Контроллер домена на OpenBSD 4.4+Samba 3.0.31

Настраивал OpenBSD 4.4 + Samba 3.0.31. Но думаю, что данный мануал может также подойти к большинству linux дистрибутивов.
Практически вся работа сводится к настройке /etc/samba/smb.conf. Обошелся чистой самбой, без winbind, ldap

#Что-нибудь свое
workgroup = hello
#Сюда можно какое-нибудь описание
server string = Domain Controller Head Office
#Это обязательно нужно для контроллера
security = user
#Здесь можно ограничить по адресу подсети, типа "192.168.0.", но я не стал этого делать
hosts allow =
#Весь этот блок вроде бы несложен для понимания
domain master = yes
preferred master = yes
domain logons = yes
logon script = %m.bat
logon script = %U.bat
logon path = \\%L\Profiles\%U
wins support = yes
add user script = /usr/sbin/useradd %u
add group script = /usr/sbin/groupadd %g
add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /sbin/nologin %u
delete user script = /usr/sbin/userdel %udelete user from group script = /usr/sbin/deluser %u %g
delete group script = /usr/sbin/groupdel %g
dos charset = 866
unix charset = KOI8-R
domain admin group = root @wheel administrator
time server = yes

#Здесь хранятся хомы.
[homes]
comment = Home Directories
browseable = no
writable = yes
follow symlinks = no
#Тут хранятся батники, которые выполняются при входе пользователя в домен. У меня их нет, но каталог имеется #на всякий пожарный
[netlogon]
comment = Network Logon Service
path = /home/netlogon
browseable = no
share modes = yes
#Отключает автономное кэширование. Это исключит порчу профилей при отключении сети в момент его #перемещения
csc policy = disable

#По-моему один из важнейших каталогов. Все настройки Windows окружения, файлы, каталоги сохраняются #именно сюда. Процесс сохранения происходит при выключении машины. Кажется.
[Profiles]
path = /home/profiles
browseable = no
writable = yes
veto files = /*.exe/*.cmd/*.pif/*.inf/delete
veto files = yes

#Все остальное шары. О них отдельный разговор. Шары можно создавать по своему вкусу.
[antivirus]
path = /samba/shares/antivirus/
guest ok = Yes

[mail]path = /samba/shares/mail
read only = No
guest only = Yes
guest ok = Yes
only user = Yes

[plotter]
path = /samba/shares/plotter/
public = yes
writeable = yes
browseable = yes

[obmen]
path = /samba/shares/obmen/
public = yes
writeable = yes
browseable = yes

Создадим администратора. Здесь попросят вбить пароль

# smbpasswd -a root

Активизируем администратора

# smbpasswd -е root

Теперь можно вводить имеющиеся машины в домен. Символ "$" при вводе машин в домен обязателен. Имя должно соответствовать тому имени, которое уже существует в Windows (в свойствах "Мой компьютер")

# useradd -g users -d /dev/null -s /sbin/nologin machinename$

Потом

# smbpasswd -a -m machinename

Потом

# smbpasswd -e -m machinename

Итак вводим необходимое количество машин. После нужно создать пользователей.
Сначала

useradd -m -d /home/username -s /sbin/nologin -g users username

Потом знакомое уже

smbpasswd -a username

и

smbpasswd -e username

Все. На этом настройка закончилась. Теперь можно запустить

# /usr/local/libexec/smbd -D
# /usr/local/libexec/nmbd -D

А теперь начинается ввод самих машин в доменную зону. Для этого на Windows машине отрубаем все шары. Правой кнопкой на ярлыку "Мой компьютер" -> "Отключить сетевой диск", а там уже все просто. Можно также отключить средствами cmd, но я не помню как это сделал :)

Теперь правой кнопкой далее открываем свойства "моего компьютера", вкладка "Имя компьютера", кнопка "Изменить", и делаем членом домена (тупо пишем workgroup, который указали в конфиге). Потом перегрузиться. После перезагрузки выйдет окошко входа, где нужно будет вбить данные администратора этой машины (не администратор домена!). Доменного root'a надо ввести в группу "Администраторы" локальной машины. Наверное это не надо объяснять как это сделать. Единственное надо упомянуть. что система перед этим попросит имя и пароль доменного root'a. А потом заходим на эту же машину доменным root'ом, урезаем права местному администратору или меняем ему пароль, на тот, который не будет знать юзер. Вот и все. Теперь на эту машину можно будет логиниться от имени любого пользователя, которого вы создали в домене.

Теперь кратенько о принципе работы контроллера домена. Значит в данном случае все настройки и файлы из Documents and Settings/username каждого пользователя хранятся в /home/profiles. Файлы лучше не сохранять на рабочем столе, так как это чревато долгой загрузкой при входе. Все внесенные изменения сохраняются на сервере при выключении клиентской машины.

Далее, необходимо запретить пользователям называть файлы и каталоги именами более 64-х символов. Запретить устно :) Как сделать это системно, я пока еще не знаю. Файлы и каталоги, имена которых более 64-символов не будут бэкапиться по NFS, архивироваться и т.д.

Администратору надо следить чтобы вывод

# fstat | wc -l

не превышал вывод

sysctl -a | grep kern.maxfiles

Если первое будет приближаться к числу второго, то будет необходимо корректировать в файле /etc/sysctl.conf строку kern.maxfiles= (если нет, то добавить). Это отвечает за количество обращений к файлам. Вроде так :)

Конечно на этом дело не заканчивается. Но все остальное - тонкости, основная задача решена.

Аватар пользователя Vasyl

Это про какой

Это про какой windows написано?

Просто XP при попытке подключиться к домену само попросит имя/пароль администратора домена и само добавит его в группу администраторов домена.

И прекрасно всё добавляется средствами samba с windows-машины, само создаёт учётную запись для машины.

Аватар пользователя polatov

Администратор

Администратор домена, а не машины.

Аватар пользователя ed_hardy

Ed Hardy,Ed Hardy Pas Cher,Ed Hardy Casquette,Ed Hardy Franc

Ed Hardy is a world-famous top brand. Our Ed Hardy Pas Cher Online store gives you the newest products of Ed Hardy Casquette. Right here you may obtain an enormous amount of many T Shirt Ed Hardy at acceptable price. We now have these kinds of Ed Hardy Homme , Ed Hardy Femme, Ed Hardy Purses. Our Tee Shirt Ed Hardy acquired well identified with potential customers throughout the whole world for it really of top quality and reasonable price. Within our Ed Hardy Paris Shop internet website, Ed Hardy Bottom has the high quality and the high-tech design which cannot caught by other brands. If you wear Chaussures Ed Hardy, you will feel warm. Casquette Ed Hardy Pas Cher not only make the wearer feel comfortable, but also make the wearer fashionable. Ed Hardy Accessories(SILVER) is famous for the production of accessories. Ed Hardy Bottom has a great reputation in the Ed Hardy Pas Cher France and high status. Ed Hardy Ceinture has good quality, but the price is not expensive.Ed Hardy Chapeau are lovely. Welcome to our Ed Hardy Pas Cher Online store, we offer various Ed Hardy Jewelry, Ed Hardy Lunettes de soleil, Ed Hardy Femme Jean and so on.You can enjoy the Ed Hardy Sacs with your entire family member that it available for Ed Hardy Sacs, Ed Hardy Slippers and Ed Hardy Sous-vêtements,Ed Hardy Femme Chaussures. No doubt, fashion Ed Hardy Tanks can be your smart choice. Ed Hardy Homme Poloour Christian Audigier Ed Hardy online shop supply a number of Ed Hardy Sale, you can have the excellent Ed Hardy Homme Veste in reasonable price, don’t miss Ed Hardy Femme Court. Ed Hardy Shop has the high quality and the high-tech design.Ed Hardy Homme T-shirts, Ed Hardy Homme Veste,It's not only the way they look, but also it is how they feel.