PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec

krolik cvs w pld-linux.org
Śro, 2 Mar 2005, 14:06:20 CET 

Author: krolik
Date: Wed Mar  2 14:06:15 2005
New Revision: 5565

Modified:
   PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
Log:
- uzupelnienie (autor: Michal panasewicz AKA wolvverine)


Modified: PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec
==============================================================================
--- PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec	(original)
+++ PLD-doc/book/pl_book__uslugi/pl_uslugi__samba.sec	Wed Mar  2 14:06:15 2005
@@ -1,6 +1,129 @@
 <?xml version="1.0" encoding="iso-8859-2"?>
 <section id="uslugi_samba">
 	<title>Samba - współpraca z Windows</title>
+		<section id="uslugi_samba_pdc">
+			<title>Samba jako Serwer domeny NT4 (PDC)</title>
+	<para>W tym rozdziale przedstawiona zostanie konfiguracja samby w roli serwera
+		domeny Microsoft Windows NT4 (PDC).</para>
+	<section id="uslugi_samba_pdc_inst">
+			<title>Instalacja</title>
+				<para>Do realizacji tego zadania potrzebne będą pakiety: <productname>samba</productname> i 
+					<productname>samba-clients</productname>. 
+					Znaczenie poszczególnych pakietów:</para>
+				<itemizedlist>
+					<listitem>
+						<para><productname>samba</productname> - pakiet ten zawiera serwer samby</para>
+					</listitem>
+					<listitem>
+						<para><productname>samba-clients</productname> - zestaw narzędzi przydatnych
+						w poruszaniu się w środowisku Microsoft Networks.</para>
+				</listitem>
+						</itemizedlist>
+			<para>Proces instalacji pakietów przedstawiony został w dziale <emphasis>Zarządzanie pakietami</emphasis>.</para>
+	</section>
+		
+	<section id="uslugi_samba_pdc_konf">
+	<title>Konfiguracja</title>
+		<para>Przy użyciu dowolnego edytora otwieramy plik <filename>/etc/samba/smb.conf</filename>.  Całą konfigurację należy wykonać w sekcji <option>[global]</option>. Przyjęta w nim została następująca konwencja: <emphasis>&lt;opcja&gt; = &lt;wartość&gt;</emphasis>. Jeżeli dana opcja ma kilka wartości, 
+				oddziela się je znakiem spacji. Poszczególne opcje umieszczane są w osobnych liniach. Komentarze w pliku rozpoczynają się znakiem <emphasis>"#"</emphasis> lub <emphasis>";"</emphasis>. Poniżej znajduje się wykaz najważniejszych opcji które należy ustawić podczas realizacji zadania.</para>
+<screen>workgroup = DOM
+server string = File Server
+announce as = NT Server	</screen>
+<para>Ustawiamy nazwę domeny której członkiem będzie nasz serwer oraz opcjonalnie komentarz (opis) komputera i typ serwera (opcjonalnie).</para>
+<screen>domain logons = yes
+domain master = yes
+preferred master = yes
+local master = yes
+wins support = yes
+os level = 255</screen>
+<para>Ustawiamy logowanie do domeny oraz bycie kontrolerem domeny Windows NT4 i główną przegladarką komputerów w sieci.</para>
+<screen>security = users</screen>
+<para>Określamy poziom bezpieczeństwa. Nasza konfiguracja wymaga ustawień zabezpieczeń na poziomie użytkownika.</para>
+<screen>nt acl support = yes
+nt pipe support = yes</screen>
+<para>Ustawiamy</para>
+<screen>time server = yes</screen>
+<para>Ustawiamy bycie serwerem czasu (opcjonalnie).</para>
+<para>Następnie restartujemy SAMBĘ i przystępujemy do dalszej
+	konfiguracji. W bazie użytkowników Samby musi znaleźć się
+	konto administratora. Będzie ono wymagane przy dołączaniu
+	stacji klienckich do domeny.</para>
+<screen># smbpasswd -a root
+New SMB password:
+Retype new SMB password:
+Added user root.</screen>
+<para>Hasło roota Samby nie powinno być identyczne z hasłem administratora systemu! 
+następnie tworzymy konta użytkowników - podobnie jak przy zwykłym
+serwowaniu plików, tak i tutaj potrzebujemy nie tylko wpisu w bazie
+Samby, ale i konta uniksowego.</para>
+<screen># useradd -g users jurek</screen>
+<para>Pamiętajmy też o utworzeniu wpisu w bazie użytkowników
+	Samby:</para>
+<screen># smbpasswd -a jurek</screen>
+<para>następnie ustawiamy mapowanie grup w linux na odpowiednie grupy windows-a,  poleceniem  net groupmap.
+Domyślne ustawienia Samby (mapowanie na uniksową grupę -1) wymaga
+zmiany, którą wprowadzi polecenie net groupmap modify:</para>
+<screen># net groupmap modify ntgroup="Domain Admins" unixgroup=domadmin
+	Updated mapping entry for Domain Admins</screen>
+<para>Podobnie modyfikujemy wpisy dla grup Domain Users - decydując się na wybór grupy users oraz Domain Guests - nobody:
+	net groupmap.</para>
+<screen># net groupmap modify ntgroup="Domain Users" unixgroup=users
+Updated mapping entry for Domain Users
+# net groupmap modify ntgroup="Domain Guests" unixgroup=nobody
+Updated mapping entry for Domain Guests</screen>
+<para>Sprawdźmy, czy zmiany będą widoczne:</para>
+<screen># net groupmap list
+...
+Domain Admins (S-1-5-21-353545269-2518139598-3611003224-512) -> domadmin
+Domain Users (S-1-5-21-353545269-2518139598-3611003224-513) -> users
+Domain Admins (S-1-5-21-353545269-2518139598-3611003224-514) -> nobody
+... </screen>
+<para>Praca komputera w domenie wymaga założenia mu konta - tzw. Machine Trust Account. Jest to specyficzne konto, gdyż jego hasło ustalane jest przy podłączaniu komputera do domeny i znane tylko parze klient-serwer. 
+	Dzięki temu istnieje możliwość sprawdzenia tożsamości
+	próbującego się logować komputera - nawet gdy ktoś dołączy
+	maszynę o tej samej nazwie, to nie powinien uzyskać możliwości
+	dostępu do domeny. Nazwy kont odpowiadają nazwom NetBIOS
+	komputerów, ale z dołączonym na końcu symbolem dolara. Dla
+	stacji biuro będzie to więc biuro$. Konto to powinno być
+	zablokowane, by niemożliwe było uzyskanie dostępu poprzez ssh,
+	czy też inne usługi systemu operacyjnego. Nie jest także
+	konieczny katalog domowy, w zamian za to zdecydujemy się na
+	umieszczenie kont w grupie machines - pozwoli to w jakimś
+	stopniu ogarnąć szybko zwiększającą się liczbę użytkowników
+	systemu serwera.</para>
+<screen># groupadd machines
+# useradd -c "Komputer biurowy" -g machines -d /dev/null -s /bin/false biuro$
+# passwd -S biuro$
+Password locked.</screen>
+<para>Wydaje się, że powinniśmy teraz utworzyć odpowiedni wpis w bazie
+	haseł Samby - nie jest to jednak konieczne. Przy próbie
+	podłączenia komputera do domeny czynność ta zostanie wykonana
+	automatycznie. Gdy jednak zajdzie potrzeba ręcznego utworzenia
+	wpisu, do wywołania smbpasswd dodać musimy parametr -m
+	(machine):</para>
+<screen># smbpasswd -a -m ksiegowosc</screen>
+<para>W tym przypadku nie podajemy symbolu <emphasis>$</emphasis>.
+Oczywiście cały proces dodawania kont maszyn można zautomatyzować.</para>
+<para>Aby dodać Windows XP Profesional lub Microsoft Windows NT Server
+	4.0 Standard Edition (wersja Home nie obsługuje modelu
+	domenowego w żaden sposób) należy w rejestrze zmienić:</para>
+<para>REGEDIT4</para>
+<para>
+<filename
+	class="directory">HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters</filename></para>
+<para><filename>"RequireSignOrSeal"=dword:00000000</filename></para>
+<para>lub z poziomu Local Group Policy wyłączając (Disabled) Security Options | Domain Member | Digitally encrypt or sign secure channel data (always)/
+
+wiecej:
+/usr/share/doc/samba-doc/Registry/WinXP_SignOrSeal.reg
+Brian Getsinger (Apple Corp). Mac OS X Server Samba Primary Domain Controller Configuration http://www.afp548.com/Articles/system/sambapdc.html
+Sherlock Error logging a Win XP machine into a domain running Samba.
+<ulink
+	url="http://www.slakaz.org/articles/6.html">http://www.slakaz.org/articles/6.html</ulink>
+</para>
+		
+	</section>
+	</section>	
 	<section id="uslugi_samba_winbindd">
 		<title>Serwer członkowski domeny NT4</title>
 	<para>W tym rozdziale przedstawiona zostanie konfiguracja samby w roli serwera
@@ -29,9 +152,8 @@
 		</section>
 		<section id="uslugi_samba_winbindd_konf">
 			<title>Konfiguracja</title>
-			<para>Przy użyciu dowolnego edytora otwieramy plik <filename>/etc/samba/smb.conf</filename>. Całą konfigurację z której będzie
-				również korzystał demon <productname>winbindd</productname> należy wykonać w sekcji <option>[global]</option>. Przyjęta w nim
-				została następująca konwencja: <emphasis>&lt;opcja&gt; = &lt;wartość&gt;</emphasis>. Jeżeli dana opcja ma kilka wartości, 
+			<para>Przy użyciu dowolnego edytora otwieramy plik <filename>/etc/samba/smb.conf</filename>. Całą konfigurację z której będzie 
+				również korzystał demon <productname>winbindd</productname> należy wykonać w sekcji <option>[global]</option>. Przyjęta w nim została następująca konwencja: <emphasis>&lt;opcja&gt; = &lt;wartość&gt;</emphasis>. Jeżeli dana opcja ma kilka wartości, 
 				oddziela się je znakiem spacji. Poszczególne opcje umieszczane są w osobnych liniach. Komentarze w pliku rozpoczynają się
 				znakiem <emphasis>"#"</emphasis> lub <emphasis>";"</emphasis>. Poniżej znajduje się wykaz najważniejszych opcji które należy
 				ustawić podczas realizacji zadania. Wykraczają one nieco poza czystą konfigurację <productname>winbindd</productname> ale są

Więcej informacji o liście dyskusyjnej pld-doc