ПредишенСледващото

Планирането на управлението на потребителските акаунти и групи

Ако някога сте работили с потребителски акаунти и групи, а след това най-вероятно знаете, че в смесени среди, тяхното прилагане не винаги мине гладко за потребителите, която е типичен източник на проблеми за потребителите, така и системни администратори. За щастие, Самба разполага със средства, за да помогне да управлявате този процес. В тази статия ще научите как да управлявате потребителски акаунти и групи в смесена среда.

Tracy Bost. Консултант и лектор, писател на свободна практика

За тази серия

Тази статия серия ще ви помогне да научите Linux задачи за администриране на системата. Можете да използвате материала в тези статии, за да се подготвят за изпити LPIC програма трето ниво (LPIC-3).

Темите, обсъждани в тази статия:

  • UNIX сметки.
  • Samba управление на сметката.
  • картографиране на профила.
  • Принуждават правата за достъп до файлове и директории за сметките.

Предварителни

За да се възползва максимално от нашите членове, задълбочени познания в Linux, трябва да имате и работещ компютър с Linux, на която можете да се упражнявате на командите. По-специално, се предполага, че читателят е в състояние да работи с командния ред на Linux, и като цяло разбира Samba цел (както е обсъдено в предишната статия "Научете Linux, 302: Основни принципи"). За да изпълните примерите в тази статия, вашият компютър трябва да бъде инсталиран софтуер Samba софтуер, а вие трябва да имат достъп до мрежата на клиента работещ Windows.

Разбирането на UNIX на потребители и групи сметки

За допълнителен изпит LPI-302

Както при много други програми, Linux Professional Institute (LPIC) сертификационна програма предоставя различни нива на сертификация, където за всяко следващо ниво е необходимо да има по-задълбочени познания и практически опит. Изпит LPI-302 - не е задължителен изпит LPIC трето ниво на програмата, която изисква задълбочени познания в Linux системна администрация.

За LPIC трето ниво (LPIC-3) изпит двустепенна трябва да премине (101 и 102), две изпити второ ниво (201 и 202), и основа 301 изпит трето ниво (LPIC-3). Ако сте получили сертификат от трето ниво, можете да вземете по избор изпити по определени специалности, например, LPI-302 изпита.

Вашият Samba сървъра не съществува само по себе си. Потребителите трябва да имат достъп до файлове и директории, но преди да могат да направят това, те трябва да бъдат удостоверени. Потребителите могат да се свързват с работни станции като Linux, така и Windows. Така или иначе, всеки потребител трябва да има предвид, можете да се признае на сървъра Samba.

След като потребителят е идентифициран, той трябва да получи право на достъп до файлове, директории и услуги за печат. Group - е един от поддържаните компоненти на Samba, който ви позволява да управлявате тези разрешения по-ефективно.

Вътрешен база данни SAM - посредник между местните потребителски акаунти и UNIX потребителски акаунти на отдалечени компютри. Има няколко метода, които позволяват на потребителите да идентифицират със сървъра Samba, но преди да се пристъпи към потребителски акаунти на Samba, вие здраво, трябва да сме наясно и управление на потребителски акаунти и групи в UNIX.

User Accounts

Обява 1. Създаване на местен сметка

Всеки ред в файл / и т.н. / ако съществува съдържа един профил и се състои от седем области, разделени с двоеточие (.). Samba за управление на потребителски акаунти са от интерес на три области: на първия (потребителско име), третият (потребителска идентификация, на UID) и четвърта (групова идентификация, GID).

сметки групи

сметки Група играят важна роля, опростяване на администрирането на многопотребителска компютри. Ако управлявате сървъра Samba, типичната проблема е да се възложи групи права за достъп до определени файлове, директории и принтери.

Точно както в случая на потребителски акаунти, ако се работи с местна конфигурация на сметките на Samba, в повечето случаи, трябва да създадете потребителски акаунт UNIX групи на локалния сървър Samba. Информацията за сметката, се съхранява в UNIX група файл / и т.н. / група. В някои Линукс дистрибуции за всеки нов потребител създава местна частна група. Такъв е случаят, в случай на Монти потребител.

Обява 2. Създайте група и добавяне на потребители, за да го

За създаване на група и да го добавите към потребителя в Обява 2 използва командата / sbin / groupadd и / sbin / usermod. Ако искате да добавите към групата, няколко потребители, можете да създадете скрипт или добавяне на потребители директно към файл / и т.н. / група. Членовете на екипа трябва да бъдат описани в последното поле, разделени със запетая (.). Ако създадете група ръчно, не забравяйте, че всяка група трябва да има уникален идентификатор (GID).

Управление на профила Samba

В стандартната конфигурация Samba информация за профила се съхранява в една от следните вътрешни данни пароли за бази данни:

Използването smbpasswd и tdbsam

Smbpasswd база данни се използва по подразбиране във всички версии на Samba 3.4 по-долу. В Samba версия 3.4 smbpasswd вече не се използва и се използва вместо tdbsam база данни (така се препоръчва тази база данни за среди с по-малко от 250 потребители).

База данни tdbsam се счита за по-добър, отколкото мащабируема smbpasswd. Ако работите с Samba версия, която по подразбиране е на smbpasswd, можете да замените тази база данни на tdbsam, като посочва в параметър smb.conf файл passdb = tdbsam в глобалната секция.

Въпреки smbpasswd - не е само една база данни, но също така инструмент от пакета Samba, който ви позволява да управлявате сметки Samba по прост конфигурация. За да създадете акаунт в Samba, трябва да имате корен привилегии. Преди да създадете потребителски акаунт Samba трябва да съществува на локалния сървър Linux. Обява 3 показва пример за създаването на профила на потребителя Samba използване smbpasswd.

Обява 3. Създаването на акаунт в Samba на потребителя с помощта на smbpasswd

Потребителите могат да използват smbpasswd да променят паролите си, както е показано на Обява 4.

Обява 4. локален потребител може да промени своята парола с помощта на smbpasswd

Можете също да конфигурирате Самба за синхронизация парола, за да се появи, когато потребителят промени паролата за локалния ви сметка също се актуализира и Samba парола:

Ако за известно време, потребителят не се нуждае от достъп до сървъра Samba, можете временно да деактивира всеки един профил, и да го направите по-късно. Ако потребителят не се нуждае от достъп до Samba, сметката му може да бъде изтрита. Обява 5 показва как да го направя.

Обява 5. Изключете и премахване на Samba сметка чрез smbpasswd

Използването pdbedit

Като част от Samba, многофункционален инструмент, наречен pdbedit. Този инструмент може да работи с профили, съхранени в който и да е от трите по-горе данни. В допълнение към създаване, промяна и изтриване на потребители, pdbedit ви позволява да изпълните следните стъпки:

  • Показване на списък с потребителски акаунти.
  • Посочете началната директория.
  • Внос на потребителски акаунти.
  • Задавате правила потребителски акаунти.

Когато се работи с базата данни може да се използва като tdbsam pdbedit. и smbpasswd (Обявата 6). За всички команди pdbedit трябва да има корен привилегии.

Обява 6. Извършване на различни действия с вътрешния база данни с помощта на smbpasswd и pdbedit

Обява 6 ви показва как можете да създадете потребител с помощта на smbpasswd. и след това да се покаже списък с потребители, използващи Samba pdbedit.

Създай свой собствен канал

Pdbedit полезност може да се използва за задаване на правила за профила. Изброените по-долу са имената на политики, които могат да се контролират:

  • мин дължина парола (минимална дължина парола)
  • История на парола (освен история парола)
  • потребителят трябва да влезете, за да промените паролата (User трябва да сменя паролата на следващото влизане в системата)
  • Максималната възраст парола (максимум парола)
  • минимална възраст парола (минимум парола)
  • продължителност локаут (време заключите провали вход)
  • брой нулиране минути (минути брояч нулират заключване сметка)
  • лош опит локаут (запушване на неуспешен опит за вход)
  • разминаване време (време на сън)
  • да откаже промяна машина парола (промяна да отхвърли компютърна парола)

В Обява 7, ние се минималната дължина за парола е осем символа, след което задайте максималния парола възраст от 30 дни. Вариант -Р отнема аргумент низ трябва да съответства точно на името на един от посочените по-горе политики и определя стойността на опцията -с за избраната политика.

Обява 7. Управление на профила с pdbedit

За повече информация за наличните команди, комунални услуги pdbedit препращат към човека страница или -h командния pdbedit.

Използването ldapsam

Ако обкръжението ви съдържа повече от 250 потребители, можете да използвате вътрешния база данни ldapsam. От всички тези три бази данни само ldapsam може да съхранява данни за сметките на групата. Ако цялата информация за потребители и групи се съхраняват в база данни данни LDAP, идентификационни номера на потребителите и групите на вътрешните (идентификаторите, съответно), ще бъдат договорени между всичките си сървъри. От настройките на LDAP е извън обхвата на тази статия, аз ще ограничи информацията, която LDAP сървър място дефиниран параметър idmap гръб в smb.conf.

Следващият пример idmap параметър задния казва Samba, че хранилището за идентификационни данни е да се възползвате от тази услуга LDAP директория работи на възела, наречен directory-services.example.org. В този случай е необходимо да имате LDAP сървър работи предварително конфигуриран да работи с Samba (повече подробности idmap полезност ще бъдат обсъдени в следващия раздел).

картографиране на профила

Ако вашият Samba сървър е член на сървъра на домейн, то е вероятно, че просто ще използва файла картографиране. Въпреки това, ако вашата среда е, потребителите, които се свързват към сървъра Samba от домейн, различен, правилният сравнението на потребител и група IDs помага изпълни idmap полезност.

Потребителят Картографиране използване sampasswd и TDB-файлове

Таблица 1. Windows потребителски акаунти и UNIX за сравнение

Когато създавате акаунти Samba, използвайте имената на потребителските акаунти на Windows. В smb.conf на файла, можете да посочите местоположението на файла, съдържащ съвпадащите сметки със съответните сметки UNIX. Обява 8 показва сравнение на сметки в UNIX.

Обява 8. А просто сравнение с UNIX сметки

Командата на Обява 8 конфигурира опцията потребителско име карта за използване на файл / и т.н. / самба / smbusers като картографиране на файлове. Сравнение на процедура сметки е съвсем проста: в ляво показва UNIX потребителски акаунти, нали - сметки Samba и знак за равенство между тях (=). Когато един потребител се свързва Samba карти в съответната партида.

Сравнение на групи

В типичен среда, самба групи за сравнение, конфигурирани от groupmap Samba екип от служители. Да предположим, че Монти потребители, bostt sue.george и е член на домейн администратори, потребители в домейна, а гостите на домейни. Ако искате да зададете за тези групи от хора са същите разрешения че UNIX групите на сървъра Samba, а след това да добавят имената на потребителски профили в UNIX във всяка група:

Това е само част от списъка на групите на сървъра Samba. адм група и потребители победи, създадени по време на инсталацията на операционната система Linux. Трябва да добавите всеки потребител към подходящата група (Таблица 2).

Таблица 2. Сметки за Windows и UNIX групи за сравнение

Net екип groupmap може да изпълнява сравнение на групи на домейни (виж Обява 9) и нетна списък groupmap показва списък на тези сравнения. Започвайки с Samba версия 3.x, налице е нова функционалност за цел да сравни относителните идентификатори на Windows (RID) и група ID UNIX (GID).

Обява 9. Сравнение на групите, с помощта на groupmap на отбора

В Обявата 9, следната последователност от действия за групи за сравнение:

  1. Извършване на нетната groupmap добавите команда като корен за да съответства на Windows-Group Администраторът на домейна на (ntgroup = 'Domain Admin ") с UNIX адм група (unixgroup = адм).

След тези стъпки за всяка група за сравнение.

  • Последната команда в Обява 9 показва списък с групи сравнения.

    • Сравнението на данните за самоличност

    Горните сравнения са достатъчни в повечето среди. Все пак, ако се управляват по-сложни среди, като например околна среда, с множество Samba сървъри или работни станции от различни области, които са свързани към сървъра Samba, което трябва да знаете за сравняване на данните за идентификация (IDMAP) и Winbind. IDMAP може да помогне за решаването на проблемите на оперативната съвместимост между идентификатори за сигурност на Windows (SID) и местните потребителски идентификатори (UID) или група (GID) UNIX.

    Ако сървърът Samba е член на домейн Windows, за да съответства на SID и UID (и GID) Можете да използвате Winbind. В smb.conf на файла, можете да настроите диапазона на стойностите на параметрите и idmap определи срока, в който трябва да Winbind кешира информацията за него:

    Принуждават сметки по подразбиране

    Подкрепете проекта - споделете линка, благодаря!