Klient sítě Windows: Porovnání verzí

Z Milan Kerslager
Přejít na: navigace, hledání
(Člen ADS: doplnění)
(Sloučení AD a DC)
Řádka 1: Řádka 1:
 
Součástí projektu Samba je i klientská část, která spolupracuje s modulem v jádře linuxu a umožňuje tak Linuxu využívat služby v síti Windows. Protistranou může být jak stanice (či server) s MS Windows, tak jiná Samba (která může být spuštěna na Linuxu, Mac OS X nebo i jiném systému).
 
Součástí projektu Samba je i klientská část, která spolupracuje s modulem v jádře linuxu a umožňuje tak Linuxu využívat služby v síti Windows. Protistranou může být jak stanice (či server) s MS Windows, tak jiná Samba (která může být spuštěna na Linuxu, Mac OS X nebo i jiném systému).
  
== Člen ADS ==
+
== Klient AD nebo DC ==
Samba může být členem AD (Active Directory), ve které si počítače (servery) důvěřují a sdílejí zejména informace o uživatelských účtech. Aby Samba mohla komunikovat s ostatními servery začleněnými v ADS, musí být nejprve mezi ní a AD vytvořen vztah důvěry. Tomuto aktu, kdy si obě strany u sebe uloží autentizační informace, podle kterých si dále navzájem mezi sebou při komunikaci prokazují svoji identitu, se říká vstup do AD (nebo podle staršího obdobného kroku jako „vstup do domény“).
+
Samba může být členem AD (Active Directory) nebo klasické domény s DC (Domain Controller), ve které si počítače (servery) důvěřují a sdílejí zejména informace o uživatelských účtech. Aby Samba mohla komunikovat s ostatními servery začleněnými v AD nebo DC, musí být nejprve mezi ní a AD nebo servery DC vytvořen vztah důvěry. Tomuto aktu, kdy si obě strany u sebe uloží autentizační informace, podle kterých si dále navzájem mezi sebou při komunikaci prokazují svoji identitu, se říká „vstup do domény“.
  
 
Soubor <code>/etc/samba/smb.conf</code> změňte tak, aby obsahoval:
 
Soubor <code>/etc/samba/smb.conf</code> změňte tak, aby obsahoval:
Řádka 17: Řádka 17:
 
Parametr <code>security=domain</code> definuje stanici jako klienta domény windows (server je PDC nebo BDC), jejíž název je určen parametrem <code>workgroup</code>. Parametr <code>password server</code> může obsahovat IP adresu PDC nebo BDC, ale je možné zde uvést hvězdičku, takže klient si jeho adresu zjistí sám. Parametr <code>idmap config</code> slouží k definování volné oblasti UID (identifikační číslo uživatele), které by nesmí kolidovat s lokálními uživateli. Parametr <code>template shell</code> definuje shell pro uživatele, který po úspěšném přihlášení (úspěšné autentizaci proti doméně) na klientovi vznikne. Musí to být platný shell, který je obsažen v souboru <code>/etc/shells</code> a obvykle je přihlašovací bezpečnostní politika nastavena tak, že to musí být skutečný shell, aby se dalo přihlásit do grafického rozhraní. Parametr <code>winbind use default domain=yes</code> umožní, aby přihlašující se uživatel nemusel doménu uvádět (uvedenou v parametru workgroup). Parametr winbind offline logon umožňuje přihlášení i bez dostupnosti řadičů domény (PDC, BDC). Parametr wins server obsahuje IP adresu WINS serveru, který usnadní rozpoznávání jmen počítačů v síti Windows.
 
Parametr <code>security=domain</code> definuje stanici jako klienta domény windows (server je PDC nebo BDC), jejíž název je určen parametrem <code>workgroup</code>. Parametr <code>password server</code> může obsahovat IP adresu PDC nebo BDC, ale je možné zde uvést hvězdičku, takže klient si jeho adresu zjistí sám. Parametr <code>idmap config</code> slouží k definování volné oblasti UID (identifikační číslo uživatele), které by nesmí kolidovat s lokálními uživateli. Parametr <code>template shell</code> definuje shell pro uživatele, který po úspěšném přihlášení (úspěšné autentizaci proti doméně) na klientovi vznikne. Musí to být platný shell, který je obsažen v souboru <code>/etc/shells</code> a obvykle je přihlašovací bezpečnostní politika nastavena tak, že to musí být skutečný shell, aby se dalo přihlásit do grafického rozhraní. Parametr <code>winbind use default domain=yes</code> umožní, aby přihlašující se uživatel nemusel doménu uvádět (uvedenou v parametru workgroup). Parametr winbind offline logon umožňuje přihlášení i bez dostupnosti řadičů domény (PDC, BDC). Parametr wins server obsahuje IP adresu WINS serveru, který usnadní rozpoznávání jmen počítačů v síti Windows.
  
 +
=== Vstup do AD ===
 
Do ADS (doména či Active Directory) vstoupíte příkazem:
 
Do ADS (doména či Active Directory) vstoupíte příkazem:
  
Řádka 23: Řádka 24:
 
Při vstupu do domény je potřeba heslo správce domény (root, administrator). Informace se ukládají do souboru <code>/var/lib/samba/private/secrets.tdb</code>. Na severu je automaticky vytvořen účet stanice s přidaným znakem $ na konci.
 
Při vstupu do domény je potřeba heslo správce domény (root, administrator). Informace se ukládají do souboru <code>/var/lib/samba/private/secrets.tdb</code>. Na severu je automaticky vytvořen účet stanice s přidaným znakem $ na konci.
  
=== Test, opuštění domény ===
+
==== Test, opuštění domény ====
  
 
  net ads status
 
  net ads status
Řádka 32: Řádka 33:
 
  pdbedit -Lw merlin\$
 
  pdbedit -Lw merlin\$
  
== Klient domény ==
+
=== Klasická Doména Windows ===
Stanice může být členem domény, pak přejímá od serveru informace o účtech uživatelů, kteří jsou v doméně nadefinováni. Server (PDC) sděluje informace klientovi jen za předpokladu, že je vztah důvěry navázán. Nejčastěji se používá pro ověření přihlašovacích informací (jméno+heslo).
+
Vstup do klasické domény, která je řízena PDC (Primary Domain Controller), resp. BDC (Backup Domain Controller) probíhá podobně, jako připojení k AD. Stanice pak přejímá od serveru informace o účtech uživatelů, kteří jsou v doméně nadefinováni. Server (PDC, BDC) sděluje informace klientovi jen za předpokladu, že je vztah důvěry navázán. Nejčastěji se používá pro ověření přihlašovacích informací uživatelů (jméno+heslo).
  
Na klientovi (tj. stanice s Linuem) je potřeba modifikovat soubor <code>/etc/samba/smb.conf</code> podle následujícího vzoru (význam položek je uveden níže):
+
Na klientovi (tj. stanice s Linuem) přidejte do souboru <code>/etc/samba/smb.conf</code> ještě následující řádky:
  
  workgroup = oalib.cz
 
  password server = *
 
  security = domain
 
  idmap config * : range = 16777216-33554431
 
  template shell = /bin/false
 
  template homedir = /home/%D/%U
 
  winbind use default domain = yes
 
  winbind offline logon = false
 
  wins server = 11.0.0.243
 
 
   client lanman auth = yes
 
   client lanman auth = yes
 
   client plaintext auth = yes
 
   client plaintext auth = yes
 
Parametr <code>workgroup</code> označuje jméno domény, do které se vstupuje (doménu vytváří PDC – buď Samba nebo klasická doména na Windows NT serveru). Parametr <code>password server</code> definuje IP adresu serveru, kterého se klient bude ptát při ověření jména a hesla (v dobře nakonfigurované doméně windows si klient tuto informaci může zjistit automaticky, proto tam jen hvězdička). Parametr <code>template shell</code> definuje shell pro přihlašující se uživatele a pokud se přihlašuje do GUI (grafické rozhraní), není potřeba (proto je tam <code>/bin/false</code>, tj. žádný shell). Zvolený shell musí být na klientovi být uveden v seznamu <code>/etc/shells</code>. Parametr <code>winbind use default domain</code> umožňuje, aby se uživatelé přihlašovali do implicitní domény jen svým přihlašovacím jménem a nemuseli pořád uvádět doménu (<code>zde oalib.cz</code>). Parametr <code>winbind offline logon</code> umožňuje stanici povolit přihlášení i bez dostupnosti doménového řadiče (PDC, BDC). Parametr <code>wins server</code> definuje IP adresu WINS serveru. Pomocí něj klient snadno zjistí seznam okolních stanic a hlavně IP adresu serveru zodpovědného za vedení domény (tj. PDC, BDC).
 
  
 
Aby bylo možné použít v síti pro rozlišení jmen počítačů i jejich „windows“ jména, je potřeba zařadit tento požadavek do konfigurace knihovny pro resolver, tj. do souboru <code>/etc/nsswitch.conf</code> společně s identifikací uživatele pomocí démona windbind:
 
Aby bylo možné použít v síti pro rozlišení jmen počítačů i jejich „windows“ jména, je potřeba zařadit tento požadavek do konfigurace knihovny pro resolver, tj. do souboru <code>/etc/nsswitch.conf</code> společně s identifikací uživatele pomocí démona windbind:
Řádka 60: Řádka 50:
 
Na řádku s <code>hosts:</code> je definováno, že při požadavku převodu jména na IP adresu bude nejprve využit obsah souboru <code>/etc/hosts</code>, poté klasické DNS a poté i informace od WINS serveru (jehož adresa je definována v <code>/etc/samba/smb.conf</code>).
 
Na řádku s <code>hosts:</code> je definováno, že při požadavku převodu jména na IP adresu bude nejprve využit obsah souboru <code>/etc/hosts</code>, poté klasické DNS a poté i informace od WINS serveru (jehož adresa je definována v <code>/etc/samba/smb.conf</code>).
  
 +
==== Vstup do domény ====
 
Pokud je <code>/etc/samba/smb.conf</code> správně nastaven, stanice (snadno a správně) zjistí, kdo je řadič domény (tj. PDC, BDC). Test dostupnosti DC (domain controller, řadič domény) tedy musí vypsat IP adresu (či více adres).
 
Pokud je <code>/etc/samba/smb.conf</code> správně nastaven, stanice (snadno a správně) zjistí, kdo je řadič domény (tj. PDC, BDC). Test dostupnosti DC (domain controller, řadič domény) tedy musí vypsat IP adresu (či více adres).
  
Řádka 70: Řádka 61:
 
  net rpc join oalib.cz
 
  net rpc join oalib.cz
  
=== Kontrola členství v doméně ===
+
==== Kontrola členství v doméně ====
  
 
  net rpc info
 
  net rpc info
 
  net rpc testjoin
 
  net rpc testjoin
  
 +
=== Zjišťování informací z domény ===
 
Po vstupu do domény lze z klienta zjišťovat informace o uživateli:
 
Po vstupu do domény lze z klienta zjišťovat informace o uživateli:
  

Verze z 26. 8. 2013, 07:14

Součástí projektu Samba je i klientská část, která spolupracuje s modulem v jádře linuxu a umožňuje tak Linuxu využívat služby v síti Windows. Protistranou může být jak stanice (či server) s MS Windows, tak jiná Samba (která může být spuštěna na Linuxu, Mac OS X nebo i jiném systému).

Klient AD nebo DC

Samba může být členem AD (Active Directory) nebo klasické domény s DC (Domain Controller), ve které si počítače (servery) důvěřují a sdílejí zejména informace o uživatelských účtech. Aby Samba mohla komunikovat s ostatními servery začleněnými v AD nebo DC, musí být nejprve mezi ní a AD nebo servery DC vytvořen vztah důvěry. Tomuto aktu, kdy si obě strany u sebe uloží autentizační informace, podle kterých si dále navzájem mezi sebou při komunikaci prokazují svoji identitu, se říká „vstup do domény“.

Soubor /etc/samba/smb.conf změňte tak, aby obsahoval: 

  security = domain
  workgroup = oalib.cz
  password server = *
  idmap config * : range = 16777216-33554431
  template shell = /bin/bash
  winbind use default domain = yes
  winbind offline logon = false
  wins server = 10.0.0.2

Parametr security=domain definuje stanici jako klienta domény windows (server je PDC nebo BDC), jejíž název je určen parametrem workgroup. Parametr password server může obsahovat IP adresu PDC nebo BDC, ale je možné zde uvést hvězdičku, takže klient si jeho adresu zjistí sám. Parametr idmap config slouží k definování volné oblasti UID (identifikační číslo uživatele), které by nesmí kolidovat s lokálními uživateli. Parametr template shell definuje shell pro uživatele, který po úspěšném přihlášení (úspěšné autentizaci proti doméně) na klientovi vznikne. Musí to být platný shell, který je obsažen v souboru /etc/shells a obvykle je přihlašovací bezpečnostní politika nastavena tak, že to musí být skutečný shell, aby se dalo přihlásit do grafického rozhraní. Parametr winbind use default domain=yes umožní, aby přihlašující se uživatel nemusel doménu uvádět (uvedenou v parametru workgroup). Parametr winbind offline logon umožňuje přihlášení i bez dostupnosti řadičů domény (PDC, BDC). Parametr wins server obsahuje IP adresu WINS serveru, který usnadní rozpoznávání jmen počítačů v síti Windows.

Vstup do AD

Do ADS (doména či Active Directory) vstoupíte příkazem: 

net ads join oalib.cz

Při vstupu do domény je potřeba heslo správce domény (root, administrator). Informace se ukládají do souboru /var/lib/samba/private/secrets.tdb. Na severu je automaticky vytvořen účet stanice s přidaným znakem $ na konci.

Test, opuštění domény

net ads status
net ads leave

Na Samba serveru je možné ověřit účet stanice výpisem z interní databáze Samby pomocí příkazu (merlin je název připojené stanice): 

pdbedit -Lw merlin\$

Klasická Doména Windows

Vstup do klasické domény, která je řízena PDC (Primary Domain Controller), resp. BDC (Backup Domain Controller) probíhá podobně, jako připojení k AD. Stanice pak přejímá od serveru informace o účtech uživatelů, kteří jsou v doméně nadefinováni. Server (PDC, BDC) sděluje informace klientovi jen za předpokladu, že je vztah důvěry navázán. Nejčastěji se používá pro ověření přihlašovacích informací uživatelů (jméno+heslo).

Na klientovi (tj. stanice s Linuem) přidejte do souboru /etc/samba/smb.conf ještě následující řádky: 

 client lanman auth = yes
 client plaintext auth = yes

Aby bylo možné použít v síti pro rozlišení jmen počítačů i jejich „windows“ jména, je potřeba zařadit tento požadavek do konfigurace knihovny pro resolver, tj. do souboru /etc/nsswitch.conf společně s identifikací uživatele pomocí démona windbind: 

passwd:     files winbind
shadow:     files winbind
group:      files winbind
hosts:      files dns wins

Na řádku s hosts: je definováno, že při požadavku převodu jména na IP adresu bude nejprve využit obsah souboru /etc/hosts, poté klasické DNS a poté i informace od WINS serveru (jehož adresa je definována v /etc/samba/smb.conf).

Vstup do domény

Pokud je /etc/samba/smb.conf správně nastaven, stanice (snadno a správně) zjistí, kdo je řadič domény (tj. PDC, BDC). Test dostupnosti DC (domain controller, řadič domény) tedy musí vypsat IP adresu (či více adres). 

net loookup dc oalib.cz

Adresa DC se získává tak, že se nejdříve zjistí řadiče domény, které mohou být zapsány v souboru /etc/samba/smb.conf, dále z dat, která jsou dočasně uložena na lokálním disku a následně pak z dotazu na WINS server. Pokud jsou data špatně, je nutné zastavit řadič domény (tj. Sambu a tím i WINS server), smazat cache WINS serveru v souboru /var/lib/samba/wins.tdb, a pak smazat i cache na lokálním počítači v souborech /var/lib/samba/gencache*.

Pokud je zjištění DC správně, použijte pro vstup klientské stanice do domény příkaz: 

net rpc join oalib.cz

Kontrola členství v doméně

net rpc info
net rpc testjoin

Zjišťování informací z domény

Po vstupu do domény lze z klienta zjišťovat informace o uživateli: 

wbinfo --user-info john
wbinfo --user-groups john
wbinfo --gid-info <číslo-skupiny>
wbinfo --pam-logon john
wbinfo --authenticate john

Na serveru zkontrolujte existenci účtu počítače, který tam automaticky vznikl. K názvu počítače (klienta, který do domény vstoupil) připojte při dotazu na Samba serveru znak dolar („$“), čímž se odlišují běžné uživatelské účty od účtů počítačů. Slovo „merlin“ nahraďte jménem vstupujícího počítače (zjistíte ho na vstupujícím klientovi, resp. stanici, příkazem hostname): 

pdbedit -Lw merlin\$

Výstup z domény

Externí odkazy

Citováno z „https://www.pslib.cz/milan.kerslager/index.php?title=Klient_sítě_Windows&oldid=5462