Хоча він не може представляти із себе первинний контролер домену (PDC) Active Directory, Samba сервер може бути налаштований як контролер домену Windows NT4. Основною перевагою такої конфігурації є можливість централізувати облікові записи користувачів і машин. Крім того Samba може використовувати різні бази даних для зберігання інформації про користувачів.
У цьому розділі розглядається настройка Samba в якості первинного контролера домену (PDC) з використанням smbpasswd як сховище даних.
1. Насамперед встановимо Samba і libpam-smbpass для синхронізації облікових записів користувачів, ввівши в терміналі:
2. Далі налаштуємо Samba редагуванням /etc/samba/smb.conf. Режим безпеки слід встановити user. а робочу групу слід назвати відповідно до імені вашої організації:
domain logons. змушує сервіс netlogon взаємодіяти з Samba як з контролером домену.
logon path. поміщає призначений для користувача профіль Windows в його домашній каталог. Також існує можливість налаштувати розділяється ресурс [profiles]. помістивши все профілі в один каталог.
logon drive. визначає локальний шлях для домашнього каталогу.
logon home. визначає місце розташування домашнього каталогу.
logon script. визначає сценарій, який повинен бути виконаний один раз при вході користувача. Сценарій повинен бути поміщений в розділяється ресурс [netlogon].
add machine script. сценарій, який буде автоматично запущено при створенні довірчої облікового запису машини при додаванні робочої станції в домен.
У цьому прикладі потрібно створити групу machines з використанням утиліти addgroup. Подробиці дивіться в розділі Додавання та видалення користувачів.
Оригінальний шлях для ресурсу netlogon / home / samba / netlogon, але за стандартом ієрархії файлових систем (FHS) правильним розташуванням для даних, що стосуються даної системи, є каталог / srv.
6. Тепер створимо каталог netlogon і порожній (поки) файл сценарію logon.cmd:
Ви можете ввести будь-які звичайні команди сценарію входу для Windows в logon.cmd щоб налаштувати клієнтське оточення.
7. перезапустити Samba щоб запустити контролер нового домену:
8. Нарешті існує трохи додаткових команд, необхідних для установки відповідних прав.
З заблокованим за замовчуванням суперкористувачем (root), щоб приєднати робочу станцію до домену, системна група повинна відображатися на Windows групу Domain Admins. З використанням утиліти net в терміналі введіть:
Замініть sysadmin на ту групу, яка вам підходить. Крім того, користувач, який використовується для приєднання до домену, повинен входити в групу sysadmin. також як і в системну групу admin. Група admin дозволяє використовувати команду sudo.
Якщо користувач поки не має облікових записів Samba, ви можете додати їх за допомогою утиліти smbpasswd. замінивши ім'я користувача sysadmin на необхідну:
Також потрібно явно надати права групі Domain Admins щоб дозволити виконувати сценарій додавання машин (і інших адміністративних функцій). Це може бути досягнуто виконанням команди:
Тепер ви маєте можливість приєднувати клієнтів Windows до домену таким же чином, як приєднували їх до NT4 домену на Windows сервері.
Коли ви налаштовуєте Samba як BDC, вам потрібно вибрати спосіб синхронізації облікових записів з PDC. Існує кілька варіантів досягнення цього за допомогою scp. rsync або використання LDAP в якості бази passdb.
Використання LDAP є найбільш правильним способом синхронізації облікових записів, оскільки обидва контролера домену зможуть використовувати одну і ту ж інформацію в режимі реального часу. Однак установка LDAP сервера може бути надто складною для невеликої кількості облікових записів користувачів і комп'ютерів. Дивіться розділ Samba і LDAP для уточнення деталей.
1. Спочатку встановимо samba і libpam-smbpass. Введіть в терміналі:
4. Переконайтеся, що користувач має права на читання файлів в каталозі / var / lib / samba. Наприклад, щоб дозволити користувачам групи admin копіювати файли за допомогою scp. введіть:
5. Далі синхронізуйте облікові записи користувачів, використовуючи scp для копіювання каталогу / var / lib / samba з PDC:
6. Нарешті, перезапустити Samba:
Інша річ, про яку не варто забувати: якщо ви налаштували опцію logon home як каталог на PDC і він стає недоступним, доступ до домашнього каталогу користувача також стане неможливим. Саме тому краще налаштувати logon home розташованим на окремому файловому сервері, відмінному від PDC і BDC.
Для більш глибокого вивчення налаштувань Samba дивіться Колекцію ЧаВо по Samba.