The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Используем Samba как Windows NT Primary Domain Controller

14.02.2003 17:18

В статье "Configuring Samba as a Windows NT Primary Domain Controller" приводится пример настройки samba для работы в качестве основного контроллера доменов Windows NT.



[global]
# workgroup = Your  NT-Domain-Name
workgroup = DEMODOMAIN
#Your PDC identifying comment 
server string = Samba/NT PDC
#Your netbios name
netbios name = JERRY

#User-level security is standard for a PDC
security = user
#Encrypted passwords are mandatory
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n

*ReType*new*UNIX*password* %n

*passwd:*all*authentication*tokens*updated*successfully*

# set these to act as the domain and local browser
preferred master = yes
domain master = yes
local master = yes
os level = 64

#This one is obvious, and mandatory 
domain logons = yes
#You can use 3 different methods for user logon scripts
#You can identify the logon by the name of the user's machine
logon script = %m.bat
#You can identify the logon by the username
logon script = %U.bat
#Or you can have a single common logon script for users
logon script = logon.cmd

[netlogon]
path = /etc/samba/netlogon
writeable = no
write list = ntadmin

[profiles]
path = /usr/smb/ntprofile
writeable = yes
create mask = 0600
directory mask = 0700



add user script = /usr/sbin/useradd -d /dev/null -g 100 - /bin/false -M %u 


  1. Главная ссылка к новости (http://pro.linuxorbit.com/modu...)
Лицензия: CC-BY
Источник: linuxorbit
Короткая ссылка: https://opennet.ru/2117-samba
Ключевые слова: samba, single_mode, sync, user, mac, file, man, netbios, mozilla, pri, patch, log, config, path, crypt, script, auth, window, chat, string, unix, password, aaa, domain, ide, security, ip, win, example
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vasili (?), 12:18, 15/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот как сделать так чтобы плавающие профайлы были отключены по дефолту?
     
  • 1.2, Дмитрий Ю. Карпов (?), 22:27, 15/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1) Необходимы комментарии к отдельным строчкам. Например, почему security = user, а не server.

    2) Кроме собственно smb.conf надо настраивать еще кучу вещей:
    - заводить W'NT/2k/XP машины в домен;
    - создавать политики и профили;
    и, наверно, еще кучу всего, включая настройку Windows-машин на вход в домен.

    Короче, это не документация, а фигня.

     
  • 1.3, hooche_coochie_man (?), 17:12, 16/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если security = server, то это не контроллео домена, а участник домена.
     
  • 1.4, Nobody (?), 12:06, 17/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут дело не просто в документации
    Дело в неспособности самбы выступать полноценным контроллером домена :)

    Даже если ее собрать и настроить для работы с LDAP
    Пробовал по всякому и не один раз - целая куча функций еще не имплементирована (и я боюсь, не будет  никогда)
    :-\

     
  • 1.5, Beethoven (?), 14:55, 17/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К вопросу о способностях самбы...
    Когда самба научится раздавать списки групп пользователей членам домена? Есть способы решить это сейчас? Думаю, без этого о реальном самба-pdc говорить рано.

    Вроде это делают в samba3, но я наверно раньше умру, чем она зарелизится...

     
  • 1.6, damned1 (?), 03:19, 18/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вы даете! Такое ощущение, что Samba Team вам всем чего-то должна! Если что-то не реализовано, нечего ворчать, присоединяйтесь и помогите. Слабо? А то традиционно русский подход - хочу все на халяву, и чтобы ручки не замарать...
     
  • 1.7, Nobody (?), 12:22, 18/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лично мне - ничего не должна. Просто надо быть реалистами. Уж если не может работать нормально как PDC, так и надо об этом честно предупредить в доке (причем желательно большими буквами :).
    А насчет "на халяву" - ну так во-первых я и не русский, во-вторых - я сисадмин, и у меня мозги по-другому заточены несколько (к примеру, баги непроизвольно обнаруживаю :).
     
  • 1.8, хых (?), 02:05, 19/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    to Nobody: вот ведь странно... я тоже сисадмин, а мозги заточены нормально :)

    -------

    нормально оно работает в качестве pdc, да, без поддержки всех функций pdc, ну и что. зато бесплатно. у многих и НТшный DC "криво" работает, тогда начинают кричать что "ааа билли маст дай!"

     
  • 1.9, Beethoven (?), 08:11, 20/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я лично тоже не жалуюсь, и согласен с nobody.
    Действительно, много пишут про PDC на самба. Часто либо совсем поверхностно, либо не правду (тут например).
    И почему я должен стестняться спрашивать "как вы обходитесь без этой функции контроллера домена?"...
     
     
  • 2.10, bass (?), 11:17, 28/02/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >Я лично тоже не жалуюсь, и согласен с nobody.
    >Действительно, много пишут про PDC на самба. Часто либо совсем поверхностно, либо
    >не правду (тут например).
    >И почему я должен стестняться спрашивать "как вы обходитесь без этой функции
    >контроллера домена?"...

    можно перечислить эти функции?

     
     
  • 3.11, Nobody (?), 17:15, 01/03/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >можно перечислить эти функции?
    Beethoven уже сказал - с группами у самбы, мягко говоря, #опа. :)
    А без этой функции я обойтись не могу. Потому как, к примеру, у меня в домене более 100 user'ов и ~30 серверов (девелопмент на них идет). А доступ к серверам, естественно, делается на основе групп...

    2хых: а "билли маст дай!" :)
    кто мне, к примеру, объяснит почему иногда машина после принудительного удаления из NT-домена там болтается еще час-другой хотя их обещанные ~15 минут давно прошли, и синхронизация между PDC и BDC уже трижды сделана? ;)

     
     
  • 4.12, bass (?), 17:57, 01/03/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >>можно перечислить эти функции?
    >Beethoven уже сказал - с группами у самбы, мягко говоря, #опа. :)
    >
    >А без этой функции я обойтись не могу. Потому как, к примеру,
    >у меня в домене более 100 user'ов и ~30 серверов (девелопмент
    >на них идет). А доступ к серверам, естественно, делается на основе
    >групп...
    >
    >2хых: а "билли маст дай!" :)
    >кто мне, к примеру, объяснит почему иногда машина после принудительного удаления из
    >NT-домена там болтается еще час-другой хотя их обещанные ~15 минут давно
    >прошли, и синхронизация между PDC и BDC уже трижды сделана? ;)
    >
    на счёт групп не сталкивался,
    а вот на счёт хранения атрибутов, фенечка, показанная на днях:
    в samba_x.x.x/Configure найти  LIBS="$LIBS -l[p]acl и добавить к ней -l[p]attr
    тогда заработают NT acl + POSIX acl
     
     
  • 5.13, Dimas (?), 16:50, 07/03/2003 [^] [^^] [^^^] [ответить]  
  • +/
    А вот кто подскажет, как бы взять и подключить Windows XP в домен Samba, если у Самбы стоит параметр security = domain? При попытке подключения XP в домен из одноименной рабочй группы (домен Самбы SWEET, рабочая группа XP SWEET), выдается сообщение, что невозможно определить имя пользователя или пароль на сервере домена SWEET (на Самбе). Берем неофициальный фак по Самбе, тщательно его изучаем, делаем все манипуляции:
    1). Заводим в passwd, shadow & greoup машину с XP пусть к примеру winxp$
    2). Заводим эту машину в Самбу smbpasswd -a -m winxp
    3). admin users = root, который присутствует в файлике private/smbpasswd, с отличным от системного пароля.
    4). В WinXP правим реестр, как сказано в ФАКе: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
    "requiresignorseal" = dword:000000
    "signsecurechannel" = dword:000000
    5). Пытаемся поменять домен просто через кнопочку "Изменить" - получаем ответ, "Отказано в доступе", пытаемся поменять через "мастера" (wizard) - "невозможно определить имя пользователя или пароль...".
    Непонятно в чем проблема. В логах Самбы появляется запись вида:
    "[2003/03/03 14:12:05, 0]
    rpc_server/srv_samr.c:api_samr_set_userinfo(670)
    api_samr_set_userinfo: Unable to unmarshall SAMR_Q_SET_USERINFO"
    А в логах XP нет ничего.
    Кто нибудь смог победить данную проблему? Дело в том, что к XP доступ по сети есть, НО, если раздавать доступ не на уровне ресурсов, а на уровне пользователей, то с XP доступ получить невозможно, т.к. она не в домене, а с других машин к ней все работает нормально.
    Если кто-нить порешал данный вопрос, то подскажите свою последовательность операций, после которых удалось ввести XP в домен Самбы.
    Спасибо большое.
     
     
  • 6.14, slavka (?), 09:47, 04/04/2003 [^] [^^] [^^^] [ответить]  
  • +/
    В samba-2.2.8 все нормально работает
    Только нужно учесть, что первичное подключение к домену может производить только администратор домена (не обязательно root), коим является владелец файла smbpasswd (запись admin users не нужна). Администратор домена, естествено, должен быть добавлен в smbpasswd.
     
     
  • 7.22, SKYNET (?), 17:49, 16/10/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Да всё равно не работает. Изменяю идентификацию сети. Ввожу root, пароль. Добро пожаловать в домен. Перегружаюсь, ни root ни обычного пользователя - никого не пускает.... Упарился уже, ща даже samba3 ставлю с kdc5..... Что посоветуешь? У тебя это точно работает?
     
  • 6.15, Владимир (?), 11:59, 07/04/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит поставить для XP Wins Resolution Yes Wins Server Adress SAMBA IP, и тогда ... большой текст свёрнут, показать
     

  • 1.16, andreyn (?), 11:38, 08/04/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа Админы!
    А кто-либо пользовал Samba-TNG? http://www.samba-tng.org
    Что может сказать про неё, может, там проблемы групп и подключения WinXP уже решены?
     
  • 1.17, Xawiers (?), 09:22, 19/05/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    A samba-tng sait umer.
    ja na freebsd postavil samba 2.2.8a - rabotaet normalno.
     
  • 1.18, bars (?), 16:23, 28/05/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А куда logon.cmd ложить?
    В [netlogon]?

     
     
  • 2.19, vasili (?), 17:00, 28/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >А куда logon.cmd ложить?
    >В [netlogon]?

    именно туда ;)

     

  • 1.20, Аноним (20), 02:29, 04/07/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как сделать так, чтобы группы пользователей из ХР со всеми их правами на запись и т.д. соотносились с заведенными локальными пользователями Самба PDC ?
     
  • 1.21, Gennadi (?), 14:56, 17/07/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В этом документе я хотел бы рассказать для начинающих
    стоить свою локальную сеть, где Samba работает как Server NT4.0-PDC.

    http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=1&sid=0f6b8257

     
     
  • 2.26, Gennadi (??), 19:35, 16/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > В этом документе я хотел бы рассказать для начинающих
    > стоить свою локальную сеть, где Samba работает как Server NT4.0-PDC.
    >
    >http://gennadi.dyn.ee/1.html


     

  • 1.23, Аноним (20), 15:10, 11/11/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как сделать Администратора домена?
     
  • 1.24, Audis (?), 19:45, 06/04/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Nu i shto...
    A ja vsiotaki posmotrel samba obnovlenije, i shto skazhete... ni regedit ni nichego innego... prosto update your samba ver to 3.0.*
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру