Samba3 - Souborový server

Připojení samby do domény jako stanice umožňuje postavit souborový server, ke kterému se bude přihlašovat přes doménu k uživatelským účtům na doménovém řadiči.

Postup instalace

Nainstalujeme Sambu:

apt-get install samba

Upravíme některé konfigurační direktivy Samby:

nano /etc/samba/smb.conf

[global]
workgroup = DOMENA
security = domain
...
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes

Abychom ale Samby plnohodnotně připojili do existující domény jako stanici, je potřeba ještě použít příkaz net. (Přestože toto nebude stanice ale server, aby mu připojující se stanice svěřovali přihlašovací údaje svých uživatelů místo aby je vyzvali k jejich ručnímu zadání, musí být server členem domény)

net rpc join -U root MEMBER

Chyba: Unable to find a suitable server

Pokud se vám zobrazí tato chybová hláška, Samba nemůže najít řadič vaší domény. Nejspíš bude problém s WINS. Zkuste tedy v konfiguračním souboru /etc/samba/smb.conf, přidat IP vašeho doménového řadiče jako WINS server:

wins server = 10.0.0.1

Nyní, pokud se bude někdo chtít připojit k tomuto serveru, bude se muset přihlásit k účtu v doméně, což je přesně to co jsme chtěli. Pokud již bude přihlášený na své stanici k doméně, jeho stanice jeho přihlašovací údaje k doméně rovnou pošle. Pokud bude přistupovat z cizí stanice, zobrazí se mu přihlašovací dialog.

NSS a PAM

Aby tento linuxový server uznával existenci doménových uživatelů a ti se tak mohli přes Sambu přihlásit, je potřeba winbind:

apt-get install winbind

Jestli vše funguje v pořádku můžete vyzkoušet příkazem:

wbinfo -u

Ten vypíše všechny uživatele. Pokud mezi nimi budou doménoví uživatelé, máte vyhráno a můžete pokračovat.

Formát uživatelského jména

Běžně by se jako linuxové přihlašovací jméno uživatele Franta z domény DOMENA bude DOMENA\Franta. Pokud si nechcete stěžovat život, nejlepší bude používat přihlašovací jména bez domény. (Pokud nebude uvedena doména, použije se výchozí) V konfiguračním souboru Samby nastavte:

nano /etc/samba/smb.conf

winbind use default domain = yes

A aby uživatelské adresáře nebyly v podsložce DOMENA:
(%U představuje uživatelské jméno a %D doménu)

template homedir = /home/%U

Aby se změny projevily, restartujte a opět zkuste vypsat uživatele:

wbinfo -u

Doménoví uživatelé by se již měli vypsat s požadovanými přihlašovacími jmény.

NSS

nano /etc/nsswitch.conf

Zde najděte:

passwd:  compat
group:   compat

A nahraďte za:

passwd:  compat winbind
group:   compat winbind

Nyní se už budou doménoví uživatelé zobrazovat například ve výběru vlastníka souboru v mc. Mají už přidělené svoje UID a mohou bez zadávání přihlašovacích údajů přistupovat ke sdílením na tomto serveru. Ne ale do svého domovského adresáře. Jednoduše totiž není vytvořený. Následující nastavení PAMu zajistí nejenom automatické vytváření domovských adresářů, ale také se budou moci doménoví uživatelé přihlásit k Linuxu a službám využívajícím Linuxové uživatele.

PAM

Zajistěte aby konfigurační soubor obsahoval direktivy:

nano /etc/pam.d/common-auth

auth sufficient pam_unix.so nullok_secure
auth sufficient pam_winbind.so use_first_pass

Zajistěte aby konfigurační soubor obsahoval direktivy:

nano /etc/pam.d/common-account

account sufficient       pam_winbind.so
account required         pam_unix.so

Zajistěte aby konfigurační soubor obsahoval direktivy:

nano /etc/pam.d/common-session

session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

Po restartu by neměl být problém přihlásit se na doménového uživatele.

Problémy s přihlášením nebo právy roota

Při úpravách konfigurace PAMu se vám může stát že se nebudete moci přihlásit vůbec, nebo se přihlásite na roota, ale najednou se vám zobrazí Přístup odepřen. To může způsobovat kolize uživatelských jmen a vy se ve skutečnosti nepřihlašujete na lokálního uživatele root ale na doménového uživatele root, který zde nemá neomezená práva a má domovský adresář v /home/root. Potom se tedy můžete přihlásit na lokálního roota přes nouzový režim, nebo můžete zkusit přihlašovací jméno POCITAC\root. Každopádně jestli se vám toto stane, je to dobré znamení - přihlašování k doménovým uživatelům funguje. :)

Autor: