Глава 4. Офисная сеть на 500 пользователей4.1. Введение 4.2. Обсуждение и анализ 4.3. Внедрение
4.3.2. Подготовка серверов: шаги для всех серверов 4.3.3. Специфические шаги по настройке сервера 4.3.4. Настройка процесса запуска 4.3.5. Конфигурирование клиентов Windows 4.3.6. Основные моменты изученного
Сеть на Samba-3, которую вы рассмотрели в Главе 3, «Безопасная офисная сеть», продемонстрировала более тонкие моменты конфигурирования периферийных служб, таких как DHCP, DNS и WINS. Вы квалифицированно применили простую настройку сервисов, которые являются важными дополнениями для развертывания Samba. Анализ почтовых рассылок показывает явное преобладание двух основных проблем, это
В Главе 3, «Безопасная офисная сеть», были показаны действия с серверами DHCP, DNS и WINS. Вы проверили работоспособность этих серверов и увидели
эффективное применение контроллера домена на Samba с использованием бэкенда паролей Объектом этой главы является введение в более комплексные технические приемы, которые могут быть использованы для совершенствования управляемостью Samba при дальнейшем развитии сети. В этой главе вы внедрите расширенную среду сервера DHCP, распределенное размещение сервера DNS, централизованный сервер WINS, и централизованный контроллер домена Samba. Нужно сделать предостережение относительно конфигурирования Samba в этой главе. Использование одного контроллера домена как маршрутизатора между несколькими сетями является не очень хорошим выбором, который потенциально приводит к жалобам пользователей на работу сети. Эта глава показывает те же благоприятные технические приемы для развертывания и управления конфигурированием. В ней будет показан тот фундамент, который требуется для полного, комплексного развертывания Samba. Так как вы владеете уже представленными техническими навыками, вы можете найти более удачные методы для усовершенствования управления сетью и контроля, в то время как человеческие ресурсы будут сэкономлены. Вы получите хороший шанс рационализировать и пополнить методы, представленные здесь, чтобы более полно их изучить.
4.1. ВведениеДело Abmas продолжает идти хорошо. Мистер Meany отмечает ваши успехи и сеть продолжает развиваться благодаря усердной работе Кристины. Недавно вы наняли на работу Стэнли (Stanley Soroka) на должность менеджера информационных систем (если Кристина красавица-хакер, то наверняка, по американским традициям, Стэн чернокожий, хотя с американской политкорректностью, возможно, Стэн белый, а вот Боб, главный герой этой книги, афроамериканец, Уил Смит например :), прим.перев.). Его порекомендовала Кристина. Она сказала, что Стэн так же хорошо управляется с Samba, рекомендуя его, она привела такую метафору - он может сделать детского коня-качалку который сделает вмятину в бетоне, подобно лошади на родео (английская метафора, прим.перев.). Вам требуются подобные навыки. Кристина и Стэн обходятся малым. Давайте посмотрим, что вы скажете об этой паре, когда они построят сеть следующего поколения.Десять месяцев назад фирма Abmas обнаружила и приобрела страховой бизнес. Владелец потерял к тему интерес и решил сказать об этом мистеру Meany. Так как они были университетскими одногрупниками, было оформлено приобретение по взаимному согласию сторон. Приобретенный бизнес находился на другом конце города и имел благоприятные условия. Старое здание Abmas было не слишком большим. Нахождение на одной территории с новым приобретенным бизнесом двух пустых строений представляется для Abmas идеальными условиями для расширения.
В данным момент Abmas завершил покупку двух пустующих строений, и ваша задача провести в них новую сеть и перебросить штатных сотрудников в
тщательно оборудованные здания. Новая сеть будет использовать полную интеграцию внутри компании. Вы решили поместить новый центр управления
сетевыми операциями в большом здании, в котором будет находится страховая группа, чтобы воспользоваться всеми преимуществами пространства
перекрытий между этажами и позволить Снэну и Кристине полностью организовать новую сеть и протестировать ее перед введением в эксплуатацию.
Ваша задача завершить прокладку и проверку новой сети так, чтобы все было готово к тому времени, когда люди начнут перезжать из старого здания.
4.1.1. Условия задачиСтраховой бизнес имеет 280 пользователей сети. В старом здании Abmas базируется 220 сетевых пользователей в невероятно стесненных условиях. Сеть, которая расчитана обслуживать 130 человек, сейчас обслуживает 220 и вполне сносно.
Два бизнеса будут полностью слиты и будет создан один филиал компании. Хозяйство Группы Страхования (The Property Insurance Group (PIG)) включает
300 служащих, новая Группа Страхового Обслуживания (Accounting Services Group (ASG)) будет размещена в маленьком строении ( Вы решили соединить здание с использованием волоконно-оптического кабеля между двумя новыми роутерами. В целях резервирования, здания будут связываться с использованием инфракрасного приемо-передатчика в зоне прямой видимости. Инфракрасное соединение обеспечивает дополнительный маршрут при использовании в случаях, когда увеличиваются потребности в пропускной способности сети. Интернет-канал теперь предоставляет скорость 15 Мбит/сек. Ваш провайдер в ваших условиях предлагает для использования полностью управляемый файровол Cisco PIX. Так вы не будете больше беспокоиться о работе файрвола для вашей сети. Стенли и Кристина закупили новое серверное оборудование. Кристина хочет развернуть сеть, которая будет иметь кое-какие «фенечки» (whistles and bells, английская метафора, прим.перев.). Стэн хочет начать с простого управления, «некомплексную» сеть. Он полагает, что сетевым пользователям потребуется постепенно доводить новые возможности и функции и не напирать во внедрении новшеств, так как это может дезориентировать пользователей и привести к потере продуктивности. Ваша бесстрашная сетевая команда решила внедрить такую сетевую конфигурацию, которая точно воспроизводит ту рабочую систему, которую вы установили в старом здании Abmas. Новой сетевой инфраструктурой владеет Abmas, но все стационарные компьютеры подпали под услуги аутсорсинга и взяты в аренду. В соответствии со сделкой с мистером M. Proper'om (исполнительный директор), DirectPointe, Inc., предоставляются все стационарные компьютеры, а также полная прямая поддержка с оплатой за компьютер в месяц. Условия сделки позволяют вам по требованию добавлять рабочие станции. Это освобождает Стэна и Кристину от того, чтобы иметь дело с повседневными проблемами, которые могут иногда возникать, и позволяет Снэну работать над созданием новых дополнительных служб и возможностей. DirectPointe, Inc. получает от вас новые критерии конфигурации стационарных компьютеров каждые четыре месяца. Они автоматически разворачиваются на каждую настольную систему. Вы должны информировать DirectPointe, Inc обо всех изменениях.
Новая сеть имеет одиночный Первичный Контроллер Домена на Samba (single Samba Primary Domain Controller (PDC)), расположенный в Сетевом
Операционном Центре (Network Operation Center (NOC)). Каждое из строений 1 и 2 имеет локальный сервер для обслуживания локальных приложений.
Это члены домена. Новая система использует бэкенд паролей
Печать основана на средствах raw, как это и было раньше.
4.2. Обсуждение и анализПример, который вы будете осваивать в этой главе это проект рабочей сети, но это не делает его проектом, который мы рекомендуем. В виде общего правила, должен быть по крайней мере один Вторичный (резервный) Контроллер Домена (Backup Domain Controller (BDC)) на каждые 150 Windows клиентов. В основе этой рекомендации лежит то, что корректные операции клиентов MS Windows требуют быстрого отклика сети на все SMB/CIFS запросы. Тоже самое правило гласит, что если существует более, чем 50 клиентов на один контроллер домена, они также затрудняют обслуживание запросов. Давайте оставим эти правила в стороне и узнаем, как влияет на загрузку сети непрерывность быстроты реакции контроллера домена. Эта сеть будет иметь 500 клиентов, обслуживаемых одним центральным контроллером домена. Это плохое предзнаменование для удовлетворенности пользователей. Конечно, очень скоро мы доберемся до устранения этой проблемы (см. Глава 5, «Делаем пользователей довольными»).(к началу страницы)
4.2.1. Технические аспектыСтэн поведал вам об одном ужасном компромисе, к которому тем не менее прибегают. Но достоверно убедитесь, что производительность этой сети хорошо проверена перед введением в эксплуатацию.Выбранный проект включает следующее:
4.2.2. Политические аспектыЭтот пример близок к реальному миру. Вы и я знаем верный путь применения управления доменом. С политической точки зрения мы идем по минному полю. В этом случае мы должны развернуть PDC в соответствии с ожиданиями, а также быть готовыми сберечь день, имея в распоряжении реальное решение, готовое, если оно нам понадобиться. Такое стоящее решение представлено в Части 5, «Делаем пользователей довольными».(к началу страницы)
4.3. ВнедрениеПроцесс конфигурирования начинается с установки Red Hat Fedora Core2 на три сервера, топология сети показана на рисунке 4.1. Выберите оборудование в соответствии с задачами.
Рисунок 4.1. Топология сети на 500 пользователей, с использованием бэкенда паролей passdb
4.3.1.Установка конфигурационных файлов DHCP, DNS и SambaБудьте внимательны при размещении конфигурационных файлов согласно таблице 4.1.. Проверьте, что все пути корректны.
Таблица 4.1. Размещение конфигурационных файлов домена
(к началу страницы)
4.3.2. Подготовка серверов: шаги для всех серверовСледующие шаги должны быть применены ко всем серверам. Аккуратно выполняйте каждый шаг.Этапы подготовки серверов:
1. Средствами вашей системы назовите сервер, как показано на рисунке
4.1..
Для SUSE Linux это
Альтернативный путь это команда:
2. Запишите в файл
3. Все разрешение имен DNS должно проводиться локально. Удостоверьтесь, что сервер корректно настроен для осуществления
этой операции, внесите изменения в файл
В случае верной настройки это укажет функции разрешения имен при обращении к DNS-серверу, который запущен локально, разрешать имена в адреса. 4. Добавьте пользователя root в бэкенд паролей:
Учетная запись
5. Создайте файл соответствия пользователей, позволяющий учетной записи
6. Настройте все сетевые принтеры иметь фиксированный IP адрес.
7. Создайте запись в базе данных DNS на сервере 8. Выполните инструкции из руководства изготовителя принтера, чтобы разрешить печать через порт 9100. Используйте любой другой порт, если он задан изотовителем для режима прямой необработанной печати (raw printing). Это позволит спулеру CUPS печатать использовав протоколы необработанного режима (raw-режим). 9. На том сервере, к которому подключен принтер, настройте очереди печати CUPS:
Этот шаг создаст необходимые очереди печати без настройки фильтра принтера. Это хорошо для raw-печати, так как позволяет не
использовать фильтр. Имя 10. Возможно очереди печати не будут задействованы во время создания. Если необходимо, удостоверьтесь, что очереди, которые вы только что создали, запущены:
11. Хотя ваши очереди печати могут быть запущены, все еще есть вероятность, что они не будут воспринимать задания печати. Сервисы очереди печати начинают печатать только когда осуществлена их настройка. Проверьте, задано ли вашим очередям печати принимать задания для выполнения печати посредством следующей команды:
12. Этот шаг, так же как и следующий, может быть пропущен, если вы используете CUPS версии 1.1.18 или более поздней.
И его применение не принесет вреда, а может даже оказать услугу, в случае выяснения причины, если вдруг задания не отправляются
на печать. Посмотрите на эти шаги как на перестраховку. Отредактируйте файл
13. Отредактируйте файл
14. Ознакомьтесь с руководством CUPS, чтобы узнать, как настроить CUPS так, чтобы очереди печати, которые находятся на серверах CUPS в удаленных сетях переправляли очереди печати на тот сервер печати, которому принадлежит очередь. Настройки по умолчанию вашего сервера CUPS могут автоматически обнаруживать удаленно установленные принтеры и могут разрешать такую функцию без дополнительных настроек.
15. Частью программы развертывания является настройка сервера приложений. Это может быть сделано на центральном сервере
и затем быть скопировано (реплицировано) с использованием инструмента
4.3.3. Специфические шаги по настройке сервераНиже приведено несколько шагов, которые будут применены к конкретно взятому серверу. Каждый шаг очень важен для дальнейшей корректной работы этого сервера. Следование пошаговой инструкции поможет вам в работе по настройке PDC и обоих BDC.(к началу страницы)
4.3.3.1. Конфигурация сервера
Шаги показанные здесь, это попытка развернуть Samba в обычной манере. Так как эти нескольких шагов безусловно специфичны лишь
для Linux, их не будет слишком сложно применить на выбранной вами платформе.
|
echo 1 > /proc/sys/net/ipv4/ip_forward |
Удостоверьтесь, что ваше ядро способно осуществлять маршрутизацию, также вы можете записать эту команду вручную. Эта настройка позволит Linux-системе действовать как роутер.
2. Этот сервер является ведущим для двух сетей (имеет два сетевых интерфейса) — один смотрит в Интернет, а другой в локальную сеть, которая имеет роутер, являющийся шлюзом для удаленных сетей. По этой причине вы должны настроить таблицу маршрутизации сервера так, чтобы можно было найти компьютеры в удаленных сетях. Вы можете сделать это с использованием соответствующих инструментов вашей Linux-системы или воспользоваться статическими записями, которые в поместите в один из системных загрузочных файлов. Лучше всегда использовать инструменты, которые предоставил разработчик дистрибутива. В случае SUSE Linux лучший инструмент это YaST (обратитесь к Руководству Администратора YaST); в случае Red Hat, лучше использовать графические системные утилиты (обратитесь к документации Red Hat). Пример того, как это можно сделать в ручную, показан ниже:
root# route add net 172.16.4.0 netmask 255.255.252.0 gw 172.16.0.128 root# route add net 172.16.8.0 netmask 255.255.252.0 gw 172.16.0.128 |
Если вы выполнили эти команды вручную, таблица маршрутизации, которую вы создали, не будет работать после следующей перезагрузки системы. Вы можете добавить эти команды непосредственно в локальные файлы загрузки:
SUSE - /etc/rc.d/boot.local
;
Red Hat - /etc/rc.d/init.d/rc.local
.
3. Последним шагом, который должен быть выполнен, это редактирование файла /etc/nsswitch.conf
. Этот файл
контролирует операции различных разрешающих библиотек, которые являются частью Linux-библиотек Glibs. Отредактируйте этот
файл следующим образом:
hosts: files dns wins |
4. Создайте и присоедините группы домена Windows и группы UNIX. Скрипт, с помощью которого вы можете это сделать,
показан в примере
4.3.17.. Создайте файл с этим
скриптом, назовите его /etc/samba/initGrps.sh
. Сделайте этот скрипт исполняемым и запустите его.
5. Сделайте запись для каждого пользователя, который нуждается в учетной записи пользователя домена Windows в файле
/etc/passwd
, а также в бэкенде паролей Samba. Используйте системные инструменты вашей ОС для создания системных
учетных записей UNIX, для создания доменных учетных записей воспользуйтесь инструментом smbpasswd
. В числе
инструментов для создания пользователей UNIX утилиты useradd
и adduser
, а также обилие сторонних
утилит. Также не забудьте при помощи выбранной вами утилиты, создать домашний каталог для каждого пользователя (подробности
см. ниже в шаге 11).
6. Используя выбранные вами инструменты, добавьте каждого пользователя в группы UNIX, заранее созданные, если это необходимо. Контроль доступа к файлам системы основан на принадлежности к группам UNIX.
7. Создайте точку монтирования для дисковой подсистемы, в которой будут храниться все файлы компании, в нашем случае
точка монтирования в файле smb.conf
будет обозначена как /data
. Отформатируйте файловую систему как
вам нужно и примонтируйте раздел в точку монтирования.
8. Создайте корневой каталог файлового хранилища данных и приложений:
root# mkdir -p /data/{accounts,finsvcs,pidata} root# mkdir -p /apps root# chown -R root:root /data root# chown -R root:root /apps root# chown -R bjordan:accounts /data/accounts root# chown -R bjordan:finsvcs /data/finsvcs root# chown -R bjordan:finsvcs /data/pidata root# chmod -R ug+rwxs,o-rwx /data root# chmod -R ug+rwx,o+rx-w /apps |
Каждый отдел отвечает за создание и поддержание структуры данных внутри своего общего ресурса. Корень каталога бухгалтерии
accounts
это общий ресурс /data/accounts
. Корень каталога финансистов finsvcs
это общий
ресурс /data/finsvcs
. Корень каталога страховой группы pidata
это общий ресурс /data/pidata
.
Каталог apps
это корень общего ресурса /apps
, требуется для сервера приложений.
9. Файл smb.conf
определяет инфраструктуру поддержки перемещаемых профилей и возможностей сетевого входа.
Теперь вы можете создать структуру файлов с целью размещения на диске требуемых сервисов для этих возможностей. Следует
провести соответствующее планирование, так как впоследствии профили сотрудников могут увеличиться до весьма больший размеров.
Учтем при планировании, что для хранения пользовательского профиля потребуется как минимум 200 мегабайт. Следующие команды
помогут вам создать требующуюся структуру каталогов:
root# mkdir -p /var/spool/samba root# mkdir -p /var/lib/samba/{netlogon/scripts,profiles} root# chown -R root:root /var/spool/samba root# chown -R root:root /var/lib/samba root# chmod a+rwxt /var/spool/samba |
Для каждой учетной записи пользователя, созданной в системе, нужно выполнить следующие действия:
root# mkdir /var/lib/samba/profiles/"username" root# chown "username":users /var/lib/samba/profiles/"username" root# chmod ug+wrx,o+rx,-w /var/lib/samba/profiles/"username" |
10. Создайте сценарий входа (logon script). Проследите, чтобы конец каждой строки был корректно завершен
(речь идет о проблеме несоответствия конца строк кодировке DOS). Для этого используйте утилиты unix2dos
и dos2unix
(которые имеет смысл установить). Сначала создайте файл
/var/lib/samba/netlogon/scripts/logon.bat.unix
следующего содержания:
net time \\massive /set /yes net use h: /home |
Затем конвертируйте unix-файл в dos-файл используя unix2dos
:
root# unix2dos < /var/lib/samba/netlogon/scripts/logon.bat.unix \ > /var/lib/samba/netlogon/scripts/logon.bat |
11. А теперь об одном подготовительном шаге, без которого сетевое окружение Samba не будет работать нормально. Вы должны добавить учетную запись для каждого пользователя сети. Вы можете сделать это выполнив следующие операции для каждого пользователя:
root# useradd -m username root# passwd username Changing password for username. New password: XXXXXXXX Re-enter new password: XXXXXXXX Password changed root# smbpasswd -a username New SMB password: XXXXXXXX Retype new SMB password: XXXXXXXX Added user username. |
Разумеется, вместо username
вы должны использовать реальные учетные записи.
12. Операции, показанные в разделе 4.3.4. позволят вам запустить все сервисы.
13. Ваш сервер готов для проверки. Не переходите к разделу
4.3.3.2., пока не проверите ваш сервер теми
же методами, которые показаны в Главе 3, «Безопасная офисная сеть»,
раздел 3.3.6..
(к началу страницы)
BLDG1
и BLDG2
Шаги по настройке Вторичных Контроллеров Домена (BDC):
1. Выполните редактирование файла /etc/nsswitch
. Этот файл контролирует операции различных разрешающих
библиотек, которые являются частью Linux-библиотек Glibs. Отредактируйте этот файл следующим образом:
passwd: files winbind group: files winbind hosts: files dns wins |
2. Выполните операции по запуску всех сервисов, как показано в разделе
4.3.4., однако не запускайте Samba в этот раз. Samba контролируется
процессом smb
.
3. Теперь вы должны попытаться включить серверы члены домена в домен. Следующая команда позволит это сделать:
root# net rpc join |
4. Сейчас запустите сервер Samba:
root# service smb start |
5. Ваш сервер готов к проверке. Не переходите к конфигурации следующего Вторичного Контроллера Домена, пока не
проверите ваш сервер теми же методами, которые показаны в Главе 3, «Безопасная офисная сеть»,
раздел 3.3.6..
(к началу страницы)
chkconfig
, который создает соответствующие символические
ссылки на основные управляющие файлы демонов, которые находятся в каталоге /etc/rc.d
, и в каталогах
/etc/rc"x".d
. Ссылки создаются так, что, когда уровни запуска изменились, выполняется необходимый запуск
или останов скрипта.
В случае, когда сервис запускается не как демон, а с помощью межсетевого супер-демона (inetd
или xinetd
),
тогда chkconfig
делает необходимые записи в каталоге /etc/xinetd.d
и посылает сигнал отказа
(hang-up, HUP) супер-демону, и это вынуждает его перечитать свои управляющие файлы.
В итоге, каждый сервис должен быть запущен чтобы позволить системе продолжать работу.
1. Используйте встроенные инструменты вашей системы для настройки автоматического запуска сервисов при перезагрузке системы, например так:
root# chkconfig dhpc on root# chkconfig named on root# chkconfig cups on root# chkconfig smb on root# chkconfig swat on |
2. Теперь запустите каждый сервис, чтобы система заработала как нужно. Выполните для каждого сервиса команду:
root# service dhcp restart root# service named restart root# service cups restart root# service smb restart root# service swat restart root# /etc/rc.d/init.d/smb restart |
Шаги по настройке Windows клиентов:
1. Установите MS Windows XP Professional. Во время установки укажите использовать DHCP (получать настройки сети автоматически). DHCP настроит все клиенты Windows использовать адрес WINS-сервера, который будет определен для локальной подсети.
2. Включите рабочую станцию в домен MEGANET
. Используйте в качестве администратора домена учетную запись
root
и пароль, который вы задавали при помощи smbpasswd
для этой учетной записи.
Детальная пошаговая инструкция по включению клиентов с Windows 200x/XP Professional домен Windows приведена в
Главе 15, «Сборник полезных советов», раздел 15.1. Перезагрузите компьютер,
когда это потребуется и войдите с использованием учетной записи администратора домена (root
).
3. Проверьте, что в Сетевом Окружении виден компьютер MASSIVE
, что к нему можно подключиться и увидеть
общие папки accounts
, apps
, pidata
finsvcs
и что в них можно зайти и
просмотреть содержимое.
4. Подключите как сетевой диск общий ресурс apps
. В этот раз не имеет значения, какой сервер приложений
будет использоваться. Необходимо вручную настроить постоянное подключение сетевого диска к локальному серверу приложений
на каждой рабочей станции во время установки. Этот шаг позволит избежать дополнительных настроек в следующей главе.
5.Выполните административную установку каждого приложения, которое будет использоваться. Выберите опции, которые вы желаете использовать. Конечно, вы можете выбрать запускать приложения по сети, верно?
6. Теперь установите все локальные приложения. Как правило это Adobe Acrobat, приложения для синхронизации времени NTP, драйверы на устройства, такие как сканер и тому подобное. Вероятно наиболее важное приложение для локальной установки это антивирус.
7. Теперь установите все принтеры на эталонную систему. Это принтеры бухгалтерского отдела HP LaserJet 6 и Minolta QMS Magicolor. Вы также должны настроить принтеры, которые находятся в финансовом отделе. Установите принтеры на каждую рабочую станцию следуя шагам, показанным ниже:
б) Щелкните Дальше, выберите HP, найдите принтер HP LaserJet 6, щелкните Дальше.
в) Выберите «Использовать порт: FILE (Печать в файл)», затем установите имя принтера по умолчанию. На вопрос «Желаете ли вы распечатать пробную страницу?» ответьте «Нет». Нажмите «Готово».
г) Вам может быть задан вопрос об имени файла печати. В этом случае Щелкните на принтере P LaserJet 6, выберите Свойства-Вкладка_Дополнительно-Добавить_порт.
д) На панели Сеть введите имя очереди печати на Samba-сервере \\BLDG1\hplj6
. Щелкните OK+OK для
завершения установки.
е) Повторите эти шаги для обоих принтеров HP LaserJet 6 , а также для лазерного принтера QMS Magicolor. Не забудьте
установить все принтеры, но настройте порт назначения для каждого сервера в локальной сети. Например, все принтеры одной из
рабочих станций бухгалтерского отдела относятся к серверу BLDG1
. Вы можете указать всю конфигурацию для рабочей
станции на сервере MASSIVE
и затем при развертывании было бы разумным описать потребность в пересылке конфигурации
принтера (также, как и подключение общего ресурса сервера приложений в виде постоянно подключенного сетевого диска) с
сервера в сегмент сети, в котором находится данная рабочая станция.
9. Загрузите рабочую станцию с диска или дискеты Norton Ghost. Сделайте образ диска и скопируйте его в общий ресурс на сервер.
10. Сейчас вы можете развернуть образ эталонного компьютера используя средства Norton Ghost. Убедитесь, что каждая рабочая станция имеет уникальный идентификатор безопасности Windows (SID). Когда развертывание образа будет выполнено, перезагрузите компьютер.
11. Войдите на компьютер как локальный администратор (это опционально) и включите его в домен, следуя процедуре, описанной в Главе 15, «Сборник полезных советов», раздел 15.1.. Теперь система готова к тому, чтобы вход мог осуществить пользователь, конечно, если вы вы предварительно создали его учетную запись.
12. Проинструктируйте пользователей входить на их рабочие станции под выданным им именем пользователя и паролем.
(к началу страницы)
smb.conf
;
winbind
применяется пользователями и группами домена для доступа к ресурсам Samba, расположенных
на серверах членах домена;
Пример 4.3.1. Файл smb.conf
,сервер MASSIVE
(PDC)
# Global parameters [global] workgroup = MEGANET netbios name = MASSIVE interfaces = eth1, lo bind interfaces only = Yes passdb backend = tdbsam smb ports = 139 add user script = /usr/sbin/useradd -m '%u' delete user script = /usr/sbin/userdel -r '%u' add group script = /usr/sbin/groupadd '%g' delete group script = /usr/sbin/groupdel '%g' add user to group script = /usr/sbin/usermod -G '%g' '%u' add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody '%u' preferred master = Yes wins support = Yes include = /etc/samba/dc-common.conf [accounts] comment = Accounting Files path = /data/accounts read only = No [service] comment = Financial Services Files path = /data/service read only = No [pidata] comment = Property Insurance Files path = /data/pidata read only = No |
Пример 4.3.2. Файл /etc/samba/dc-common.conf
, сервер MASSIVE
(PDC)
# Global parameters [global] shutdown script = /var/lib/samba/scripts/shutdown.sh abort shutdown script = /sbin/shutdown -c logon script = scripts\logon.bat logon path = \\%L\profiles\%U logon drive = X: logon home = \\%L\%U domain logons = Yes preferred master = Yes include = /etc/samba/common.conf [homes] comment = Home Directories valid users = %S read only = No browseable = No [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon guest ok = Yes locking = No [profiles] comment = Profile Share path = /var/lib/samba/profiles read only = No profile acls = Yes |
Пример 4.3.3. Общий конфигурационный файл Samba /etc/samba/common.conf
[global] username map = /etc/samba/smbusers log level = 1 syslog = 0 log file = /var/log/samba/%m max log size = 50 smb ports = 139 name resolve order = wins bcast hosts time server = Yes printcap name = CUPS show add printer wizard = No shutdown script = /var/lib/samba/scripts/shutdown.sh abort shutdown script = /sbin/shutdown -c utmp = Yes map acl inherit = Yes printing = cups veto files = /*.eml/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/ include = # Share and Service Definitions are common to all servers [printers] comment = SMB Print Spool path = /var/spool/samba guest ok = Yes printable = Yes use client driver = Yes default devmode = Yes browseable = No [apps] comment = Application Files path = /apps admin users = bjordan read only = No |
Пример 4.3.4. Файл smb.conf
,сервер BLDG1
(BDC)
# Global parameters [global] workgroup = MEGANET netbios name = BLDG1 include = /etc/samba/dom-mem.conf |
Пример 4.3.5. Файл smb.conf
,сервер BLDG2
(BDC)
# Global parameters [global] workgroup = MEGANET netbios name = BLDG2 include = /etc/samba/dom-mem.conf |
Пример 4.3.6. Общий файл вложения членов домена: dom-mem.conf
# Global parameters [global] shutdown script = /var/lib/samba/scripts/shutdown.sh abort shutdown script = /sbin/shutdown -c preferred master = Yes wins server = 172.16.0.1 idmap uid = 15000-20000 idmap gid = 15000-20000 include = /etc/samba/common.conf |
Пример 4.3.7. Файл dhcpd.conf
,сервер MASSIVE
(PDC)
# Abmas Accounting Inc. default-lease-time 86400; max-lease-time 172800; default-lease-time 86400; ddns-updates on; ddns-update-style interim; option ntp-servers 172.16.0.1; option domain-name "abmas.biz"; option domain-name-servers 172.16.0.1, 172.16.4.1; option netbios-name-servers 172.16.0.1; option netbios-node-type 8; subnet 172.16.1.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.1.0 172.16.2.255; option subnet-mask 255.255.252.0; option routers 172.16.0.1, 172.16.0.128; allow unknown-clients; } subnet 172.16.4.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.7.0 172.16.7.254; option subnet-mask 255.255.252.0; option routers 172.16.4.128; allow unknown-clients; } subnet 172.16.8.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.11.0 172.16.11.254; option subnet-mask 255.255.252.0; option routers 172.16.4.128; allow unknown-clients; } subnet 127.0.0.0 netmask 255.0.0.0 { } subnet 123.45.67.64 netmask 255.255.255.252 { } |
Пример 4.3.8. Файл dhcpd.conf
,сервер BLDG1
(BDC)
# Abmas Accounting Inc. default-lease-time 86400; max-lease-time 172800; default-lease-time 86400; ddns-updates on; ddns-update-style ad-hoc; option ntp-servers 172.16.0.1; option domain-name "abmas.biz"; option domain-name-servers 172.16.0.1, 172.16.4.1; option netbios-name-servers 172.16.0.1; option netbios-node-type 8; subnet 172.16.1.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.3.0 172.16.3.255; option subnet-mask 255.255.252.0; option routers 172.16.0.1, 172.16.0.128; allow unknown-clients; } subnet 172.16.4.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.5.0 172.16.6.255; option subnet-mask 255.255.252.0; option routers 172.16.4.128; allow unknown-clients; } subnet 127.0.0.0 netmask 255.0.0.0 { } |
Пример 4.3.9. Файл dhcpd.conf
,сервер BLDG2
(BDC)
# Abmas Accounting Inc. default-lease-time 86400; max-lease-time 172800; default-lease-time 86400; ddns-updates on; ddns-update-style interim; option ntp-servers 172.16.0.1; option domain-name "abmas.biz"; option domain-name-servers 172.16.0.1, 172.16.4.1; option netbios-name-servers 172.16.0.1; option netbios-node-type 8; subnet 172.16.8.0 netmask 255.255.252.0 { range dynamic-bootp 172.16.9.0 172.16.10.255; option subnet-mask 255.255.252.0; option routers 172.16.8.128; allow unknown-clients; } subnet 127.0.0.0 netmask 255.0.0.0 { } |
Пример 4.3.10. Файл named.conf
, сервер MASSIVE
(PDC), Часть A
### # Abmas Biz DNS Control File ### # Date: November 15, 2003 ### options { directory "/var/lib/named"; forwarders { 123.45.12.23; 123.45.54.32; }; forward first; listen-on { mynet; }; auth-nxdomain yes; multiple-cnames yes; notify no; }; zone "." in { type hint; file "root.hint"; }; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; }; acl mynet { 172.16.0.0/22; 172.16.4.0/22; 172.16.8.0/22; 127.0.0.1; }; acl seconddns { 123.45.54.32; }; |
Пример 4.3.11. Файл named.conf
, сервер MASSIVE
(PDC), Часть Б
zone "abmas.biz" { type master; file "/var/lib/named/master/abmas.biz.hosts"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; zone "abmas.us" { type master; file "/var/lib/named/master/abmas.us.hosts"; allow-query { all; }; allow-transfer { seconddns; }; }; |
Пример 4.3.12. Файл named.conf
, сервер MASSIVE
(PDC), Часть В
zone "0.16.172.in-addr.arpa" { type master; file "/var/lib/named/master/172.16.0.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; zone "4.16.172.in-addr.arpa" { type master; file "/var/lib/named/master/172.16.4.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; zone "8.16.172.in-addr.arpa" { type master; file "/var/lib/named/master/172.16.8.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; |
Пример 4.3.13. Файл зоны прямого просмотра abmas.biz.hosts
$ORIGIN . $TTL 38400 ; 10 hours 40 minutes abmas.biz IN SOA massive.abmas.biz. root.abmas.biz. ( 2003021833 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS massive.abmas.biz. NS bldg1.abmas.biz. NS bldg2.abmas.biz. MX 10 massive.abmas.biz. $ORIGIN abmas.biz. massive A 172.16.0.1 router0 A 172.16.0.128 bldg1 A 172.16.4.1 router4 A 172.16.4.128 bldg2 A 172.16.8.1 router8 A 172.16.8.128 |
Пример 4.3.14. Файл зоны прямого просмотра abmas.us.hosts
$ORIGIN . $TTL 38400 ; 10 hours 40 minutes abmas.us IN SOA server.abmas.us. root.abmas.us. ( 2003021833 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS dns.abmas.us. NS dns2.abmas.us. MX 10 mail.abmas.us. $ORIGIN abmas.us. server A 123.45.67.66 dns2 A 123.45.54.32 gw A 123.45.67.65 www CNAME server mail CNAME server dns CNAME server |
Пример 4.3.15. Файл named.conf
,серверы BLDG1
(BDC) и BLDG2
(BDC), Часть A
### # Abmas Biz DNS Control File ### # Date: November 15, 2003 ### options { directory "/var/lib/named"; forwarders { 172.16.0.1; }; forward first; listen-on { mynet; }; auth-nxdomain yes; multiple-cnames yes; notify no; }; zone "." in { type hint; file "root.hint"; }; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; }; acl mynet { 172.16.0.0/22; 172.16.4.0/22; 172.16.8.0/22; 127.0.0.1; }; acl seconddns { 123.45.54.32; }; |
Пример 4.3.16. Файл named.conf
,серверы BLDG1
(BDC) и BLDG2
(BDC), Часть Б
zone "abmas.biz" { type slave; file "/var/lib/named/slave/abmas.biz.hosts"; allow-query { mynet; }; allow-transfer { mynet; }; }; zone "0.16.172.in-addr.arpa" { type slave; file "/var/lib/slave/master/172.16.0.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; }; zone "4.16.172.in-addr.arpa" { type slave; file "/var/lib/named/slave/172.16.4.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; }; zone "8.16.172.in-addr.arpa" { type slave; file "/var/lib/named/slave/172.16.8.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; }; |
Пример 4.3.17. Скрипт инициализации групп, файл /etc/samba/initGrps.sh
#!/bin/bash # Create UNIX groups groupadd acctsdep groupadd finsrvcs groupadd piops # Map Windows Domain Groups to UNIX groups net groupmap add ntgroup="Domain Admins" unixgroup=root type=d net groupmap add ntgroup="Domain Users" unixgroup=users type=d net groupmap add ntgroup="Domain Guests" unixgroup=nobody type=d # Add Functional Domain Groups net groupmap add ntgroup="Accounts Dept" unixgroup=acctsdep type=d net groupmap add ntgroup="Financial Services" unixgroup=finsrvcs type=d net groupmap add ntgroup="Insurance Group" unixgroup=piops type=d |
smb.conf
используют параметр include
. Как я могу
узнать фактические рабочие настройки файла smb.conf
?common.conf
имеет пустой параметр include =
?passdb tdbsam
гораздо проще, чем управляться с бэкендом паролей LDAP ldapsam
. Я
пытался использовать rsync
для реплицирования passdb.tdb
, и это выглядело так, будто нормально
работает! Почему же я не могу это использовать?MASSIVE
?winbind
в файле
/etc/nsswitch.conf
. Вы не делали никаких настроек PAM. Это какое-то упущение?- Вы можете быстро увидеть реальные настройки вложенных файлов запустив:
root# testparm -s | less |
2. Почему вложенный файл common.conf
имеет пустой параметр include =
?
- Использование пустого параметра include
аннулирует, делает недействительными дальнейшие вложения. Скажем, вы
очень хотите сделать файл smb.conf
из основного управляющего файла, называющегося master
, который
построен из массива вложенных файлов.
root# testparm -s /etc/samba/master.conf > /etc/samba/smb.conf |
Если этого параметра не будет в файле common.conf
, может получиться ситуация, что файл вложения будет записан,
даже если он уже был включен. Эта ошибка будет устранена в следующем релизе.
- Репликация файла базы данных tdbsam
между PDC и BDC может в результате привести к потере его содержимого.
Самый яркий симптом состоим в том, что рабочие станции долго не могут войти в сеть, им требуются перезагрузки, и может
потребоваться вторичное включение в домен для восстановления доступа к сети.
- Нет. Возможно иметь столько серверов DHCP в сегменте сети, сколько имеет смысл. Сервер DHCP предлагает IP адреса к аренде, но это клиент решает, какой адрес ему принять, независимо от того, сколько было сделано предложений. В нормальных условиях, клиент соглашается с первым предложенным адресом.
5. Каким образом Windows клиент находит PDC?
- Windows клиент получает адрес сервера WINS от DHCP. Также от DHCP он получает параметры, указывающие непосредственно использовать направленный UDP (UDP Unicast, односторонняя передача пакетов одному адресату по UDP) для регистрации себя на сервере WINS и получить перечень данных об актуальных сетевых настройках, чтобы применить их для корректной работы с сетью.
6. Почему вы используете IP маршрутизацию (routing) только на сервере MASSIVE
?
- Сервер MASSIVE
действует как роутер для Интернет. Другие серверы (BLDG1
и BLDG2
) не
нуждаются в маршрутизации, так как они подключены только к их собственной сети. Таблица маршрутизации необходима
непосредственно серверу MASSIVE
, чтобы посылать весь трафик, предназначенный для сегментов удаленной сети на
роутер, который для них является шлюзом.
7. Вы ничего не упомянули о применении перемещаемых профилей, почему?
- Если не сконфигурировано как-то иначе, то по умолчанию режим работы Samba-3 с клиентами Windows подразумевает использование перемещаемых профилей.
- PAM требуется только для аутентификации. Когда Samba использует шифрованные пароли Microsoft требуется минимальное
использование PAM. Конфигурация PAM управляет только аутентификацией. Если вы хотите входить на серверы члены домена используя
имена пользователей и пароли сети Windows, необходимо настроить PAM разрешить использование winbind
. Samba
использует только возможности разрешения подлинности диспетчера разрешения имен NSS (name service switch).
9. В этом примере вы запустили SWAT, но ничего не объяснили. Что это такое?
- О, я не думал, что бы заметите это. Просто показано, что это может использоваться. Более полно SWAT обсуждается в
повествовании о TOSHARG2, где целая глава посвящена этой теме. Раз уж мы заговорили об этом, замечу, чтобы вы не применяли
явно SWAT в какой-либо системе, где в файле smb.conf
используется вложенные файлы (параметр include
),
потому что SWAT оптимизирует их в единый файл, но оставляет на месте битые ссылки на вложенный файл первого уровня.
10. Контроллер домена имеет скрипт автоматического выключения (shutdown). Это не опасно?
- Прекрасно, вы определили это! Я полагаю, это опасно. Тем не менее, он желателен, когда ты знаешь, что можно с ним сделать.
(к началу страницы)
Назад Глава 3. Безопасная офисная сеть |
Дальше Глава 5. Делаем пользователей довольными |