Kategorie: Samba

Samba3 - Jak to funguje

Samba server umožňuje použití linuxového serveru jako náhrady Windows serveru - je to svobodná implementace protokolu SMB a NetBios. Může být připojen do existující Windows domény, nebo může být použit jako Doménový řadič, včetně možnosti sdílení souborů, sdílení tiskáren a přihlašování k doméně.

Základní pojmy

  • Domain = Doména - skupina počítačů s autentizací delegovanou na doménové řadiče
  • DC = Domain Controller = Doménový řadič - Server spravující uživatelské účty a autentizaci
  • PDC = Primary Domain Controller = Primární řadič domény - Hlavní, pouze jeden na doménu
  • BDC = Backup Domain Controller = Záložní řadič domény - Zrcadlí PDC, pouze pro čtení

Šifrování uživatelských hesel

Windows používají pro uložení hesel LM hash a NT hash. NT hash je silněji šifrovaný než LM hash, který se používá jen kvůli zpětné kompatibilitě. V těchto hashích se neukládají jenom lokální hesla uživatelů Windows, ale také hesla doménových uživatelů na Doménovém řadiči. Pro autentizaci je nutné, buď aby bylo na serveru heslo v LM hash a NT hash (což je komplikace, protože ho musíme pro linuxové uživatele nastavovat dvakrát, na druhou stranu pak ale můžeme používat rozdílná hesla pro přístup k Linuxu a pro přístup k Windows) nebo posílat heslo mezi stanicí a doménovým řadičem nezašifrované a na serveru ho porovnávat třeba proti běžnému linuxovému heslu.

Účty uživatelů

Pro správné fungování oprávnění k souborům uloženým na linuxovém souborovém systému je potřeba linuxový uživatel. Ten pochopitelně musí být nějak propojený se sambovým doménovým uživatelem. Základní varianty:

Sambové účty vázané na linuxové účty

Toto řešení se obvykle používá na doménových řadičích. Pomocí useradd a pak na něj navážete sambový účet pomocí smbpasswd. To je v podstatě výchozí možnost.

Linuxové účty odpovídající (vzdáleným) doménovým účtům

Toto řešení jde použít pro ostatní servery. Sambový účet je na doménovém řadiči a stačí jen pomocí useradd vytvořit místní linuxový účet s patřičným uživatelským jménem. To je náročnější na správu, protože musíte na těchto serverech ručně udržovat uživatelské účty, ale použitelné pokud k serveru přistupují například pouze administrátoři a jejich výtvory. Navíc pak budou moci k serveru přistupovat opravdu pouze ti uživatelé, kterým zde vytvoříte linuxový účet, ale jejich heslo bude použito z domény.

Virtuální linuxové účty přiřazované (vzdáleným) doménovým účtům (Winbind)

Toto je mnohem lepší řešení, které je ale složitější na konfiguraci. Díky službě Winbind se doménoví uživatelé zároveň stávají linuxovými uživateli. (Uživatelské jméno se převezme, heslo se bude přes PAM ověřovat oproti doméně a shell a domovský adresář je vygenerován podle nastavení smb.conf) To je použitelné nejenom pro libovolný doménový souborový server, ale i pro pracovní stanice, ke kterým je pak možné se přihlašovat stejně jako ke stanicím s Windows.

Účty počítačů

Aby se mohl počítač připojit do domény, potřebuje přihlášení doménového administrátora, aby si na doménovém řadiči vytvořil svůj uživatelský účet, pomocí kterého se následně do domény přihlašuje. Teprve když je počítač přihlášen, může se k doméně přihlásit uživatel. Právě kvůli účtu počítače jsou potřeba přihlašovací údaje doménového administrátora pro přidání a odebrání počítače z domény a při změně jeho názvu. Počítače si heslo ke svému účtu automaticky mění každých 30 dní, pokud není nastaveno jinak v Zásadách skupiny.

RPC protokol

RPC protokol používají především Windows Servery pro vzájemnou komunikaci ohledně uživatelů. BDC přes něj od PDC získávají informace o uživatelských účtech aby je tak zrcadlily. Samba tento protokol podporuje pouze částečně, přesto je ale použitelný pro změnu hesla z Windows stanice nebo takzvané vampírování - samba se může přihlásit do domény jako BDC a pak od Windows Server PDC stáhnout seznam uživatelů.

Tipy pro ladění konfigurace

Stanice s Windows si neustále něco cachují - pokud něco nefunguje, nemusí to být nutně aktuální konfigurací, ale předchozí konfigurací. Možnosti jsou asi následující:
  • Pokud se nezobrazí dialog pro zadání přihlašovacích údajů, ale jste stále přihlašováni pomocí poprvé zadaných údajů, je to tím, že Windows stále udržují původní spojení. Všechna aktivní spojení ukončíte odhlášením a opětovným přihlášením k vašemu počítači, ať už jste nebo nejste v doméně.
  • Stanice s Windows si někdy cachují i přihlašovací údaje uživatelů a i po restartu vás klidně přihlásí vaším dříve úspěšně použitým heslem, pokud není dostupný Doménový řadič! Pokud tedy testujete například BDC, nezapomeňte se zkoušet přihlašovat pod různými uživatelskými účty!
  • Pro projevení změn konfigurace Samba serveru musíte restartovat Samba server. To se provádí linuxovým příkazem /etc/init.d/samba restart
  • Pro projevení změn v Cestovních profilech někdy může být potřeba odpojit a znovu připojit stanice k doméně
(článek je postupně rozšiřován)

Komentáře


Nebyly přidány žádné komentáře.