ICO wiki - User contributions [en]

Zentyal SAMBA4

2013-01-13T12:06:36Z

Klang: /* Network Time Protocol */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
root@ubuntu:~# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
cache.eenet.ee 193.40.133.142 2 u 3 64 1 328.240 -13.785 0.004
neodymium.cloud 193.40.5.113 3 u 2 64 1 353.089 -28.727 0.004
sip1.viatel.ee 194.204.18.172 2 u 1 64 1 387.481 -44.189 0.004
stannum.cloudfa 62.236.120.71 3 u - 64 1 308.934 -5.212 0.004
ee1.zz-zone.org .INIT. 16 u - 64 0 0.000 0.000 0.004
europium.canoni .INIT. 16 u - 64 0 0.000 0.000 0.004
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
mkdir /backup/samba
cp -rv /var/lib/samba/* /backup/samba
</source>

Ülekirjutamist ei toimu. kui see on aga vajalik, siis tuleb enne kaust kustutada "rm -r /backup/samba" ning uuesti luua.

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp -rv /backup/samba/* /var/lib/samba
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T10:25:14Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
mkdir /backup/samba
cp -rv /var/lib/samba/* /backup/samba
</source>

Ülekirjutamist ei toimu. kui see on aga vajalik, siis tuleb enne kaust kustutada "rm -r /backup/samba" ning uuesti luua.

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp -rv /backup/samba/* /var/lib/samba
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T10:07:53Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
mkdir /backup/samba
cp -r /var/lib/samba/* /backup/samba
</source>

adm folder tuleb eraldi copyda:
<source lang=bash>
cp -r /var/lib/samba/sysvol/* /backup/samba/sysvol/
</source>

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp -r /backup/samba/* /var/lib/samba/
cp -r /backup/samba/sysvol/ /var/lib/samba/sysvol/*
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T10:03:12Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
mkdir /backup/samba
cp -r /var/lib/samba/* /backup/samba
</source>

Muudame sysvol'i root õigustesse, et edasistel backup loomistel ei tekiks probleem:

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp -r /backup/samba/* /var/lib/samba/
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:50:51Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
mkdir /backup/samba
cp -r /var/lib/samba/* /backup/samba
</source>

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp -r /backup/samba/* /var/lib/samba/
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:33:30Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
cp /var/lib/samba/private/named.conf /backup/named.conf
</source>

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
cp /backup/named.conf /var/lib/samba/private/named.conf
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:27:16Z

Klang: /* Samba 4 varundamine ja taaste */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
</source>

Taastamine:
<source lang=bash>
cp /backup/smb.conf /etc/samba/smb.conf
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:23:29Z

Klang: /* Samba4 varundamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba 4 varundamine ja taaste==
Backup failid asuvad vaikimisi "/backup/" kaustas.

Back-up faili loomiseks/uuendamiseks:
<source lang=bash>
cp /etc/samba/smb.conf /backup/smb.conf
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:20:44Z

Klang:

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

==Samba4 varundamine==
Backup failid asuvad vaikimisi "/backup/" kasutas.

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T09:19:51Z

Klang:

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

==Samba4 varundamine==
Backup failid asuvad vaikimisi "/backup/" kasutas.

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T08:53:00Z

Klang: /* Sissejuhatus */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.

Samba 4 kasutab uut Virtual File System mis toetab Acess Control List -i. Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center, mis on vaikimisi Zentyali osa. Zentyali ülesandeks on võimdaldada Samba 4 suhtlus Windowsiga.
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T08:43:35Z

Klang: /* Sissejuhatus */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.
Samba 4 on failiserver, mis on antud artikli näites paigaldatud Ubuntu 12.04 Server LTS peale.
Samba 4 kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL). Domeeni Kontrolleri lahendus Sambas sisaldab Kerberose võtmehaldust Kerberos Key Distribution Center (KDC).
Zentyal on failiserveri vabavaraline serveri lahendus, mille kaudu on võimalik hallata kõiki võrguteenuseid ühelt platvormilt - võrgu turvalisus, infrastruktuur, ressursside jagamine.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:40:45Z

Klang: /* 'Kontroll' */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Meie näite puhul on admin parooliks "Student1":
<source lang=bash>
root@ubuntu:~# kinit Administrator@SAMBA.PIIX.EE
Password for Administrator@SAMBA.PIIX.EE:
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:38:34Z

Klang: /* 'Kontroll' */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
root@ubuntu:~# smbclient -L samba.piix.ee -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service

</source>
kuvati väljajagatud failide/kausta/printerite nimekiri.
 

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:37:08Z

Klang: /* Test */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:36:49Z

Klang:

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
root@ubuntu:~# initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
root@ubuntu:~# apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
root@ubuntu:~# rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:36:05Z

Klang: /* Samba4 installeerimine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
student@ubuntu:~$ sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
root@ubuntu:~# apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
root@ubuntu:~# apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
root@ubuntu:~# less /var/lib/dpkg/status | grep half-configured
root@ubuntu:~# nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
root@ubuntu:~# less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
root@ubuntu:~# mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
root@ubuntu:~# initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
root@ubuntu:~# apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
root@ubuntu:~# rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:35:14Z

Klang: /* Test */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
root@ubuntu:~# initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
root@ubuntu:~# apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
root@ubuntu:~# rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:33:07Z

Klang: /* Test */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
root@ubuntu:~# smbclient -L localhost -U%

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
share Disk yldine jagatud ketas
profiles Disk opilaste jagatud ketas
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:32:19Z

Klang: /* 'Kontroll' */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:31:35Z

Klang: /* 'Kontroll' */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>

Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
13/01/2013 09:26 13/01/2013 19:26 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 14/01/2013 09:26
</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T07:30:50Z

Klang: /* 'Kontroll' */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

==Network Time Protocol==
Kuna Samba annab domeeni liikmetele ka kellaajad kätte, siis soovime, et ka serveril endal oleks õige kellaaeg ja seda saame teha järgnevalt:
 
Paigaldame NTP
<source lang=bash>
apt-get install ntp
</source>
Seadistame ära muutes /etc/ntp.conf faili, lisades serverite nimekirja esimeseks:
<source lang=bash>
server 2.ee.pool.ntp.org
</source>
Teeme esimese aja pärimise ja paneme teenuse tööle:
<source lang=bash>
service ntp stop
ntpdate -B 2.ee.pool.ntp.org
service ntp start
</source>
Kontrollime, kas töötab:
<source lang=bash>
ntpq -p
</source>

=='Kontroll'==

Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>

Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>

Väljundiks kuvatakse netlogon kausta sisu. 
 

Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>

Meie näite puhul on parooliks "Student1". 
Töökorras oleku korral kuvatakse:
<source lang=bash>
Warning: Your password will expire in 41 days on Sun Feb 24 00:36:33 2013
</source>

Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>

Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09
</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi keskkonnas Active Directory haldamiseks tuleb kasutada Remote Server Administration Tool'i, mis tuleb microsoft'i kodulehelt allatõmmata. 
Kuna meil on hetkel Windows XP kasutusel, siis meil on vaja Administration Tool Packi - http://www.microsoft.com/en-us/download/details.aspx?id=16770 . 
See järel liita masin loodud domeeniga:
Esmalt määrata oma võrguühenduse seadetes DNS serveriks 192.168.56.220.
 
Parem klõps My Computeril -> Properties. 
Uues aknas ülevalt "Computer name" ja nupp "Change" 
Määrata domeeniks "samba.piix.ee" või see, mis sai domeeni loomisel pantud. 
Edukal leidmisel küsib kasutajanime ja parooli. Tuleb panna kasutajaks Administrator ja parooliks Student1. 
Kui aksepteerib, siis tervitab sind domeeni liitmise puhul ja palub restarti ning peale seda saab juba domeeni sisselogida Sambas loodud kasutajatega. 
 
Windowsi klientmasinas, kuhu on installeeritud vastav Administraton Tool Pack Active Directory haldamiseks domeeniserveris, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine
* http://www.matrix44.net/cms/notes/gnulinux/samba-4-ad-domain-with-ubuntu-12-04
* http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
* http://www.pool.ntp.org/zone/ee

Zentyal SAMBA4

2013-01-13T06:01:44Z

Klang: /* Loodud kaustade väljajagamine ja õiguste määramised */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsioonifaili smb.conf:
<source lang=bash>
nano /etc/samba/smb.conf
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = yldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-13T05:58:16Z

Klang: /* Kasutajate ja gruppide ning jagatavate kaustade loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool user add share
samba-tool user add opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-13T05:46:40Z

Klang: /* Kerberose paigaldamine/seadistamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

Muudame Kerberose konfifaili /etc/krb5.conf selliseks:
<source lang=bash>
[libdefaults]
default_realm = samba.piix.ee
dns_lookup_realm = true
dns_lookup_kdc = true
</source>

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-13T05:13:27Z

Klang: /* Apparmor'i probleem */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==

Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>

Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/i386-linux-gnu/samba/bind9/** rm,
/usr/lib/i386-linux-gnu/samba/gensec/** rm,
/usr/lib/i386-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/i386-linux-gnu/samba/ldb/** rm,
</source>
´
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T22:44:05Z

Klang: /* Apparmor'i probleem */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/x86_64-linux-gnu/samba/bind9/** rm,
/usr/lib/x86_64-linux-gnu/samba/gensec/** rm,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/x86_64-linux-gnu/samba/ldb/** rm,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T22:43:52Z

Klang: /* DNS seadistamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include "/var/lib/samba/private/named.conf";
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T22:35:37Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks "samba.piix.ee" kõrval tuleb --domain argumendiks kirjutada "samba.piix; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T22:30:16Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=samba.piix.ee --domain=samba --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T22:00:18Z

Klang: /* Kontroll */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

=='Kontroll'==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:41:16Z

Klang: /* Kontroll */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //samba.piix.ee/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@samba.piix.ee
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@samba.piix.ee

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/samba.piix.ee@samba.piix.ee
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:37:00Z

Klang: /* Kontroll */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L samba.piix.ee -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:35:03Z

Klang: /* Kerberose paigaldamine/seadistamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks "samba.piix.ee".
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:33:39Z

Klang: /* Nimeserverid paika */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserveri seadistamine==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:23:23Z

Klang: /* Test */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T21:04:39Z

Klang: /* Apparmor'i probleem */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba1.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast "}" märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T20:57:35Z

Klang: /* Samba4 seonduvate skriptide muutmine ja loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba1.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T20:53:16Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

eemaldame samba.pid faili, mis takistab sambat käivitamast:
<source lang=bash>
rm /var/run/samba1.pid
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T19:39:20Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba-client'i:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T19:31:59Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: ubuntu
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-1025771091-2011791338-2641903939

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T19:27:54Z

Klang: /* Samba4 installeerimine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
</source>

Leia konfifailist Samba4 rida:
<source lang=bash>
Package: samba4
Status: install ok half-configured
</source>

...ning muuda see rida selliseks:
<source lang=bash>
Package: samba4
Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-12T19:21:51Z

Klang: /* Samba4 installeerimine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-10T12:05:13Z

Klang: /* Tehtud kaustade väljajagamine ja õiguste määramised */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Loodud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:55:10Z

Klang: /* Samba4 seonduvate skriptide muutmine ja loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbKin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 restart
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:55:01Z

Klang: /* Samba4 seonduvate skriptide muutmine ja loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read enne esimest "else"t:
<source lang=bash>
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Taaskäivitane Samba:
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:48:38Z

Klang: /* Kontroll */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" " järele:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Kävitane Samba:
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 

=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:46:51Z

Klang: /* Kerberose paigaldamine/seadistamine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" " järele:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Kävitane Samba:
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==

Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>

Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>

Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:44:20Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

==Test==
Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

Laeme Samba kliendi:
<source lang=bash>
apt-get install samba4-clients
</source>

ning kontrollime (väljund kuva share's olemad elemendid):
<source lang=bash>
smbclient -L localhost -U%
</source>

Väljundiks:
<source lang=bash>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" " järele:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Kävitane Samba:
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==
Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>
Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>
Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine

Zentyal SAMBA4

2013-01-08T14:39:54Z

Klang: /* Bind9 konfiguratsiooni faili loomine */

Autorid: Urmo Lihten A31 ja Kersti Lang A31 (2012 sügissemester)

=Sissejuhatus=
Käesolev artikkel on juhend Samba 4 paigaldamise ja seadistamise kohta.

=Eeldused=
* Ubuntu versioon 12.04
* IP aadress 192.168.56.200
* eelnevalt paigaldatud Bind9 domeeniga piix.ee
* elementaarsed teadmised Ubuntu käsurea kasutamisest

=Eelised=
* 'Active Directory' sisselogimise ja administreerimise protokollide tugi Windows XP, Windows 7 ja Mac OS X klientidele.
* NTFS tugi
* Sisemine LDAP server AD omadustega.
* Sisemine Kerberos server.
* AD sidumine DNS-ga.
* Python tugi
jne.

=Paigaldamine=

==Samba4 installeerimine==
Logime sisse administraatorina:
<source lang=bash>
sudo -i
</source>

Uuendame tarkvara nimekirja:
<source lang=bash>
apt-get update
</source>

Installeerime Samba4 jaoks vajalikud paketid:
<source lang=bash>
apt-get install samba4
</source>

Installi tulemust on võimalik kontrollida:
<source lang=bash>
less /var/lib/dpkg/status
</source>

Samba 4 installi käigus on sage viga, et Samba 4 package mängib enda staatuseks "half installed. See tuleb käsitsi muuta:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
nano /var/lib/dpkg/status
* Muuda
Package: Samba 4
Status: install ok half-configured -> Status: install ok installed
</source>

Kontrollime, et rohkem "poolikuid" faile pole:
<source lang=bash>
less /var/lib/dpkg/status | grep half-configured
</source>

Juhul kui eksisteerib vana Samba konfiguratsiooni fail, siis kustutame või muudame backup'iks:
<source lang=bash>
mv /etc/samba/smb.conf{,.old}
</source>

==Bind9 konfiguratsiooni faili loomine==
eeldusel, et smb.conf faili pole olemas. Samuti tuleb jälgida järgnevas käsus, et --realm juures märgitud argumendiks SAMBA.PIIX.EE kõrval tuleb --domain argumendiks kirjutada SAMBA.PIIX; millegi muu korral ei hakka Kerberos soovitult tööle. 
--adminpass ehk administraatori parool peab olema vähemalt ühe suure tähega ja ühe numbriga ning vähemalt 7 tähemärki pikk. 
<source lang=bash>
/usr/share/samba/setup/provision --realm=SAMBA.PIIX.EE --domain=SAMBA --adminpass=Student1 --server-role='dc'
</source>

Tulemus on järgnev:
<source lang=bash>
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
A phpLDAPadmin configuration file suitable for administering the Samba 4 LDAP server has been created in /var/lib/samba/private/phpldapadmin-config.php .
Once the above files are installed, your Samba4 server will be ready to use
Server Role: domain controller
Hostname: server
NetBIOS Domain: SAMBA
DNS Domain: samba.piix.ee
DOMAIN SID: S-1-5-21-2879616319-2530693997-59183206
</source>

Käivitame Samba:
<source lang=bash>
initctl start samba4
</source>

==Samba4 seonduvate skriptide muutmine ja loomine==
Kuna Samba4 ei kontrolli startimisel Samba kataloogi olemasolu /var/run kaustas, siis lisame selle võimaluse:
<source lang=bash>
nano /etc/init.d/samba4
</source>

Lisame koodile juurde SAMBAPID kontrollimise read "log_daemon_msg "Starting Samba 4 daemon" "samba" " järele:
<source lang=bash>
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisatud 3 rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi
</source>

Lisaks tuleb luua fail /usr/local/sbin/samba:
<source lang=bash>
nano /usr/local/sbin/samba
</source>
Ning selle sisuks tuleb:
<source lang=bash>
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.0.0.1 /usr/sbin/$(basename $0)
</source>

Tekitame eelnevalt loodud failidele lingid:
<source lang=bash>
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>erandid

Kävitane Samba:
<source lang=bash>
service samba4 start
</source>

==DNS seadistamine==
Muudame Bind9 konfiguratsiooni:
<source lang=bash>
nano /etc/bind/named.conf.local
</source>
Kaasame Samba4 raames loodud konfiratsioonifaili Bind9 seadetesse:
<source lang=bash>
include /var/lib/samba/private/named.conf;
</source>

==Apparmor'i probleem==
Kuna Apparmor kaitseb Samba4 konfiguratsiooni Bind9 eest, siis lisame Apparmorisse erandid:
<source lang=bash>
nano /etc/apparmor.d/usr.sbin.named
</source>
Lisada lõppu ennem viimast } märki järgmised read:
<source lang=bash>
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,
</source>
Laeme uuesti Apparmori profiilid ja teeme Bind9'le ka restardi:
<source lang=bash>
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>

==Nimeserverid paika==
Kuna Samba4 kasutab Bind9 DNS lahendust, siis oleks mõistlik lisada oma /etc/resolv.conf'i oma nimeserver kui seda juba seal pole:
<source lang=bash>
nano /etc/resolv.conf
</source>
Meie nimeserveri aadress on 192.168.56.200 (kirje tuleb lisada teistest ip-aadressidest ettepoole, et süsteem pöörduks just Bind9 poole):
<source lang=bash>
name server 192.168.56.200
</source>

==Kerberose paigaldamine/seadistamine==
Tõstame Samba4 poolt loodud spetsiaalse Kerberos5 konfiguratsioonifaili kausta /etc/:
<source lang=bash>
cp /var/lib/samba/private/krb5.conf /etc/
</source>
Kuna Kerberos on vaikimisi olemas Samba4 installimisega, siis oleks vaja selle töökorda ja seadistusi kontrollida: 
Paigaldame krb5-user paketi:
<source lang=bash>
apt-get install krb5-user
</source>
Paigaldamise käigus küsib ta realm'i. Meie näite puhul on selleks SAMBA.PIIX.EE
 

==Kontroll==
Kontrollime, Samba4 töökorda:
<source lang=bash>
smbclient -L SAMBA.PIIX.EE -U%
</source>
Väljund kuvatakse väljajagatud failide/kausta/printerite nimekiri:
<source lang=bash>

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service

</source>
Autentimise kontrollimiseks käivitame käsu:
<source lang=bash>
smbclient //SAMBA.PIIX.EE/netlogon -UAdministrator%'Student1' -c 'ls'
</source>
Väljundiks kuvatakse netlogon kausta sisu. 
 
Kontrollime, kas Kerberos server töötab. Küsitakse admin parooli ("Student1"):
<source lang=bash>
kinit Administrator@SAMBA.PIIX.EE
</source>
Töökorras olekus väljundit ei kuvata. 
Kontrollime, kas Kerberos annab välja pileti ehk Ticketi:
<source lang=bash>
klist
</source>
Tulemuks kuvatakse:
<source lang=bash>
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@SAMBA.PIIX.EE

Valid starting Expires Service principal
01/07/13 23:51:12 01/08/13 09:51:12 krbtgt/SAMBA.PIIX.EE@SAMBA.PIIX.EE
renew until 01/08/13 23:51:09

</source>
 
=Kasutajate ja gruppide ning jagatavate kaustade loomine=
Loome kaustad "share" ja "opilane":
<source lang=bash>
mkdir -p /var/data/share
mkdir -p /var/data/profiles
</source>
Loome ka vastavad kasutajad ja grupid:
<source lang=bash>
adduser share
adduser opilane
addgroup jagatud
addgroup opilane
adduser share jagatud
adduser opilane opilane
samba-tool newuser share
samba-tool newuser opilane
</source>
Anname kaustadele ka vastavad omanikud ning grupid:
<source lang=bash>
chown share:jagatud /var/data/share
chown opilane:opilane /var/data/profiles
</source>

=Tehtud kaustade väljajagamine ja õiguste määramised=
Avame Samba4 konfiguratsiooni faili smb.conf:
<source lang=bash>
nano /etc/samba.smb.conf:
</source>
Lisame lõppu järgmised read:
<source lang=bash>
[share]
path = /var/data/share
comment = üldine jagatud ketas
read only = No

[profiles]
path = /var/data/profiles
comment = opilaste jagatud ketas
read only = no
</source>
Et kaustad välja jagada, teeme Samba4'le restardi:
<source lang=bash>
service samba4 restart
</source>
Kuna Samba4's enam ei saa smb.conf'i faili kaudu kaustadele õigusi lisada. Active Directory kaudu läbi Windowsi masina saab Administraatori kontoga teha "profiles" kaustade alla igale kasutajale oma kausta ehk "roaming profile"-i. 
Tuleb meeles pidada, et roaming profile's tuleb domeenis sisse logida sama Windows-versiooni masinaga. Erinevate Windowsite alt sisse logides samas domeenis genereeritakse Profiles kausta topelt kasutaja kaust nign see pole esimese loodud kasutaja kaustaga ühenduses. 
 
Windowsi klientmasinas, kuhu on installeeritud kaughalduse programm administreerimaks domeeni serverit, tuleb avada Start -> Run -> dsa.msc 
[[File:Step1.png|thumb|none|427px|dsa.msc]]
 

Avanenud aknas minna vastavate kasutajate juurde, avada parema klõpsuga Properties ja Profile sektsiooni ning lisada Profile Path: //192.168.56.200/profiles/%USERNAME% 
[[File:Step2.png|thumb|none|551px|Profile path]]

ning muudatused ära salvestada. Seejärel tuleks käivitada Start -> Run'is käsk "gpudate /force", mis sunnib uuendama Group Policy't. 
[[File:Step3.png|thumb|none|427px|gpupdate]] 

Peale seda vastava kasutajaga uuesti sisse sisselogides tehakse Profiles kausta vastava kasutajanimega kaust.
Näide serverist vaadatuna:
<source lang=bash>
# cd /var/data/profiles
# ls -l
drwxr-xr-x 12 3000012 users 4096 Aug 2 15:35 test
</source>

=Kasutatud kirjandus=
* https://wiki.itcollege.ee/index.php/Samba4_installeerimine