Toți ceilalți clienți
Crearea profilurilor de roaming
De obicei, sistemul de operare Windows stochează informații despre setările utilizatorului pe computerul local. Acest lucru este convenabil dacă fiecare utilizator lucrează întotdeauna pe același computer, dar acest lucru nu este întotdeauna cazul. De exemplu, în clasa de calculatoare a universității, fiecare student poate lucra pe diferite computere. În această situație, este mai bine să stocați setările utilizatorului pe un server la distanță. În acest scop, sunt proiectate profilurile de roaming.
În mod tradițional, această resursă partajată este creată pe un controler de domeniu care rulează Samba, deși îl puteți gazdui pe orice alt server de fișiere. În plus, atunci când creați o resursă PROFILES, trebuie să raportați locația sa sistemului de operare Windows. Pentru a face acest lucru, puteți utiliza calea de conectare globală a parametrilor:
În acest exemplu, am folosit variabilele% L (numele NetBIOS al serverului curent) și% U (numele utilizatorului care a început sesiunea) în calea către directorul cu profiluri de roaming. Asigurați-vă că profilurile de roaming sunt într-adevăr stocate pe partajarea PROFILES create.
Configurarea controlerului de domeniu de rezervă
domeniu Windows NT poate avea mai multe controlere de domeniu, pentru a furniza redundanță în cazul defectării unuia dintre ei. Într-un Windows NT termeni de domeniu de una dintre ele este Domain Controller Primar (Primary Domain Controller, PDC), iar restul - controlerele de domeniu de rezervă (backup Domain Controller, BDC). Această configurație complică imaginea de ansamblu, dar este indispensabil în cazurile în care activitatea mediului de rețea depinde de starea de sănătate a controlerului de domeniu.
Includerea în domeniul controler de backup Samba cel mai bine realizat prin intermediul protocolului LDAP, care stochează informații despre conturile. LDAP a fost proiectat pentru a face schimb de informații între bazele de date necesare pentru configurații de acest tip, deci are sens pentru a lega controlerul de domeniu principal și de rezervă cu servere de master și LDAP slave, respectiv. Serverele LDAP și serverele Samba pot funcționa pe același computer sau pe alte computere. Puteți utiliza, de asemenea un singur server LDAP pentru controlere de domeniu principale și de rezervă, deși nu este cel mai bun mod, pentru că parțial vina toleranță este pierdut, mai ales în cazul în care serverul LDAP rulează pe același computer ca și unul dintre controlere de domeniu.
Pentru cea mai simplă configurație a controlerului de domeniu primar care utilizează un server LDAP, trebuie să configurați câțiva parametri suplimentari de Samba care identifică serverul LDAP. Configurația minimă a parametrilor globali este după cum urmează:
În acest exemplu, am configurat Samba pentru a utiliza serverul LDAP care rulează pe același computer (backend passdb = ldapsam: // localhost: 389), și de a determina cele mai importante proprietăți ale LDAP utilizat pentru a identifica și gestiona datele de conectare.
Notă. Configurația LDAP nu este o sarcină ușoară. Se presupune că serverele LDAP principale și subordonate sunt deja configurate. Pentru mai multe informații despre LDAP, consultați Resurse.
Vă recomandăm să configurați mai întâi controlerul de domeniu primar pentru a utiliza serverul de bază LDAP și pentru a efectua o verificare cuprinzătoare a acestei configurații. După aceasta, puteți începe configurarea controlerului de domeniu de rezervă pornind de la mai mulți pași preliminari:
- Tastați comanda net rpc getid pe controlerul de domeniu de rezervă.
Cu această comandă veți obține un identificator important care trebuie să se potrivească pe computerele controlorilor de domeniu primar și de rezervă.
Acest lucru se poate face în moduri diferite, dar cel mai simplu este să copiați fișierele / etc / passwd, / etc / group și / etc / shadow de la un computer la altul. Dacă utilizați LDAP pentru a vă gestiona conturile Linux, este posibil ca această acțiune să nu fie necesară.
În plus față de setările de configurare a partajării NETLOGON din fișierul smb.conf, nu uitați să copiați direct directorul. Ar trebui să sincronizați în mod regulat conținutul acestui director, precum și cele mai recente modificări.
După efectuarea acestor pași, puteți crea o configurație a controlerului de domeniu de rezervă în fișierul smb.conf.
Acești parametri fac un controler de domeniu de rezervă pentru a refuza să participe la alegerea observatorului șef (și se lasă să câștige alegerile controlerul principal), utilizați un server slave LDAP (slave-ldap.example.org) ca o bază de date parolă și de a folosi serverul LDAP de master (master-ldap. example.org) pentru a stoca mapările între conturile Linux și Windows.
Configurați încrederea între domenii
Active Directory Domain Basics
Active Directory combină în principal trei stive diferite de protocoale de rețea: Server Message Block (SMB) / CIFS, LDAP și Kerberos. SMB / CIFS este responsabil pentru capacitatea de a partaja fișiere și imprimante, LDAP vă permite să stocați informații despre conturi, iar Kerberos oferă criptare. Toate aceste tehnologii sunt disponibile și în Linux, însă integrarea lor poate fi o provocare. După cum sa menționat, puteți configura Samba și LDAP să lucreze împreună pentru a gestiona conturile - această abordare este foarte recomandată dacă intenționați să utilizați un controler de domeniu de rezervă. Samba 3.x poate fi, de asemenea, legată de Kerberos, deși nu abordăm aceste probleme aici. Samba 4 implementează parțial funcțiile native ale LDAP și Kerberos, combinându-le în pachetul principal de distribuție.
În detaliu, integrarea Samba cu Active Directory este discutată în subiectul 314.3.
În organizații mari, diferite departamente pot avea propriile domenii Windows NT. Această configurație permite fiecărui departament să își gestioneze conturile proprii, dar poate limita capacitatea de a utiliza resursele altor departamente. De exemplu, în două divizii vecine, este posibil să fie necesar să utilizați resursele de imprimare partajate. Acest tip de provizionare pe mai multe domenii poate fi implementat prin crearea de încredere între domenii. sau de dragul conciziei, doar o relație de încredere.
Relațiile de încredere au următoarele două caracteristici, care trebuie amintite. În primul rând, aceste relații nu sunt tranzitorii. adică, aceștia lucrează numai pentru acele domenii pentru care au fost configurate în mod explicit. De exemplu, dacă domeniul PHYSICS are încredere în domeniul GEOLOGY și domeniul GEOLOGY este un domeniu BIOLOGY, domeniul PHYSICS nu va avea încredere automată în domeniul BIOLOGY. În al doilea rând, relațiile de încredere sunt unilaterale. De exemplu, dacă domeniul PHYSICS are încredere în domeniul GEOLOGY, acest lucru nu înseamnă că GEOLOGY are încredere în domeniul PHYSICS. Pentru a crea încredere în ambele sensuri, trebuie să stabiliți relații de încredere cu un vecin în fiecare domeniu.
Pentru a configura relațiile de încredere între domenii, fiecare domeniu trebuie configurat în mod individual. Primul domeniu este un domeniu de încredere. iar resursele sale vor fi disponibile utilizatorilor unui alt domeniu, care în acest caz va fi un domeniu de încredere. Să presupunem, de exemplu, că există o imprimantă cu format larg în domeniul PHYSICS pe care utilizatorii domeniului GEOLOGY doresc să o utilizeze. În acest caz, domeniul PHYSICS va fi domeniul de încredere și domeniul GEOLOGY - domeniul de încredere. Pentru a începe configurarea relațiilor de încredere, mai întâi trebuie să creați conturile Linux și Samba pentru domeniul de încredere (GEOLOGY) pe un domeniu de încredere (PHYSICS):
Rețineți că trebuie să utilizați simbolul dolar ($) când creați un cont Linux utilizând useradd. dar nu și atunci când creați un cont Samba folosind smbpasswd. Comanda smbpasswd vă solicită parola pentru contul de încredere. Amintiți-vă această parolă, de îndată ce aveți nevoie de ea. controler GEOLOGIE domeniu de încredere va folosi acest cont ca și cum ar fi fost un membru ordinar al domeniului de încredere, care permite utilizatorilor de domeniu GEOLOGIEI pentru a accesa resursele de domeniu FIZICĂ.
Porniți această comandă pe un computer Linux care este membru al domeniului de încredere (în acest caz, GEOLOGY). Când trebuie să introduceți o parolă, introduceți parola specificată în comanda smbpasswd pentru domeniul de încredere. Dacă totul a mers bine, utilizatorii domeniului GEOLOGY pot accesa acum serverele domeniului PHYSICS. Dacă trebuie să configurați relații de încredere în ambele sensuri, trebuie să repetați acești pași în cel de-al doilea domeniu, schimbând rolurile de domeniu în locații.
Pentru a anula relațiile de încredere, executați următoarea comandă în domeniul de încredere:
În locul comenzii anterioare, puteți utiliza următoarea comandă într-un domeniu de încredere:
Ce urmează
Descărcați resurse
Subiecte conexe
Trimiteți-le prietenilor: