Autor

• Marko Kurs

Sissejuhatus

Käesoleva artikliga illustreerin kuidas ühendada SUSE server windows domeeniga, ning seejärel välja jagada kaust kuhu on domeeni kasutajagrupil võimalik andmeid kirjutada.

Tegu on väga samm-sammult juhendiga mida peaks suutma ka linuxi algaja jälgida. Koodi lahtrites on igalpool kood mida võid copy-paste oma terminali!

Kõik tegevused on jooksutatud sudo õigustega bashis!

OpenSUSE 12.2

Eelduste Install

• Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
• Kasutades zypper haldurit käivita järgnev:

zypper in samba

• Veendu, et yast2-samba-client on installitud:

zypper in yast2-samba-client

Serveri lisamine domeeni

• Käivita yast2 root õigustes
• Mine network services -> Windows Domain Membership
  • Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
• Domain or workgroup alla sisesta oma domeeni nimi
• Pane linnuke "Use SMB Information for Linux Authentication"
  • Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
• Pane linnuke "Create Home Directory on Login"
  • Luuakse domeeni kontole automaatselt kodukaust
• Pane linnuke "Offline Authentication"
  • Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
• Käivita "NTP Configuration"
• Seadista "Start NTP Daemon" seadega "Now and on Boot"
• "Synchronization Type Adress" alt eemalda kõik default seaded
• Lisa domeenikontroller kasutades "Add"
  • "Type" vali server
    • "Adress" pane domeenikontrolleri FQDN
• 2x OK
• Pakutakse installida samba-winbind vali OK
• Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
• Jäta vaikimisi OU
• Server on nüüd domeenis

Serveri turvamine

• Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
• Kasutajate ringi piiramiseks käitu järgnevalt:
• ava /etc/security/pam_winbind.conf
  • Lisa [global] alla require_membership_of = domeen\grupinimi
• Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

Samba seadistamine

• Käivita teenused:

/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start

• Ava /etc/samba/smb.conf
• Veendu järgnevas:
  • Workgroup = Sinudomeen
  • security = ADS
  • realm = domeeni fqdn
• Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

Failisüsteemi kaustad

• TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
• Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad

mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid

• Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad

mkdir /home/Kasutajate\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid

• Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

Kaustade jagamine

• valid users = @domeen\\grupp
  • Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
• force create mode = 770
  • Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
• force directory mode = 770
  • Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

• Ava /etc/samba/smb.conf
• Lisa faili lõppu järgnev:

[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/salajane
read only = No

• Taaskäivita smb teenus

rcsmb restart

Allikad

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html