Zobacz poprzedni temat :: Zobacz następny temat |
Autor |
Wiadomość |
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Wed Mar 11, 2009 8:28 pm Temat postu: W jaki sposób stworzyć kontroler domeny windows na sambie |
|
|
Witam szanowne grono. Jako że to mój pierwszy post należy się przedstawić. Jestem Tomek, mam 18lat i jestem uczniem technikum informatycznego
Do rzeczy:
Chce stworzyć kontroler domeny windows oparty na sambie. Mój plik smb.conf wyglada tak:
Kod: | [global]
server string = %h server
dns proxy = No
printing = CUPS
printcap = CUPS
domian logons = yes
workgroup = SAMBA
security = user
#os level = 34
local master = yes
preferred master = yes
domian master = yes
netbios name = SAMBA
encrypted passwords = yes
wins support = yes
[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
browseable = Yes
use client driver = Yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
write list = @domadmins root administrator
force group = ntadmin
create mask = 0664
directory mask = 0775
[netlogon]
comment = logowanie w domenie
path = /var/lib/samba/netlogon
public = no
writable = no
browseable = no
[upload]
path = /home/serwer/upload
read only = No
[ftp]
path = /home/serwer/www/ftp
read only = No
[www]
path = /home/serwer/www
read only = no
|
Mam zainstalowany serwer DNS(BIND9) oraz mam dodanego użytkownika do systemu poprzez polecenie smb -a -m
Mimo tych konfiguracji przy próbie wpisania domeny SAMBA w windowsie XP wyskakuje błąd że system nie mógł znaleść takiej domeny.
W związku z tym proszę Was o pomoc przy konfiguracji tejże usługi |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Wed Mar 11, 2009 8:57 pm Temat postu: |
|
|
Jak na mój gust to na pewno masz w tym pliku dwa błędy:
domian logons = yes (literówka, domain)
security = user (zły poziom, powinno być server)
Na www.kopi.edu.pl jest artykuł na ten temat. Jest tam także plik konfiguracyjny do pobrania, możesz skorzystać choćby po to, by porównać. |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Wed Mar 11, 2009 9:30 pm Temat postu: |
|
|
Dzięki. Zaskoczyło, ale mam jeszcze dwa pytania.
System pyta się o nazwę użytkownika uprawnionego do dołączenia do domeny czyli tutaj ma być root ?
W jaki sposób wciągnąc root'a do samby? bo otrzymuje coś takiego:
Kod: | debian:~# smbpasswd -a -m root
Failed to modify password entry for user root$
|
|
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Wed Mar 11, 2009 10:39 pm Temat postu: |
|
|
Polecam sprawdzić konfig na stronie kopi, jest tam wpis dotyczacy użytkownika, który ma być administartorem domeny. Nie może być to root, takiego użytkownika trzeba założyć, nie polecam też użytkownika administrator, ani admin (te nazwy najczęściej są skanowane w poszukiwaniu dziur w systemie) - jeśli już to takiemu użytkownikowi trzeba wykasować hasło w shadow zastępując je znakiem! - podczas dodawania do domeny, należy się zalogowac właśnie na założonego użytkownika z uprawnieniami administracyjnymi w sambie. |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Wed Mar 11, 2009 10:58 pm Temat postu: |
|
|
No własnie nie bardzo wiem gdzie to znaleśc. ort. co stanąłem na tym, że robie w ten sposób:
dodaje usera do dystemu a zarazem żeby nadawł sie do samby
useradd -g machines -d /dev/null -s /bin/false tomek$
oczywiście mam założona grupe machines
następnie
smbpasswd -a -m tomek
i tym sposobem mam dodanego uzytkownika.
Problem w tym, że nie wiem jakie on ma haslo
Nie wiem jak nadać mu prawa administracyjne do samby.
Jeśli wiesz jak to zrobić, to napisz,albo zapodaj zacytj z kopi.edu.pl(jeśli tam jest), bo siedze nad tym ładne kilka godzin i już rozlewa mi sie tekst na monitorze
|
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Thu Mar 12, 2009 12:02 am Temat postu: |
|
|
No cóż, szkoda, że ci się nie chce zajrzeć samodzielnie do proponowanej konfiguracji. Nie wszystko można dostać na talerzu...
w pliku jest:
admin users = tu_jakis_user
I ten użytkownik musi się logować podczas dodawania do domeny.
Natomiast zupełnie nie wiem, dlaczego ty nie wiesz, jakie ma hasło użytkownik, którego dodałeś poleceniem smbpasswd.
Sprawa druga w przykładowej konfiguracji na stronie kopi jest też fragment odpowiadający za automatyczne dodawanie maszyn i nie trzeba tego ręcznie robić. Jest też skrypt dodający użytkowników... |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Thu Mar 12, 2009 10:13 pm Temat postu: |
|
|
Ten skrypt u mnie nie zadziałał, ale mój sposób dodawania użytkowników tak.
Na konfigu pobranym ze strony działa mi kontroler domeny i mogę się elegancko połączyć na danego użytkownika na serwerze, ale czuje pewien nie dosyt
Mianowicie:
1. Użytkowników na danym komputerze muszę dodawać ręcznie tzn loguje sie na konto administratora i dodaje użytkowników domeny.
2. Nie ma jak uciąć uprawnień tych użytkowników. Nawet gość potrafi zaglądać do rejestru czy usuwać pliki z windowsa, ale zegarka włączyć mu nie wolno.
3.Mają za dużo miejsca na dysku. Ogranicza się je quotą czy w ręcznie na każdym stanowisku?
4. Brak scentralizowanej bazy programów.
Pragnę dodać, że nigdy nie administrowałem domeną a tym bardziej SBS'em
Stąd moje pytanie:
Czy jakakolwiek zmiana dokonana na stacji klienckiej na danym użytkowniku za pośrednictwem konta administrator przekaże te zmiany do kontrolera domeny?
Np jeśli ograniczę użytkownikowi z domeny miejsce na dysku c na 500MB to na każdym stanowisku w domenie będzie miał te 500MB czy tylko na tym gdzie zostało to ustawione? |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Thu Mar 12, 2009 10:33 pm Temat postu: |
|
|
ad 1.
Skrypt przystosowany jest do NND, zatem na innym systemie mógł nie zadziałać. Jakiej dystrybucji używasz?
ad 2.
Konto gościa jest kontem lokalnym, a nie serwerowym i powinno zostać wyłączone. Użytkownik, który się loguje do domeny, nie może mieć konta lokalnego na danej maszynie. Wg mnie ograniczenia uprawnień usera działa na windows XP i 2000 przy zachowaniu powyższych zastrzeżeń. Do windows 98 trzeba mieć poleditem zrobiony config.pol z tymi ograniczeniami.
ad 3.
Miejsce na dysku trzeba ograniczyć quotą, jeśli to konieczne, ja tego nie robiłem, bo dysk serwera był wystarczająco pojemny.
ad 4.
Jakiej bazy, jakich programów? |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Thu Mar 12, 2009 10:41 pm Temat postu: |
|
|
Dystrybucja to Debian 5 Lenny
Jeśli chodzi o konto gościa to ja dołączam tego użytkownika do tejże grupy. Nie loguje się na gościa, a tylko dodaje użytkownika domenowego do tejże grupy. Mimo wszystko jego uprawnienia są duże.
Jeśli chodzi o bazę programów, to miałem na myśli programy zainstalowane na serwerze np jakiś office czy Acrobat reader z których to potem klienci mogą korzystać.
Kolejna sprawa, używałeś kiedyś samby jako kontrolera domeny w szkole albo w innym miejscy pracy? Jak wprowadzić restrykcyjne ograniczenia dla wszystkich użytkowników domeny np blokada rejestru itp. |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Thu Mar 12, 2009 11:48 pm Temat postu: |
|
|
Tak, przynajmniej w kilku szkołach działają pracownie z sambą i windowsami, które postawiłem. Zawsze działają restrykcje na zwykłego użytkownika, nie wiem, co zepsułeś, że u ciebie nie działają...
Ja zwykle instalowałem XP na stacji dodając konto użytkownika lokalnego z ograniczeniami, na wypadek gdyby coś się stało z serwerem. Potem skryptem dodawałem iluś tam studentów i admina samby (zwykle nauczyciel). O ile mi wiadomo, wszystkie postawione przeze mnei serwery działają.
Cytat: | Nawet gość potrafi zaglądać do rejestru czy usuwać pliki z windowsa |
Sugerowałem się powyższym wpisem...
Bazy programów na serwerze nie będzie, bo programy linuksowe na windowsach nie działają i odwrotnie. Możesz miec ogólnodostępny katalog np. programy i tam wrzucać instalki, ale instalować trzeba lokalnie. Innym wyjściem jest zrobienie obrazu z jednej maszyny i skopiowanie go na pozostałe (trzeba pozmieniać nazwy netbiosowe).
Na http://kopi.edu.pl/~maciek/samba/ masz kilka plików, które mogą się przydać. Wersja adduserdom dla Ubuntu, powinna działać na Debianie, skrypty zamieniające rozszerzenie plików ntuser.dat na ntuser.man i odwrotnie (zmiana na .man powoduje, że użytkownik nie może zmienić ustawień zdefiniowanych wcześniej przez admina), ostatni plik pozwala zautomatyzowac dodanie np. 100 użytkowników.
/edit/
Są tam też dwa pliki rejestru, które powodują, że loklna maszyna nie robii kopii na swoim dysku, wszystko zostaje bezpośrednio zapisywane na serwerze. |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Fri Mar 13, 2009 6:42 pm Temat postu: |
|
|
Wiesz może jak ustawiać uprawnienia użytkowników na serwerze w sambie? Mozna wogóle takie rzeczy robić? Np ograniczanie pojemności dysku C: , blokada rejestru, czy też instalowania programów
Pytanie drugie:
Czy można administrować uprawnieniami każdego użytkownika czy też dodawać go do domeny na komputerze będącym członkiem domeny poprzez konto administratora? |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Fri Mar 13, 2009 7:47 pm Temat postu: |
|
|
Aby ograniczyć przestrzeń dyskową dla użytkowników trzeba niestety zainstalować quotę.
Dodawanie użytkowników wykonuje się wyłącznie na serwerze, przy prawidłowej konfiguracji samby każdy zwykły użytkownik który nie jest administratorem (niewpisany do admin users = ) ma ograniczenia typowe dla zwykłych użytkowników Windows. Przed chwilą specjalnie to sprawdziłem - można wywołać regedit, ale nie można zapisać zmian, podobnie działają inne ograniczenia. Zamiana rozszerzenia DAT na MAN dodatkowo nie pozwala na zmiany w zakresie podstawowych ustawień. |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Fri Mar 13, 2009 10:18 pm Temat postu: |
|
|
Mam jeszcze kilka pytań:
Co powinno sie wyświetlić zwyklemu użytkownikowi domeny który właczy konta użytkowników? U mnie w szkole wystakuje okienko z moim profilem i moge sobie tam zmienić hasło.
Natomiast tutaj podwójne kliknięcie na konta użytkowników powoduje uruchomienie okna pytającego o hasło administratora lokalnego. Tak to powinno wyglądać?
Co jeśli użytkownik zechcę zmienić sobie hasło? |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Fri Mar 13, 2009 10:28 pm Temat postu: |
|
|
Zmiana hasła powinna działać podczas logowania, o ile pamiętam jest tam odpowiednia opcja, natomiast wejście do panelu sterowania, ma taki włąśnie efekt - użytkownikowi nie wolno tam grzebać... |
|
Powrót do góry |
|
|
paladyn Użytkownik Forum
Dołączył: 11 Mar 2009 Posty: 11
|
Wysłany: Sun Mar 15, 2009 12:04 am Temat postu: |
|
|
Wielkie dzięki za wszystkie informacje. Prawdopodobnie bez Ciebie bym sobie nie poradził.
Jeszcze raz wielkie dzieki |
|
Powrót do góry |
|
|
|