Samba PDC

Projektpräsentation

Linux Primary Domain Controller mit

und Windows 2000 Clients

Patrick Schmidt, März 2002 Folie 1

Samba PDCProjekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration

•Administration

Programm-oberflächePatrick Schmidt, März 2002 Folie 2

•unabhängiges Testfeld innerhalb des Hauses

•keine Beeinträchtigung der Produktionsdomäne

•Linux SuSE 7.2 , ohne zusätzliche Lizenz eines Servers

•Software Samba als Primary Domain Controller (PDC)

Folie 3Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDC

•Windows NT 4.0 Workstations und Server

•Unixrechner (Linux und AIX)

•Samba als Platten-Server für unsere AIX Systeme

Folie 4Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDC

•Windows 2000 Professional Workstations

•einfache Konfiguration/Administration über die Konsole

•Die Rechner sind durch einen Switch miteinander verbunden, nur der Server selbst hat eine Schnittstelle zu der Produktionsdomäne

Konfiguration ...

Folie 5Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDC

•Domänenbenutzer und Administratoren, mit unterschiedlichen Zugriffsrechten

•Domänenbenutzer sollten keine Möglichkeit haben, sich direkt auf den Server einloggen zu können

•übersichtlich aufgezeichnete Domänenaktivitäten

•servergespeicherte Benutzerprofile

Folie 6Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDCSamba ist unter GNU frei verfügbar

Als fertiges Paket auf der SuSE Linux Distribution • Installation mit Hilfe von YaST

Als Quelltext der jeweils aktuellen Version von der Samba Support Page

• Kompilieren des Quelltext mit Hilfe von gcc

Folie 7Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDCSamba wird über die Datei /etc/smb.conf konfiguriert

Diese Datei hat drei vordefinierte Bereiche

[global] Allgemeine Einstellungen

[homes] jeden Benutzer sein eigenes Share

[printers] Definition von freigegebenen Drucker

Als Programmoberfläche wird im Paket SWAT mitgeliefert

Folie 8Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDCAdministration am Server

•Erstellen eines Benutzeraccounts unter Linux und Samba

•Vetrauensstellungen der Clients schaffen

Administration am Client

•Client in die Domäne übernehmen

Über das Skript /usr/sbin/rcsmb aus dem Paket können die Programme von Samba bedient werden

Die Logdateien für alle Dienste und Zugriffe an und von Samba befinden sich im Verzeichnis /var/log

Folie 9Patrick Schmidt, März 2002

Projekt-hintergrund

BisherigeSituation

Zielsetzung

Umsetzung•Installation•Konfiguration•Administration

Programm-oberfläche

Samba PDCSWAT (Samba Web Administration Tool)

• Aufruf über Webbrowser am Port 901 mit HTTP-Authentifizierung

• Kontrolle über inetd

• Zugangsbeschränkungen über hosts.allow und hosts.deny

Konfiguration ...

Samba PDC

Patrick Schmidt, März 2002 Folie 10

Programmoberfläche

Folie 11Patrick Schmidt, März 2002

Samba PDC

Vielen Dank für Ihre Aufmerksamkeit !

Patrick Schmidt, März 2002

Samba PDC

BI2.DOM10.14.127.0255.255.255.0

Server

eth0: 10.14.127.5 eth1:

Workstation 110.14.127.20

Workstation 210.14.127.50

Fast Ethernet Switch

Netzplan

Patrick Schmidt, März 2002

Samba PDC[global]

workgroup = BI2.DOMinterfaces = 10.14.127.5/255.255.255.0

log file = /usr/local/samba/var/log/log.%mlog level = 2

domain admin group = @ntadmin rootadmin users = @ntadmin rootprinter admin = @ntadmin root

encrypt passwords = yessecurity = user

os level = 255domain logons = yesdomain master = yeslocal master = yes prefered master = yes

wins support = yes

/etc/smb.conf (global)

weiter...

Patrick Schmidt, März 2002

Samba PDC

logon drive = H:logon home = \\%N\home\%ulogon path = \\%N\profiles\%ulogon script = %U.bat

[netlogon]path = /usr/local/samba/var/netlogonread only = yeswrite list = @ntadmin

[profiles]path = /usr/local/samba/var/profilesread only = nocreate mask = 0600directory mask = 0700

/etc/smb.conf (global)

weiter...

Patrick Schmidt, März 2002

Samba PDC[home]

browseable = nopath = /usr/local/samba/homevalid users = @abt1 @abt2 @ntadminwriteable = yescreate mask = 0600directory mask = 0700

[abt1]browseable = nopath = /usr/local/samba/home/abt1valid users = userabt1 @abt1 @ntadminwriteable = yesdirectory mask = 0760

[abt2]browseable = nopath = /usr/local/samba/home/abt2valid users = userabt2 @abt2 @ntadminwriteable = yesdirectory mask = 0760

/etc/smb.conf (shares)

weiter...

Patrick Schmidt, März 2002

Samba PDC#! /bin/sh## Startupskript fuer Samba 2.2.3a##[...]SMB_BIN=/usr/local/samba/sbin/smbdNMB_BIN=/usr/local/samba/sbin/nmbdSMB_CONF=/usr/local/samba/lib/smb.confSMB_PID=/usr/local/samba/var/locks/smbd.pidNMB_PID=/usr/local/samba/var/locks/nmbd.pid

/usr/sbin/rcsmb

Patrick Schmidt, März 2002

Samba PDC> groupadd abt1

> useradd –g abt1 –d /dev/null –s /bin/false userabt1

> bin/smbpasswd -a userabt1New SMB password:Retype new SMB password: Added user userabt1.

> bin/smbpasswd –e userabt1

Erstellen eines Benutzeraccounts

weiter...

Patrick Schmidt, März 2002

Samba PDC> useradd –g clients –d /dev/null –s /bin/false CLIENT1$

> passwd –l CLIENT1$

> bin/smbpasswd -a –m CLIENT1Added user userabt1.

> bin/smbpasswd -e CLIENT1$Enabled user client1$.

Vetrauensstellungen der Clients

weiter...

Patrick Schmidt, März 2002

Samba PDCClients in die Domäne übernehmen

Patrick Schmidt, März 2002

Samba PDC

swat 901/tcp

Zugangsbeschränkung für SWAT

swat stream tcp nowait.400 root /usr/local/samba/sbin/swat

swat: ALL EXCPEPT LOCAL

swat: localhost, 10.14.127.20

/etc/services

/etc/inetd.conf

/etc/hosts.deny

/etc/hosts.allow