Samba jako PDC - Zimowisko TLUG-u
Transkrypt
Samba jako PDC - Zimowisko TLUG-u
Samba jako PDC TLUG Zimowisko 15 Stycznia 2011 Tomasz Górny Samba command line /usr/bin/smbclient -L pdc /usr/bin/smbclient –U \\zimmerman\\public Server time is Sat Aug 10 15:58:44 1996 Timezone is UTC+10.0 Domain=[WORKGROUP] OS=[Windows NT 3.51] Server=[NT LAN Manager 3.51] smb: \> smb vs. cifs CIFS(Common Internet File System) to nowa wersja protokołu SMB opracowywana przez Microsoft i kilka innych firm. Szkic protokołu został przesłany do IETF, jednak z powodu wielu niedoskonałości nie został zatwierdzony. CIFS został zaimplementowany m.in. w Windows 2000/XP/2003 oraz Samba 3.0 Implementacje [edytuj] Najczęściej z implementacją protokołu SMB spotykamy się przy okazji styczności z systemem Windows. Każda wersja począwszy od Windows 3.11 for Workgroups zawiera implementację SMB. Jednak nie są to jedyne implementacje. Wśród innych należy wymienid także: Samba (dla systemów Unix, open source) oraz produkty komercyjne dla systemów SCO UNIXware, SCO OpenServer, Solaris, HP-UX, OS/2, z/OS (dwie implementacje: DFS/SMB i open-source'owa Samba) i innych. Samba jako PDC Samba może byd z powodzeniem zastosowana jako Domain Controller Użyta wersja : Samba ver. 3 Implementacja Przeznaczenie OS Stacje XP -> -> -> środowisko inżynierskie 100% - Linux stacje robocze 2 desktopy XP prof. box Cele do rozwiązania Brak dostępu do narzędzi MS Office ( kompatybilnośd z klientami) - MS Office: Word, Power Point - Adobe Acrobat: zapisywanie znaków Japooskich przy użyciu czcionek angielskich (można poprawnie skonfigurowad Adobe w Linux – nie jest to 100% działające) Webex Konwersja plików pomiędzy standardami OO < - > M$ Excel Korzyści Współużytkowanie zasobów Microsoft Windows Office przez wielu użytkowników OS Linux. Single Sign-On (SSO) Roaming profie Transparentny dostęp do zasobów Linux / Unix (mapowanie dyskow) Ograniczenia: Brak Domeny Windows (Microsoft) Budżet Zaproponowane rozwiązanie : Samba 3 jako kontroler domemy do której podpięte są stacje robocze XP. Dostęp przez z RDP (RPM) Wspólne mapowanie dysków Uwierzytelnianie przez DS (LDAP) Materiały źródłowe : http://www.samba.org http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection http://www.google.com Bardzo duzo materiałow dostępnych w sieci. Skróty Samba For the Argentinian national dance, see Zamba LDAP Lightweight Directory Access Protocol (X.500) PDC Primary Domain Controller BDC Backup Domain Controller DOMAIN A service provider holding a security repository permitting to easily authenticate and authorize clients with credentials LDAP Początki OpenLdap (Sleepy Cat db) Teraz FDS, iPlanet, eDirectory (lub bardziej zaawansowane rozwiązanie) Centralny punkt dystrubucji (master/slave/replika) samba schema • • • • [root@pdc openldap]# pwd /etc/openldap [root@pdc openldap]# cat slapd.conf | grep samba include /etc/openldap/schema/samba.schema • [root@linux1 ~]# find /usr -type f -name samba.schema • /usr/share/doc/samba-3.0.33/LDAP/samba.schema • [root@linux1 ~]# cp /usr/share/doc/samba3.0.33/LDAP/samba.schema /etc/openldap/schema/ Inicjalizacja LDAP • • • • • • • • • • • • • • # Organization for Samba Base dn: dc=tgorny,dc=net objectclass: dcObject objectclass: organization dc: tgorny o: Quenya Org Network description: The Samba-3 Network LDAP Example # Organizational Role for Directory Management dn: cn=Manager,dc=tgorny,dc=net objectclass: organizationalRole cn: Manager description: Directory Manager ………. Dodawanie wpisów • [root@pdc openldap]# ldapadd -a -W -x -D "cn=Manager,dc=tgorny,dc=net" -f initldap.ldif • Enter LDAP Password: • adding new entry "dc=tgorny,dc=net" • adding new entry "cn=Manager,dc=tgorny,dc=net" • adding new entry "ou=People,dc=tgorny,dc=net" • adding new entry "cn=admin,ou=People,dc=tgorny,dc=net" • adding new entry "ou=Groups,dc=tgorny,dc=net" • adding new entry "cn=admin,ou=Groups,dc=tgorny,dc=net" • adding new entry "ou=Computers,dc=tgorny,dc=net" • adding new entry "cn=admin,ou=Computers,dc=tgorny,dc=net" Przeglądanie bazy danych • • • • • • • • • • • • • • • [root@pdc openldap]# ldapsearch -x -b "dc=tgorny,dc=net" # Computers, tgorny.net dn: ou=Computers,dc=tgorny,dc=net objectClass: top objectClass: organizationalUnit ou: Computers # admin, Computers, tgorny.net dn: cn=admin,ou=Computers,dc=tgorny,dc=net cn: admin objectClass: top objectClass: organizationalRole objectClass: simpleSecurityObject userPassword:: c2VjcmV0 Samba Plik konfiguracyjny [root@pdc ~]# vi /etc/samba/smb.conf Logi [root@pdc samba]# pwd /var/log/samba [root@pdc samba]# ll total 24 drwx------ 4 root root 4096 Jan 13 01:01 cores -rw-r--r-- 1 root root 1883 Jan 13 01:04 nmbd.log -rw-r--r-- 1 root root 1911 Jan 13 01:03 smbd.log [root@pdc samba]# Narzędzia graficzne Konfiguracja account LDAP • Table 11.3. Attributes in the sambaSamAccount ObjectClass (LDAP), Part A • Table 11.4. Attributes in the sambaSamAccount ObjectClass (LDAP), Part B Mapowanie grup (niezbędne) • Domain Admins (S-1-5-21-2547222302-1596225915-2414751004-512) -> domadmin • Domain Users (S-1-5-21-2547222302-1596225915-2414751004-513) -> domuser • Domain Guests (S-1-5-21-2547222302-1596225915-2414751004-514) -> domguest Konfiguracja klienta przykład • Dodanie hasła dostępu Samby do LDAP [root@pdc ~]# smbpasswd -w secret [root@pdc ~]# find /etc -name secrets.tdb -exec ls -al {} ; -rw------- 1 root root 8192 Jan 13 01:01 /etc/samba/secrets.tdb Check the file !!!! Przykładowy plik dla użytkownika • • • • • • • • • • • • • • • • • • • • • • dn: uid=tgorny, ou=People,dc=tgorny,dc=net sambaLogonTime: 0 displayName: Tomasz Gorny sambaPrimaryGroupSID: S-1-5-21-2447931902-1787058256-3961074038-513 objectClass: posixAccount objectClass: sambaSamAccount sambaAcctFlags: [UX ] userPassword: {crypt}BpM2ej8Rkzogo uid: tgorny uidNumber: 900 cn: Tomasz Gorny loginShell: /bin/tcsh logoffTime: 2147483647 gidNumber: 500 sambaKickoffTime: 2147483647 sambaPwdLastSet: 1010179230 sambaSID: S-1-5-21-2447931902-1787058256-3961074038-5004 homeDirectory: /home/service06-gd/tgorny sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaNTPassword: 878D8014606CDA29677A44EFA1353FC7 sambaLMPassword: 552902031BEDE9EFAAD3B435B51404EE Samba Plik konfiguracyjny #======================= Global Settings ===================================== # ----------------------- Network Related Options ------------------------# --------------------------- Logging Options ----------------------------# ----------------------- Standalone Server Options -----------------------# ----------------------- Domain Members Options -----------------------# ----------------------- Domain Controller Options -----------------------# ----------------------- Browser Control Options ---------------------------#----------------------------- Name Resolution ------------------------------# --------------------------- Printing Options ----------------------------# --------------------------- Filesystem Options --------------------------#============================ Share Definitions ============================== Konfiguracja klienta przykład [global] workgroup = DESIGNERS server string = gda9 ldap admin dn = "cn=Manager,dc=gdansk,dc=chipidea,dc=com" ldap ssl = off passdb backend = ldapsam:ldap://10.0.7.16:389 ldap delete dn = no ldap suffix = o=smb,dc=gdansk,dc=chipidea,dc=com ldap filter = (&(uid=%u)(objectclass=sambaSamAccount)) log file = /var/log/samba/%m.log max log size = 50 security = user name resolve order = wins lmhosts bcast wins support = no wins server = 10.0.7.26 10.0.7.14 wins proxy = no dns proxy = no Konfiguracja PDC [global] passdb backend = ldapsam level = 33 preferred master = auto domain master = yes local master = yes security = user domain logons = yes logon path = \\%N\profiles\%U logon drive = B: logon home = \\homeserver\%U\win profilelogon script = logon.cmd [netlogon] path = /home/samba/netlogon read only = yes [profiles] path = /var/lib/samba/profiles read only = no create mask = 0600 directory mask = 0700 Pliki Windows potrzebne PDC www.samba.org • Samba 3 używa Windows NT4-Style Policy Files • With NT4-style registry-based policy changes, a large number of settings are not automatically reversed as the user logs off. The settings that were in the NTConfig.POL file were applied to the client machine registry and apply to the hive key HKEY_LOCAL_MACHINE are permanent until explicitly reversed. This is known as tattooing. It can have serious consequences downstream, and the administrator must be extremely careful not to lock out the ability to manage the machine at a later date. Group Policy (object) is a set of rules which control the working environment of user accounts and computer accounts. • NT4 policy files are named NTConfig.POL and are stored in the root of the NETLOGON share on the domain controllers. A Windows NT4 user enters a username and password and selects the domain name to which the logon will attempt to take place. During the logon process, the client machine reads the NTConfig.POL file from the NETLOGON share on the authenticating server and modifies the local registry values according to the settings in this file. • ……edit registry files (called NTUser.DAT)…. • …… NTConfig.POL files have the same structure as the NTUser.DAT……. Pomoc Microsoft • http://support.microsoft.com/default.aspx?scid=kb;en-us;154120 • http://support.microsoft.com/default.aspx?scid=kb;en-us;221833 Pomoc Samba http://www.samba.org/samba/docs/man/ Samba-HOWTOCollection/ProfileMgmt.html#id2664442 (Pozdrawiam Linuxowe Gnomy ) Dodanie XP desktop do domeny www.samba.org Ab y dodad komputer do domeny najpiew trzeba stworzyd wpis w LDAP z typem konta [W] Dodanie XP desktop do domeny www.samba.org Dodanie Użytkownika do desktop Dodanie użytkownika do desktopa Dodanie użytkownika do desktopa WINS Serwer A WINS (Windows Internet Name Server) service is the equivalent of the rfc1001/1002 specified NBNS (NetBIOS Name Server). A WINS server stores the names and IP addresses that are registered by a Windows client if the TCP/IP setup has been given at least one WINS server IP address. Konfiguracja WINS serwera wins support = Yes Konfiguracja WINS klienta wins support = No wins server = xxx.xxx.xxx.xxx Wins – jeden serwer w sieci. Standalone. Samba - drukowanie To jest temat na osobne spotkanie TLUG http://pl.wikipedia.org/wiki/Line_Printer_Daemon Line Printer Daemon (LPD), Line Printer Remote (LPR) lub Berkeley printing system - zbiór programów do obsługi drukarek, oferujących również usługi serwera druku dla systemów operacyjnych klasy Unix. Najpopularniejsze implementacje LPD to BSD i LPRng. Popularny w Linuksach CUPS ma wiele zapożyczeo z LPD Wcześniej używałem lpd. Działało bardzo dobrze. Pojawiło sie nowe rozwiązanie które sprawuje sie jeszcze lepiej. Samba - drukowanie http://pl.wikipedia.org/wiki/CUPS CUPS (Common UNIX Printing System) – jest nowoczesnym, przenośnym systemem obsługi urządzeo drukujących dla systemów bazujących na architekturze UNIX. CUPS został wydany przez firmę Easy Software Products na licencji GNU GPL. W lutym 2007 roku został wykupiony (razem z ESP) przez firmę Apple Inc., co jednak nie miało wpływu na zmianę licencjonowania. Konfiguracja: W dowolnej przeglądarce wpisujemy http://localhost:631 i po dokonaniu zmian podajemy nazwę (root) oraz jego hasło. Thank you APPLE Samba 4 • What is Samba 4 meant to accomplish? In simplest terms, Samba 4 is an ambitious, yet achievable, reworking of the Samba code. Major features for Samba 4 already include: • • • • • • • • • • • • • • support of the 'Active Directory' logon and administration protocols (200X) new 'full coverage' test suites full NTFS semantics for sharing backends Internal LDAP server, with AD semantics Internal Kerberos server, including PAC support Bind9 integration for AD DNS support fully asynchronous internals flexible process models better scalability from micro to very large installations new RPC infrastructure (PIDL) flexible database architecture (LDB) Python support - used excessively for client and management tools generic security subsystem (GENSEC) over 50% auto-generated code! Automatyczne konfigurowanie drukarek w domenie Automatyczne konfigurowanie drukarek w domenie Jest mozliwe aby podczas dodawania komputera do domeny automatycznie dodad/skopiowad sterowniki durkarek. Z praktycznego punktu widzenia słabo się to sprawdza Scenariusz : przyjeżdza szef (nie wiadomo co ma na laptopie) i aby automatycznie dodac mu drukarki dodajemy jego komputer do domeny. !!!!! Co innego jak jestśmy w jednej domenie. Lub jak instalujemy nowy system. Celem jest dodanie drukarek w trakcie dodawania komputera do domeny. Samba 4 • Samba 4.0.0 alpha 14 "randomdata" was released on Thursday, 24th of December 2010. • The release announcement was posted to the samba-technical mailing list. • 4.0.0alpha15 • Alpha 15 is scheduled for the first week of February (2011). Żenujący Żart Prowadzącego 1 Żenujący Żart Prowadzącego 2 Podsumowanie : Mój kolega na rozmowie wstępnej o prace aby pochwalid się swoimi osiągnięciami w obszarze Linux prezentował ww rozwiązanie. W pewnej chwili po wyłuszczeniu tematu wśród osób oceniających jego kandydaturę na sali zapadła żenująca cisza. Jednak po chwili ktoś z „jury” szybko się zreflektował i zadał błyskotliwe pytanie : - To znaczy, że nie macie Windows Serwera. - Nie stad was? Konkluzja: Samba w roli PDC znad wypada, chwalid się tym na rozmowach wstępnych – niekoniecznie Zachęcam do eksperymentów z PDC pogłebia wiedze z DS + net env. + XP Postawienie PDC jest dobrym dwiczeniem dla regularnego linuxowego Gnoma. Samba v3 Screen + vim + XP Samba v4 Aero + Notepad + W7 Dziękuje za uwagę. Pytania?