Установка Samba PDC + Squid со  сквозной ntlm авторизацией.
реклама
Итак, у нас есть сервер, работающий под ОС FreeBSD в качестве шлюза и DHCP-сервера. Теперь можно добавить функционал Primary Domain Controller’а.
1. Устанавливаем самбу портов:
#cd/usr/ports/net/samba34 (в версии 35 свозная авторизация не работает)
#make install clean
Далее пойдет компиляция, минут на 15, зависит от параметров сервера
2. В файл /etc/rc.conf, добавляем строчки для автоматического запуска samba и сопутствующих служб:
samba_enable=”YES”
nmbd_enable=”YES”
smbd_enable=”YES”
winbindd_enable=”YES”
3. Настраиваем /usr/local/etc/smb.conf
Ниже приведен конфиг домена SMBDOMAIN:
[global]
workgroup = SMBDOMAIN
netbios name = SRV
server string = SambaPDC
interfaces = Используемые интерфейсы
log level = 2
log file = /var/log/samba/log.%m
max log size = 200
logon path = %Lprofiles%U
logon home = %L%U
logon drive = H:
domain logons = Yes
os level = 255
preferred master = Yes
domain master = Yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
[homes]
comment = Home Directories
read only = No
browseable = No
[profiles]
path = /usr/home/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No
[netlogon]
comment = Network Logon Service
path = /usr/home/samba/netlogon
browseable = No
#Пример создания папки шары, куда имеет доступ только Admin (Папку по указанному пути, нужно создавать руками!)
[distr]
path = /usr/home/samba/distr
valid users = Admin
admin users = Admin
read only = No
Пример файла smb.conf можно скачать здесь.
4. Далее создаем необходимые самбе папки:
#mkdir –p /usr/home/samba/profiles
#mkdir –p /usr/home/samba/netlogon
#mkdir –p /usr/home/samba/distr
5. Создание юзеров и добавление машин в домен.
Создаем пользователя root для самбы, именно этим юзером будем добавлять машины в домен:
#smbpasswd -a root
Создаем необходимые группы пользователей. Каждый пользователь будет состоять в одной из групп, при этом для каждой группы можно настроить свои права.
#pw group add nt_users
#pw group add nt_admins
#pw group add nt_buhgalters
Далее нужно создать виндовые группы юзеров и скрестить их с юникс-группами:
# net groupmap add ntgroup="Domain Admins" unixgroup=nt_admins type=d
Где DomainAdmins – группа винды (именно ей будет принадлежать наш пользователь в Windows); nt_admins – юникс группа, созданная на шаг раньше.
Теперь можно регистрировать всех пользователей домена.
Для этого необходимо:
1. Создать unix пользователя:
реклама
#adduser
Username: testuser
Fullname: JustForTesting //Будет отображаться в Пуске пользователя
Uid (Leave empty for default):
Login group [testuser]: nt_admins //Указываем группу
Login group is nt_admins. Invite testuser into other groups? []:
Loginclass [default]:
Shell (sh csh tcsh nologin) [sh]:
Home directory [/home/testuser]: /dev/null //Обязательно пишем так
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: no
Username : testuser
Password : <disabled>
Full Name : Just For Testing
Uid : 1016
Class :
Groups : nt_admins
Home : /dev/null
Home Mode :
Shell : /bin/sh
Locked : no
OK? (yes/no):
2. Добавить этого пользователя в БД SAMBA:
#smbpasswd -a ИМЯ_ПОЛЬЗОВАТЕЛЯ
В последствии, если необходимо перенести пользователя из группы nt_users например в nt_buhgalters или nt_admins:
#pw usermod -n ИМЯ_ПОЛЬЗОВАТЕЛЯ -g ОСНОВНАЯ_ГРУППЫ –G ДОП_ГРУППЫ
Далее необходимо создать учетные записи компьютеров, которые мы будем подключать к домену.
Учетная запись компьютера отличается от учетной записи обычного пользователя только символом "$" в конце названия.
Допустим у нас есть 3 Windows ПК, "comp1", "comp2" и "comp3", сделаем для них соответствующие учетные записи. Совет: чтобы не мусорить и не плодить лишние группы, можно добавить все ПК в одну группу, например nt_computers.
#pw group add nt_computers
Создадим учетные записи для Windows компьютеров указав для них основной группой nt_computers
#pw useradd -n comp1$ -d /dev/null -s /usr/bin/false –g nt_computers
#pw useradd -n comp2$ -d /dev/null -s /usr/bin/false –g nt_computers
#pw useradd -n comp3$ -d /dev/null -s /usr/bin/false –g nt_computers
ВАЖНО: также нужно добавить в группу компьютеров САМ СЕРВЕР в данном случае это:
#pw useradd -n srv$ -d /dev/null -s /usr/bin/false –g nt_computers
В нашем случае прокси-сервер squid с подключенным модулем ntlm - аутентификации будет автоматически брать данные о пользователе, который пытается выйти в интернет, сравнивать их с базой пользователей samba (для этого как раз и служит ntlm-модуль), и в случае, если пользователь в БД нашелся (а для нас так и есть - ведь все наши сотрудники занесены в БД samba как пользователи домена), будет пускать его в Интернет.
1. Устанавливаем Squid
#cd /usr/ports/www/squid31
#make install clean
2. Создаем файл конфига
#cat /usr/local/etc/squid/squid.conf.defaul > /usr/local/etc/squid/squid.conf
3. Настраиваем файл /usr/local/etc/squid/squid.conf в соответствии с нужными параметрами.
Вот пример настройки squid для сквозной авторизации (юзеру не придется вводить пароль при открытии браузера/входе на прокси-сервер)
Пример файла squid.conf можно скачать здесь.
После этого обязательно проставить права на папку winbindd_privilegied:
реклама
#chown –R root:squid /var/db/samba34/winbindd_privileged
4. Создадим (SWAP) для прокси сервера Squid
#squid -z
2009/10/25 18:03:26| Creating Swap Directories
Далее добавляем в /etc/rc.conf строку для автоматического запуска squid после перезагрузки:
squid_enable="YES"
После этих действий советую перезагрузить сервер.
реклама
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Сейчас обсуждают