Samba3.0輕鬆搞定PDC域伺服器

Samba3.0輕鬆搞定PDC域伺服器

原文在 http://www.5ilinux.com/samba01.html
轉載請註明出處，謝謝！

Samba3.0輕鬆搞定PDC域伺服器


    前面我們已經講了關於samba伺服器如何充當一個區域網的文件伺服器，以滿足平時的工作需要，在看本文檔之前，大家最好先看看那篇文檔《Samba3.0伺服器實戰調試》(http://www.5ilinux.com/samba.html),大家只有領會了那篇文檔以後，再來看用samba實現PDC就不死很困難了。

    其實早在samba2.2版本已經能非常好的支持samba做PDC（主域控制器），只不過到了3.0對域的支持更加好，到現在為止最新的版本3.0,已經支持AD，並且支持Microsoft Kerberos 認證、完全重寫和可配置的認證子系統等新功能。

好了，我們來開始今天的任務，我們今天只是實現簡單的域控制器PDC的建立，至於他支持的AD和Kerberos等功能大家慢慢的自己去研究，我也不是很懂哦：）

1。安裝samba，這個很簡單了，如果你是fedora，就可以從光碟直接安裝samba的rpm包。

rpm -ivh samba-3.0.0-15.i386.rpm

大家也可以直接到samba的官方網站（http://www.samba.org）去下載最新的軟體包

或者下載最新的tar包，http://us1.samba.org/samba/ftp/samba-3.0.0.tar.gz

那就最好按下面的方法編譯

tar zvxf samba-3.0.0.tar.gz

cd samba-3.0.0

./configure \
--prefix=/usr \
--bindir=/usr/bin \
--sbindir=/usr/sbin \
--libexecdir=/usr/libexec \
--datadir=/usr/share/samba \
--sysconfdir=/etc/samba \
--localstatedir=/usr/local/samba/var \
--libdir=/usr/lib \
--with-lockdir=/var/locks/samba \
--with-swatdir=/usr/share/samba/swat \
--with-codepagedir=/etc/samba/codepages \
--with-configdir=/etc/samba \
--with-smbwrapper \
--with-automount \
--with-smbmount \
--with-pam \
--with-pam_smbpass \
--with-winbind

make

make intall

ok!安裝完以後，下面才是我們的重點，修改/etc/samba/smb.conf，大家最好在原來的基礎上修改。



workgroup = bmit
netbios name = proxy
server string = Samba PDC running %v
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192


# 這裡的workgroup = bmit就代表bmit域，當然如果用bmit.com那就更加規範，但為了客戶端輸入的方便，還是直接bmit的好，netbios name = proxy表示這台伺服器的netbios名,socket options選項設置控制 TCP/IP 性能。所顯示的設置就可以與基於 Linux 的系統一起很好地工作了。

os level = 64
preferred master = yes
local master = yes
domain master = yes


#domain master 選項是一個「開關」，通告 Samba 將成為主域控制器。（local master browser）是維護區域網機器列表的伺服器被稱為本地主瀏覽器。

security = user
encrypt passwords = yes
domain logons = yes
log file = /var/log/samba/log.%m
log level = 2
max log size = 50
hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0


#這裡我們還是使用user驗證方式，不要懸在所謂的domain，至於hosts allow大家可以根據自己的需求寫那些網段可以訪問你的伺服器，或者索性不寫也行。

logon home = \\%L\%U\.profile
logon drive = H:
logon path = \\%L\profiles\%U
logon script = netlogon.bat

#以上是漫遊設置和登錄腳本，logon path = \\%L\profiles\%U，會於下面我們要說的 共享成對應關係。


comment = Home Directories
browseable = no
writeable = yes


path = /home/samba/profiles
writeable = yes
browseable = no
create mask = 0600
directory mask = 0700


comment = Network Logon Service
path = /home/netlogon
read only = yes
browseable = no
write list= root

以上是關於共享的手腕子，其中profile是用來存放每個登錄用戶的設置文件，以便用戶以後登錄可以從伺服器讀取以前的桌面設置，netlogon是用來存放登錄腳本的，所以要限制寫的許可權，假設這裡只有root用戶可以有許可權。

至於其他共享，完全可以參照《Samba3.0伺服器實戰調試》(http://www.5ilinux.com/samba.html)這篇文章共享設置，我就不再重複講了



接著是將用戶和機器帳戶添加到域控制器。

先建立創建了下列各組以及創建兩個必要目錄，並設置正確的所有權。


groupadd admin

groupadd machines

mkdir -m 0775 /home/netlogon

chown root.admins /home/netlogon

mkdir /home/samba /home/samba/profiles

chown 1757 /home/samba/profiles

對上述目錄設置正確的許可權和所有權是保護伺服器的關鍵一步哦 :)

手工添加機器帳號

比如我的客戶端的機器名是ibm240，那麼我們可以這麼做

useradd -g machines -d /dev/null -c "machine id" -s /bin/false ibm240$

passwd -l ibm240$

輸入兩遍密碼；

不要忘記標上美元符號；這是必需的，它將該項標識為信任帳戶

創建 linux 帳戶后，我們現在可以將該機器添加到 /etc/samba/smbpasswd

smbpasswd -a -m ibm240



當然你也可以讓系統自動添加機器帳號，用下面的方法，不過大家最好先試手動添加，成功后再試驗系統自動添加

自動添加只要在添加

add user script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u


添加用戶帳號

首先添加的是root帳戶，把root加入到smb帳戶中

smbpasswd -c root

這一步很重要，因為後面的加入域要用到有管理員的帳號加入域的許可權，否則用普通用戶好像不能順利加入域

然後添加普通用戶

useradd frank

passwd frank

smbpasswd -a frank

為了方便以後的管理，最好smb的用戶密碼和unix系統密碼一樣，這樣我們還可以用到samba的密碼同步功能

#下面的選項語句將允許用戶從 Windows 客戶機上更改他們的 Samba 密碼，這樣會隨即更新他們的 UNIX 密碼以與新的 Samba 項相匹配。但是如果更改了 UNIX 密碼，那麼同一技術不能逆向工作；必需手工同步更改 Samba 密碼。也是在，初學者可以先不做這個工作。


unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *Retype*new*UNIX*password* %n\n *Enter*new*UNIX*password* %n\n *Retype*new*UNIX*password* %n\n *passwd: *all*authentication*tokens*updated*successfully*

#上述語句中唯一值得一提的是 passwd chat 選項，不管這裡如何顯示它，都要將它輸入成一行。還要注意有些選項使用「password」，而有些使用「passwd」。

Samba PDC 的配置就這樣完成了。剩下唯一要做的是將客戶機加入到域中。記得重啟samba服務哦！


客戶端的設置，這裡由於條件的限制，我只試驗了windows2000客戶端加入域，至於winxp和win98的加入大家自己去試驗。

（win200機器最好先重啟一下，可以避免一些不必要的問題）然後轉至 控制面板 ->; 網路->; 網路標示，如果機器目前被配置在 工作組 選項下，那麼選中 域 單選按鈕並輸入域名bmit。

現在，通過使用用戶名 root 和相應的密碼登錄到域。必需初始化伺服器和客戶機機器之間的「秘密」。從此時起，任何已認證的用戶都可以從這台機器登錄。
應該出現一個歡迎您來到 XX域的消息

恭喜你已經成功將杉木把配置成PDC

據說xp加入samba建立的域有點複雜，我沒試驗過，大家有興趣的話，最好去samba的老家看看文檔，好像是要設置安全選項，並修改註冊表，好麻煩哦，幸虧我沒有xp ：）

作者：張微波

2003年11月17日晚於北京

Samba3.0輕鬆搞定PDC域伺服器

怎麼沒人回帖,老兄,我支持你

Samba3.0輕鬆搞定PDC域伺服器

不錯！

Samba3.0輕鬆搞定PDC域伺服器

和windows的AD比功能上有什麼區別？

Samba3.0輕鬆搞定PDC域伺服器

原帖由 "lihn"]和windows的AD比功能上有什麼區別？


我這裡還沒實現AD，只是實現簡單的域功能，結合我的另外一篇文章，應該能滿足大部分的需要。有空我再研究一下3。0的AD怎麼實現，還有ldap的結合等。 8)

Samba3.0輕鬆搞定PDC域伺服器

好文

Samba3.0輕鬆搞定PDC域伺服器

我測試沒有成功，找不到這個域？

Samba3.0輕鬆搞定PDC域伺服器

客戶端用戶不能改密碼，誰有辦法！

Samba3.0輕鬆搞定PDC域伺服器

請問，我這裡出現的問題是：不能聯繫到*****域控制器，不需要做別的什麼別的設置嗎？ 比如DNS.

我加入了域，但登陸域時候有對話框 「系統主域的計算機帳戶丟失，或密碼不正確，請聯繫管理員」
我用的密碼是smb密碼，況且我設的unix和smb密碼都是一樣的，密碼不可能不正確，這是怎麼回事啊？？？

Tags: