Működési linux, 302 (vegyes közepes) irányító felhasználói fiókok és csoportok
Tervezés felhasználói fiókok és csoportok kezelése
Ha valaha is dolgozott felhasználói fiókok és csoportok, akkor valószínűleg tudja, hogy a vegyes környezetben, alkalmazásuk nem mindig megy simán a felhasználók számára, amely egy tipikus probléma forrása mind a felhasználók és a rendszergazdák. Szerencsére a Samba megvannak az eszközei, hogy segítsen kezelni ezt a folyamatot. Ebben a cikkben megtudhatja, hogyan kell kezelni a felhasználói fiókok és csoportok a vegyes környezetben.
Tracy Bost. Tanácsadó és oktató, szabadúszó író
Erről a sorozat
Ez a sorozat segít megtanulni a Linux rendszer adminisztrációs feladatokat. Használhatja az anyagot ezeket a cikkeket, hogy felkészüljenek a vizsgákra LPIC harmadik szintű program (LPIC-3).
A tárgyalt témák ebben a cikkben:
- UNIX számlák.
- Samba számlavezetés.
- Fiókfeltérképezési.
- Erőlteti a hozzáférési jogokat fájlokat és könyvtárakat a számlákat.
Előfeltételek
Ahhoz, hogy a legjobb felhasználása a cikkek, magas szintű ismerete Linux, meg kell adnunk, és egy működő számítógép Linux, amelyen lehet gyakorolni a parancsokat. Különösen azt feltételezzük, hogy az olvasó képes együttműködni a Linux parancssor, és általában megérti Samba célú (ahogy azt az előző cikkben „További Linux, 302: Alapelvek”). Ahhoz, hogy futtatni a cikkben szereplő példák, a számítógép kell telepített szoftver Samba szoftvert, és hozzáférést kell biztosítani, hogy a hálózat a kliens Windows.
Megértése UNIX felhasználók és a csoportok
Mintegy választható vizsga LPI-302
Mint sok más program, Linux Professional Institute (LPIC) tanúsító program biztosít különböző szintű minősítést, ahol az egymást követő szinten van szükség mélyebb tudás és gyakorlati tapasztalat. Vizsga LPI-302 - egy opcionális vizsga LPIC harmadik szint a program, amihez magas szintű ismerete Linux rendszerfelügyelet.
A LPIC harmadik szint (LPIC-3) vizsga kétszintű kell átadni (101 és 102), két vizsgák második szint (201 és 202), és a bázis 301 vizsga harmadik szint (LPIC-3). Ha megkapta a harmadik szintű tanúsítvány, akkor megteszi a kötelező vizsgálatok egyes szakterületek, például LPI-302 vizsga.
A Samba-kiszolgáló nem létezik önmagában. A felhasználók számára hozzáférést kell biztosítani a fájlokat és könyvtárakat, de mielőtt ezt, akkor hitelesíteni kell. A felhasználók csatlakozni munkaállomások fut Linux, így a Windows. Akárhogy is, minden felhasználónak rendelkeznie kell egy számlát, akkor képes felismerni a Samba kiszolgálón.
Ha a felhasználó hitelesítve, meg kell, hogy a megfelelő elérni fájlokat, könyvtárakat és nyomtatási szolgáltatásokat. Group - az egyik támogatott összetevőit Samba, amely lehetővé teszi, hogy kezelje ezeket az engedélyeket hatékonyabban.
Belső SAM-adatbázis - közötti közvetítő helyi felhasználói fiókok és UNIX felhasználói fiókokat a távoli számítógépeken. Számos módszer létezik, amely lehetővé teszi a felhasználók hitelesítését a Samba szerver, de mielőtt tovább a Samba felhasználói fiókok, meg kell határozottan érteni az alapokat a felhasználói fiókok kezelésére és csoportok UNIX.
felhasználói fiókok
1. lista létrehozása helyi fiók
Minden sor az / etc / passwd tartalmaz egy fiókot, és áll, hét területen, kettősponttal elválasztva (.). A Samba felhasználói fiókok kezelésére is érdekesek három területen: az első (felhasználói név), a harmadik (a felhasználói azonosító, a UID) és a negyedik (a csoport azonosítóját, GID).
fiókok csoportok
Csoport fiókok fontos szerepet játszanak, az adminisztráció egyszerűsítése a többfelhasználós számítógépek. Ha sikerül egy Samba szerver, a tipikus probléma az, hogy ennek jogi csoportok hozzáférést bizonyos fájlok, könyvtárak és a nyomtatók.
Csakúgy, mint abban az esetben, felhasználói fiókok, ha dolgozik egy helyi konfiguráció Samba számlák, a legtöbb esetben, akkor létre kell hozni egy felhasználói fiókot UNIX csoportok a helyi szerveren Samba. A fiók adatait tárolja a UNIX-csoport / etc / group. Néhány Linux disztribúció minden új felhasználó létrehoz egy helyi privát csoport. Ez a helyzet abban az esetben a felhasználó Monty.
2. lista létrehozása egy csoportot, és adja hozzá a felhasználókat, hogy
Ahhoz, hogy hozzon létre egy csoportot, és add meg a felhasználói 2. listában használja a parancsot a / sbin / groupadd / sbin / usermod. Ha hozzá kíván adni csoport több felhasználó, akkor létrehozhat egy script vagy adjunk a felhasználók közvetlenül a / etc / group. A csoport tagjai fel kell tüntetni az utolsó mezőbe, vesszővel elválasztva (.). Ha létrehoz egy csoportot kézzel, ne felejtsük el, hogy minden csoportnak van egy egyedi azonosítót (GID).
Samba Account Management
A standard konfiguráció Samba fiók adatait tárolja az alábbi belső adatbázis jelszavakat Adatok:
Segítségével smbpasswd és tdbsam
Smbpasswd adatbázis az alapértelmezett összes verziójában Samba alábbi 3.4. A Samba verzió 3.4 smbpasswd már elavult, és használják helyette tdbsam adatbázis (adatbázisban is ajánlott környezetben kevesebb, mint 250 felhasználó).
Base tdbsam adatokat tekintjük jobban skálázható, mint smbpasswd. Ha dolgozik Samba verzió, amely alapértelmezés szerint a smbpasswd, akkor cserélje ki, hogy adatbázis tdbsam, meghatározva az smb.conf fájlban paraméter passdb = tdbsam a globális részben.
Azonban smbpasswd - nem csak egy adatbázis, hanem egy eszköz, a Samba csomag, amely lehetővé teszi, hogy kezelje a Samba számlák egyszerűen beállítható. Ahhoz, hogy hozzon létre egy Samba fiókot, akkor root jogokkal kell rendelkeznie. Mielőtt létrehozna egy Samba felhasználói fiók léteznie kell a helyi szerveren Linux. 3. lista mutat példát, hogy létrehozza a Samba felhasználói fiókot smbpasswd.
3. lista létrehozása Samba felhasználói fiókot a smbpasswd
A felhasználók használhatják smbpasswd módosítani a jelszavukat, amint azt a 4. listában.
4. lista egy helyi felhasználó meg tudja változtatni a jelszót a smbpasswd
Azt is beállíthatja a Samba jelszó-szinkronizálás fordul elő, amikor a felhasználó megváltoztatja a jelszót a helyi fiók is frissül, és Samba-jelszó:
Ha egy ideig, a felhasználónak nem kell a hozzáférést a Samba szerver, akkor ideiglenesen tiltsa egy fiókot, és kapcsolja be később. Ha a felhasználónak nem kell hozzáférést Samba, a számla el lehet hagyni. 5. lista mutatja, hogyan kell csinálni.
5. lista Kapcsolja ki a kapcsolót, és eltávolítja a Samba fiókot smbpasswd
használata pdbedit
Ennek része a Samba, egy multifunkcionális szerszám hívott pdbedit. Ez az eszköz lehet dolgozni számlák tárolt bármely három fent említett adatbázisban. Amellett, hogy a létrehozására, módosítására és törlésére felhasználók pdbedit lehetővé teszi, hogy hajtsa végre a következő lépéseket:
- A kijelző a felhasználói fiókok listáját.
- Adja meg a home könyvtár.
- Import felhasználói fiókokat.
- Rendeljen politikák felhasználói fiókokat.
Amikor dolgozik az adatbázis is használható tdbsam pdbedit. és smbpasswd (6. lista). Minden parancs pdbedit root jogokkal kell rendelkeznie.
Listing 6. különböző műveletek a belső adatbázis segítségével smbpasswd és pdbedit
6. lista mutatja meg, hogyan lehet létrehozni egy felhasználó a smbpasswd. majd megjelenik egy lista a Samba felhasználó használja pdbedit.
Saját csatorna létrehozása
Pdbedit segédprogram is lehet használni, hogy állítsa fiókházirendeket. Az alábbiakban felsoroljuk a nevét politika, hogy lehet ellenőrizni:
- min jelszó hossza (jelszó minimális hosszát)
- jelszó történelem (kivéve jelszó történelem)
- felhasználónak kell bejelentkezni a jelszó módosításához (kell változtatni a jelszót a következő bejelentkezéskor)
- jelszó maximális életkor (maximum jelszó)
- jelszó minimális életkor (minimum jelszó)
- lockout időtartama (idő zár egy sikertelen bemenet)
- Reset száma perc (perc számláló alaphelyzetbe zár fiók)
- Rossz lockout kísérlet (elzáródás sikertelen kísérletet kell jelentkezned)
- disconnect idő (alvási idő)
- megtagadják gép jelszóváltoztatásról (a változás, hogy utasítsák el a számítógép jelszót)
A 7. listán, mi meg a jelszó minimális hossza nyolc karakter, majd állítsa be a jelszó maximális életkora 30 nap. Opció -P vesz egy sor érv pontosan meg kell egyeznie a neve az egyik a fenti irányelveket, és beállítja az értéket a -c opciót a kiválasztott politikát.
Listing 7. fiókkezelésben pdbedit
További információ a rendelkezésre álló parancsok, a közművek pdbedit utal az ember oldalt vagy a parancsot pdbedit -h.
használata ldapsam
Ha a környezet több mint 250 felhasználó, akkor a belső ldapsam tárol. Mindezen három adatbázist csak ldapsam tárolhat adatokat a csoport számláit. Ha az összes információt a felhasználók és csoportok tárolása a belső adatbázis LDAP adatok, felhasználói azonosítók és csoportok (UID és GID, sorrendben) kerül megállapodhatnak a szervereket. Mivel az LDAP beállítása túlmutat ezt a cikket, azt korlátozni fogja az információt, hogy az LDAP kiszolgáló helyen definiált paraméter idmap backend smb.conf.
A következő példa idmap backend paraméter megmondja Samba, hogy mivel a tanúsítvány-tároló használata az LDAP címtár szolgáltatás fut nevű csomóponton directory-services.example.org. Ebben az esetben van szükség, hogy egy működő LDAP szerver előre konfigurált, hogy működjön együtt a Samba (részletesebben idmap segédprogram lesz szó a következő fejezetben).
fiókfeltérképezési
Ha a Samba kiszolgáló tagkiszolgálóra a domain, akkor valószínű, hogy akkor csak a térképészeti fájlt. Azonban, ha a környezet, a felhasználók, akik csatlakozni a Samba kiszolgáló egy másik domain, a helyes összehasonlítás felhasználói és csoport azonosítók segít teljesíteni idmap segédprogramot.
Felhasználói térképezés sampasswd és TD-fájlok
1. táblázat A Windows felhasználói fiókok és UNIX összehasonlításhoz
Amikor létrehoz egy Samba számlák, használja a nevét a Windows felhasználói fiókok. A fájl smb.conf megadhatja a helyét a fájl tartalmazza a megfelelő számlák és a megfelelő UNIX számlákat. Listing 8 összehasonlítását mutatja számlák UNIX.
Listing 8. Egy egyszerű összehasonlítás UNIX számlák
A parancs lista 8 konfigurálja a username map opciót a fájl a / etc / samba / smbusers feltérképezése fájlokat. összehasonlítása számlák eljárás igen egyszerű: a bal jelzi UNIX felhasználói fiókok, jobbra - Samba számlák, és egy egyenlőségjel között (=). Amikor egy felhasználó csatlakozik Samba térképek a megfelelő számlára.
összehasonlítás csoportok
Egy tipikus környezetben, Samba összehasonlító csoport konfigurálható groupmap Samba csapatot. Tegyük fel, hogy Monty felhasználók bostt sue.george és tagja a Tartománygazdák, Domain Users, Domain számára. Ha szeretné beállítani az ezen csoportok azonosak engedélyeket, hogy a UNIX csoportok a Samba kiszolgálón, majd adjuk hozzá a nevét UNIX felhasználói fiókok minden csoportban:
Ez csak egy része a csoportok listáját a Samba kiszolgálón. adm csoport és a felhasználók verte során létrehozott Linux operációs rendszer telepítése. Meg kell adni az egyes felhasználókat a megfelelő csoportokhoz (2. táblázat).
2. táblázat fiókok Windows és UNIX csoportok összehasonlítása
Net groupmap csapat összehasonlítást végez domain csoportok (lásd lista 9), és a nettó groupmap lista listája jelenik meg ilyen összehasonlítások. Kezdve Samba 3.x, van egy új funkció célja, hogy összehasonlítsuk a relatív Windows-azonosítók (RID) és UNIX-csoport ID (GID).
Listing 9. összehasonlítása csoportok segítségével a csapat groupmap
A lista 9. a következő sorrendben keresetek összehasonlítási csoport:
- Művészet net groupmap add paranccsal, hogy megfeleljen a Windows Group Domain Admin (ntgroup = „Domain Admin„) UNIX ADM-csoport (unixgroup = ADM).
Miután ezeket a lépéseket minden kontrollcsoport.
Összehasonlítása azonosító adatok
A fenti összehasonlítások elegendő a legtöbb környezetben. Azonban, ha a kezelő bonyolultabb környezetben, például környezetekben, több Samba vagy munkaállomások különböző területeken, amelyek kapcsolódnak a Samba szerver, akkor tudni kell az összehasonlítás, az azonosítási adatok (idmap) és Winbind. Idmap segíthet megoldani átjárhatósági problémák a Windows biztonsági azonosítókat (SID) és a helyi felhasználói azonosítókat (UID) vagy csoportot (GID) UNIX.
Ha a Samba kiszolgáló tagja egy Windows tartomány, hogy megfeleljen a SID és UID (GID) Használhatja a Winbind. A fájl smb.conf, beállíthatja a tartományban idmap paraméterértékek és adja meg az időt, amelyen belül a Winbind kell cache a fiók adatait: