CHƯƠNG 3: CÀI ĐẶT DOMAIN CONTROLLER 3.1 Cài đặt và cấu hình Samba
3.2.1 Cấu hình Domain Controller chính
Phần này nói về việc cấu hình Samba như là một Domain controller chính (Primary domain controller – PDC) bằng backend smbpasswd mặc định.
• Đầu tiên cài đặt samba và libpam-smbpass để đồng bộ tài khoản người dùng bằng cách gõ lệnh sau vào dấu nhắc terminal
sudo apt-get install samba libpam-smbpass
• Tiếp theo, cấu hình Samba bằng việc sửa đổi tập /etc/samba/smb.conf. Chế độ security nên đặt là user và workgroup nên có liên quan đến tổ chức của bạn.
workgroup = EXAMPLE …
security = user
• Ở phần đã được comment “Domain”, hãy thêm hoặc bỏ comment phần sau:
domain logons = yes
logon path = \\%N\%U\profile logon drive = H:
logon home = \\%N\%U logon script = logon.cmd
add machine script = sudo /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false %u
Trong đó:
domain logons: cung cấp dịch vụ netlogon để Samba hoạt đồng như là một domain controller.
logon path: đặt thông tin người dùng Windows vào thư mục nhà của họ. Ta cũng có thể cấu hình nơi chia sẻ [profiles], nơi đặt toàn bộ các hồ sơ người dùng dưới một thư mục duy nhất.
logon drive: chỉ định đường dẫn cục bộ thư mục home..
logon home: Chỉ định vị trí thư mục home.
logon script: Chỉ định đoạn mã cần chạy cục bộ khi mà người dùng đã đãng nhập vào. Đoan mã cần được đặt ở nơi chia sẻ [netlogon]
add machine script: Một đoạn mã sẽ tự động tạo ra Tài khoản tin tưởng máy (Machine Trust Account) cần thiết cho máy trạm gia nhập miền.
• Tạo nhóm machines bằng công cụ addgroup. Bên cạnh đó, quyền cần được cấp tới nhóm Domain Admins để cho phép add machine script (và các chức năng admin khác) hoạt động. Ta có thể thực hiện việc này bằng cách:
net rpc rights grant "EXAMPLE\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege
hoặc
SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
Nếu không muốn dùng Roaming Profiles, để tùy chọn logon home và logon path ở chế độ được comment.
• Bỏ bình luận phần chia sẻ [homes] để cho phép logon home được ánh xạ
[homes]
comment = Home Directories browseable = no
read only = no create mask = 0700 directory mask = 0700 valid users = %S
• Khi được cấu hình như là một domain controller thì chia sẻ [netlogon] cần được cấu hình. Để cho phép chia sẻ này, hãy bỏ comment phần sau:
[netlogon]
comment = Network Logon Service path = /srv/samba/netlogon
guest ok = yes read only = yes share modes = no
Lưu ý: đường dẫn chia sẻ netlogon gốc là /home/samba/netlogon, nhưng tuy nhiên theo chuẩn phân cấp hệ thống tập tin (Filesystem Hierarchy Standard - FHS), /srv là nơi chuẩn cho dữ liệu dành riêng cho site được cung cấp bởi hệ thống.
• Bây giờ hãy tạo thư mục netlogon và một tập tin mã logon.cmd rỗng bằng lệnh sau:
sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd
• Với quyền root mặc định bị tắt đi, để có thể ra nhập một máy trạm vào miền, nhóm hệ thống cần được ánh xạ vào nhóm Domain Admins của Windows. Sử dụng công cụ net bằng cách nhập vào terminal như sau:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
Lưu ý:
Thay đổi sysadmin thành nhóm mà bạn muốn.
Người dùng đã từng ra nhập domain cần phải là thành viên của nhóm sysadmin, cũng đồng thời là thành viên của nhóm hệ thống
• Cuối cùng, khởi động lại samba để kích hoạt domain controller mới:
sudo restart smbd sudo restart nmbd
Lúc này ta có thể gia nhập một client Windows vào domain giống như cho chúng gia nhập vào domain NT4 trên Windows Server.