PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec

[krolik]

Author: krolik
Date: Sun Oct  3 19:08:09 2004
New Revision: 4710

Added:
   PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
Log:
- Ooops.. damn.. missed ;>


Added: PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec	Sun Oct  3 19:08:09 2004
@@ -0,0 +1,96 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="uslugi_samba">
+	<title>Samba - współpraca z Windows</title>
+	<section id="uslugi_samba_winbindd">
+		<title>Serwer członkowski domeny NT4</title>
+	<para>W tym rozdziale przedstawię konfigurację samby w roli serwera
+		członkowskiego domeny Microsoft Windows NT4. Zaletą takiej konfiguracji jest możliwość budowania polityki praw
+		dostępu do zasobów zgromadzonych na serwerze w oparciu o konta użytkowników lokalnego serwera PDC.</para>
+	<section id="uslugi_samba_winbindd_inst">
+		<title>Instalacja</title>
+				<para>Do realizacji tego zadania potrzebne będą trzy pakiety: <productname>samba</productname>,
+					<productname>samba-clients</productname> oraz 
+					<productname>samba-winbindd</productname>. Po krótce wyjaśnię do czego każdy z nich
+					służy i co zawiera.</para>
+				<itemizedlist>
+					<listitem>
+						<para><productname>samba</productname> - pakiet ten zawiera serwer samby</para>
+					</listitem>
+					<listitem>
+						<para><productname>samba-clients</productname> - zestaw narzędzi przydatnych
+						w poruszaniu się w środowisku Microsoft Networks.</para>
+				</listitem>
+				<listitem>
+					<para><productname>samba-winbindd</productname> - demon pozwalający na pobieranie
+					uprawnień z serwera PDC.</para>
+				</listitem>
+			</itemizedlist>
+			<para>Proces instalacji pakietów przedstawiony został w dziale <emphasis>Zarządzanie pakietami</emphasis>.</para>
+		</section>
+		<section id="uslugi_samba_winbindd_konf">
+			<title>Konfiguracja</title>
+			<para>Przy użyciu dowolnego edytora otwieramy plik <filename>/etc/samba/smb.conf</filename>. Całą konfigurację z której będzie
+				również korzystał demon <productname>winbindd</productname> należy wykonać w sekcji <option>[global]</option>. Przyjęta w nim
+				została następująca konwencja: <emphasis>&lt;opcja&gt; = &lt;wartość&gt;</emphasis>. Jeżeli dana opcja ma kilka wartości, 
+				oddziela się je znakiem spacji. Poszczególne opcje umieszczane są w osobnych liniach. Komentarze w pliku rozpoczynają się
+				znakiem <emphasis>"#"</emphasis> lub <emphasis>";"</emphasis>. Poniżej znajduje się wykaz najważniejszych opcji które należy
+				ustawić podczas realizacji zadania. Wykraczają one nieco poza czystą konfigurację <productname>winbindd</productname> ale są
+				konieczne do jego prawidłowego działania.</para>
+			<screen>workgroup = DOM
+server string = File Server
+</screen>
+<para>Ustawiamy nazwę domeny której członkiem będzie nasz serwer oraz opcjonalnie komentarz (opis) komputera.</para>
+<screen>security = domain</screen>
+<para>Określamy poziom bezpieczeństwa. Nasza konfiguracja wymaga ustawień zabezpieczeń typu domenowego.</para>
+<screen>password server = PDC</screen>
+<para>Nazwa netbiosowa serwera PDC. To z tego właśnie serwera demon winbind będzie pobierał uprawnienia.</para>
+<para>To tyle, jeżeli chodzi o ogólną konfigurację samby. Teraz czas na dodanie kilku opcji potrzebnych winbindowi.</para>
+<screen>winbind separator = +
+idmap uid = 10000-20000
+idmap gid = 10000-20000
+winbind enum users = yes
+winbind enum groups = yes
+client signing = yes</screen>
+<itemizedlist>
+	<listitem>
+		<para><option>winbind separator</option> - znak, którym oddzielana będzie nazwa użytkownika bądź grupy od nazwy domeny. Np. "DOM+jan"</para>
+	</listitem>
+	<listitem>
+		<para><option>idmap uid</option> - zakres uidów w systemie zarezerwowanych na użytkowników domenowych</para>
+	</listitem>
+	<listitem>
+		<para><option>idmap gid</option> - zakres gidów w systemie przeznaczonych na grupy domenowe</para>
+	</listitem>
+</itemizedlist>
+<para>Na tym możemy zakończyć edycję pliku konfiguracyjnego samby. Aby nasza konfiguracja stała się aktywna musimy  przerestartować usługę.</para>
+<screen>/etc/rc.d/init.d/smb restart</screen>
+<para>W ślad za usługą <productname>smb</productname> zostaną przerestartowane także <productname>nmbd</productname> oraz interesujący nas 
+	<productname>winbindd</productname>. Czynnością którą musimy bezwzględnie wykonać jest podłączenie naszego serwera do domeny. Aby to uczynić
+	wykonujemy poniższe polecenie:</para>
+<screen># net rpc join -S PDC -U Administrator%hasło
+Joined the domain DOM</screen>
+<para>Jeżeli w tym momencie miałbyś problemy ze skomunikowaniem się z serwerem domeny możesz dodać do polecenia opcję <option>-I</option> a po niej adres
+	IP serwera PDC. Po pomyślnej operacji podłączenia możemy sprawdzić działanie winbinda.</para>
+<screen># wbinfo -g
+DOM+Administrator
+DOM+Basia
+DOM+Darek
+...
+# wbinfo -g
+DOM+Domain Admins
+DOM+Domain Users
+...</screen>
+<para>Jak się zapewne zorientowałeś opcja <option>-u</option> pokazuje listę użytkowników, natomiast <option>-g</option> listę grup.</para>
+<para>Jeżeli wynik obu poleceń wygląda podobnie jak na listingu oznacza to, że winbind pracuje poprawnie.</para>
+		</section>
+		<section id="uslugi_samba_winbindd_end">
+			<title>Zakończenie</title>
+			<para>Jakie korzyści płyną z takiej konfiguracji samby? Otóż sprawdza się ona w środowisku sieciowym w którym zasoby udostępniają 
+				zarówno serwery	pracujące pod kontrolą Windows jak i linuksa. Pozwala to na budowanie spójnej polityki bezpieczeństwa w oparciu
+				o uwierzytelnianie użytkownika na poziomie domeny. Drugą z zalet jest prostota w implementacji. Dzięki 
+				<productname>winbindd</productname> dostęp do grup oraz użytkowników domenowych odbywa się w taki sam sposób jak do ich
+				odpowiedników lokalnych.</para>
+			<screen># chown DOM+Administrator.DOM+Domain\ Users plik.txt</screen>
+		</section>
+	</section>
+</section>