Всички други клиенти
Създаване на роуминг профили
Обикновено операционната система Windows съхранява информация за потребителските настройки на локалния компютър. Това е удобно, ако всеки потребител винаги работи на същия компютър, но това не винаги е така. Така например, в компютърната лаборатория на университета, като всеки студент може да работи на различни компютри. В тази ситуация е по-добре да се съхранява потребителските настройки на отдалечения сървър. За да направите това просто означава роуминг профили.
Традиционно, този дял е създаден на домейн контролер под контрола на Samba, въпреки че можете да го поставите върху всеки друг файл на сървъра. В допълнение, когато създавате дял ПРОФИЛИ трябва да информира за местонахождението му на операционната система Windows. Можете да използвате глобалната пътя на опция за влизане:
В този пример, името на пътя до директорията с роуминг профили, ние използвахме променливи% L (ток сървъра NetBIOS имена) и% U (потребителско име, стартира сесия). Уверете се, че роуминг профили се съхраняват на наистина създават споделен ПРОФИЛИ ресурси.
Създаване на резервно копие контролер на домейн
Windows NT домейн може да има няколко домейн контролери, за да се осигури излишък в случай на повреда на един от тях. В домейн от гледна точка на един от тях Windows NT е основният домейн контролера (Основно домейн контролер, PDC), а останалата част - резервни домейн контролерите (Backup Domain Controller, ДМТ). Тази конфигурация усложнява общата картина, но е необходима в случаите, когато работата на мрежата на околната среда зависи от здравето на домейн контролера.
Включване в контролера архивиране домейн Samba постига най-добре чрез LDAP протокол, който съхранява информация за сметки. LDAP е предназначена за обмен на информация между базите данни, необходими за конфигурации от този тип, така че има смисъл да се обвърже основен и резервен домейн контролера, с главен и подчинен LDAP сървъри, съответно. LDAP сървъри и Samba сървъри могат да работят на един и същ компютър или на различни компютри. Можете също така да използвате само един LDAP сървър за основния и резервния домейн контролерите, въпреки че не е най-добрият начин, защото това частично отказоустойчивост се губи, особено ако сървърът на LDAP работи на същия компютър, на този на домейн контролерите.
За най-простата конфигурация на контролера основен домейн с помощта на LDAP сървър, трябва да конфигурирате някои допълнителни параметри Samba, идентифициращи LDAP сървъра. Минималната конфигурация на глобалните параметри са както следва:
В този пример, ние се създаде Samba да използвате LDAP сървър, работещ на същия компютър (passdb задния = ldapsam: // Localhost: 389), както и определяне на най-важните свойства на LDAP използва за идентифициране и управление на пълномощията.
Забележка. LDAP конфигурацията само по себе си е предизвикателство. Предполага се, че си главен и подчинен LDAP сървъри в този момент вече са определени. За повече информация за LDAP, вижте раздела ресурси.
Аз препоръчвам първо да настроите основния си домейн контролер, за да използвате LDAP главен сървър и да проведе цялостен преглед на тази конфигурация. След това можете да започнете да резервно копие за настройка на домейни контролер, като се започне с изпълнението на няколко предварителни действия:
- Вид на BDC нетна отбор RPC getsid.
С тази команда ще получите важна идентификационен код, който трябва да съответства на компютрите на основния и резервния домейн контролерите.
Това може да стане по различни начини, но най-лесният начин е да копирате файлове / и т.н. / ако съществува, / и т.н. / група и / и т.н. / сянка от един компютър на друг. Ако използвате LDAP за управлението на Linux сметки, може да не е необходимо това действие.
В допълнение към настройките NETLOGON конфигурация на акциите от smb.conf файл Не забравяйте да копирате самия директория. Трябва редовно да синхронизирате съдържанието на тази директория, както и последните промени.
След изпълнението на тези стъпки, можете да създадете резервно копие на конфигурацията на домейн контролер в smb.conf.
Тези параметри правят резервни копия на домейн контролер, за да откаже да участва в избора на главен наблюдател (и оставете да спечели изборите на първичния контролер), използвайте роб на сървъра LDAP (slave-ldap.example.org) като база данни с парола и да използвате LDAP главния сървър (магистър-LDAP. example.org) за съхранение на сравнения между Linux и Windows сметки.
Създаване на отношения на доверие между домейни
Active Directory домейни Основи
Active Directory, по същество съчетава три различни мрежови стек: сървърни съобщения (SMB) / CIFS, LDAP и Kerberos. SMB / CIFS е отговорен за възможността за споделяне на файлове и принтери, LDAP ви позволява да съхранявате информация за потребителски акаунти и Kerberos осигурява криптиране. Всички тези технологии са на разположение в Linux, но тяхната интеграция може да бъде предизвикателство. Както вече споменахме, можете да настроите съвместна операция Samba и LDAP за управление на сметката - този подход е силно препоръчително, ако планирате да използвате резервна домейн контролер. Samba 3.x също могат да бъдат свързани с Kerberos, въпреки че ние не смятаме, че тези въпроси тук. Samba 4 е частично изпълнява своя собствена LDAP и Kerberos разполага, комбинирането им в основния пакет на разпределението.
За повече подробности Samba интеграция с Active Directory се счита темата 314.3.
В големите организации, различните отдели могат да имат свои собствени Windows NT домейни. Тази конфигурация позволява на всеки отдел, за да управляват собствените си сметки, но може да се ограничи възможността за използване на други звена на ресурси. Така например, в две съседни единици може да се наложи да се използват общите ресурси на пресата. Този тип между домейни ресурси могат да бъдат реализирани чрез създаване на отношения на доверие между домейни. или за краткост са просто връзка на доверие.
Trust взаимоотношения имат следните две функции, за да имате предвид. На първо място, тези отношения не са преходни. т. е. само за тези области, за които те са изрично конфигурирани. Например, ако домейн доверява домейн ФИЗИКА геология и геология домейн - биология на домейна, физика домейна автоматично ще се доверят БИОЛОГИЯ домейн. На второ място, това е едностранна отношения на доверие. Например, ако домейн доверява домейн ФИЗИКА геология, това не означава, че геология ФИЗИКА доверен домейн. За да създадете доверие отношения двупосочен, трябва да конфигурирате отношения на доверие с един съсед във всяка област.
За да настроите връзката доверие между домейни, всеки домейн трябва да бъде отделно конфигуриран правилно. Първата област е доверчив достояние. и нейните ресурси ще бъдат достъпни за потребителите на друг домейн, който в този случай ще бъде най-довереното домейн. Например, да предположим, че в областта на физиката на домейн е широкоформатен принтер, който те искат да използват геология потребители в домейна. В този случай, физика на домейн ще бъде доверявайки домейн и геология домейн - доверието. За да започнете да настройвате връзката доверие, трябва първо да се създаде доверие домейн (физика) Linux и Samba сметки за доверен домейн (геология):
Имайте предвид, че трябва да използвате знака за долар ($), за да създадете Linux сметка чрез useradd. но не и при създаване на акаунт Samba използване smbpasswd. smbpasswd команда ще ви подкани да въведете паролата за сметка доверителни отношения. Запомнете тази парола, защото ще трябва да го скоро. ГЕОЛОГИЯ контролер доверен домейн ще използва тази сметка, като че ли един обикновен член на доверие достояние, което позволява на потребителите да имат достъп до геология домейн домейни ресурси физика.
Стартирайте тази команда на компютъра Linux, която е член на довереното домейн (в този случай геология). Когато ще се наложи да въведете парола, въведете паролата, която беше посочена в smbpasswd команда за доверие домейн. Ако всичко върви добре, потребителите геология домейн вече могат да получат достъп до сървърите на домейн физика. Ако трябва да конфигурирате доверие връзката двупосочна, трябва да повторите тези стъпки във втората област, промяна на ролята на домейна на сайта.
За отмяна на доверие отношения, изпълнете следната команда в довереното домейн:
Вместо предишната команда, можете да използвате следната команда в доверчив домейна:
какво следва
Изтегляне ресурси
Свързани теми