Samba4: Difference between revisions
No edit summary |
No edit summary |
||
Line 220: | Line 220: | ||
[[Image:Run.jpg]] | [[Image:Run.jpg]] | ||
== Samba 4 Active Directory haldamine Windows XP Pro's == | == Samba 4 Active Directory haldamine Windows XP Pro's == |
Revision as of 10:41, 30 January 2010
Samba4
Sobib katsetamiseks Debian/Ubuntu linux arvutil.
Eeldab kogemust linuksite kasutamisel ja teadmisi arvutivõrkude tööpõhimõtetest.
Versioon
Viimati muudetud:Pkuul 09:29, 10 January 2010 (EET)
Autorid
Peeter Kuul - AK-31
Sissejuhatus
Samba4 on alles arendamisel ja ei sobi veel asendama Samba3 baasil tehtud lahendusi. Praegune howto on loodud uue sambaga tutvumiseks ja võib aja jooksul oluliselt muutuda.
Samba4 on uus Virtual File System (VFS) mis toetab Acess Control List -i (ACL). Domeeni Kontrolleri lahendus sambas sisaldab LDAP serverit (LDB) ja Kerberose võtmehaldust Kerberos Key Distribution Center (KDC). Lisaks veel sisemine Domain Name System (DNS) protokoll.
Eeldused
Linux masinas võiksid olemas olla samba kompileerimiseks vajalikud libraries
* acl and xattr development libraries (libattr1-dev ) * blkid development libraries (libblkid-dev ) * gnutls (libgnutls-dev ) * readline (libreadline5-dev ) * Python development libraries (python-dev )
Kõigepealt laadime samba4 oma masinasse selleks kasutame rsync-i
rsync -avz samba.org::ftp/unpacked/samba_4_0_test/ samba-master
Install
Mine masinasse laaditud source kataloogi
cd samba-master/source4
ja käivita
./autogen.sh
Järgneb tavaline programmi kompileerimine kataloogis source4
cd samba-master/source4 ./configure make
Installimiseks tuleks kasutada root õigusi ja install asukoha muutmiseks --prefix=/mingi/hea/asukoht
make install --prefix=/usr/local/samba
Seadistamine
"provision" seadistab esimese kasutaja andmebaasi. 'YOURDOM' on NT4 stiilis domeni nimi. 'YOUR.REALM' on kerberos realm ehk tavaliselt DNS-i domeni nimi.
Käivitada sobib kasutajana kellel on install kataloogi kirjutamise õigused.
cd samba-master/source4 ./setup/provision --realm=YOUR.REALM --domain=YOURDOMEN --adminpass=SOMEPASSWORD --server-role='domain controller'
Käivitamine
Edasi võib lihtsalt käivitada "samba" arendajad leiavad ,et tunduvalt kasulikum on käivitada käsuga:
samba -i -M single
See käivitab samba ühe protsessina ja näitab väljundis veateateid. Kindlasti tasuks enne käivitamist veenduda, et samba3 versiooni protsessid on suletud.
Testimine
smbclient //localhost/netlogon -UAdministrator%SOMEPASSWORD
Edasi võib juba smb.conf fali muutma asuda.
smb.conf faiil asub minu puhul /usr/local/samba/etc kataloogis.
Näiteks kirjutame sinna midagi sellist:
[test] path = /data/test read only = no
Teeme vastava kataloogi /data/test ja proovime samba kaudu sisse logida
smbclient //localhost/test -Uadministrator%SOMEPASSWORD
DNS
Domeni kontrollimiseks võib sedistada dns serveri. Juhul kui DNS juba varem installidud ja seadistatud pole.
Installime bind9 teenuse.
apt-get install bind9
vaata kataloogi /usr/local/samba/private Seal on kolm faili "YOUR.REALM.zone" , "named.conf" ja "named.txt".
cp /usr/local/samba/private/YOUR.REALM.zone /etc/bind/YOUR.REALM.zone
Või kuhugi kus sa oma zone faile hoidma hakkad.
Kopeeri named.conf
cp /usr/local/samba/private/named.conf /etc/bind/named.conf
named.conf -is on palju kommentaar loe neid kindlasti. juhendiks on named.txti kirjutatud jutt. otsi tekstist kaks "tkey-gssapi" rida ja kopeeri need /etc/bind/named.conf options reale Lisa "export KRB5_KTNAME ..." rida /etc/default/bind reale Anna named.txt failis kirjeldatud failidele vajalikud õigused Võid lisada zone failidesse reverse zone
kopeeri krb5.conf
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
Anname õigused
chown -R bind.bind /etc/bind
See on kindlasti ebaturvaline aga testimiseks esialgu piisab. Loe kindlasti lisaks DNS-i turvamisest. restardime bind-i
/etc/init.d/named restart
Vigu uurime log failist
tail -n 30 /var/log/daemon.log
Windowsi kliendi domeeniga ühendamine
Nüüd on teie Windows valmis ühenduma Active Directory (AD) domeeniga, Administraatorina:-
Parem klõps my Computer-> Properties
Valige arvuti nimi, klõpsake change..
Vali 'Domain', sisesta YOUR.REALM (ebaõnnestumise korral proovi YOURDOM).
Kui see küsib kasutajatunnust/salasõna, sisesta administrator kasutajatunnusena, SOMEPASSWORD salasõnana (vastavalt eelnevale sättele).
Järgmisena peaks teada antama, et Windows XP liitus edukalt Active Directory domeeniga ning et vaja on restartida. Peale restarti peaksite saama tavalise domeeni dialoogakna.
Valige domeen YOURDOM, sisestage administrator kasutajatunnusena, SOMEPASSWORD salasõnana.
Eduka sisse logimise korral saate juba kasutada samba 4 active directory teenuseid järgmises sektsioonis.
Samba 4 Active Directory objekti vaatlemine Windows XP Pro -s Kuna Samba 4 SWAT pole veel valmis, on vaja installida windows 2003 adminpak windows XP-le domeenihalduseks.
Tehke kindlaks, et domeeni administraatoril on adminniõigused teie arvuti üle.
Adminniõiguste andmiseks Windows XP Pro's - my computer,
klõps “manage”-> valige grupid->topeltklõps administraatoritel ning lisage vajalikud domeeni liikmed nimekirja.
Selleks küsitakse teilt aktiivse kausta kasutajatunnust/salasõna.
Windows Remote Administration Tools'ide Windowsile installeerimine
Vista Laadige alla Windows Remote Administration Tools siit
http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en
ja järgige "Install RSAT" instruktsioone siin
http://support.microsoft.com/kb/941314
Windows XP Pro Windows XP puhul laadige adminpak ja supporttools siit
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en http://download.microsoft.com/download/3/e/4/3e438f5e-24ef-4637-abd1-981341d349c7/WindowsServer2003-KB892777-SupportTools-x86-ENU.exe
Klõpsake start->run, trükkige 'dsa.msc', kui aken sisuga 'active directory users and computers' ette hüppab tähendab see, et adminpak sai edukalt installeeritud. Selle leiab ka Start>Programs>Administrative Tools'is kus peaks nüüd palju rohkem asju olema.
Mine c:\Program Files\Support Tools et kontrollida, kas support tools'id said installeeritud korrektselt. Kui jah, siis on teie XP workstation valmis haldama Samba 4 Active Directory't.
Samba 4 active directory sisu vaatamine
Logige sisse domeen 'testing1.org' adminnina, klõpsake start->run.
Trükkige dsa.msc
Samba 4 Active Directory haldamine Windows XP Pro's
Üks Samba4's eesmärkidest on integreeruda (ja vahetada välja) Active Directory süsteemina. Selleks hetkeks, kui kõik on õigesti tehtud ja töötab, peaks olema "Administrative Tools" menüüd Programs'ite all. Kui Administrative Tools'i all on "Active Directory Users and Computers", siis on see igati hea. Enamasti, kui Samba4'ga kaasneb mõni bug või confi viga, siis AD Users & Computers (ja ka teised kasutajaliidesed) ei ilmu valikuks. Seda saab ka käsitsi käivitada (Start->Run->dsa.msc), kuid on ebatõenäoline, et see korrektselt töötab.
Kasutaja lisamine Samba 4 Active Directory'sse
Täpselt nagu Samba 3'gi, vajab ka Neljas olemasolevat Unix kasutajat millele suunata Samba kasutaja. See ülesanne koosneb kolmest osast. Lisa Unix'i kasutaja. Enamuses Linuxi süsteemides saab kasutada selleks useradd käsku. Juurkasutajana:
useradd demo passwd demo
Debiani ja Ubuntu kasutajatel on selleks adduser script, mis haldab nii kasutajate lisamist kui paroole
SWAT on veel vigane ja kasutajate lisamine läbi web kasutajaliidese ei tööta korralikult. SWAT'i kasutamien kasutaja lisamiseks: Avage mozilla-firefox Avage url http://samba-4-server-ip:901 User = administrator, password = testing1, domain = testing,->Login. Klõpsake installation-> new user. Kirjutage username=demo, unix name = demo, meeldiv salasõna kaks korda
Gruppide lisamine Samba 4 Active Directory'sse
Grupid on hea viis ressursside efektiivsemaks kasutamiseks. Niisamuti nagu ka kasutajatega, on vaja unix gruppe ja samba gruppe.
Unix Gruppide loomine
groupadd grpdemo gedit /etc/group
Kasutaja gruppi lisamiseks on järgnev süntaks:- grpdemo:x:1007:demo, user1, user2
Domeeni testing1.org adminnina start->run->dsa.msc.
Ava puu testing1.org, parem klõps 'users' container->new->groups
Kirjuta grupi nimi 'grpdemo' mõlemas tulbas->ok (ülejäänud jäta default)
Unix gruppide linkimine Samba gruppide juurde
Käivita mozilla-firefox (või IE), ava url : http://samba-svr-ip:901
kasutajatunnus=administrator, salasõna = testing1, domeen = testing1
Vali uue swati eelvaade-> modules -> LDB Browser
Avage sam.ldb puu, avage dc=testing1,dc=org, avage cn=users
Klõpsake CN= grpdemo->klõpsake modify nuppu
Parema poole kõige alumise serva juures vajutage '+' (lisab uue välja)
Trükkige välja nimi(vasak text box) = 'unixName', data(parem text box) = 'grpdemo' -> ok
Organiseerimiskomponendi (ou -organization unit) lisamine samba 4 domeeni
Organiseerimiskomponent (ou) Põhimõttelt on see mingi puu tüüpi struktuur mis laseb meil lohistada kasutajaid ja arvuteid sellesse. Me saame erinevaid gurpi poliise linkida ou külge ning need sätted kehtivad kõigile kasutajatele/arvutitele, mis on ou all. Ühes domeenis võib olla mitmeid ou'sid ja alam-ou'sid. See vähendab suuresti administratiivset tööd kuna kõik on ou käsutuses.
Enne ou loomist peame me teadma, kuidas ou välja näeb. Vaikimisi näeme me näidis ou-d 'Domain Controllers', aga see erinev 'users' ja 'computers' omast.
Ou loomiseks domeeni testing1 adminnina, start -> run -> dsa.msc
Parem klõps testing1.org.
choose new -? organizationalunit
trüki 'oudemo'
Nüüd näed sa uut ou'd ilmumas nimega 'oudemo'
Sa saad vedada kasutaja nimega 'demo' uude ou'sse
Parem klõps 'oudemo', saad klõpsata alam ou -l
Tavaliselt luuakse ou terve osakonna jaoks. Ära aja segi gruppe ja ou'd – grupid ohjavad lube. Ou'd kasutatakse et kõigile kasutajatele/arvutitele sätteid lisada.
Grupi Poliisi (GPO) rakendamine samba 4 domeeni
Hiljuti oli Samba 4 Active Directory'l abigrupi (support group) poliis ning grupipoliisi loomine toimub lennult.
Grupipoliisil on 2 tüüpi sätted: arvutid ja kasutajad.
Arvuti sätted rakenduvad vaid arvutile ja kautaja omad kasutajale.
Need poliisid saab linkida kindla ou külge ning sealtkaudu mõjutavad need kõiki ou'le alluvaid arvuteid/kasutajaid
Grupipoliisi lisamiseks paremklõpsa 'oudemo' ou->properties
Vali group policy
Klõpsa new, pane nimeks 'gpoudemo'
Klõpsa edit poliisi muutmiseks.
Demonstratsioon, kuidas blokeerida kasutaja ligipääs juhtpaneelile – Ava puu 'User Configuration'->'control panel'.
Topelt klõps prohibit access to the control panel (keela ligipääs)
Klõpsa enable ja ok. Nüüd ei pääse enam grupi 'oudemo' kasutajad juhtpaneelile ligi
Veendu, et kasutaja demo on grupis 'oudemo'(seda saab lohistada vajadusel).
Logi välja ja logi sisse kasutajana 'demo'
Märkad, et kasutajal pole enam ligipääsu juhtpaneelile. * Kasutajasätted rakenduvad uuesti sisse logimisel. * Arvutisätted rakenduvad restartimisel
Taastamine ja Varundamine
Tegemist on test versiooniga. Taastamise asemel on mõistlik ja kiirem viis uuesti alustada.