogging, hvilket blir et problem etter hvert som profilene blir store (f.eks mail)

 

istedet kunn jeg tenke meg å la brukerenes profiler ikke kopieres over til lokal disk, men istedet sette profilkatalog til et samba share, evt. på en lokal nettverksstasjon

[print]

Regner med at noen her har peiling på samba...

 

min bror har en printer inne på hannes pc... den vil jeg skrive ut på... men han har windows... hva gjør jeg?