Samba4: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Pkuul (talk | contribs)
No edit summary
Pkuul (talk | contribs)
No edit summary
 
(50 intermediate revisions by the same user not shown)
Line 7: Line 7:
===Versioon===
===Versioon===


Viimati muudetud:[[User:Pkuul|Pkuul]] 09:29, 10 January 2010 (EET)
Viimati muudetud:[[User:Pkuul|Pkuul]] 11:24, 30 January 2010 (EET)


== Autorid ==
== Autorid ==
Line 14: Line 14:
== Sissejuhatus ==
== Sissejuhatus ==


Samba4 on alles arendamisel ja ei sobi veel asendama Samba3 baasil tehtud lahendusi. Praegune howto on loodud uue sambaga tutvumiseks ja võib aja jooksul oluliselt muutuda.  
Samba4 on alles arendamisel ja ei sobi veel asendama Samba3 baasil tehtud lahendusi.  
 
Praegune howto on loodud uue sambaga tutvumiseks ja võib aja jooksul oluliselt muutuda.
Samba4 on uus Virtual File System (VFS) mis toetab Acess Control List -i (ACL).
Ei leidnud viiteid firmadele kes juba kasutaks samba4 oma töökohtade haldamiseks.
Samba4 kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL).
Domeeni Kontrolleri lahendus sambas sisaldab LDAP serverit (LDB) ja Kerberose võtmehaldust Kerberos Key Distribution Center (KDC).
Domeeni Kontrolleri lahendus sambas sisaldab LDAP serverit (LDB) ja Kerberose võtmehaldust Kerberos Key Distribution Center (KDC).
Lisaks veel sisemine Domain Name System (DNS) protokoll.     
Lisaks veel sisemine Domain Name System (DNS) protokoll.     
Line 23: Line 26:
== Eeldused ==
== Eeldused ==


Linux masinas võiksid olemas olla samba kompileerimiseks vajalikud libraries
Lisame Linux masinasse samba kompileerimiseks vajalikud teegid:


     * acl and xattr development libraries (libattr1-dev )
     * acl and xattr development libraries (libattr1-dev )
Line 30: Line 33:
     * readline (libreadline5-dev )
     * readline (libreadline5-dev )
     * Python development libraries (python-dev )
     * Python development libraries (python-dev )
<pre>
apt-get install libattr1-dev libblkid-dev libgnutls-dev libreadline5-dev python-dev autoconf
</pre>
== Install ==


Kõigepealt laadime samba4 oma masinasse
Kõigepealt laadime samba4 oma masinasse
Line 38: Line 48:




== Install ==
Läheme masinasse laaditud lähtekoodi kataloogi
 
 
Mine masinasse laaditud source kataloogi
<pre>
<pre>
cd samba-master/source4
cd samba-master/source4
</pre>
</pre>


ja käivita
ja käivitame
  ./autogen.sh
  ./autogen.sh


Line 83: Line 90:


Edasi võib lihtsalt käivitada "samba"
Edasi võib lihtsalt käivitada "samba"
arendajad leiavad ,et  
arendajad leiavad ,et tunduvalt kasulikum on käivitada käsuga:
<pre>
<pre>
samba -i -M single
samba -i -M single
</pre>
</pre>
on tunduvalt kasulikum
 
See käivitab samba ühe protsessina ja näitab väljundis veateateid.
See käivitab samba ühe protsessina ja näitab väljundis veateateid.
Kindlasti tasuks enne käivitamist veenduda et samba3 versiooni  
Kindlasti tasuks enne käivitamist veenduda, et samba3 versiooni protsessid on suletud.
protsessid on suletud.




== Testimine ==
== Samba testimine ==




Line 120: Line 126:
Domeni kontrollimiseks võib sedistada dns serveri.  
Domeni kontrollimiseks võib sedistada dns serveri.  
Juhul kui DNS juba varem installidud ja seadistatud pole.
Juhul kui DNS juba varem installidud ja seadistatud pole.
   
  Nimeserveri seadistamine BIND9 näitel [https://wiki.itcollege.ee/index.php/Nimeserveri_seadistamine_BIND9_n%C3%A4itel https://wiki.itcollege.ee/index.php/Nimeserveri_seadistamine_BIND9_n%C3%A4itel]
Installime bind9 teenuse.
Installime bind9 teenuse.
<pre>   
<pre>   
Line 185: Line 191:
Peale restarti peaksite saama tavalise domeeni dialoogakna.
Peale restarti peaksite saama tavalise domeeni dialoogakna.


Valige domeen YOURDOM, sisestage administrator kasutajatunnusena, SOMEPASSWORD salasõnana (jällegi vastavalt eelnevale sättele)
Valige domeen YOURDOM, sisestage administrator kasutajatunnusena, SOMEPASSWORD salasõnana.
   
   
Kui te edukalt sisse logite saate juba kasutada samba 4 active directory teenuseid järgmises sektsioonis.
Eduka sisse logimise korral saate juba kasutada samba 4 active directory teenuseid järgmises sektsioonis.


Samba 4 Active Directory objekti  vaatlemine Windows XP Pro -s  
Samba 4 Active Directory objekti  vaatlemine Windows XP Pro -s  
Kuna Samba 4 SWAT pole veel valmis, on vaja installida windows 2003 adminpak windows XP-le domeenihalduseks (see on kasutajasõbralik). Enne tehke kindlaks siiski, et domeeni administraatoril on adminniõigused teie arvuti üle.(Adminniõiguste andmiseks Windows XP Pro's - my computer,  klõps “manage”-> valige grupid->topeltklõps administraatoritel ning lisage vajalikud domeeni liikmed nimekirja. Selleks küsitakse teilt aktiivse kausta kausta kasutajatunnust/salasõna).  
Kuna Samba 4 SWAT pole veel valmis, on vaja installida windows 2003 adminpak windows XP-le domeenihalduseks.
Tehke kindlaks, et domeeni administraatoril on adminniõigused teie arvuti üle.
Adminniõiguste andmiseks Windows XP Pro's - my computer,
  klõps “manage”-> valige grupid->topeltklõps administraatoritel ning lisage vajalikud domeeni liikmed nimekirja.  
Selleks küsitakse teilt aktiivse kausta kasutajatunnust/salasõna.  




Line 205: Line 215:
  http://download.microsoft.com/download/3/e/4/3e438f5e-24ef-4637-abd1-981341d349c7/WindowsServer2003-KB892777-SupportTools-x86-ENU.exe
  http://download.microsoft.com/download/3/e/4/3e438f5e-24ef-4637-abd1-981341d349c7/WindowsServer2003-KB892777-SupportTools-x86-ENU.exe


Installeerige.
 
Klõpsake start->run, trükkige 'dsa.msc', kui aken sisuga 'active directory users and computers' ette hüppab tähendab see, et  adminpak sai edukalt installeeritud. Selle leiab ka Start>Programs>Administrative Tools'is kus peaks nüüd palju rohkem asju olema.
Klõpsake start->run, trükkige 'dsa.msc', kui aken sisuga 'active directory users and computers' ette hüppab tähendab see, et  adminpak sai edukalt installeeritud. Selle leiab ka Start>Programs>Administrative Tools'is kus peaks nüüd palju rohkem asju olema.
Mine c:\Program Files\Support Tools et kontrollida, kas support tools'id said installeeritud korrektselt. Kui jah, siis on teie XP workstation valmis haldama Samba 4 Active Directory't.  
Mine c:\Program Files\Support Tools et kontrollida, kas support tools'id said installeeritud korrektselt. Kui jah, siis on teie XP workstation valmis haldama Samba 4 Active Directory't.  
Line 216: Line 226:
Trükkige dsa.msc  
Trükkige dsa.msc  


[[Image:Run.jpg]]


== Samba 4 Active Directory haldamine Windows XP Pro's ==
Pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/run.jpg


Üks Samba4's eesmärkidest on integreeruda (ja vahetada välja) Active Directory süsteemina. Selleks hetkeks, kui kõik on õigesti tehtud ja töötab, peaks olema "Administrative Tools" menüüd Programs'ite all. Kui Administrative Tools'i all on "Active Directory Users and Computers", siis on see igati hea. Enamasti, kui Samba4'ga kaasneb mõni bug või confi viga, siis AD Users & Computers (ja ka teised kasutajaliidesed) ei ilmu valikuks. Seda saab ka käsitsi käivitada (Start->Run->dsa.msc), kuid on ebatõenäoline, et see korrektselt töötab.  
[[Image:Dsa.msc.jpg]]
 
Pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/dsa.msc.jpg




Line 226: Line 239:
   
   
Täpselt nagu Samba 3'gi, vajab ka Neljas olemasolevat Unix kasutajat millele suunata Samba kasutaja. See ülesanne koosneb kolmest osast.  
Täpselt nagu Samba 3'gi, vajab ka Neljas olemasolevat Unix kasutajat millele suunata Samba kasutaja. See ülesanne koosneb kolmest osast.  
Lisa Unix'i kasutaja. Enamuses Linuxi süsteemides saab kasutada selleks useradd käsku. Juurkasutajana:  
Lisa Unix'i kasutaja. Enamuses Linuxi süsteemides saab kasutada selleks useradd käsku.  
Juurkasutajana:
<pre>
     useradd demo
     useradd demo
     passwd demo (Sellepeale küsitakse uut parooli)
     passwd demo  
   
</pre>   
     (Debiani ja Ubuntu kasutajatel on selleks adduser script, mis haldab nii kasutajate lisamist kui paroole)
     Debiani ja Ubuntu kasutajatel on selleks adduser script, mis haldab kasutajate lisamist ja paroole.
SWAT'i kasutamien kasutaja lisamiseks:
 
[[Image:Swat-adduser.jpg]]
 
pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/swat-adduser.jpg


SWAT on veel vigane ja kasutajate lisamine läbi web kasutajaliidese ei tööta korralikult.
SWAT'i kasutamien kasutaja lisamiseks:
Avage mozilla-firefox  
Avage mozilla-firefox  
Avage url http://samba-4-server-ip:901  
Avage url http://samba-4-server-ip:901  
User = administrator, password = testing1, domain = testing,->Login.  
 
User = administrator, password = testing1, domain = testing,->Login.
Klõpsake installation-> new user.  
Klõpsake installation-> new user.  
Kirjutage username=demo, unix name = demo, meeldiv salasõna kaks korda
Kirjutage username=demo, unix name = demo, meeldiv salasõna kaks korda
 
SWAT on veel vigane ja kasutajate lisamine läbi web kasutajaliidese ei tööta korralikult.


== Gruppide lisamine Samba 4 Active Directory'sse ==
== Gruppide lisamine Samba 4 Active Directory'sse ==
Line 251: Line 273:
</pre>
</pre>
    
    
  Kasutaja gruppi lisamiseks on järgnev süntaks:-
Kasutaja gruppi lisamiseks on järgnev süntaks:  
   grpdemo:x:1007:demo, user1, user2
   grpdemo:x:1007:demo, user1, user2


Line 262: Line 284:
   
   
'''Unix gruppide linkimine Samba gruppide juurde'''  
'''Unix gruppide linkimine Samba gruppide juurde'''  


Käivita mozilla-firefox (või IE), ava url : http://samba-svr-ip:901
Käivita mozilla-firefox (või IE), ava url : http://samba-svr-ip:901
   
   
kasutajatunnus=administrator, salasõna = testing1, domeen = testing1
kasutajatunnus=administrator, salasõna = testing1, domeen = testing1
Line 278: Line 302:
   
   


== Organiseerimiskomponendi (ou -organization unit) lisamine samba 4 domeeni ==
== Organiseerimiskomponent (ou )-- organization unit lisamine samba 4 domeeni ==
Organiseerimiskomponent (ou)  Põhimõttelt on see mingi puu tüüpi struktuur mis laseb meil lohistada kasutajaid ja arvuteid sellesse.
Me saame erinevaid gurpi poliise linkida ou külge ning need sätted kehtivad kõigile kasutajatele/arvutitele, mis on ou all. Ühes domeenis võib olla mitmeid ou'sid ja alam-ou'sid. See vähendab suuresti administratiivset tööd kuna kõik on ou käsutuses.


  Enne ou loomist peame me teadma, kuidas ou välja näeb. Vaikimisi näeme me näidis ou-d 'Domain Controllers', aga see erinev 'users' ja 'computers' omast.  
 
Põhimõttelt on see struktuur mis laseb meil hallata kasutajaid ja arvuteid.
Me saame erinevaid gurpi poliise linkida ou külge ning need sätted kehtivad kõigile kasutajatele/arvutitele selles ou-s.
Ühes domeenis võib olla mitmeid ou'sid ja alam-ou'sid. See vähendab suuresti administratiivset tööd kuna kõik on ou käsutuses.
 
  Enne ou loomist peame teadma, kuidas ou välja näeb.  
 
Vaikimisi näeme me näidis ou-d 'Domain Controllers', aga see erinev 'users' ja 'computers' omast.  


Ou loomiseks domeeni testing1 adminnina, start -> run -> dsa.msc
Ou loomiseks domeeni testing1 adminnina, start -> run -> dsa.msc
Line 290: Line 319:
choose new -? organizationalunit
choose new -? organizationalunit
   
   
trüki 'oudemo'
trüki 'demo'
   
   
Nüüd näed sa uut ou'd ilmumas nimega 'oudemo'
Nüüd näed sa uut ou'd ilmumas nimega 'demo'.
   
   
Sa saad vedada kasutaja nimega 'demo' uude ou'sse
Sa saad vedada kasutaja nimega 'demo' uude ou'sse.
   
   
Parem klõps 'oudemo', saad klõpsata alam ou -l
Parem klõps 'oudemo', saad klõpsata alam ou -l.
   
   
Tavaliselt luuakse ou terve osakonna jaoks. Ära aja segi gruppe ja ou'd – grupid ohjavad lube.   
Tavaliselt luuakse ou terve osakonna jaoks. Ärge ajage segi gruppe ja ou'd.   
Ou'd kasutatakse et kõigile kasutajatele/arvutitele sätteid lisada.  
Ou'd kasutatakse kõigile kasutajatele/arvutitele sättete lisamiseks.  




== Grupi Poliisi (GPO) rakendamine samba 4 domeeni ==
== Grupi Poliisi (GPO) rakendamine samba 4 domeeni ==
   
   
Hiljuti oli Samba 4 Active Directory'l abigrupi (support group) poliis ning grupipoliisi loomine toimub lennult.
Samba 4 Active Directory abigrupi (support group) loomine toimub lennult.


Grupipoliisil on 2 tüüpi sätted: arvutid ja kasutajad.  
Grupipoliisil on 2. tüüpi sätted: arvutid ja kasutajad.  


Arvuti sätted rakenduvad vaid arvutile ja kautaja omad kasutajale.
Arvuti sätted rakenduvad vaid arvutile ja kautaja omad kasutajale.


Need poliisid saab linkida kindla ou külge ning sealtkaudu mõjutavad need kõiki ou'le alluvaid arvuteid/kasutajaid
Need poliise saab linkida kindla ou külge ning sealtkaudu mõjutavad need kõiki ou'le alluvaid arvuteid/kasutajaid.


Grupipoliisi lisamiseks paremklõpsa 'oudemo' ou->properties  
Grupipoliisi lisamiseks paremklõpsa 'oudemo' ou->properties.


Vali group policy  
Vali group policy  
Line 320: Line 349:
Klõpsa edit poliisi muutmiseks.  
Klõpsa edit poliisi muutmiseks.  


Demonstratsioon, kuidas blokeerida kasutaja ligipääs juhtpaneelile Ava puu 'User Configuration'->'control panel'.  
 
== Windowsi testimine ==
Kuidas blokeerida windowsi kasutaja ligipääs juhtpaneelile
Ava puu 'User Configuration'->'control panel'.  


Topelt klõps prohibit access to the control panel (keela ligipääs)
Topelt klõps prohibit access to the control panel (keela ligipääs)


Klõpsa enable ja ok. Nüüd ei pääse enam grupi 'oudemo' kasutajad juhtpaneelile ligi
Klõpsa enable ja ok.  
 
Nüüd ei pääse enam grupi 'oudemo' kasutajad juhtpaneelile ligi


Veendu, et kasutaja demo on grupis 'oudemo'(seda saab lohistada vajadusel).
Veendu, et kasutaja demo on grupis 'oudemo'(seda saab lohistada vajadusel).
Line 336: Line 371:


== Taastamine ja Varundamine ==
== Taastamine ja Varundamine ==
Tegemist on test versiooniga. Taastamise asemel on mõistlik ja kiirem viis uuesti alustada.  
Taastamiseks sobivad juba samba3-st tuttavad tegevused:
 
Koopiate tegemine kasutajatele jagatud kaustadest ja samba kofiguratsiooni failidest.
 
Samba configuratsiooni leiame : /etc/samba/
 
Kataloogide asukohad määrasime path = /data/test reaga smb.conf faili muutes.
 
Oluline on LDAPi ja DNS kirjete säilitamine.
 
 
== Kasulikud viited ==
 
 
Samba4 wiki [http://wiki.samba.org/index.php/Samba4 http://wiki.samba.org/index.php/Samba4]
   
Samba listid [https://lists.samba.org/mailman/ https://lists.samba.org/mailman/]
 
Samba uudised http://news.samba.org/
 
[[Category:IT infrastruktuuri teenused]]
[[Category:IT infrastruktuuri teenused]]

Latest revision as of 13:58, 30 January 2010

Samba4

Sobib katsetamiseks Debian/Ubuntu linux arvutil.

Eeldab kogemust linuksite kasutamisel ja teadmisi arvutivõrkude tööpõhimõtetest.

Versioon

Viimati muudetud:Pkuul 11:24, 30 January 2010 (EET)

Autorid

Peeter Kuul - AK-31

Sissejuhatus

Samba4 on alles arendamisel ja ei sobi veel asendama Samba3 baasil tehtud lahendusi. Praegune howto on loodud uue sambaga tutvumiseks ja võib aja jooksul oluliselt muutuda.

Ei leidnud viiteid firmadele kes juba kasutaks samba4 oma töökohtade haldamiseks.

Samba4 kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL). Domeeni Kontrolleri lahendus sambas sisaldab LDAP serverit (LDB) ja Kerberose võtmehaldust Kerberos Key Distribution Center (KDC). Lisaks veel sisemine Domain Name System (DNS) protokoll.


Eeldused

Lisame Linux masinasse samba kompileerimiseks vajalikud teegid:

   * acl and xattr development libraries (libattr1-dev )
   * blkid development libraries (libblkid-dev )
   * gnutls (libgnutls-dev )
   * readline (libreadline5-dev )
   * Python development libraries (python-dev )
apt-get install libattr1-dev libblkid-dev libgnutls-dev libreadline5-dev python-dev autoconf


Install

Kõigepealt laadime samba4 oma masinasse selleks kasutame rsync-i

rsync -avz samba.org::ftp/unpacked/samba_4_0_test/ samba-master


Läheme masinasse laaditud lähtekoodi kataloogi

cd samba-master/source4

ja käivitame

./autogen.sh

Järgneb tavaline programmi kompileerimine kataloogis source4

cd samba-master/source4
 ./configure
 make

Installimiseks tuleks kasutada root õigusi ja install asukoha muutmiseks --prefix=/mingi/hea/asukoht

make install --prefix=/usr/local/samba


Seadistamine

"provision" seadistab esimese kasutaja andmebaasi. 'YOURDOM' on NT4 stiilis domeni nimi. 'YOUR.REALM' on kerberos realm ehk tavaliselt DNS-i domeni nimi.

Käivitada sobib kasutajana kellel on install kataloogi kirjutamise õigused.

cd samba-master/source4
./setup/provision --realm=YOUR.REALM --domain=YOURDOMEN 
--adminpass=SOMEPASSWORD --server-role='domain controller'

Käivitamine

Edasi võib lihtsalt käivitada "samba" arendajad leiavad ,et tunduvalt kasulikum on käivitada käsuga:

samba -i -M single

See käivitab samba ühe protsessina ja näitab väljundis veateateid. Kindlasti tasuks enne käivitamist veenduda, et samba3 versiooni protsessid on suletud.


Samba testimine

smbclient //localhost/netlogon -UAdministrator%SOMEPASSWORD

Edasi võib juba smb.conf fali muutma asuda.

smb.conf faiil asub minu puhul /usr/local/samba/etc kataloogis.

Näiteks kirjutame sinna midagi sellist:

 [test]
       path = /data/test
       read only = no

Teeme vastava kataloogi /data/test ja proovime samba kaudu sisse logida

smbclient //localhost/test -Uadministrator%SOMEPASSWORD

DNS

Domeni kontrollimiseks võib sedistada dns serveri. Juhul kui DNS juba varem installidud ja seadistatud pole.

Nimeserveri seadistamine BIND9 näitel https://wiki.itcollege.ee/index.php/Nimeserveri_seadistamine_BIND9_n%C3%A4itel

Installime bind9 teenuse.

  
apt-get install bind9

vaata kataloogi /usr/local/samba/private Seal on kolm faili "YOUR.REALM.zone" , "named.conf" ja "named.txt".

cp /usr/local/samba/private/YOUR.REALM.zone /etc/bind/YOUR.REALM.zone 

Või kuhugi kus sa oma zone faile hoidma hakkad.

Kopeeri named.conf

cp /usr/local/samba/private/named.conf /etc/bind/named.conf

named.conf -is on palju kommentaar loe neid kindlasti. juhendiks on named.txti kirjutatud jutt. otsi tekstist kaks "tkey-gssapi" rida ja kopeeri need /etc/bind/named.conf options reale Lisa "export KRB5_KTNAME ..." rida /etc/default/bind reale Anna named.txt failis kirjeldatud failidele vajalikud õigused Võid lisada zone failidesse reverse zone

kopeeri krb5.conf

cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Anname õigused

chown -R bind.bind /etc/bind

See on kindlasti ebaturvaline aga testimiseks esialgu piisab. Loe kindlasti lisaks DNS-i turvamisest. restardime bind-i

/etc/init.d/named restart

Vigu uurime log failist

tail -n 30 /var/log/daemon.log


Windowsi kliendi domeeniga ühendamine

Nüüd on teie Windows valmis ühenduma Active Directory (AD) domeeniga, Administraatorina:-

Parem klõps my Computer-> Properties

Valige arvuti nimi, klõpsake change..

Vali 'Domain', sisesta YOUR.REALM (ebaõnnestumise korral proovi YOURDOM).


Kui see küsib kasutajatunnust/salasõna, sisesta administrator kasutajatunnusena, SOMEPASSWORD salasõnana (vastavalt eelnevale sättele).

Järgmisena peaks teada antama, et Windows XP liitus edukalt Active Directory domeeniga ning et vaja on restartida. Peale restarti peaksite saama tavalise domeeni dialoogakna.

Valige domeen YOURDOM, sisestage administrator kasutajatunnusena, SOMEPASSWORD salasõnana.

Eduka sisse logimise korral saate juba kasutada samba 4 active directory teenuseid järgmises sektsioonis.

Samba 4 Active Directory objekti vaatlemine Windows XP Pro -s Kuna Samba 4 SWAT pole veel valmis, on vaja installida windows 2003 adminpak windows XP-le domeenihalduseks.

Tehke kindlaks, et domeeni administraatoril on adminniõigused teie arvuti üle.

Adminniõiguste andmiseks Windows XP Pro's - my computer,

klõps “manage”-> valige grupid->topeltklõps administraatoritel ning lisage vajalikud domeeni liikmed nimekirja. 

Selleks küsitakse teilt aktiivse kausta kasutajatunnust/salasõna.


Windows Remote Administration Tools'ide Windowsile installeerimine

Vista Laadige alla Windows Remote Administration Tools siit

http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en

ja järgige "Install RSAT" instruktsioone siin

http://support.microsoft.com/kb/941314

Windows XP Pro Windows XP puhul laadige adminpak ja supporttools siit

http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en
http://download.microsoft.com/download/3/e/4/3e438f5e-24ef-4637-abd1-981341d349c7/WindowsServer2003-KB892777-SupportTools-x86-ENU.exe


Klõpsake start->run, trükkige 'dsa.msc', kui aken sisuga 'active directory users and computers' ette hüppab tähendab see, et adminpak sai edukalt installeeritud. Selle leiab ka Start>Programs>Administrative Tools'is kus peaks nüüd palju rohkem asju olema. Mine c:\Program Files\Support Tools et kontrollida, kas support tools'id said installeeritud korrektselt. Kui jah, siis on teie XP workstation valmis haldama Samba 4 Active Directory't.


Samba 4 active directory sisu vaatamine

Logige sisse domeen 'testing1.org' adminnina, klõpsake start->run.

Trükkige dsa.msc

Pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/run.jpg

Pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/dsa.msc.jpg


Kasutaja lisamine Samba 4 Active Directory'sse

Täpselt nagu Samba 3'gi, vajab ka Neljas olemasolevat Unix kasutajat millele suunata Samba kasutaja. See ülesanne koosneb kolmest osast. Lisa Unix'i kasutaja. Enamuses Linuxi süsteemides saab kasutada selleks useradd käsku. Juurkasutajana:

 
    useradd demo
    passwd demo 
   Debiani ja Ubuntu kasutajatel on selleks adduser script, mis haldab kasutajate lisamist ja paroole.

SWAT'i kasutamien kasutaja lisamiseks:

pilt on pärit:http://www.extraknowledge.org/xoops/images/samba/swat-adduser.jpg

Avage mozilla-firefox Avage url http://samba-4-server-ip:901

User = administrator, password = testing1, domain = testing,->Login.

Klõpsake installation-> new user.

Kirjutage username=demo, unix name = demo, meeldiv salasõna kaks korda SWAT on veel vigane ja kasutajate lisamine läbi web kasutajaliidese ei tööta korralikult.

Gruppide lisamine Samba 4 Active Directory'sse

Grupid on hea viis ressursside efektiivsemaks kasutamiseks. Niisamuti nagu ka kasutajatega, on vaja unix gruppe ja samba gruppe.

Unix Gruppide loomine

   groupadd grpdemo
   gedit /etc/group
Kasutaja gruppi lisamiseks on järgnev süntaks: 
  grpdemo:x:1007:demo, user1, user2


Domeeni testing1.org adminnina start->run->dsa.msc.

Ava puu testing1.org, parem klõps 'users' container->new->groups

Kirjuta grupi nimi 'grpdemo' mõlemas tulbas->ok (ülejäänud jäta default)

Unix gruppide linkimine Samba gruppide juurde


Käivita mozilla-firefox (või IE), ava url : http://samba-svr-ip:901


kasutajatunnus=administrator, salasõna = testing1, domeen = testing1

Vali uue swati eelvaade-> modules -> LDB Browser

Avage sam.ldb puu, avage dc=testing1,dc=org, avage cn=users

Klõpsake CN= grpdemo->klõpsake modify nuppu

Parema poole kõige alumise serva juures vajutage '+' (lisab uue välja)

Trükkige välja nimi(vasak text box) = 'unixName', data(parem text box) = 'grpdemo' -> ok


Organiseerimiskomponent (ou )-- organization unit lisamine samba 4 domeeni

Põhimõttelt on see struktuur mis laseb meil hallata kasutajaid ja arvuteid. Me saame erinevaid gurpi poliise linkida ou külge ning need sätted kehtivad kõigile kasutajatele/arvutitele selles ou-s. Ühes domeenis võib olla mitmeid ou'sid ja alam-ou'sid. See vähendab suuresti administratiivset tööd kuna kõik on ou käsutuses.

Enne ou loomist peame teadma, kuidas ou välja näeb. 

Vaikimisi näeme me näidis ou-d 'Domain Controllers', aga see erinev 'users' ja 'computers' omast.

Ou loomiseks domeeni testing1 adminnina, start -> run -> dsa.msc

Parem klõps testing1.org.

choose new -? organizationalunit

trüki 'demo'

Nüüd näed sa uut ou'd ilmumas nimega 'demo'.

Sa saad vedada kasutaja nimega 'demo' uude ou'sse.

Parem klõps 'oudemo', saad klõpsata alam ou -l.

Tavaliselt luuakse ou terve osakonna jaoks. Ärge ajage segi gruppe ja ou'd. Ou'd kasutatakse kõigile kasutajatele/arvutitele sättete lisamiseks.


Grupi Poliisi (GPO) rakendamine samba 4 domeeni

Samba 4 Active Directory abigrupi (support group) loomine toimub lennult.

Grupipoliisil on 2. tüüpi sätted: arvutid ja kasutajad.

Arvuti sätted rakenduvad vaid arvutile ja kautaja omad kasutajale.

Need poliise saab linkida kindla ou külge ning sealtkaudu mõjutavad need kõiki ou'le alluvaid arvuteid/kasutajaid.

Grupipoliisi lisamiseks paremklõpsa 'oudemo' ou->properties.

Vali group policy

Klõpsa new, pane nimeks 'gpoudemo'

Klõpsa edit poliisi muutmiseks.


Windowsi testimine

Kuidas blokeerida windowsi kasutaja ligipääs juhtpaneelile Ava puu 'User Configuration'->'control panel'.

Topelt klõps prohibit access to the control panel (keela ligipääs)

Klõpsa enable ja ok.

Nüüd ei pääse enam grupi 'oudemo' kasutajad juhtpaneelile ligi

Veendu, et kasutaja demo on grupis 'oudemo'(seda saab lohistada vajadusel).

Logi välja ja logi sisse kasutajana 'demo'

Märkad, et kasutajal pole enam ligipääsu juhtpaneelile. 
* Kasutajasätted rakenduvad uuesti sisse logimisel.
* Arvutisätted rakenduvad restartimisel


Taastamine ja Varundamine

Taastamiseks sobivad juba samba3-st tuttavad tegevused:

Koopiate tegemine kasutajatele jagatud kaustadest ja samba kofiguratsiooni failidest.

Samba configuratsiooni leiame : /etc/samba/

Kataloogide asukohad määrasime path = /data/test reaga smb.conf faili muutes.

Oluline on LDAPi ja DNS kirjete säilitamine.


Kasulikud viited

Samba4 wiki http://wiki.samba.org/index.php/Samba4

Samba listid https://lists.samba.org/mailman/

Samba uudised http://news.samba.org/