Samba jako PDC - Zimowisko TLUG-u

Samba jako PDC
TLUG
Zimowisko
15 Stycznia 2011
Tomasz Górny
Samba command line
/usr/bin/smbclient -L pdc
/usr/bin/smbclient –U \\zimmerman\\public
Server time is Sat Aug 10 15:58:44 1996
Timezone is UTC+10.0
Domain=[WORKGROUP] OS=[Windows NT 3.51] Server=[NT LAN Manager 3.51]
smb: \>
smb vs. cifs
CIFS(Common Internet File System) to nowa wersja protokołu SMB
opracowywana przez Microsoft i kilka innych firm. Szkic protokołu został
przesłany do IETF, jednak z powodu wielu niedoskonałości nie został
zatwierdzony. CIFS został zaimplementowany m.in. w Windows
2000/XP/2003 oraz Samba 3.0
Implementacje [edytuj]
Najczęściej z implementacją protokołu SMB spotykamy się przy okazji
styczności z systemem Windows. Każda wersja począwszy od Windows
3.11 for Workgroups zawiera implementację SMB.
Jednak nie są to jedyne implementacje. Wśród innych należy wymienid
także: Samba (dla systemów Unix, open source) oraz produkty komercyjne
dla systemów SCO UNIXware, SCO OpenServer, Solaris, HP-UX, OS/2, z/OS
(dwie implementacje: DFS/SMB i open-source'owa Samba) i innych.
Samba jako PDC
Samba może byd z powodzeniem zastosowana
jako Domain Controller
Użyta wersja : Samba ver. 3
Implementacja
Przeznaczenie
OS
Stacje XP
->
->
->
środowisko inżynierskie
100% - Linux stacje robocze
2 desktopy XP prof. box
Cele do rozwiązania
Brak dostępu do narzędzi MS Office ( kompatybilnośd z
klientami)
- MS Office: Word, Power Point
- Adobe Acrobat: zapisywanie znaków Japooskich przy użyciu
czcionek angielskich
(można poprawnie skonfigurowad Adobe w Linux – nie jest to 100% działające)
Webex
Konwersja plików pomiędzy standardami OO < - > M$
Excel
Korzyści
Współużytkowanie zasobów Microsoft Windows
Office przez wielu użytkowników OS Linux.
Single Sign-On (SSO)
Roaming profie
Transparentny dostęp do zasobów Linux / Unix
(mapowanie dyskow)
Ograniczenia:
Brak Domeny Windows (Microsoft)
Budżet
Zaproponowane rozwiązanie :
Samba 3 jako kontroler domemy do której
podpięte są stacje robocze XP.
Dostęp przez z RDP (RPM)
Wspólne mapowanie dysków
Uwierzytelnianie przez DS (LDAP)
Materiały źródłowe :
http://www.samba.org
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection
http://www.google.com
Bardzo duzo materiałow dostępnych w sieci.
Skróty
Samba
For the Argentinian national dance, see Zamba
LDAP
Lightweight Directory Access Protocol (X.500)
PDC
Primary Domain Controller
BDC
Backup Domain Controller
DOMAIN
A service provider holding a security repository permitting to easily authenticate
and authorize clients with credentials
LDAP
Początki
OpenLdap (Sleepy Cat db)
Teraz
FDS, iPlanet, eDirectory
(lub bardziej zaawansowane rozwiązanie)
Centralny punkt dystrubucji (master/slave/replika)
samba schema
•
•
•
•
[root@pdc openldap]# pwd
/etc/openldap
[root@pdc openldap]# cat slapd.conf | grep samba
include
/etc/openldap/schema/samba.schema
• [root@linux1 ~]# find /usr -type f -name samba.schema
• /usr/share/doc/samba-3.0.33/LDAP/samba.schema
• [root@linux1 ~]# cp /usr/share/doc/samba3.0.33/LDAP/samba.schema /etc/openldap/schema/
Inicjalizacja LDAP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
# Organization for Samba Base
dn: dc=tgorny,dc=net
objectclass: dcObject
objectclass: organization
dc: tgorny
o: Quenya Org Network
description: The Samba-3 Network LDAP Example
# Organizational Role for Directory Management
dn: cn=Manager,dc=tgorny,dc=net
objectclass: organizationalRole
cn: Manager
description: Directory Manager
……….
Dodawanie wpisów
• [root@pdc openldap]# ldapadd -a -W -x -D
"cn=Manager,dc=tgorny,dc=net" -f initldap.ldif
• Enter LDAP Password:
• adding new entry "dc=tgorny,dc=net"
• adding new entry "cn=Manager,dc=tgorny,dc=net"
• adding new entry "ou=People,dc=tgorny,dc=net"
• adding new entry "cn=admin,ou=People,dc=tgorny,dc=net"
• adding new entry "ou=Groups,dc=tgorny,dc=net"
• adding new entry "cn=admin,ou=Groups,dc=tgorny,dc=net"
• adding new entry "ou=Computers,dc=tgorny,dc=net"
• adding new entry
"cn=admin,ou=Computers,dc=tgorny,dc=net"
Przeglądanie bazy danych
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
[root@pdc openldap]# ldapsearch -x -b "dc=tgorny,dc=net"
# Computers, tgorny.net
dn: ou=Computers,dc=tgorny,dc=net
objectClass: top
objectClass: organizationalUnit
ou: Computers
# admin, Computers, tgorny.net
dn: cn=admin,ou=Computers,dc=tgorny,dc=net
cn: admin
objectClass: top
objectClass: organizationalRole
objectClass: simpleSecurityObject
userPassword:: c2VjcmV0
Samba
Plik konfiguracyjny
[root@pdc ~]# vi /etc/samba/smb.conf
Logi
[root@pdc samba]# pwd
/var/log/samba
[root@pdc samba]# ll
total 24
drwx------ 4 root root 4096 Jan 13 01:01 cores
-rw-r--r-- 1 root root 1883 Jan 13 01:04 nmbd.log
-rw-r--r-- 1 root root 1911 Jan 13 01:03 smbd.log
[root@pdc samba]#
Narzędzia graficzne
Konfiguracja account LDAP
• Table 11.3. Attributes in the sambaSamAccount
ObjectClass (LDAP), Part A
• Table 11.4. Attributes in the sambaSamAccount
ObjectClass (LDAP), Part B
Mapowanie grup (niezbędne)
•
Domain Admins (S-1-5-21-2547222302-1596225915-2414751004-512) -> domadmin
•
Domain Users (S-1-5-21-2547222302-1596225915-2414751004-513) -> domuser
•
Domain Guests (S-1-5-21-2547222302-1596225915-2414751004-514) -> domguest
Konfiguracja klienta
przykład
• Dodanie hasła dostępu Samby do LDAP
[root@pdc ~]# smbpasswd -w secret
[root@pdc ~]# find /etc -name secrets.tdb -exec ls -al {} ;
-rw------- 1 root root 8192 Jan 13 01:01 /etc/samba/secrets.tdb

Check the file !!!!
Przykładowy plik dla użytkownika
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
dn: uid=tgorny, ou=People,dc=tgorny,dc=net
sambaLogonTime: 0
displayName: Tomasz Gorny
sambaPrimaryGroupSID: S-1-5-21-2447931902-1787058256-3961074038-513
objectClass: posixAccount
objectClass: sambaSamAccount
sambaAcctFlags: [UX ]
userPassword: {crypt}BpM2ej8Rkzogo
uid: tgorny
uidNumber: 900
cn: Tomasz Gorny
loginShell: /bin/tcsh
logoffTime: 2147483647
gidNumber: 500
sambaKickoffTime: 2147483647
sambaPwdLastSet: 1010179230
sambaSID: S-1-5-21-2447931902-1787058256-3961074038-5004
homeDirectory: /home/service06-gd/tgorny
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaNTPassword: 878D8014606CDA29677A44EFA1353FC7
sambaLMPassword: 552902031BEDE9EFAAD3B435B51404EE
Samba Plik konfiguracyjny
#======================= Global Settings =====================================
# ----------------------- Network Related Options ------------------------# --------------------------- Logging Options ----------------------------# ----------------------- Standalone Server Options -----------------------# ----------------------- Domain Members Options -----------------------# ----------------------- Domain Controller Options -----------------------# ----------------------- Browser Control Options ---------------------------#----------------------------- Name Resolution ------------------------------# --------------------------- Printing Options ----------------------------# --------------------------- Filesystem Options --------------------------#============================ Share Definitions ==============================
Konfiguracja klienta
przykład
[global]
workgroup = DESIGNERS
server string = gda9
ldap admin dn = "cn=Manager,dc=gdansk,dc=chipidea,dc=com"
ldap ssl = off
passdb backend = ldapsam:ldap://10.0.7.16:389
ldap delete dn = no
ldap suffix = o=smb,dc=gdansk,dc=chipidea,dc=com
ldap filter = (&(uid=%u)(objectclass=sambaSamAccount))
log file = /var/log/samba/%m.log
max log size = 50
security = user
name resolve order = wins lmhosts bcast
wins support = no
wins server = 10.0.7.26 10.0.7.14
wins proxy = no
dns proxy = no
Konfiguracja PDC
[global]
passdb backend = ldapsam
level = 33
preferred master = auto
domain master = yes
local master = yes
security = user
domain logons = yes
logon path = \\%N\profiles\%U
logon drive = B:
logon home = \\homeserver\%U\win
profilelogon script = logon.cmd
[netlogon]
path = /home/samba/netlogon
read only = yes
[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
Pliki Windows potrzebne PDC
www.samba.org
• Samba 3 używa
Windows NT4-Style Policy Files
• With NT4-style registry-based policy changes, a large
number of settings are not automatically reversed as
the user logs off. The settings that were in
the NTConfig.POL file were applied to the client
machine registry and apply to the hive key
HKEY_LOCAL_MACHINE are permanent until explicitly
reversed. This is known as tattooing. It can have
serious consequences downstream, and the
administrator must be extremely careful not to lock out
the ability to manage the machine at a later date.
Group Policy (object) is a set of rules which control the
working environment of user accounts and computer
accounts.
• NT4 policy files are named NTConfig.POL and are
stored in the root of the NETLOGON share on the
domain controllers. A Windows NT4 user enters a
username and password and selects the domain name
to which the logon will attempt to take place. During
the logon process, the client machine reads
the NTConfig.POL file from the NETLOGON share on
the authenticating server and modifies the local
registry values according to the settings in this file.
• ……edit registry files (called NTUser.DAT)….
• …… NTConfig.POL files have the same structure as
the NTUser.DAT…….
Pomoc Microsoft
• http://support.microsoft.com/default.aspx?scid=kb;en-us;154120
• http://support.microsoft.com/default.aspx?scid=kb;en-us;221833
Pomoc Samba
http://www.samba.org/samba/docs/man/
Samba-HOWTOCollection/ProfileMgmt.html#id2664442
(Pozdrawiam Linuxowe Gnomy )
Dodanie XP desktop do domeny
www.samba.org
Ab y dodad komputer do domeny najpiew trzeba stworzyd wpis w LDAP z
typem konta [W]
Dodanie XP desktop do domeny
www.samba.org
Dodanie Użytkownika do desktop
Dodanie użytkownika do desktopa
Dodanie użytkownika do desktopa
WINS Serwer
A WINS (Windows Internet Name Server) service is the equivalent of
the rfc1001/1002 specified NBNS (NetBIOS Name Server). A WINS
server stores the names and IP addresses that are registered by a
Windows client if the TCP/IP setup has been given at least one
WINS server IP address.
Konfiguracja WINS serwera
wins support = Yes
Konfiguracja WINS klienta
wins support = No
wins server = xxx.xxx.xxx.xxx
Wins – jeden serwer w sieci. Standalone.
Samba - drukowanie
To jest temat na osobne spotkanie TLUG
http://pl.wikipedia.org/wiki/Line_Printer_Daemon
Line Printer Daemon (LPD), Line Printer Remote (LPR) lub
Berkeley printing system - zbiór programów do
obsługi drukarek, oferujących również usługi serwera druku
dla systemów operacyjnych klasy Unix. Najpopularniejsze
implementacje LPD to BSD i LPRng. Popularny
w Linuksach CUPS ma wiele zapożyczeo z LPD
Wcześniej używałem lpd. Działało bardzo dobrze. Pojawiło sie
nowe rozwiązanie które sprawuje sie jeszcze lepiej.
Samba - drukowanie
http://pl.wikipedia.org/wiki/CUPS
CUPS (Common UNIX Printing System) – jest nowoczesnym,
przenośnym systemem obsługi urządzeo drukujących dla
systemów bazujących na architekturze UNIX. CUPS został
wydany przez firmę Easy Software Products na licencji GNU
GPL. W lutym 2007 roku został wykupiony (razem z ESP)
przez firmę Apple Inc., co jednak nie miało wpływu na
zmianę licencjonowania.
Konfiguracja: W dowolnej przeglądarce
wpisujemy http://localhost:631 i po dokonaniu zmian
podajemy nazwę (root) oraz jego hasło.
Thank you APPLE
Samba 4
• What is Samba 4 meant to accomplish? In simplest terms, Samba 4 is an
ambitious, yet achievable, reworking of the Samba code. Major features
for Samba 4 already include:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
support of the 'Active Directory' logon and administration protocols (200X)
new 'full coverage' test suites
full NTFS semantics for sharing backends
Internal LDAP server, with AD semantics
Internal Kerberos server, including PAC support
Bind9 integration for AD DNS support
fully asynchronous internals
flexible process models
better scalability from micro to very large installations
new RPC infrastructure (PIDL)
flexible database architecture (LDB)
Python support - used excessively for client and management tools
generic security subsystem (GENSEC)
over 50% auto-generated code!
Automatyczne konfigurowanie
drukarek w domenie
Automatyczne konfigurowanie drukarek w domenie
Jest mozliwe aby podczas dodawania komputera do domeny
automatycznie dodad/skopiowad sterowniki durkarek.
Z praktycznego punktu widzenia słabo się to sprawdza
Scenariusz : przyjeżdza szef (nie wiadomo co ma na laptopie) i aby
automatycznie dodac mu drukarki dodajemy jego komputer do
domeny.
!!!!!
Co innego jak jestśmy w jednej domenie. Lub jak instalujemy nowy system.
Celem jest dodanie drukarek w trakcie dodawania komputera do domeny.
Samba 4
• Samba 4.0.0 alpha 14 "randomdata" was released on Thursday, 24th of
December 2010.
• The release announcement was posted to the samba-technical mailing list.
• 4.0.0alpha15
• Alpha 15 is scheduled for the first week of February (2011).
Żenujący Żart Prowadzącego 1
Żenujący Żart Prowadzącego 2
Podsumowanie :
Mój kolega na rozmowie wstępnej o prace aby pochwalid się swoimi
osiągnięciami w obszarze Linux prezentował ww rozwiązanie.
W pewnej chwili po wyłuszczeniu tematu wśród osób oceniających
jego kandydaturę na sali zapadła żenująca cisza. Jednak po chwili
ktoś z „jury” szybko się zreflektował i zadał błyskotliwe pytanie :
- To znaczy, że nie macie Windows Serwera.
- Nie stad was?
Konkluzja:
Samba w roli PDC znad wypada, chwalid się tym na rozmowach
wstępnych – niekoniecznie 
Zachęcam do eksperymentów z PDC
pogłebia wiedze z DS + net env. + XP
Postawienie PDC jest dobrym dwiczeniem dla
regularnego linuxowego Gnoma.
Samba v3
Screen + vim + XP

Samba v4
Aero + Notepad + W7
Dziękuje za uwagę.
Pytania?