Назад
Глава 2. Небольшая офисная сеть
Часть I. Примеры сетевых конфигураций
Дальше

Глава 2. Небольшая офисная сеть


2.1. Введение
2.2. Обсуждение и анализ
2.3. Внедрение
2.4. Вопросы и ответы

Глава 1, «Простой Samba-сервер», была сфокусирована на базовых, простых, но все же эффективных сетевых решениях. Сетевые администраторы, которые гордятся своей работой (а таких большинство, не так ли?) заботятся, чтобы предоставить своим пользователям все, что им нужно, но в меру. Если мы сделаем все чересчур сложным, мы затрудним пользователей и повысим стоимость владения сетью. Профессиональные сетевые администраторы избегают соблазна наводить слишком много «лоска» в их сетевом хозяйстве. Разумеется, творческий подход полезен, но держать его под строгим контролем — это хорошая рекомендация, которую поясняют следующие два сценария.

В первом случае сетевой администратор средней по величине компании потратил три месяца на построение новой сети, в которой произошла миграция со старого Netware-сервера. Он сделал все, чтобы проверить нужные и ненужные свойства. Во время перехода выявились несколько проблем, ничего серьезного, но тем не менее вызывающие некоторое раздражение. Работа пользователей сразу была подвергнута многим изменениям. Сетевого администратора попросили уйти в отставку через два месяца после внедрения новой системы, потому что слишком много штатных сотрудников жаловались на потерю времени и сложности во время работы из-за сетевых проблем. Все было автоматизировано, и он внедрил больше функциональных возможностей, чем любой опытный пользователь мог придумать. Он был слишком умен, но кроме него от этого никому не было пользы.

В случае с другой компанией новый сетевой администратор был назначен чтобы пронаблюдать за заменой сети Lantestic с MS Windows NT 4.0. В течение двух недель он осуществил миграцию. Перед установкой и перенастройкой он устроил собрание, чтобы объяснить всем пользователям, что они будут довольны, как это повлияет на них, и что во время перехода он будет доступен им для помощи 24 часа в сутки. Через неделю после перехода он собрал другое собрание, где осветил вопросы о новых возможностях, которые помогут сделать работу проще. Пользователей сети очень обрадовала предоставленная помощь. Сеть, которую он организовал, была ничем не хуже по своим функциям сети из первого примера, в добавок пользователи были довольны. Месяц спустя он незаметно внедрил новую разработку. Он всегда спрашивал пользователей, если они нуждаются в какой то специфической функции. Он попросил своего боса о повышении и получил его. Он часто говорил мне: «Всегда держи наготове несколько карт в рукаве на случай, если они вдруг тебе понадобятся ». Был ли он умен? Вам решать. Вперед на следующую тренировку.

2.1. Введение

Бухгалтерия фирмы Abmas росла. Вы нравитесь мистеру Meany и он считает, что вы хорошо делаете свою работу. Поэтому он просит установить вас новый сервер. Последние несколько месяцев были очень интенсивными. И мистер Meany известил вас, что это время для перемен. В фирме сейчас 52 пользователя, а также приобретен бизнес в области инвестиций. Новые пользователи были добавлены в сеть без проблем.

Некоторые клиентские компьютеры с Windows близки ко времени окончания ее использования. Вы нашли испорченное и неподходящее программное обеспечение на некоторых рабочих станциях, которые пришли с приобретенным бизнесом, а также определили ряд компьютеров, которые нуждаются как в программном, так и в аппаратном улучшении.
(к началу страницы)

2.1.1. Условия задачи

Мистер Meany уходит в отставку через 12 месяцев. Перед тем, как он уйдет, он хочет удостовериться, что бизнес налажен и работает эффективно. Многие новые штатные сотрудники имеют ноутбуки. Они посещают офисы заказчика и нуждаются в использовании средств местной сети; эти пользователи технически компетентны. Компания использует бизнес-приложения, которым требуется ОС Windows XP Professional. Одним словом, назревает потребность обновления клиентского программного обеспечения. Мистер Meany рассказал вам, что работает с еще одним приобретенным бизнесом, и что к тому времени, когда он уйдет в отставку, здесь будет трудится около 80-100 человек.

Мистер Meany не заинтересован в безопасности. Он хочет видеть простую сетевую среду, чтобы штатные сотрудники делали их работу. Он нанял вас, чтобы помочь ему определиться с выбором сетевого администратора на полную ставку, перед тем, как он отойдет от дел. Главным образом, он говорит, что он инвестирует в возможности расширения. Он намерен осуществить мечту своей жизни и передать бизнес яркому талантливому руководителю, который сможет сделать его еще лучше. Это означает, что проект вашей сети должен быть масштабируемым, на случай планируемого расширения.

Через несколько месяцев фирме Abmas потребуется доступ к Интернет для отправки электронной почты и доступа к обновлениям программного обеспечения для сотрудников. Мистер Meany также воодушевлен идеей установки антивирусного программного обеспечения, но пока еще не готов выделить средства на это. Он выделил деньги на установку антивирусного сканера на ноутбуки мобильных пользователей.

Один из партнеров мистера Meany по гольфу убедил его приобрести новые лазерные принтеры, один черно-белый, другой цветной. Сотрудники поддержали идею с цветным принтером, так как в этом случае они могут подготавливать красочные, наглядные презентации и предложения.

Также мистер Meany попросил возможность для одного из штатных сотрудников управлять учетными записями пользователей из Windows. Этот сотрудник будет отвечать за основные действия по управлению учетными записями.
(к началу страницы)

2.2. Обсуждение и анализ

Каковы ключевые моменты этого бизнес-примера? Беглый взгляд показывает следующее:
  • Мастштабируемость, от 52 до 100 человек в течение 12 месяцев;

  • Поддержка пользователей мобильных компьютеров;

  • Повышение надежности и простоты использования;

  • Простое управление.
В этом примере предполагается, что в качестве сервера установлен Red Hat Linux Fedora Core2 (как в разделе 1.2.3.).
(к началу страницы)

2.2.1. Технические аспекты

Это время для ввода в действие среды безопасности домена. Вы будете использовать (по умолчанию) бэкенд smbpasswd.

Вы должны будете установить DHCP-сервер. В этот раз вы обойдетесь без DNS, но вы будете использовать WINS. Имя домена будет BILLMORE. Имя сервера будет SLEETH.

Все принтеры будут сконфигурированы как клиенты DHCP. Однако DHCP-сервер будет назначать принтерам постоянный IP-адрес по mac-адресу.

Примечание: Файл smb.conf, который вы создадите в этом примере, может быть использован одинаково эффективно в выпуске Samba 2.2.х. Это не случайно, так как следующая Часть возможно начнется с настроек, которые вы определите здесь, переходите от нее к конфигурации Samba-3, и затем к безопасти системы. Последующие конфигурации используют функции, которые могут не поддерживаться в Samba 2.2.x. Тем не менее заметьте, что примеры каждого раздела начинаются с предположения, что вы начинаете установку «с листа».

Позже, когда будет осуществлено подключение к Интернет, вы добавите DNS, как дополнительную модернизацию. Важно, чтобы ваш проект соблюдал последовательность.

Вы имеете два отдельных сегмента сети. Каждый из них имеет свой хаб. 20 пользователей в сети бухгалтерии и 32 пользователя в сети финансового обслуживания. Сервер имеет два сетевых интерфейса, один на каждую подсеть. Сетевые принтеры будут находиться в центральном сегменте (бухгалтерия). Вы планируете установить новые принтеры, а также оставить в использовании старые.

Вы предполагаете использовать отдельную область хранения данных для каждого подразделения фирмы. Старая система уйдет, файлы бухгалтерии будут хранится в одном каталоге, файлы будут хранится под именем сотрудника, а не в персональной выделенной папке. Штатные сотрудники будут нести ответственность за нахождение своих файлов, так старые выделенные общие папки должны быть сохранены.

Так как, DNS не будет использоваться, вы должны будете сконфигурировать WINS для разрешения имен.

Необходимо присоединить (to map) группы домена Windows (Windows Domain Groups) к UNIX группам. Рекомендуется также присоединить локальные группы Windows (Windows Local Groups) к UNIX группам. В заключении нужно создать две группы для штатных сотрудников, одна штатные сотрудники бухгалтерии, другая штатные сотрудники финансового отдела. Для этого необходимо создать группы UNIX, а также группу домена Windows.

Ранее вы использовали утилиту groupadd, для добавления новой группы. Эта утилита не позволяет создавать группы, в имени которых есть буквы верхнего регистра или пробелы. Это считается ошибкой (bug). groupadd входит в состав свободно распространяемого пакета shadow-utils. В последних выпусках этого пакета эта ошибка может быть устранена.
(к началу страницы)

2.2.2. Политические аспекты

Мистер Meany управленец старой школы. Он устанавливает правила и хочет видеть, что они соблюдаются. Он готов потратить деньги на вещи, которые, как он верит, имеют ценность. Вам потребуется время, чтобы убедить его в настоящих приоритетах.

Так вперед, купите лучшие ноутбуки. Разве не было бы прекрасно, если бы они были оснащены антивирусным программным обеспечением? Прежде всего покажите, что хорошая покупка важна, и не забывайте делать ваших пользователей довольными.
(к началу страницы)

2.3. Внедрение

В этом примере предполагается, что сервер был настроен с нуля. Альтернативный подход мог бы продемонстрировать миграцию системы, которая документирована в разделе 1.2.3.2., чтобы удовлетворить новым требованиям. Решено рассмотреть этот случай, для примеров на будущее, как будто система только что настроена, а также рассмотрение базируется на допущении, что вы можете осуществить шаги по миграции получив информацию из Главы 9, «Миграция с домена NT4 на Samba-3», не планируется к переводу. Плюс ко всему, проще следить за изменениями на только что установленной системе.

Каждому пользователю будет создана домашняя директория в системе UNIX, которая будет доступна как персональный общий ресурс. Также будут созданы два дополнительных общих ресурса, один для бухгалтерского отдела, другой для финансового. Пользователи смогут получить доступ к этим ресурсам в соответствии с принадлежностью к какой-либо группе.

Членство в группе UNIX это главный механизм, по которому пользователи домена Windows будут получать права и разрешения внутри окружения Windows.

Пользователь alanm, будет сделан владельцем всех файлов. Это предохранит установки SUID/SGID корневой директории.

Рисунок 2.1. Бухгалтерский офис Abmas, топология на 52 пользователя

Бухгалтерский офис Abmas, топология на 52 пользователя

Шаги по настройке сервера:

1. Переименуйте имя сервера в sleeth.

2. Поместите запись для компьютера sleeth в файл /etc/hosts, также поместите в этот файл имена сетевых принтеров, примерно следующим образом:

192.168.1.1 sleeth sleeth1
192.168.2.1 sleeth2
192.168.1.10 hplj6
192.168.1.11 hplj4
192.168.2.10 qms

3. Установите Samba-3 из prm-пакета, полученного на FTP команды Samba.

4. Установите ISC DHCP теми средствами, которые доступны в вашем дистрибутиве.

5. Так как Samba будет обслуживать два сетевых интерфейса и клиенты из одного сегмента могут захотеть получить доступ ко второму сегменту, включите ip-маршрутизацию. Если у вас нет специальной утилиты для этого, добавьте в файл /etc/rc.d/rc.local такую запись:

echo 1 > /proc/sys/net/ipv4/ip_forward

При такой установке ядро Linux будет пересылать пакеты, как это делает роутер.

6. Создайте файл /etc/samba/smb.conf как в примерах 2.3.3. и 2.3.4.. Объедините их в один файл.

7. Добавьте пользователя root в бэкенд паролей Samba:

root# smbpasswd -a root
New SMB password: XXXXXXX
Retype new SMB password: XXXXXXX
root#

Это пароль администратора домена Windows. Никогда не удаляйте эту учетную запись с ее паролем из бэкенда паролей после того, как будут инициализированы группы домена Windows. Если вы удалите эту учетную запись, ваша система будет разрушена. Если вы не cможете восстановить эту учетную запись, ваш сервер Samba не сможет больше управляться.

8. Создайте файл соответствия пользователей, позволяющий учетной записи root обозначаться как эквивалент учетной записи Administrator в сетевой среде Windows. Для этого создайте файл /etc/samba/smbusers такого содержания:

####
# User mapping file
####
# File Format
# -----------
# Unix_ID = Windows_ID
#
# Examples:
# root = Administrator
# janes = "Jane Smith"
# jimbo = Jim Bones
#
# Note: If the name contains a space it must be double quoted.
#       In the example above the name 'jimbo' will be mapped to Windows
#       user names 'Jim' and 'Bones' because the space was not quoted.
#Пояснение: если имя включает пробел, оно должно быть заключено
#в кавычки. В примере имя 'jimbo' будет присоединено к именам Windows
#'Jim' и 'Bones', потому что между нити есть пробел, но нет кавчек
#######################################################################
root = Administrator
####
# End of File
####

9. Создайте и присоедините группы домена Windows к группам UNIX.

Пример скрипта /etc/samba/initGrps.sh и его содержимое для этой задачи представлен в примере 2.3.1. Сделайте скрипт исполняемым и запустите его:

root#  chmod 755 initGrps.sh
root#  cd /etc/samba
root#  ./initGrps.sh

Пример 2.3.1. Присоединение (to map) групп Windows NT к группам UNIX

#!/bin/bash
#
# initGrps.sh
#

# Create UNIX groups
groupadd acctsdep
groupadd finsrvcs

# Map Windows Domain Groups to UNIX groups
net groupmap add ntgroup="Domain Admins"  unixgroup=root type=d
net groupmap add ntgroup="Domain Users"   unixgroup=users type=d
net groupmap add ntgroup="Domain Guests"  unixgroup=nobody type=d

# Add Functional Domain Groups
net groupmap add ntgroup="Accounts Dept"  unixgroup=accounts type=d
net groupmap add ntgroup="Financial Services" unixgroup=finsrvcs type=d

Вывод после исполнения этого скрипта должен быть примерно следующий:

Updated mapping entry for Domain Admins
Updated mapping entry for Domain Users
Updated mapping entry for Domain Guests
No rid or sid specified, choosing algorithmic mapping
Successfully added group Accounts Dept to the mapping db
No rid or sid specified, choosing algorithmic mapping
Successfully added group Domain Guests to the mapping db

root#  cd /etc/samba
root#  net groupmap list | sort
Account Operators (S-1-5-32-548) -> -1
Accounts Dept (S-1-5-21-194350-25496802-3394589-2003) -> accounts
Administrators (S-1-5-32-544) -> -1
Backup Operators (S-1-5-32-551) -> -1
Domain Admins (S-1-5-21-194350-25496802-3394589-512) -> root
Domain Guests (S-1-5-21-194350-25496802-3394589-514) -> nobody
Domain Users (S-1-5-21-194350-25496802-3394589-513) -> users
Financial Services (S-1-5-21-194350-25496802-3394589-2005) -> finsrvcs
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Replicators (S-1-5-32-552) -> -1
System Operators (S-1-5-32-549) -> -1
Users (S-1-5-32-545) -> -1

10. Для каждого пользователя, который нуждается в учетной записи в домене Windows, создайте запись в файле /etc/passwd так же, как в бэкенде паролей Samba. Воспользуйтесь встроенными средствами для создания системной учетной записи UNIX, затем воспользуйтесь программой smbpasswd для создания учетной записи домена. Это могут быть такие инструменты для управлениями пользователями под UNIX, как useradd и adduser, а также обилие сторонних утилит. С помощью выбранной вами утилиты создайте домашнюю директорию для каждого пользователя.

11. Воспользуйтесь предпочтительной для вашей системы утилитой, добавив каждого пользователя в группы UNIX, предварительно созданные, если это необходимо. Контроль доступа к файлам система будет осуществлять на основании принадлежности к группе UNIX.

12. Подготовьте диск, на котором будет размещаться точка монтирования каталога для хранения данных подсетей (отделов). В нашем случае эта точка в файле smb.conf будет представлена как /data. Отформатируйте раздел в требуемую файловую систему, примонтируйте посредством команды mount и внесите соответствующие изменения в файл /etc/fstab.

13. Создайте корневую папку для хранения данных следующим образом:

root#  mkdir -p /data/{accounts,finsvcs}
root#  chown -R root:root /data
root#  chown -R alanm:accounts /data/accounts
root#  chown -R alanm:finsvcs /data/finsvcs
root#  chmod -R ug+rwx,o+rx-w /data

Каждая строка отвечает за создание структуры каталогов и установления владельцев и разрешений внутри общего ресурса. Корнем общего ресурса для группы accounts (бухгалтерия) является папка /data/accounts. Корнем общего ресурса для группы finsvcs (финансисты) является папка /data/finsvcs.

14. Сконфигурируйте IP адреса принтеров, как показано на рисунке 2.1.. В соответствии с инструкцией к принтеру настройте печать через порт 9100. Это позволит спулеру CUPS печатать, используя протоколы raw-режима.

15. Настройте очереди печати CUPS как показано ниже:

root#  lpadmin -p hplj4 -v socket://192.168.1.11:9100 -E
root#  lpadmin -p hplj6 -v socket://192.168.1.10:9100 -E
root#  lpadmin -p qms -v socket://192.168.2.10:9100 -E

Эта команда создаст требуемые очереди печати без установления фильтра печати.

16. Отредактируйте файл /etc/cups/mime.convs раскомментировав строки:

application/octet-stream     application/vnd.cups-raw      0   -  

17. Отредактируйте файл /etc/cups/mime.types раскомментировав строки:

application/octet-stream

18. Создайте файл /etc/dhcpd.conf с содержанием, которое представлено в Примере 2.3.2.

19. Установите запуск Samba и CUPS при старте системы и перезапустите Samba и CUPS теми способами, которые применяются в вашей системе, например

root#  chkconfig smb on
root#  chkconfig cups on
root# /etc/rc.d/init.d/smb restart
root# /etc/rc.d/init.d/cups restart

20. Сконфигурируйте NSS (диспетчер разрешения имен, name service switch), чтобы обрабатывать разрешение имен, основанное на WINS. До тех пор, пока не используется DNS-сервер, безопасно удалить эту опцию из конфигурации NSS. Отредактируйте файл /etc/nsswitch.conf следующим образом:

hosts: files wins

(к началу страницы)

2.3.1. Проверка

Все ли функционирует, как должно? Это ключевой вопрос в данном описании. Ниже даны несколько простых шагов по проверке конфигурации Samba-сервера.

1. Если ваш файл smb.conf имеет ошибочные опции или параметры, Samba может отказаться стартовать. Поэтому первым шагом всегда должна быть проверка содержимого файла, выполните такую команду:

root#  testparm -s
Load smb config files from smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[netlogon]"
Processing section "[accounts]"
Processing section "[service]"
Loaded services file OK.
# Global parameters
[global]
        workgroup = BILLMORE
        passwd chat = *New*Password* \
		%n\n *Re-enter*new*password* %n\n *Password*changed*
        username map = /etc/samba/smbusers
        syslog = 0
        name resolve order = wins bcast hosts
        printcap name = CUPS
        show add printer wizard = No
        add user script = /usr/sbin/useradd -m -G users '%u'
        delete user script = /usr/sbin/userdel -r '%u'
        add group script = /usr/sbin/groupadd '%g'
        delete group script = /usr/sbin/groupdel '%g'
        add user to group script = /usr/sbin/usermod -A '%g' '%u'
        add machine script = /usr/sbin/useradd
				-s /bin/false -d /var/lib/nobody '%u'
        logon script = scripts\logon.bat
        logon path =
        logon drive = X:
        domain logons = Yes
        preferred master = Yes
        wins support = Yes
...
### Remainder cut to save space ###

В случае неверного параметра (скажем, опечатались и написали dogbert) будет выведено сообщение об ошибке:

Unknown parameter encountered: "dogbert"
Ignoring unknown parameter "dogbert"

Найдите и исправьте все ошибки, чтобы Samba могла быть запущена или перезапущена корректно.

2. Проверьте, что сервер Samba запущен:

root#  ps ax | grep mbd
14244 ?        S      0:00 /usr/sbin/nmbd -D
14245 ?        S      0:00 /usr/sbin/nmbd -D
14290 ?        S      0:00 /usr/sbin/smbd -D

$rootprompt; ps ax | grep winbind
14293 ?        S     0:00 /usr/sbin/winbindd -D
14295 ?        S     0:00 /usr/sbin/winbindd -D

Демон winbindd запущен в «разделенном » (split) режиме (и это нормально), здесь мы видим два его экземпляра. Для получения более полной информации по работе демона winbindd обратитесь к главе 23, разделу 23.3, TOSHARG2.Для демона smbd нормально иметь один запущенных экземпляр.

3. Проверьте, что возможно анонимное подключение к серверу Samba:

root#  smbclient -L localhost -U%

        Sharename      Type      Comment
        ---------      ----      -------
        netlogon       Disk      Network Logon Service
        accounts       Disk      Accounting Files
        finsvcs        Disk      Financial Service Files
        IPC$           IPC       IPC Service (Samba3)
        ADMIN$         IPC       IPC Service (Samba3)
        hplj4          Printer   Hewlett-Packard LaserJet 4
        hplj6          Printer   Hewlett-Packard LaserJet 6
        qms            Printer   QMS Magicolor Laser Printer XXXX

        Server               Comment
        ---------            -------
        SLEETH               Samba 3.0.20

        Workgroup            Master
        ---------            -------
        BILLMORE             SLEETH

Это демонстрирует, что может быть получен список общих ресурсов для анонимных подключений. Это эквивалентно обзору сервера через сетевое окружение посредством клиента Windows для получения списка общих ресурсов. С помощью аргумента -U% посылается нулевое (NULL) имя пользователя и нулевой (NULL) пароль.

4. Проверьте, что принтеры имеют IP-адреса, назначенные через конфигурационный файл сервера DHCP. Самый простой путь для этого — отправить ping на имя принтера. Непосредственно после того, как будет получен отклик на команду ping, выполните команду apr -a, чтобы определить mac-адрес того принтера, от которого был получен отклик. Теперь вы можете сравнить IP-адрес и mac-адрес принтера с информацией в конфигурационном файле /etc/dhcpd.conf/. Конечно, они должны совпадать. Например:

root#  ping hplj4
PING hplj4 (192.168.1.11) 56(84) bytes of data.
64 bytes from hplj4 (192.168.1.11): icmp_seq=1 ttl=64 time=0.113 ms

root#  arp -a
hplj4 (192.168.1.11) at 08:00:46:7A:35:E4 [ether] on eth0

mac-адрес 08:00:46:7A:35:E4 совпадает с принтером, для которого определен IP-адрес 192.168.1.11 в файле /etc/dhcpd.conf.

5. Сделайте аутентифицированное соединение с сервером, используя утилиту smbclient:

root#  smbclient //sleeth/accounts -U alanm
Password: XXXXXXX
smb: \> dir
  .                          D        0  Sun Nov  9 01:28:34 2003
  ..                         D        0  Sat Aug 16 17:24:26 2003
  .mc                       DH        0  Sat Nov  8 21:57:38 2003
  .qt                       DH        0  Fri Sep  5 00:48:25 2003
  SMB                        D        0  Sun Oct 19 23:04:30 2003
  Documents                  D        0  Sat Nov  1 00:31:51 2003
  xpsp1a_en_x86.exe           131170400  Sun Nov  2 01:25:44 2003

           65387 blocks of size 65536. 28590 blocks available
smb: \> q

Конфигурация клиентов Windows XP:

1. Топология сети показана на рисунке 2.1.. Для конфигурации настроек стека протоколов TCP/IP используется DHCP. DHCP назначает всем клиентам Windows адрес WINS-сервера 192.168.1.1.

2. Включите компьютер в домен Windows BILLMORE. В качестве администратора домена используйте имя пользователя root и пароль из бэкенда smbpasswd, который вы для него определили. Детальная пошаговая процедура по включению клиентов Windows XP в домен Windows представлена в Главе 15, «Сборник полезных советов», раздел 15.1.. Перезагрузите компьютер, когда будет предложено и войдите с учетной записью пользователя домена.

3. Проверьте, что с каждой клиентской машины в сетевом окружении виден компьютер SLEETH, что видны общие ресурсы accounts и finsvcs и в них есть доступ.

4. Сообщите всем пользователям, чтобы они заходили на свои компьютеры под их учетными записями.

5. Установите принтер следующим образом:

    а) Пуск-Настройка-Принтеры-Установка принтера. Выберите установку локального принтера, а не сетевого;
    б) Щелкните Дальше, выберите HP, найдите принтер HP LaserJet 5/5M Postscript;
    в) Выберите «Использовать порт: FILE (Печать в файл)», затем установите имя принтера по умолчанию. На вопрос «Желаете ли вы распечатать пробную страницу?» ответьте «Нет». Нажмите «Готово»;
    г) Вам может быть задан вопрос об имени файла печати. В этом случае Щелкните на принтере правой клавишей, вызовите меню Свойства-Вкладка_Дополнительно-Добавить_порт;
    д) Введите имя очереди печати на Samba-сервере \\SLEETH\hplj4. Щелкните OK+OK для завершения установки;
    е) Повторите эти шаги для принтера HP LaserJet 6 , а также для лазерного принтера QMS Magicolor.
(к началу страницы)

2.3.2. Ноутбуки: особый случай

Как сетевой администратор, вы уже знаете, как создать локальную учетную запись для Windows 200x/XP. Это предпочтительное решение для обеспечения работы мобильным пользователям при отсутствии доступа к офисной сети.

При создании локальной учетной записи, с тем же самым именем пользователя и паролем, которое вы создали для домена Windows, пользователь может локально войти на компьютер и получить прозрачный доступ к сетевым ресурсам, как если бы он авторизовался как доменный пользователь. Есть некоторые компромиссы, из которых следует, что, так как сеть более сильно защищена, то становится необходимым несколько изменить конфигурирование клиентов Windows.
(к началу страницы)

2.3.3. Основные моменты изученного

В этом проекте сети и его воплощении, вы создали контроллер домена Windows NT4, используя Samba 3.0.20. После этих рекомендаций вы испытали и реализовали несколько важных подходов к сети Windows. Следующая глава будет строиться на этом опыте. Основные моменты этой главы:

  • Вы ввели в эксплуатацию сервер DHCP, и клиенты MS Windows и смогли получить все сетевые настройки от сервера.

  • Вы подняли контроллер домена Windows. Вы смогли использовать сетевой сервер авторизации для присоединения клиентов Windows 200x/XP к домену.

  • Вы создали raw очереди печати (raw print queues) в CUPS. Вы организовали простую систему печати так, что все пользователи могут централизованно управлять общими принтерами. Вы установили «родные» драйверы для принтеров на клиенты Windows.

  • Вы узнали о пользе централизованного управления учетными записями на сервере.

  • Вы предложили решение для пользователей ноутбуков, которое позволяет им продолжать работу вне офиса и без подключения к корпоративной сети.
(к началу страницы)

Пример 2.3.2. Содержимое файла /etc/dhcpd.conf для сервера DHCP бухгалтерского офиса Abmas (mac-адреса нужно заменить на реальные для ваших принтеров, прим.перев.).

Примечание: в данном примере строку

option domain-name "abmas.biz"

вероятно следует заменить на

option domain-name "billmore.biz"

default-lease-time 86400;
max-lease-time 172800;
default-lease-time 86400;

option ntp-servers 192.168.1.1;
option domain-name "abmas.biz";
option domain-name-servers 192.168.1.1, 192.168.2.1;
option netbios-name-servers 192.168.1.1, 192.168.2.1;
option netbios-node-type 8;
### NOTE ###
# netbios-node-type=8 means set clients to Hybrid Mode
#   so they will use Unicast communication with the WINS
#   server and thus reduce the level of UDP broadcast
#   traffic by up to 90%.
############

subnet 192.168.1.0 netmask 255.255.255.0 {
	range dynamic-bootp 192.168.1.128 192.168.1.254;
	option subnet-mask 255.255.255.0;
	option routers 192.168.1.1;
	allow unknown-clients;
	host hplj4 {
		hardware ethernet 08:00:46:7a:35:e4;
		fixed-address 192.168.1.10;
		}
	host hplj6 {
		hardware ethernet 00:03:47:cb:81:e0;
		fixed-address 192.168.1.11;
		}
	}
subnet 192.168.2.0 netmask 255.255.255.0 {
	range dynamic-bootp 192.168.2.128 192.168.2.254;
	option subnet-mask 255.255.255.0;
	option routers 192.168.2.1;
	allow unknown-clients;
	host qms {
		hardware ethernet 01:04:31:db:e1:c0;
		fixed-address 192.168.1.10;
		}
	}
subnet 127.0.0.0 netmask 255.0.0.0 {
	}

Пример 2.3.3. Файл smb.conf для сети бухгалтерского офиса, секция GLOBAL

# Global parameters

[global]
workgroup = BILLMORE
passwd chat = *New*Password* %n\n*Re-enter*new*password* %n\n *Password*changed*
username map = /etc/samba/smbusers
syslog = 0
name resolve order = wins bcast hosts
printcap name = CUPS
show add printer wizard = No
add user script = /usr/sbin/useradd -m -G users '%u'
delete user script = /usr/sbin/userdel -r '%u'
add group script = /usr/sbin/groupadd '%g'
delete group script = /usr/sbin/groupdel '%g'
add user to group script = /usr/sbin/usermod -A '%g' '%u'
add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody '%u'
logon script = scripts\login.bat
logon path = 
logon drive = X:
domain logons = Yes
preferred master = Yes
wins support = Yes
printing = CUPS

Пример 2.3.4. Файл smb.conf для сети бухгалтерского офиса, секции общий ресурсов и дополнительных сервисов

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[printers]
comment = SMB Print Spool
path = /var/spool/samba
printable = Yes
guest ok = Yes
use client driver = Yes
browseable = No

[netlogon]
comment = Network Logon Service
path = /data/%U
valid users = %S
read only = No

[accounts]
comment = Accounting Files
path = /data/accounts
valid users = %G
read only = No

[finsvcs]
comment = Financial Service Files
path = /data/finsvcs
valid users = %G
read only = No

(к началу страницы)

2.4. Вопросы и ответы

1. Какова основная польза от использования DHCP при настройке стека TCP/IP для клиентов Windows?
2. Будут особо отмечены какие-нибудь параметры конфигурационного файла /etc/dhcpd.conf сервера DHCP?
3. Возможно ли создать учетную запись домена Windows и специально назвать его Administrator?
4. Для чего необходимо задать UID UNIX 0 для учетной записи Administrator домена Windows?
5. Один из моих младших сотрудников нуждается в возможности добавлять компьютеры в домен, но я не хочу ему давать права root. Как мне сделать это?
6. Почему я должен присоединять группы домена Windows к группам UNIX?
7. Я удалил учетную запись root и теперь не могу его добавить обратно!!! Могу я что-нибудь сделать в этой ситуации?
8. Когда я запускаю net groupmap list, в отчете есть сообщения о группе Administrators, а также о группе Domain Admins. Какая между ними разница?
9. Как может повлиять смена имени сервера Samba или имени домена?
10. Как я могу управлять учетными записями пользователей с рабочей станции Windows XP?

1. Какова основная польза от использования DHCP при настройке стека TCP/IP для клиентов Windows?

- Первое и главное, транспортабельность. Посредством него мобильные пользователи могут перемещаться между своим офисом и офисами заказчиков (если, конечно, они тоже используют DHCP) без ручного конфигурирования сетевой карты. Это также средство, благодаря которому они могут работать в домашней сети использующей DHCP, или используя коммутируемые соединения (dial-up), такие настройки, как маршрут по умолчанию и адрес сервера DNS, который применяется только в сети офиса Abmas не препятствует при удаленной работе. Это чрезвычайно важное свойство DHCP.

2. Будут особо отмечены какие-нибудь параметры конфигурационного файла /etc/dhcpd.conf сервера DHCP?

- Да. Созданная конфигурация автоматически предоставляет каждому клиенту IP адрес вашего сервера WINS. Здесь также настроена предпочтительная регистрация имен NetBIOS WINS-сервером, а затем инструктирование клиента первым опрашивать WINS-сервер, когда NetBIOS-имя машины нуждается в разрешении по IP адресу. Эта конфигурация функционирует на гораздо более низком широковещательном транспортном уровне UDP, чем было бы в случае, если бы WINS не использовался.

3. Возможно ли создать учетную запись домена Windows и специально назвать его Administrator?

- Конечно, вы можете создать учетную запись с именем Administrator. Также возможно присоединить (to map) эту учетную запись так, что она будет иметь фактический UID UNIX 0. В этом случае необязательно изпользовать возможности username map для присоединения этой учетной записи к учетной записи UNIX root.

4. Для чего необходимо задать UID UNIX 0 для учетной записи Administrator домена Windows?

- Учетная запись Administrator домена Windows наиболее привилегированная учетная запись существующая на платформе Windows. Этот пользователь может изменять любые настройки, добавлять, удалять, модифицировать пользовательские учетные записи и глобально перенастраивать систему. Эквивалент этой учетной записи в UNIX это учетная запись root. Если вы хотите позволить администратору домена Windows управлять учетными записями, а также разрешениями, привилегиями, настройками безопасности внутри домена на сервере Samba, должны быть назначены аналогичные права. Это достигается установкой одинакового с root UID равного нулю 0.

5. Один из моих младших сотрудников нуждается в возможности добавлять компьютеры в домен, но я не хочу ему давать права root. Как мне сделать это?

- Пользователи, входящие в группу Domain Admins, могут добавлять компьютеры в домен. Эта группа присоединена к группе UNIX пользователем root (на некоторых UNIX системах это эквивалент группы wheel) и имеет GID=0. Таким образом, данный сотрудник должен иметь GID учетной записи пользователя, который является членом группы Domain Admins. (т.е. входить в группу root и иметь GID=0, прим.перев.)

6. Почему я должен присоединять группы домена Windows к группам UNIX?

- Samba-3 не позволяет группе домена быть видимой клиентам сети домена до тех пор, пока учетная запись не имеет эквивалента учетной записи в группе UNIX.

Группы домена, которым следует задать эквиваленты у групп UNIX это Domain Guests, Domain Users, и Domain Admins.

7. Я удалил учетную запись root и теперь не могу его добавить обратно!!! Могу я что-нибудь сделать в этой ситуации?

- Это неприятная проблема. К счастью, есть одно решение:

    а) делайте резервные копии ваших конфигурационных файлов на случай, если их потребуется восстановить;
    б) переименуйте файл group_mapping.tdb;
    в) воспользуйтесь утилитой smbpasswd для добавления учетной записи root;
    г) восстановите файл group_mapping.tdb.

8. Когда я запускаю net groupmap list, в отчете есть сообщения о группе Administrators, а также о группе Domain Admins. Какая между ними разница?

- Группа Administrators представляет из себя тоже самое, что и локальная группа (Local Group) на сервере члене домена или рабочей станции. В этот раз Samba использует только группы домена (Domain Groups). Локальные группы сервера или рабочих станций не принимаются в расчет в контексте Samba. Это может изменится со временем. Эти учетные записи (групп) представлены только для того, чтобы были корректно указаны объекты безопасности.

9. Как может повлиять смена имени сервера Samba или имени домена?

- Если вы решили изменить имя сервера Samba, после перезапуска демона smbd, идентификаторы безопасности (security identifiers) Windows изменятся. В случае автономного сервера, или сервера члена домена, изменится SID компьютера. Это может нарушить принадлежность к домену. В случае изменения имени домена (имени рабочей группы), изменится SID домена. Это затронет всех членов домена.

Если необходимо изменить имя сервера Samba или имя домена, перед проделыванием этой операции убедитесь, что зарезервированы соответствующие SID. Вы можете сохранить SID используя утилиты net getlocalsid (Samba-3) или smbpasswd (Samba-2.2.x). Для изменения SID используйте эти же самые утилиты. Для получения более полной информации по осуществлению данной операции ознакомьтесь с man-страницами этих утилит.

10. Как я могу управлять учетными записями пользователей с рабочей станции Windows XP?

- Samba-3 поддерживает архитектуру безопасности домена Windows NT4. Этот тип домена не может управляться инструментами включенными в Windows XP Professional. Вы можете загрузить с сайта MICROSOFT пакет SRVTOOLS.EXE. Распакуйте его в каталог, из которого будете использовать. Этот пакет включает такие инструменты, как User Manager for Domains, Server Manager, и Event Viewer. Вы можете использовать User Manager for Domains для управления учетными записями вашего домена на Samba-3. Конечно, вы должны будете авторизоваться как Administrator для домена Samba-3. Это может помочь авторизоваться с учетной записью root.
(к началу страницы)

Назад
Глава 1. Простой Samba-сервер
Содержание
Дальше
Глава 3. Безопасная офисная сеть