Tanuljuk a linux, 302 (vegyes környezetek) domainkezelést
Minden más ügyfelet
Roaming profilok létrehozása
A Windows operációs rendszer általában a helyi számítógép felhasználói beállításait tárolja. Ez kényelmes, ha minden felhasználó mindig ugyanazon a számítógépen dolgozik, de ez nem mindig így van. Például az egyetem számítógépes osztályában minden diák különböző számítógépeken dolgozhat. Ebben a helyzetben jobb a felhasználói beállítások tárolása távoli kiszolgálón. Ebből a célból a barangolási profilokat tervezték.
Hagyományosan ez a megosztott erőforrás egy Samba futtató tartományvezérlőn jön létre, bár bármely más fájlkiszolgálón tárolható. Ezenkívül egy PROFILES erőforrás létrehozásakor be kell jelentenie a helyét a Windows operációs rendszerhez. Ehhez használhatja a globális paraméterek bejelentkezési elérési útját:
Ebben a példában a roamingprofilok% L (a jelenlegi kiszolgáló NetBIOS-neve) és a% U (a munkamenet elindítója neve) változókat használtuk a könyvtárba. Győződjön meg róla, hogy a barangolási profilok valóban tárolódnak a létrehozott PROFILES megosztáson.
A Tartalék tartományvezérlő konfigurálása
A Windows NT tartományok több tartományvezérlővel is rendelkezhetnek, ha egyikük hibája esetén redundanciát biztosít. A Windows NT tartományban az egyik az elsődleges tartományvezérlő (PDC), a többi a Backup Domain Controller (BDC). Ez a beállítás kissé bonyolítja az általános képet, de elengedhetetlen azokban az esetekben, amikor a hálózati környezet a tartományvezérlő egészségétől függ.
A biztonsági mentés tartományvezérlőt a Samba-ban az LDAP protokoll használatával érdemes engedélyezni, amely a fiókokkal kapcsolatos adatokat tárolja. Az LDAP-ot arra tervezték, hogy információt cseréljen az ilyen típusú konfigurációkhoz szükséges adatbázisok között, ezért érdemes összerendelni az elsődleges és a tartalék tartományvezérlőket a master és a slave LDAP kiszolgálókhoz. Az LDAP kiszolgálók és a Samba kiszolgálók ugyanazon a számítógépen vagy különböző számítógépeken működhetnek. Egyetlen LDAP kiszolgálót is használhat az elsődleges és a tartalék tartományvezérlők számára, bár ez nem a legjobb megoldás, mert a hibatűrés részben elvész, különösen, ha az LDAP kiszolgáló ugyanazon a számítógépen fut, mint a tartományvezérlők egyikét.
Az elsődleges tartományvezérlő LDAP-kiszolgáló használatának legegyszerűbb konfigurálásához több olyan Samba paramétert kell konfigurálnia, amelyek azonosítják az LDAP-kiszolgálót. A globális paraméterek minimális konfigurációja a következő:
Ebben a példában, felállítottuk Samba LDAP használatára szerver fut ugyanazon a számítógépen (passdb backend = ldapsam: // localhost: 389), és meghatározzuk a legfontosabb tulajdonságai az LDAP azonosítására és kezelésére adatokat.
Megjegyzés. Maga az LDAP konfiguráció nem egyszerű feladat. Feltételezzük, hogy a fő és alárendelt LDAP szerverei már konfiguráltak. Az LDAP-ról további információkat az Erőforrások című témakörben talál.
Javasoljuk, hogy először állítsa be az elsődleges tartományvezérlőt az LDAP-alapú kiszolgáló használatához, és végezze el a konfiguráció átfogó ellenőrzését. Ezt követően elindíthatja a biztonsági mentés-tartományvezérlőt úgy, hogy több előzetes lépést indítson:
- Írja be a net rpc getsid parancsot a biztonsági mentési tartományvezérlőre.
Ezzel a paranccsal olyan fontos azonosítót kap, amely meg kell egyeznie az elsődleges és a tartalék tartományvezérlő számítógépein.
Ez különböző módokon történhet, de a legegyszerűbb módja az / etc / passwd, / etc / group és / etc / shadow fájlok másolása egy számítógépről a másikra. Ha LDAP-t használ a Linux-fiókok kezelésére, akkor ez a művelet nem feltétlenül szükséges.
A sml.conf fájlból származó NETLOGON megosztási beállítások mellett ne felejtsd el magát a könyvtárat is átmásolni. Rendszeresen szinkronizálnia kell a könyvtár tartalmát, valamint a legutóbbi módosításokat.
Miután végrehajtotta ezeket a lépéseket, létrehozhat egy backup tartományvezérlő konfigurációt az smb.conf fájlban.
Ezek a paraméterek, hogy egy tartalék tartományvezérlő megtagadja, hogy részt vegyenek a választásokon a vezető megfigyelő (és lehetővé teszi, hogy megnyerje a választásokat az elsődleges vezérlő), egy LDAP szolga szerver (slave-ldap.example.org), mint egy jelszó adatbázis és az LDAP master szerver (master-ldap. example.org) a Linux és a Windows fiókok közötti leképezések tárolására.
A domainek közötti bizalom beállítása
Active Directory tartományok alapjai
Az Active Directory lényegében három különböző hálózati protokollból áll: Szerverüzenetblokk (SMB) / CIFS, LDAP és Kerberos. Az SMB / CIFS felelős a fájlok és a nyomtatók megosztásának képességéért, az LDAP lehetővé teszi számlákra vonatkozó adatok tárolását, és a Kerberos titkosítást nyújt. Mindezek a technológiák Linuxban is elérhetők, de integrációjuk kihívás lehet. Amint említettük, beállíthatjuk a Samba és az LDAP együttes kezelését a fiókok kezeléséhez - ez a megközelítés nagyon ajánlott, ha biztonsági másolat-tartományvezérlőt szeretne használni. A Samba 3.x is kapcsolódhat a Kerberoshoz, bár itt nem foglalkozunk ezekkel a kérdésekkel. A Samba 4 részlegesen implementálja az LDAP és a Kerberos natív funkcióit, ötvözi őket a fő elosztási csomagban.
Részletesebben a Samba és az Active Directory integrációját tárgyaljuk a 314.3 témában.
Nagy szervezetekben a különböző részlegek rendelkezhetnek saját Windows NT tartományokkal. Ez a konfiguráció lehetővé teszi, hogy minden részleg kezelje saját fiókjait, de korlátozhatja a más osztályok erőforrásainak használatát. Például, két szomszédos részlegben szükség lehet megosztott nyomtatási erőforrások használatára. Ez a fajta tartománykezelési szolgáltatás megvalósítható a domainek közötti bizalom létrehozásával. vagy a rövidség kedvéért, csak egy bizalmi kapcsolat.
A bizalmi kapcsolatoknak két jellemzője van, amelyeket meg kell említeni. Először is ezek a kapcsolatok nem átmenetiek. azaz csak azoknak a tartományoknak dolgoznak, amelyekre kifejezetten konfiguráltak. Ha például a PHYSICS domain megbízik a GEOLOGY domainben, és a GEOLOGY domain egy BIOLOGY domain, a PHYSICS domain nem fog automatikusan megbízni a BIOLOGY domainben. Másodszor, a bizalmi kapcsolatok egyoldalúak. Ha például a PHYSICS domain megbízik a GEOLOGY domainben, akkor ez nem jelenti azt, hogy a GEOLOGY megbízik a PHYSICS domainben. Kétirányú bizalom létrehozásához bizalmi kapcsolatokat kell létrehoznia egy szomszéddal az egyes tartományokban.
A tartományok közötti bizalmi kapcsolatok konfigurálásához minden tartományt egyénileg kell konfigurálni. Az első domain egy megbízható domain. és erőforrásait egy másik domain felhasználója számára elérhetővé teszi, amely ebben az esetben megbízható domain lesz. Tegyük fel például, hogy létezik egy széles formátumú nyomtató a PHYSICS domainben, amelyet a GEOLOGY domain felhasználói szeretnének használni. Ebben az esetben a domain FIZIKA lesz a megbízható tartomány, és a domain GEOLOGY megbízható lesz. A bizalmi kapcsolatok beállításának megkezdéséhez először létre kell hoznia a megbízható és megbízható domainben (GEOLOGY) lévő Linux és Samba fiókokat (FIZIKA):
Ne feledje, hogy a useradd használatakor a dollárszimbólumot ($) kell használni. de nem akkor, ha Samba fiókot hoz létre az smbpasswd használatával. Az smbpasswd parancs kéri a bizalmi fiókhoz tartozó jelszót. Ne feledje el ezt a jelszót, amint szükséged van rá. FÖLDTAN vezérlő megbízható tartomány fogja használni ezt a fiókot, mintha rendes tagja a megbízó domain, amely lehetővé teszi FÖLDTAN tartomány a felhasználók számára a tartományi erőforrásokat fizika.
Futtassa ezt a parancsot egy megbízható számítógépen (ebben az esetben GEOLOGY) működő Linux számítógépen. Amikor jelszót kell megadnia, adja meg a trusted domain smbpasswd parancsában megadott jelszót. Ha minden jól megy, a GEOLOGY domain felhasználója mostantól elérheti a PHYSICS domain szervereit. Ha konfigurálni kell a kétirányú bizalmi kapcsolatokat, meg kell ismételnie ezeket a lépéseket a második tartományban, és változtatni kell a tartományi szerepeket helyeken.
A bizalmi kapcsolatok megszüntetéséhez hajtsa végre a következő parancsot a megbízható tartományban:
Az előző parancs helyett a következő parancsot használhatja egy megbízható tartományban: