Samba как PDC

Вот наконец-то понадобилось мне поднять контроллер домена... На работе дали задание сделать подобную штуку, причем с наименьшими затратами. ну я долго не выбирая, поставил сервак, поставил FreeBSD 8.1 и samba,у на него. Как это все было расскажу далее... :) Установку фряхи в этой статье рассматривать не буду, так как этот процесс очень хорошо расписан в хэндбуке. А вот про установку и настройку samba,ы в качестве PDC расскажу подробно :).

Итак, обновляем порты удобным для вас способом, я лично обновляю их тулзой portsnap.

# portsnap fetch update

После обновления лезем в порты ставить самбу.

# cd /usr/ports/net/samba34
# make install clean

Из предложенных опций я выбрал следующие:

• ACL_SUPPORT
• QUOTAS
• POPT

Дожидаемся завершения установки и идем править конфиг самбы. У меня он получился такого содержания:

#======================= Global Settings =====================================
[global]
  # Имя домена
  workgroup = DUSH-4
  server string = Documents
  # netbios имя компа
  netbios name = srv-data.local

  security = user
  # Разрешаем доступ только из внутренней сети
  hosts allow = 192.168.7. 127.
  # Принтеры мне не нужны, так что я их отключил
  load printers = no
  printing = bsd
  #guest account = nobody
  # Логи мне нужны только для отладки, после завершения настройки я их отключаю, так работает быстрее
  ;log file = /var/log/samba34/log.%m
  log file = /dev/null
  log level = 0
  max log size = 50
  encrypt passwords = yes
  passdb backend = tdbsam

  ;include = /usr/local/etc/smb.conf.%m

  # Некоторые оптимизации
  ;wide links = yes
  read raw = yes
  write raw = yes
  use sendfile = yes
  ;write cache size = 524288
  ;oplocks = yes
  ;dead time = 15
  ;getwd cache = yes
  max xmit = 65535
  socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768 SO_KEEPALIVE

  # Так же для дополнительной защиты привязываем сервисы самбы на нужные интерфейсы
  interfaces = 192.168.7.250/24 127.0.0.1/8
  bind interfaces only = yes
  local master = yes
  domain master = yes
  preferred master = yes

  os level = 65
  # Делаем самбу контроллером домена
  domain logons = yes
  # Включаем поддержку WINS
  wins support = yes
  # Разрешаем самбе быть сервером времени
  time server = yes

  # Пользователи, которые будут администраторами домена
  admin users = nekit
  # Если вам не нужны перемещаемые профили, то оставьте этот параметр пустым
  logon path = \\%L\profiles\%U
  # Подключаем хомяк пользователя
  logon drive = H:
  logon home = \\%L\%U
  # Скрипт выполняемый при входе пользователя в домен
  ;logon script = logon.cmd

  display charset = koi8-r
  unix charset = koi8-r
  dos charset = cp866

  store dos attributes = yes
  case sensitive = no

  # Скрипты для работы с машинами, пользователями и группами
  # Если со всем будете работать вручную, то закомментируйте
  #add machine script = /usr/local/bin/ldapaddmachine '%u' computers
  #add user script = /usr/local/bin/ldapadduser '%u' people
  #add group script = /usr/local/bin/ldapaddgroup '%g'
  #add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
  #delete user script = /usr/local/bin/ldapdeleteuser '%u'
  #delete group script = /usr/local/bin/ldapdeletegroup '%g'
  #delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
  #set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
  #rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew'

#============================ Share Definitions ==============================
# Шара со скриптами
[netlogon]
  comment = Netlogon Service
  path = /mnt/media/samba/netlogon
  read only = yes
  browseable = no
  public = no

# Здесь хранятся перемещаемые профили пользователей
[profiles]
  comment = User profiles
  path = /mnt/media/samba/profiles
  writeable = yes
  browseable = no
  public = no
  csc policy = disable   # отключаем автономное кеширование
  create mask = 0600
  directory mask = 0700

[homes]
  comment = Home Directories
  browseable = no
  writable = yes
  force create mode = 0640
  force directory mode = 0750

[distrib]
  comment = Distrib
  path = /mnt/media/samba/distrib
  public = no
  writable = yes
  force create mode = 0640
  force directory mode = 0750
  force user = smb_user
  force group = smb_write
  valid users = @smb_read
  read list = @smb_read
  write list = @smb_write

[temp]
  comment = Temporary files
  path = /mnt/media/samba/temp
  public = no
  writable = yes
  force create mode = 0640
  force directory mode = 0750
  force user = smb_user
  force group = smb_write
  valid users = @smb_read
  read list = @smb_read
  write list = @smb_read

Конфиг достаточно хорошо прокомментирован, так что дополнять ничего не буду. После правки конфига добавляем группы и пользователей, которым будут сопоставлены группы Windows NT.

# pw groupadd -n pdc_admins -g 10001
# pw groupadd -n pdc_users -g 10002
# pw groupadd -n pdc_computers -g 10003
# pw groupadd -n pdc_guests -g 10004

Далее создаем пользователя (администратора домена) и добавляем в нужную группу.

# pw group add nekit
# pw useradd nekit -g nekit -s /bin/csh -d /home/nekit -L russian -G pdc_admins

Также надо сделать сопоставление Windows NT групп группам Unix

# net groupmap add rid=512 unixgroup=pdc_admins type=domain ntgroup="Domain Admins"
# net groupmap add rid=513 unixgroup=pdc_users type=domain ntgroup="Domain Users"
# net groupmap add rid=514 unixgroup=pdc_guests type=domain ntgroup="Domain Guests"
# net groupmap add rid=515 unixgroup=pdc_computers type=domain ntgroup="Domain Computers"

Проверим, что получилось, должно быть примерно следующее:

# net groupmap list
Domain Admins (S-1-5-21-1729013427-4292848044-4196762361-512) -> pdc_admins
Domain Computers (S-1-5-21-1729013427-4292848044-4196762361-515) -> pdc_computers
Domain Users (S-1-5-21-1729013427-4292848044-4196762361-513) -> pdc_users
Domain Guests (S-1-5-21-1729013427-4292848044-4196762361-514) -> pdc_guests

Теперь можно запустить самбу.

# echo 'smbd_enable="YES"' >> /etc/rc.conf
# echo 'nmbd_enable="YES"' >> /etc/rc.conf
# service samba start

Добавляем созданного ранее пользователя в хранилище самбы

# pdbedit -a nekit
New password: ***
Retype new password: ***
User added...

Еще нужно добавить машины которые будут вводиться в домен. Они добавляются как пользователи, только на конце еще к имени машины добавляется знак $.

# pw useradd srv-data.local$ -g pdc_computers -s /usr/sbin/nologin -d /nonexistent

Теперь можно ввести локальную машину в домен

# net rpc join -U nekit
Password: ***
Added...

Теперь можно посмотреть информацию о домене.

# net rpc info -U nekit
Enter nekit's password:
Domain Name: DUSH-4
Domain SID: S-1-5-21-1729013427-4292848044-4196762361
Sequence number: 1289023023
Num users: 3
Num domain groups: 4
Num local groups: 0

Все готово. Чтобы включить виндовые машины в домен нужно сделать следующее: Панель управления -> Система -> Вкладка: имя компьютера -> Изменить. Там ставите переключатель на пункт "Является членом домена" и вводите свой домен. Винда запросит пароль администратора, введете, и все, ваша машина включена в домен, перезагружаемся и пользуемся.