ставки кс го от 5 рублей

 
Назад
Глава 4. Офисная сеть на 500 пользователей
Часть I. Примеры сетевых конфигураций
Дальше

Глава 4. Офисная сеть на 500 пользователей


4.1. Введение
4.2. Обсуждение и анализ
4.3. Внедрение
4.4. Вопросы и ответы

Сеть на Samba-3, которую вы рассмотрели в Главе 3, «Безопасная офисная сеть», продемонстрировала более тонкие моменты конфигурирования периферийных служб, таких как DHCP, DNS и WINS. Вы квалифицированно применили простую настройку сервисов, которые являются важными дополнениями для развертывания Samba.

Анализ почтовых рассылок показывает явное преобладание двух основных проблем, это

  • несовершенное разрешение NetBIOS имен по их IP адресу;

  • проблемы печати.
Дальнейшие примеры этой книги сфокусированы на применении простейших операций печати, которые не включают в себя каких-то особенностей в процессе отправки заданий на печать. В этой главе вы сохраните тот же самый подход к печати, но Глава 5, «Делаем пользователей довольными» продемонстрирует возможность сделать процесс печати более комплексным для администраторов, и в то же время более простым для пользователей.

В Главе 3, «Безопасная офисная сеть», были показаны действия с серверами DHCP, DNS и WINS. Вы проверили работоспособность этих серверов и увидели эффективное применение контроллера домена на Samba с использованием бэкенда паролей tdbsam.

Объектом этой главы является введение в более комплексные технические приемы, которые могут быть использованы для совершенствования управляемостью Samba при дальнейшем развитии сети. В этой главе вы внедрите расширенную среду сервера DHCP, распределенное размещение сервера DNS, централизованный сервер WINS, и централизованный контроллер домена Samba.

Нужно сделать предостережение относительно конфигурирования Samba в этой главе. Использование одного контроллера домена как маршрутизатора между несколькими сетями является не очень хорошим выбором, который потенциально приводит к жалобам пользователей на работу сети. Эта глава показывает те же благоприятные технические приемы для развертывания и управления конфигурированием. В ней будет показан тот фундамент, который требуется для полного, комплексного развертывания Samba.

Так как вы владеете уже представленными техническими навыками, вы можете найти более удачные методы для усовершенствования управления сетью и контроля, в то время как человеческие ресурсы будут сэкономлены. Вы получите хороший шанс рационализировать и пополнить методы, представленные здесь, чтобы более полно их изучить.

4.1. Введение

Дело Abmas продолжает идти хорошо. Мистер Meany отмечает ваши успехи и сеть продолжает развиваться благодаря усердной работе Кристины. Недавно вы наняли на работу Стэнли (Stanley Soroka) на должность менеджера информационных систем (если Кристина красавица-хакер, то наверняка, по американским традициям, Стэн чернокожий, хотя с американской политкорректностью, возможно, Стэн белый, а вот Боб, главный герой этой книги, афроамериканец, Уил Смит например :), прим.перев.). Его порекомендовала Кристина. Она сказала, что Стэн так же хорошо управляется с Samba, рекомендуя его, она привела такую метафору - он может сделать детского коня-качалку который сделает вмятину в бетоне, подобно лошади на родео (английская метафора, прим.перев.). Вам требуются подобные навыки. Кристина и Стэн обходятся малым. Давайте посмотрим, что вы скажете об этой паре, когда они построят сеть следующего поколения.

Десять месяцев назад фирма Abmas обнаружила и приобрела страховой бизнес. Владелец потерял к тему интерес и решил сказать об этом мистеру Meany. Так как они были университетскими одногрупниками, было оформлено приобретение по взаимному согласию сторон. Приобретенный бизнес находился на другом конце города и имел благоприятные условия. Старое здание Abmas было не слишком большим. Нахождение на одной территории с новым приобретенным бизнесом двух пустых строений представляется для Abmas идеальными условиями для расширения.

В данным момент Abmas завершил покупку двух пустующих строений, и ваша задача провести в них новую сеть и перебросить штатных сотрудников в тщательно оборудованные здания. Новая сеть будет использовать полную интеграцию внутри компании. Вы решили поместить новый центр управления сетевыми операциями в большом здании, в котором будет находится страховая группа, чтобы воспользоваться всеми преимуществами пространства перекрытий между этажами и позволить Снэну и Кристине полностью организовать новую сеть и протестировать ее перед введением в эксплуатацию. Ваша задача завершить прокладку и проверку новой сети так, чтобы все было готово к тому времени, когда люди начнут перезжать из старого здания.
(к началу страницы)

4.1.1. Условия задачи

Страховой бизнес имеет 280 пользователей сети. В старом здании Abmas базируется 220 сетевых пользователей в невероятно стесненных условиях. Сеть, которая расчитана обслуживать 130 человек, сейчас обслуживает 220 и вполне сносно.

Два бизнеса будут полностью слиты и будет создан один филиал компании. Хозяйство Группы Страхования (The Property Insurance Group (PIG)) включает 300 служащих, новая Группа Страхового Обслуживания (Accounting Services Group (ASG)) будет размещена в маленьком строении (BLDG1), в котором размещены 50 сотрудников, а Группа Финансового Обслуживания (Financial Services Group (FSG)) будет размещаться в большом строении, в котором есть запас для расширения (BLDG2). В нем будет находиться 150 пользователей сети.

Вы решили соединить здание с использованием волоконно-оптического кабеля между двумя новыми роутерами. В целях резервирования, здания будут связываться с использованием инфракрасного приемо-передатчика в зоне прямой видимости. Инфракрасное соединение обеспечивает дополнительный маршрут при использовании в случаях, когда увеличиваются потребности в пропускной способности сети.

Интернет-канал теперь предоставляет скорость 15 Мбит/сек. Ваш провайдер в ваших условиях предлагает для использования полностью управляемый файровол Cisco PIX. Так вы не будете больше беспокоиться о работе файрвола для вашей сети.

Стенли и Кристина закупили новое серверное оборудование. Кристина хочет развернуть сеть, которая будет иметь кое-какие «фенечки» (whistles and bells, английская метафора, прим.перев.). Стэн хочет начать с простого управления, «некомплексную» сеть. Он полагает, что сетевым пользователям потребуется постепенно доводить новые возможности и функции и не напирать во внедрении новшеств, так как это может дезориентировать пользователей и привести к потере продуктивности.

Ваша бесстрашная сетевая команда решила внедрить такую сетевую конфигурацию, которая точно воспроизводит ту рабочую систему, которую вы установили в старом здании Abmas. Новой сетевой инфраструктурой владеет Abmas, но все стационарные компьютеры подпали под услуги аутсорсинга и взяты в аренду. В соответствии со сделкой с мистером M. Proper'om (исполнительный директор), DirectPointe, Inc., предоставляются все стационарные компьютеры, а также полная прямая поддержка с оплатой за компьютер в месяц. Условия сделки позволяют вам по требованию добавлять рабочие станции. Это освобождает Стэна и Кристину от того, чтобы иметь дело с повседневными проблемами, которые могут иногда возникать, и позволяет Снэну работать над созданием новых дополнительных служб и возможностей.

DirectPointe, Inc. получает от вас новые критерии конфигурации стационарных компьютеров каждые четыре месяца. Они автоматически разворачиваются на каждую настольную систему. Вы должны информировать DirectPointe, Inc обо всех изменениях.

Новая сеть имеет одиночный Первичный Контроллер Домена на Samba (single Samba Primary Domain Controller (PDC)), расположенный в Сетевом Операционном Центре (Network Operation Center (NOC)). Каждое из строений 1 и 2 имеет локальный сервер для обслуживания локальных приложений. Это члены домена. Новая система использует бэкенд паролей tdbsam.

Печать основана на средствах raw, как это и было раньше.
(к началу страницы)

4.2. Обсуждение и анализ

Пример, который вы будете осваивать в этой главе это проект рабочей сети, но это не делает его проектом, который мы рекомендуем. В виде общего правила, должен быть по крайней мере один Вторичный (резервный) Контроллер Домена (Backup Domain Controller (BDC)) на каждые 150 Windows клиентов. В основе этой рекомендации лежит то, что корректные операции клиентов MS Windows требуют быстрого отклика сети на все SMB/CIFS запросы. Тоже самое правило гласит, что если существует более, чем 50 клиентов на один контроллер домена, они также затрудняют обслуживание запросов. Давайте оставим эти правила в стороне и узнаем, как влияет на загрузку сети непрерывность быстроты реакции контроллера домена. Эта сеть будет иметь 500 клиентов, обслуживаемых одним центральным контроллером домена. Это плохое предзнаменование для удовлетворенности пользователей. Конечно, очень скоро мы доберемся до устранения этой проблемы (см. Глава 5, «Делаем пользователей довольными»).
(к началу страницы)

4.2.1. Технические аспекты

Стэн поведал вам об одном ужасном компромисе, к которому тем не менее прибегают. Но достоверно убедитесь, что производительность этой сети хорошо проверена перед введением в эксплуатацию.

Выбранный проект включает следующее:

  • Будет запущен один PDC. Это ограничение будет основано на том, что мы решили не использовать LDAP. Многие сетевые администраторы боятся использовать LDAP, так как воспринимают сложным внедрение и управление работающими с LDAP бэкендами для аутентификации пользователей и хранения параметров доступа к сетевым ресурсам;

  • Так как в этот раз мы отказались использовать бэкенд паролей passdb для LDAP (ldapsam), мы выберем для работы с 500 пользователями бэкенд паролей tdbsam. Этот вид бэкенда не поддерживает репликацию на BDC. Если файл бэкенда tdbsam passdb.tdb будет реплицирован на BDC средствами rsync, может возникнуть две потенциальных проблемы: (1) данные, которые хранятся в оперативной памяти, но еще не записанные на диск, не будут реплицированы, и (2) рабочие станции члены домена периодически изменяют свой секретный пароль. Когда это происходит, то нет способа вернуть измененный пароль PDC;

  • Все пользователи, группы и учетные записи компьютеров домена управляются PDC. Это делается для простоты работы, но должен быть соблюден баланс между производительностью сети и целостностью производимых операций;

  • Будет использоваться один центральный сервер WINS. WINS сервером будет PDC. Любая попытка управлять сетевыми маршрутами без сервера WINS в то время, как используется NetBIOS поверх протокола TCP/IP не будет работать, пока каждому клиенту не добавлена запись имени разрешения для PDC в файл LMHOSTS. Обычно в Windows XP Professional он находится в каталоге C:\windows\system32\drivers\etc;

  • В этот раз база данных WINS Samba не может быть реплицирована. Именно поэтому будет внедрен один сервер WINS. Это будет работать без проблем;

  • Вторичные контроллеры домена будут использовать winbindd, чтобы предоставить доступ к параметрам безопасности домена для доступа к файловой системе и хранилищу объектов;

  • Конфигурация клиентов Microsoft XP Professional будет достигнута использованием DHCP. Каждая подсеть имеет свой собственный сервер DHCP. Резервное обслуживание DHCP представлено одним альтернативным сервером DHCP. Для этого необходимо включить ретрансляцию DHCP (DHCP Relay agent) на все роутеры. Ретранслятор DHCP должен быть запрограммирован на передачу запросов DHCP от основной сети к резервному серверу DHCP;

  • Всем пользователи сети дана возможность печати на любом принтере, доступном в сети. Все принтеры доступны для каждого сервера. Задания печати, которые отправляются на принтер, находящийся не в локальном сегменте сети, автоматически перенаправляются к спулеру принтера, который контролирует данный принтер. Отдельные детали того, как это может быть сделано, показаны только на одном примере;

  • Сетевой адрес и маска сети выбрана так, чтобы для каждого сегмента сети можно было использоваться 1022 IP адреса. Если в будущем потребуется больше адресов, имеет смысл добавить еще одну подсеть, а не изменять адресацию.
(к началу страницы)

4.2.2. Политические аспекты

Этот пример близок к реальному миру. Вы и я знаем верный путь применения управления доменом. С политической точки зрения мы идем по минному полю. В этом случае мы должны развернуть PDC в соответствии с ожиданиями, а также быть готовыми сберечь день, имея в распоряжении реальное решение, готовое, если оно нам понадобиться. Такое стоящее решение представлено в Части 5, «Делаем пользователей довольными».
(к началу страницы)

4.3. Внедрение

Процесс конфигурирования начинается с установки Red Hat Fedora Core2 на три сервера, топология сети показана на рисунке 4.1. Выберите оборудование в соответствии с задачами.

Рисунок 4.1. Топология сети на 500 пользователей, с использованием бэкенда паролей passdb tdbsam

Топология сети на 500 пользователей, с использованием бэкенда паролей passdb tdbsam
(к началу страницы)

4.3.1.Установка конфигурационных файлов DHCP, DNS и Samba

Будьте внимательны при размещении конфигурационных файлов согласно таблице 4.1.. Проверьте, что все пути корректны.

Таблица 4.1. Размещение конфигурационных файлов домена MEGANET

Информация о файлах Имя сервера
№ примера Размещение файла MASSIVE BLDG1 BLDG2
Пример 4.3.1. /etc/samba/smb.conf Да Нет Нет
Пример 4.3.2. /etc/samba/dc-common.conf Да Нет Нет
Пример 4.3.3. /etc/samba/common.conf Да Да Да
Пример 4.3.4. /etc/samba/smb.conf Нет Да Нет
Пример 4.3.5. /etc/samba/smb.conf Нет Нет Да
Пример 4.3.6. /etc/samba/dommem.conf Нет Да Да
Пример 4.3.7. /etc/dhcpd.conf Да Нет Нет
Пример 4.3.8. /etc/dhcpd.conf Нет Да Нет
Пример 4.3.9. /etc/dhcpd.conf Нет Нет Да
Пример 4.3.10. /etc/named.conf (Часть A) Да Нет Нет
Пример 4.3.11. /etc/named.conf (Часть Б) Да Нет Нет
Пример 4.3.12. /etc/named.conf (Часть В) Да Нет Нет
Пример 4.3.13. /var/lib/named/master/abmas.biz.hosts Да Нет Нет
Пример 4.3.14. /var/lib/named/master/abmas.us.hosts Да Нет Нет
Пример 4.3.15. /etc/named.conf (Часть А) Нет Да Да
Пример 4.3.16. /etc/named.conf (Часть Б) Нет Да Да
Пример 15.4.1. /var/lib/named/localhost.zone Да Да Да
Пример 15.4.2. /var/lib/named/127.0.0.zone Да Да Да
Пример 15.4.3. /var/lib/named/root.hint Да Да Да

(к началу страницы)

4.3.2. Подготовка серверов: шаги для всех серверов

Следующие шаги должны быть применены ко всем серверам. Аккуратно выполняйте каждый шаг.

Этапы подготовки серверов:

1. Средствами вашей системы назовите сервер, как показано на рисунке 4.1.. Для SUSE Linux это yast2, для Red Hat Linux это netcfg. Проверьте корректность установки такой командой:

root#  uname -n

Альтернативный путь это команда:

root#  hostname -f

2. Запишите в файл /etc/hosts основные имена и адреса сетевых интерфейсов, которые есть на сервере. Это нужно для того, чтобы в течение загрузки было возможно разрешить все принадлежащие ему имена по IP адресу до запуска DNS сервера. Вы должны проверить порядок загрузки вашей системы. Если сервер печати CUPS запускается до сервера DNS (named) вы должны включить в этот файл записи о принтерах.

3. Все разрешение имен DNS должно проводиться локально. Удостоверьтесь, что сервер корректно настроен для осуществления этой операции, внесите изменения в файл /etc/resolv.conf:

search abmas.us abmas.biz
nameserver 127.0.0.1

В случае верной настройки это укажет функции разрешения имен при обращении к DNS-серверу, который запущен локально, разрешать имена в адреса.

4. Добавьте пользователя root в бэкенд паролей:

root#  smbpasswd -a root
New SMB password: XXXXXXXX
Retype new SMB password: XXXXXXXX
root#

Учетная запись root в UNIX аналогична администратору домена Windows. Учетная запись необходима для нормального поддержания вашего сервера Samba. Никогда не удаляйте ее. Если по какой-либо причине эта учетная запись будет удалена, вы не сможете ее воссоздать без значительных трудностей.

5. Создайте файл соответствия пользователей, позволяющий учетной записи root обозначаться как эквивалент учетной записи Administrator в сетевой среде Windows. Для этого создайте файл /etc/samba/smbusers такого содержания:

####
# User mapping file
####
# File Format
# -----------
# Unix_ID = Windows_ID
#
# Examples:
# root = Administrator
# janes = "Jane Smith"
# jimbo = Jim Bones
#
# Note: If the name contains a space it must be double quoted.
# In the example above the name ’jimbo’ will be mapped to Windows
# user names ’Jim’ and ’Bones’ because the space was not quoted.
#######################################################################
root = Administrator
####
# End of File
####

6. Настройте все сетевые принтеры иметь фиксированный IP адрес.

7. Создайте запись в базе данных DNS на сервере MASSIVE в базе данных для зоны прямого просмотра abmas.biz.hosts и в базе данных зоны обратного просмотра для сегмента сети, в которой находится принтер. Примеры конфигурационных файлов для подобных зон представлены в Главе 3, «Безопасная офисная сеть», примеры 3.3.12. и 3.3.11.

8. Выполните инструкции из руководства изготовителя принтера, чтобы разрешить печать через порт 9100. Используйте любой другой порт, если он задан изотовителем для режима прямой необработанной печати (raw printing). Это позволит спулеру CUPS печатать использовав протоколы необработанного режима (raw-режим).

9. На том сервере, к которому подключен принтер, настройте очереди печати CUPS:

root#  lpadmin -p printque -v socket://printer-name.abmas.biz:9100 -E

Этот шаг создаст необходимые очереди печати без настройки фильтра принтера. Это хорошо для raw-печати, так как позволяет не использовать фильтр. Имя printque это имя вашего отдельно взятого принера.

10. Возможно очереди печати не будут задействованы во время создания. Если необходимо, удостоверьтесь, что очереди, которые вы только что создали, запущены:

root#  /usr/bin/enable printque

11. Хотя ваши очереди печати могут быть запущены, все еще есть вероятность, что они не будут воспринимать задания печати. Сервисы очереди печати начинают печатать только когда осуществлена их настройка. Проверьте, задано ли вашим очередям печати принимать задания для выполнения печати посредством следующей команды:

root#  /usr/bin/accept printque

12. Этот шаг, так же как и следующий, может быть пропущен, если вы используете CUPS версии 1.1.18 или более поздней. И его применение не принесет вреда, а может даже оказать услугу, в случае выяснения причины, если вдруг задания не отправляются на печать. Посмотрите на эти шаги как на перестраховку. Отредактируйте файл /etc/cups/mime.convs, раскомментировав нижеприведенную строку:

application/octet-stream     application/vnd.cups-raw      0     -

13. Отредактируйте файл /etc/cups/mime.types, раскомментировав нижеприведенную строку:

application/octet-stream

14. Ознакомьтесь с руководством CUPS, чтобы узнать, как настроить CUPS так, чтобы очереди печати, которые находятся на серверах CUPS в удаленных сетях переправляли очереди печати на тот сервер печати, которому принадлежит очередь. Настройки по умолчанию вашего сервера CUPS могут автоматически обнаруживать удаленно установленные принтеры и могут разрешать такую функцию без дополнительных настроек.

15. Частью программы развертывания является настройка сервера приложений. Это может быть сделано на центральном сервере и затем быть скопировано (реплицировано) с использованием инструмента rsync. Для получения более подробной информации по работе обратитесь к man-страницам rsync. Отметьте, что в разделе 3.3.7. обсуждалось использование сервера приложений.

Примечание: Сценарии входа в систему, которые запускаются с контроллера домена (PDC или BDC) способны использовать псевдоинтеллектуальные процессы для автоматического подключения дисков клиенту Windows ближайшего, относительно клиента, сервера приложений. Это значительно более сложно, чем в случае одного PDC, используемого в маршрутизированной сети. Это может быть сделано, но не так элегантно, как вы увидите это в следующей части.

(к началу страницы)

4.3.3. Специфические шаги по настройке сервера

Ниже приведено несколько шагов, которые будут применены к конкретно взятому серверу. Каждый шаг очень важен для дальнейшей корректной работы этого сервера. Следование пошаговой инструкции поможет вам в работе по настройке PDC и обоих BDC.
(к началу страницы)

4.3.3.1. Конфигурация сервера MASSIVE

Шаги показанные здесь, это попытка развернуть Samba в обычной манере. Так как эти нескольких шагов безусловно специфичны лишь для Linux, их не будет слишком сложно применить на выбранной вами платформе.

Подготовка Первичного Контроллера Домена (PDC):

1. Главный сервер действует как маршрутизатор (router) между двумя внутренними сегментами сети, а также для доступа в Интернет. Поэтому необходимо, чтобы была включена IP маршрутизация. Это может быть достигнуто добавлением в файл /etc/rc.d/boot.local такой записи:

echo 1 > /proc/sys/net/ipv4/ip_forward

Удостоверьтесь, что ваше ядро способно осуществлять маршрутизацию, также вы можете записать эту команду вручную. Эта настройка позволит Linux-системе действовать как роутер.

2. Этот сервер является ведущим для двух сетей (имеет два сетевых интерфейса) — один смотрит в Интернет, а другой в локальную сеть, которая имеет роутер, являющийся шлюзом для удаленных сетей. По этой причине вы должны настроить таблицу маршрутизации сервера так, чтобы можно было найти компьютеры в удаленных сетях. Вы можете сделать это с использованием соответствующих инструментов вашей Linux-системы или воспользоваться статическими записями, которые в поместите в один из системных загрузочных файлов. Лучше всегда использовать инструменты, которые предоставил разработчик дистрибутива. В случае SUSE Linux лучший инструмент это YaST (обратитесь к Руководству Администратора YaST); в случае Red Hat, лучше использовать графические системные утилиты (обратитесь к документации Red Hat). Пример того, как это можно сделать в ручную, показан ниже:

root#  route add net 172.16.4.0 netmask 255.255.252.0 gw 172.16.0.128
root#  route add net 172.16.8.0 netmask 255.255.252.0 gw 172.16.0.128

Если вы выполнили эти команды вручную, таблица маршрутизации, которую вы создали, не будет работать после следующей перезагрузки системы. Вы можете добавить эти команды непосредственно в локальные файлы загрузки:

SUSE - /etc/rc.d/boot.local;

Red Hat - /etc/rc.d/init.d/rc.local.

3. Последним шагом, который должен быть выполнен, это редактирование файла /etc/nsswitch.conf. Этот файл контролирует операции различных разрешающих библиотек, которые являются частью Linux-библиотек Glibs. Отредактируйте этот файл следующим образом:

hosts:      files dns wins

4. Создайте и присоедините группы домена Windows и группы UNIX. Скрипт, с помощью которого вы можете это сделать, показан в примере 4.3.17.. Создайте файл с этим скриптом, назовите его /etc/samba/initGrps.sh. Сделайте этот скрипт исполняемым и запустите его.

5. Сделайте запись для каждого пользователя, который нуждается в учетной записи пользователя домена Windows в файле /etc/passwd, а также в бэкенде паролей Samba. Используйте системные инструменты вашей ОС для создания системных учетных записей UNIX, для создания доменных учетных записей воспользуйтесь инструментом smbpasswd. В числе инструментов для создания пользователей UNIX утилиты useradd и adduser, а также обилие сторонних утилит. Также не забудьте при помощи выбранной вами утилиты, создать домашний каталог для каждого пользователя (подробности см. ниже в шаге 11).

6. Используя выбранные вами инструменты, добавьте каждого пользователя в группы UNIX, заранее созданные, если это необходимо. Контроль доступа к файлам системы основан на принадлежности к группам UNIX.

7. Создайте точку монтирования для дисковой подсистемы, в которой будут храниться все файлы компании, в нашем случае точка монтирования в файле smb.conf будет обозначена как /data. Отформатируйте файловую систему как вам нужно и примонтируйте раздел в точку монтирования.

8. Создайте корневой каталог файлового хранилища данных и приложений:

root#  mkdir -p /data/{accounts,finsvcs,pidata}
root#  mkdir -p /apps
root#  chown -R root:root /data
root#  chown -R root:root /apps
root#  chown -R bjordan:accounts /data/accounts
root#  chown -R bjordan:finsvcs /data/finsvcs
root#  chown -R bjordan:finsvcs /data/pidata
root#  chmod -R ug+rwxs,o-rwx /data
root#  chmod -R ug+rwx,o+rx-w /apps

Каждый отдел отвечает за создание и поддержание структуры данных внутри своего общего ресурса. Корень каталога бухгалтерии accounts это общий ресурс /data/accounts. Корень каталога финансистов finsvcs это общий ресурс /data/finsvcs. Корень каталога страховой группы pidata это общий ресурс /data/pidata. Каталог apps это корень общего ресурса /apps, требуется для сервера приложений.

9. Файл smb.conf определяет инфраструктуру поддержки перемещаемых профилей и возможностей сетевого входа. Теперь вы можете создать структуру файлов с целью размещения на диске требуемых сервисов для этих возможностей. Следует провести соответствующее планирование, так как впоследствии профили сотрудников могут увеличиться до весьма больший размеров. Учтем при планировании, что для хранения пользовательского профиля потребуется как минимум 200 мегабайт. Следующие команды помогут вам создать требующуюся структуру каталогов:

root#  mkdir -p /var/spool/samba
root#  mkdir -p /var/lib/samba/{netlogon/scripts,profiles}
root#  chown -R root:root /var/spool/samba
root#  chown -R root:root /var/lib/samba
root#  chmod a+rwxt /var/spool/samba

Для каждой учетной записи пользователя, созданной в системе, нужно выполнить следующие действия:

root#  mkdir /var/lib/samba/profiles/"username"
root#  chown "username":users /var/lib/samba/profiles/"username"
root#  chmod ug+wrx,o+rx,-w /var/lib/samba/profiles/"username"

10. Создайте сценарий входа (logon script). Проследите, чтобы конец каждой строки был корректно завершен (речь идет о проблеме несоответствия конца строк кодировке DOS). Для этого используйте утилиты unix2dos и dos2unix (которые имеет смысл установить). Сначала создайте файл /var/lib/samba/netlogon/scripts/logon.bat.unix следующего содержания:

net time \\massive /set /yes
net use h: /home

Затем конвертируйте unix-файл в dos-файл используя unix2dos:

root# unix2dos < /var/lib/samba/netlogon/scripts/logon.bat.unix \
	> /var/lib/samba/netlogon/scripts/logon.bat

11. А теперь об одном подготовительном шаге, без которого сетевое окружение Samba не будет работать нормально. Вы должны добавить учетную запись для каждого пользователя сети. Вы можете сделать это выполнив следующие операции для каждого пользователя:

root#  useradd -m username
root#  passwd username
Changing password for username.
New password: XXXXXXXX
Re-enter new password: XXXXXXXX
Password changed
root#  smbpasswd -a username
New SMB password: XXXXXXXX
Retype new SMB password: XXXXXXXX
Added user username.

Разумеется, вместо username вы должны использовать реальные учетные записи.

12. Операции, показанные в разделе 4.3.4. позволят вам запустить все сервисы.

13. Ваш сервер готов для проверки. Не переходите к разделу 4.3.3.2., пока не проверите ваш сервер теми же методами, которые показаны в Главе 3, «Безопасная офисная сеть», раздел 3.3.6..
(к началу страницы)

4.3.3.2. Конфигурация серверов членов домена BLDG1 и BLDG2

Следующие шаги проведут вас через нюансы запуска вторичных контроллеров домена BDC для работы в изолированных сегментах сети. Помните, что если конечная установочная платформа не Linux, может потребоваться адаптировать несколько команд в эквивалентные для вашей платформы.

Шаги по настройке Вторичных Контроллеров Домена (BDC):

1. Выполните редактирование файла /etc/nsswitch. Этот файл контролирует операции различных разрешающих библиотек, которые являются частью Linux-библиотек Glibs. Отредактируйте этот файл следующим образом:

passwd:     files winbind
group:      files winbind
hosts:      files dns wins

2. Выполните операции по запуску всех сервисов, как показано в разделе 4.3.4., однако не запускайте Samba в этот раз. Samba контролируется процессом smb.

3. Теперь вы должны попытаться включить серверы члены домена в домен. Следующая команда позволит это сделать:

root#  net rpc join

4. Сейчас запустите сервер Samba:

root#  service smb start

5. Ваш сервер готов к проверке. Не переходите к конфигурации следующего Вторичного Контроллера Домена, пока не проверите ваш сервер теми же методами, которые показаны в Главе 3, «Безопасная офисная сеть», раздел 3.3.6..
(к началу страницы)

4.3.4. Настройка процесса запуска

В настройке загрузки системы есть два главных момента. Во-первых, при перезагрузке должен осуществляться автоматический запуск сервисов. Для этого применяется инструмент chkconfig, который создает соответствующие символические ссылки на основные управляющие файлы демонов, которые находятся в каталоге /etc/rc.d, и в каталогах /etc/rc"x".d. Ссылки создаются так, что, когда уровни запуска изменились, выполняется необходимый запуск или останов скрипта.

В случае, когда сервис запускается не как демон, а с помощью межсетевого супер-демона (inetd или xinetd), тогда chkconfig делает необходимые записи в каталоге /etc/xinetd.d и посылает сигнал отказа (hang-up, HUP) супер-демону, и это вынуждает его перечитать свои управляющие файлы.

В итоге, каждый сервис должен быть запущен чтобы позволить системе продолжать работу.

1. Используйте встроенные инструменты вашей системы для настройки автоматического запуска сервисов при перезагрузке системы, например так:

root#  chkconfig dhpc on
root#  chkconfig named on
root#  chkconfig cups on
root#  chkconfig smb on
root#  chkconfig swat on

2. Теперь запустите каждый сервис, чтобы система заработала как нужно. Выполните для каждого сервиса команду:

root#  service dhcp restart
root#  service named restart
root#  service cups restart
root#  service smb restart
root#  service swat restart
root# /etc/rc.d/init.d/smb restart

(к началу страницы)

4.3.5. Конфигурирование клиентов Windows

Процедура конфигурирования клиентских рабочих станций для этого примера сети подобна предыдущей. Будет указано на незначительные изменения.

Шаги по настройке Windows клиентов:

1. Установите MS Windows XP Professional. Во время установки укажите использовать DHCP (получать настройки сети автоматически). DHCP настроит все клиенты Windows использовать адрес WINS-сервера, который будет определен для локальной подсети.

2. Включите рабочую станцию в домен MEGANET. Используйте в качестве администратора домена учетную запись root и пароль, который вы задавали при помощи smbpasswd для этой учетной записи.

Детальная пошаговая инструкция по включению клиентов с Windows 200x/XP Professional домен Windows приведена в Главе 15, «Сборник полезных советов», раздел 15.1. Перезагрузите компьютер, когда это потребуется и войдите с использованием учетной записи администратора домена (root).

3. Проверьте, что в Сетевом Окружении виден компьютер MASSIVE, что к нему можно подключиться и увидеть общие папки accounts, apps, pidatafinsvcs и что в них можно зайти и просмотреть содержимое.

4. Подключите как сетевой диск общий ресурс apps. В этот раз не имеет значения, какой сервер приложений будет использоваться. Необходимо вручную настроить постоянное подключение сетевого диска к локальному серверу приложений на каждой рабочей станции во время установки. Этот шаг позволит избежать дополнительных настроек в следующей главе.

5.Выполните административную установку каждого приложения, которое будет использоваться. Выберите опции, которые вы желаете использовать. Конечно, вы можете выбрать запускать приложения по сети, верно?

6. Теперь установите все локальные приложения. Как правило это Adobe Acrobat, приложения для синхронизации времени NTP, драйверы на устройства, такие как сканер и тому подобное. Вероятно наиболее важное приложение для локальной установки это антивирус.

7. Теперь установите все принтеры на эталонную систему. Это принтеры бухгалтерского отдела HP LaserJet 6 и Minolta QMS Magicolor. Вы также должны настроить принтеры, которые находятся в финансовом отделе. Установите принтеры на каждую рабочую станцию следуя шагам, показанным ниже:

    а) Щелкните Пуск-Настройка-Принтеры-Установка принтера. Выберите установку локального принтера, а не сетевого.

    б) Щелкните Дальше, выберите HP, найдите принтер HP LaserJet 6, щелкните Дальше.

    в) Выберите «Использовать порт: FILE (Печать в файл)», затем установите имя принтера по умолчанию. На вопрос «Желаете ли вы распечатать пробную страницу?» ответьте «Нет». Нажмите «Готово».

    г) Вам может быть задан вопрос об имени файла печати. В этом случае Щелкните на принтере P LaserJet 6, выберите Свойства-Вкладка_Дополнительно-Добавить_порт.

    д) На панели Сеть введите имя очереди печати на Samba-сервере \\BLDG1\hplj6. Щелкните OK+OK для завершения установки.

    е) Повторите эти шаги для обоих принтеров HP LaserJet 6 , а также для лазерного принтера QMS Magicolor. Не забудьте установить все принтеры, но настройте порт назначения для каждого сервера в локальной сети. Например, все принтеры одной из рабочих станций бухгалтерского отдела относятся к серверу BLDG1. Вы можете указать всю конфигурацию для рабочей станции на сервере MASSIVE и затем при развертывании было бы разумным описать потребность в пересылке конфигурации принтера (также, как и подключение общего ресурса сервера приложений в виде постоянно подключенного сетевого диска) с сервера в сегмент сети, в котором находится данная рабочая станция.

8. Когда вы убедитесь, что ваша эталонная система готова, выведите рабочую станцию из домена. Перезагрузите компьютер и затем войдите под учетной записью администратора, очистите все временные папки. Сделайте дефрагментацию для оптимизации размещения файлов на диске.

9. Загрузите рабочую станцию с диска или дискеты Norton Ghost. Сделайте образ диска и скопируйте его в общий ресурс на сервер.

10. Сейчас вы можете развернуть образ эталонного компьютера используя средства Norton Ghost. Убедитесь, что каждая рабочая станция имеет уникальный идентификатор безопасности Windows (SID). Когда развертывание образа будет выполнено, перезагрузите компьютер.

11. Войдите на компьютер как локальный администратор (это опционально) и включите его в домен, следуя процедуре, описанной в Главе 15, «Сборник полезных советов», раздел 15.1.. Теперь система готова к тому, чтобы вход мог осуществить пользователь, конечно, если вы вы предварительно создали его учетную запись.

12. Проинструктируйте пользователей входить на их рабочие станции под выданным им именем пользователя и паролем.
(к началу страницы)

4.3.6. Основные моменты изученного

Сеть, которую вы только что развернули, может полноценно применятся с вынужденными ограничениями. Вы развернули сеть, которая хорошо работает, несмотря на то, что вы может вскоре увидеть проблемы в ее работе, ее модификация, которая поправит положение, будет показана в Главе 5, «Делаем пользователей довольными». Давайте перечислим основные моменты изученного:

  • Вы узнали о возможности и силе использования вложенных файлов в файл конфигурации smb.conf;

  • Использовали один PDC как сетевой маршрутизатор;

  • Включили членов домена на Samba-3 в домен на Samba-3;

  • Настройка winbind применяется пользователями и группами домена для доступа к ресурсам Samba, расположенных на серверах членах домена;
(к началу страницы)

Пример 4.3.1. Файл smb.conf ,сервер MASSIVE (PDC)

# Global parameters

[global]
workgroup = MEGANET
netbios name = MASSIVE
interfaces = eth1, lo
bind interfaces only = Yes
passdb backend = tdbsam
smb ports = 139
add user script = /usr/sbin/useradd -m '%u'
delete user script = /usr/sbin/userdel -r '%u'
add group script = /usr/sbin/groupadd '%g'
delete group script = /usr/sbin/groupdel '%g'
add user to group script = /usr/sbin/usermod -G '%g' '%u'
add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody '%u'
preferred master = Yes
wins support = Yes
include = /etc/samba/dc-common.conf

[accounts]
comment = Accounting Files
path = /data/accounts
read only = No

[service]
comment = Financial Services Files
path = /data/service
read only = No

[pidata]
comment = Property Insurance Files
path = /data/pidata
read only = No

Пример 4.3.2. Файл /etc/samba/dc-common.conf, сервер MASSIVE (PDC)

# Global parameters

[global]
shutdown script = /var/lib/samba/scripts/shutdown.sh
abort shutdown script = /sbin/shutdown -c
logon script = scripts\logon.bat
logon path = \\%L\profiles\%U
logon drive = X:
logon home = \\%L\%U
domain logons = Yes
preferred master = Yes
include = /etc/samba/common.conf

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = Yes
locking = No

[profiles]
comment = Profile Share
path = /var/lib/samba/profiles
read only = No
profile acls = Yes

Пример 4.3.3. Общий конфигурационный файл Samba /etc/samba/common.conf

[global]
username map = /etc/samba/smbusers
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
smb ports = 139
name resolve order = wins bcast hosts
time server = Yes
printcap name = CUPS
show add printer wizard = No
shutdown script = /var/lib/samba/scripts/shutdown.sh
abort shutdown script = /sbin/shutdown -c
utmp = Yes
map acl inherit = Yes
printing = cups
veto files = /*.eml/*.nws/*.{*}/
veto oplock files = /*.doc/*.xls/*.mdb/
include = 
# Share and Service Definitions are common to all servers

[printers]
comment = SMB Print Spool
path = /var/spool/samba
guest ok = Yes
printable = Yes
use client driver = Yes
default devmode = Yes
browseable = No

[apps]
comment = Application Files
path = /apps
admin users = bjordan
read only = No

Пример 4.3.4. Файл smb.conf ,сервер BLDG1 (BDC)

# Global parameters

[global]
workgroup = MEGANET
netbios name = BLDG1
include = /etc/samba/dom-mem.conf

Пример 4.3.5. Файл smb.conf ,сервер BLDG2 (BDC)

# Global parameters

[global]
workgroup = MEGANET
netbios name = BLDG2
include = /etc/samba/dom-mem.conf

Пример 4.3.6. Общий файл вложения членов домена: dom-mem.conf

# Global parameters

[global]
shutdown script = /var/lib/samba/scripts/shutdown.sh
abort shutdown script = /sbin/shutdown -c
preferred master = Yes
wins server = 172.16.0.1
idmap uid = 15000-20000
idmap gid = 15000-20000
include = /etc/samba/common.conf

Пример 4.3.7. Файл dhcpd.conf ,сервер MASSIVE (PDC)

# Abmas Accounting Inc.

default-lease-time 86400;
max-lease-time 172800;
default-lease-time 86400;
ddns-updates on;
ddns-update-style interim;

option ntp-servers 172.16.0.1;
option domain-name "abmas.biz";
option domain-name-servers 172.16.0.1, 172.16.4.1;
option netbios-name-servers 172.16.0.1;
option netbios-node-type 8;

subnet 172.16.1.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.1.0 172.16.2.255;
        option subnet-mask 255.255.252.0;
        option routers 172.16.0.1, 172.16.0.128;
        allow unknown-clients;
	}
subnet 172.16.4.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.7.0 172.16.7.254;
        option subnet-mask 255.255.252.0;
        option routers 172.16.4.128;
        allow unknown-clients;
	}
subnet 172.16.8.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.11.0 172.16.11.254;
        option subnet-mask 255.255.252.0;
        option routers 172.16.4.128;
        allow unknown-clients;
	}
subnet 127.0.0.0 netmask 255.0.0.0 {
        }
subnet 123.45.67.64 netmask 255.255.255.252 {
        }

Пример 4.3.8. Файл dhcpd.conf ,сервер BLDG1 (BDC)

# Abmas Accounting Inc.

default-lease-time 86400;
max-lease-time 172800;
default-lease-time 86400;
ddns-updates on;
ddns-update-style ad-hoc;

option ntp-servers 172.16.0.1;
option domain-name "abmas.biz";
option domain-name-servers 172.16.0.1, 172.16.4.1;
option netbios-name-servers 172.16.0.1;
option netbios-node-type 8;

subnet 172.16.1.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.3.0 172.16.3.255;
        option subnet-mask 255.255.252.0;
        option routers 172.16.0.1, 172.16.0.128;
        allow unknown-clients;
	}
subnet 172.16.4.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.5.0 172.16.6.255;
        option subnet-mask 255.255.252.0;
        option routers 172.16.4.128;
        allow unknown-clients;
	}
subnet 127.0.0.0 netmask 255.0.0.0 {
        }

Пример 4.3.9. Файл dhcpd.conf ,сервер BLDG2 (BDC)

# Abmas Accounting Inc.

default-lease-time 86400;
max-lease-time 172800;
default-lease-time 86400;
ddns-updates on;
ddns-update-style interim;

option ntp-servers 172.16.0.1;
option domain-name "abmas.biz";
option domain-name-servers 172.16.0.1, 172.16.4.1;
option netbios-name-servers 172.16.0.1;
option netbios-node-type 8;

subnet 172.16.8.0 netmask 255.255.252.0 {
        range dynamic-bootp 172.16.9.0 172.16.10.255;
        option subnet-mask 255.255.252.0;
        option routers 172.16.8.128;
        allow unknown-clients;
	}
subnet 127.0.0.0 netmask 255.0.0.0 {
        }

Пример 4.3.10. Файл named.conf, сервер MASSIVE (PDC), Часть A

###
# Abmas Biz DNS Control File
###
# Date: November 15, 2003
###
options {
	directory "/var/lib/named";
	forwarders {
		123.45.12.23;
		123.45.54.32;
		};
	forward first;
	listen-on {
		mynet;
		};
	auth-nxdomain yes;
	multiple-cnames yes;
	notify no;
};

zone "." in {
	type hint;
	file "root.hint";
};

zone "localhost" in {
	type master;
	file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
	type master;
	file "127.0.0.zone";
};

acl mynet {
	172.16.0.0/22;
	172.16.4.0/22;
	172.16.8.0/22;
	127.0.0.1;
};

acl seconddns {
        123.45.54.32;
};

Пример 4.3.11. Файл named.conf, сервер MASSIVE (PDC), Часть Б

zone "abmas.biz" {
	type master;
	file "/var/lib/named/master/abmas.biz.hosts";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
	allow-update {
		mynet;
	};
};

zone "abmas.us" {
        type master;
        file "/var/lib/named/master/abmas.us.hosts";
        allow-query {
                all;
        };
        allow-transfer {
                seconddns;
        };
};

Пример 4.3.12. Файл named.conf, сервер MASSIVE (PDC), Часть В

zone "0.16.172.in-addr.arpa" {
	type master;
	file "/var/lib/named/master/172.16.0.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
	allow-update {
		mynet;
	};
};

zone "4.16.172.in-addr.arpa" {
	type master;
	file "/var/lib/named/master/172.16.4.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
	allow-update {
		mynet;
	};
};

zone "8.16.172.in-addr.arpa" {
	type master;
	file "/var/lib/named/master/172.16.8.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
	allow-update {
		mynet;
	};
};

Пример 4.3.13. Файл зоны прямого просмотра abmas.biz.hosts

$ORIGIN .
$TTL 38400	; 10 hours 40 minutes
abmas.biz	IN SOA	massive.abmas.biz. root.abmas.biz. (
				2003021833 ; serial
				10800      ; refresh (3 hours)
				3600       ; retry (1 hour)
				604800     ; expire (1 week)
				38400      ; minimum (10 hours 40 minutes)
				)
			NS	massive.abmas.biz.
			NS	bldg1.abmas.biz.
			NS	bldg2.abmas.biz.
			MX	10 massive.abmas.biz.
$ORIGIN abmas.biz.
massive			A	172.16.0.1
router0                 A       172.16.0.128
bldg1                   A       172.16.4.1
router4                 A       172.16.4.128
bldg2                   A       172.16.8.1
router8                 A       172.16.8.128

Пример 4.3.14. Файл зоны прямого просмотра abmas.us.hosts

$ORIGIN .
$TTL 38400	; 10 hours 40 minutes
abmas.us	IN SOA	server.abmas.us. root.abmas.us. (
				2003021833 ; serial
				10800      ; refresh (3 hours)
				3600       ; retry (1 hour)
				604800     ; expire (1 week)
				38400      ; minimum (10 hours 40 minutes)
				)
			NS	dns.abmas.us.
			NS	dns2.abmas.us.
			MX	10 mail.abmas.us.
$ORIGIN abmas.us.
server			A	123.45.67.66
dns2			A	123.45.54.32
gw			A	123.45.67.65
www			CNAME	server
mail		CNAME	server
dns			CNAME	server

Пример 4.3.15. Файл named.conf ,серверы BLDG1 (BDC) и BLDG2 (BDC), Часть A

###
# Abmas Biz DNS Control File
###
# Date: November 15, 2003
###
options {
	directory "/var/lib/named";
	forwarders {
		172.16.0.1;
		};
	forward first;
	listen-on {
		mynet;
		};
	auth-nxdomain yes;
	multiple-cnames yes;
	notify no;
};

zone "." in {
	type hint;
	file "root.hint";
};

zone "localhost" in {
	type master;
	file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
	type master;
	file "127.0.0.zone";
};

acl mynet {
	172.16.0.0/22;
	172.16.4.0/22;
	172.16.8.0/22;
	127.0.0.1;
};

acl seconddns {
        123.45.54.32;
};

Пример 4.3.16. Файл named.conf ,серверы BLDG1 (BDC) и BLDG2 (BDC), Часть Б

zone "abmas.biz" {
	type slave;
	file "/var/lib/named/slave/abmas.biz.hosts";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
};

zone "0.16.172.in-addr.arpa" {
	type slave;
	file "/var/lib/slave/master/172.16.0.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
};

zone "4.16.172.in-addr.arpa" {
	type slave;
	file "/var/lib/named/slave/172.16.4.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
};

zone "8.16.172.in-addr.arpa" {
	type slave;
	file "/var/lib/named/slave/172.16.8.0.rev";
	allow-query {
		mynet;
	};
	allow-transfer {
		mynet;
	};
};

Пример 4.3.17. Скрипт инициализации групп, файл /etc/samba/initGrps.sh

#!/bin/bash

# Create UNIX groups
groupadd acctsdep
groupadd finsrvcs
groupadd piops

# Map Windows Domain Groups to UNIX groups
net groupmap add ntgroup="Domain Admins"  unixgroup=root type=d
net groupmap add ntgroup="Domain Users"   unixgroup=users type=d
net groupmap add ntgroup="Domain Guests"  unixgroup=nobody type=d

# Add Functional Domain Groups
net groupmap add ntgroup="Accounts Dept"       unixgroup=acctsdep type=d
net groupmap add ntgroup="Financial Services"  unixgroup=finsrvcs type=d
net groupmap add ntgroup="Insurance Group"     unixgroup=piops type=d

(к началу страницы)

4.4. Вопросы и ответы

1. Приведенные файлы smb.conf используют параметр include. Как я могу узнать фактические рабочие настройки файла smb.conf?
2. Почему вложенный файл common.conf имеет пустой параметр include =?
3. Я допускаю, что необходима наиболее простая конфигурация, чтобы все работало лучше. Использование бэкенда паролей passdb tdbsam гораздо проще, чем управляться с бэкендом паролей LDAP ldapsam. Я пытался использовать rsync для реплицирования passdb.tdb, и это выглядело так, будто нормально работает! Почему же я не могу это использовать?
4. Вы используете ретрансляцию DHCP и в роутерах и в локальном сервере DHCP. Не будет ли это причиной проблем?
5. Каким образом Windows клиент находит PDC?
6. Почему вы используете IP маршрутизацию (routing) только на сервере MASSIVE?
7. Вы ничего не упомянули о применении перемещаемых профилей, почему?
8. На компьютерах-серверах членах домена, вы настроили winbind в файле /etc/nsswitch.conf. Вы не делали никаких настроек PAM. Это какое-то упущение?
9. В этом примере вы запустили SWAT, но ничего не объяснили. Что это такое?
10. Контроллер домена имеет скрипт автоматического выключения (shutdown). Это не опасно?

1. Приведенные файлы smb.conf используют параметр include. Как я могу узнать фактические рабочие настройки файла smb.conf?

- Вы можете быстро увидеть реальные настройки вложенных файлов запустив:

root#  testparm -s | less

2. Почему вложенный файл common.conf имеет пустой параметр include =?

- Использование пустого параметра include аннулирует, делает недействительными дальнейшие вложения. Скажем, вы очень хотите сделать файл smb.conf из основного управляющего файла, называющегося master, который построен из массива вложенных файлов.

root#  testparm -s /etc/samba/master.conf > /etc/samba/smb.conf

Если этого параметра не будет в файле common.conf, может получиться ситуация, что файл вложения будет записан, даже если он уже был включен. Эта ошибка будет устранена в следующем релизе.

3. Я допускаю, что необходима наиболее простая конфигурация, чтобы все работало лучше. Использование бэкенда паролей passdb tdbsam гораздо проще, чем управляться с бэкендом паролей LDAP ldapsam. Я пытался использовать rsync для реплицирования passdb.tdb, и это выглядело так, будто нормально работает! Почему же я не могу это использовать?

- Репликация файла базы данных tdbsam между PDC и BDC может в результате привести к потере его содержимого. Самый яркий симптом состоим в том, что рабочие станции долго не могут войти в сеть, им требуются перезагрузки, и может потребоваться вторичное включение в домен для восстановления доступа к сети.

4. Вы используете ретрансляцию DHCP и в роутерах и в локальном сервере DHCP. Не будет ли это причиной проблем?

- Нет. Возможно иметь столько серверов DHCP в сегменте сети, сколько имеет смысл. Сервер DHCP предлагает IP адреса к аренде, но это клиент решает, какой адрес ему принять, независимо от того, сколько было сделано предложений. В нормальных условиях, клиент соглашается с первым предложенным адресом.

5. Каким образом Windows клиент находит PDC?

- Windows клиент получает адрес сервера WINS от DHCP. Также от DHCP он получает параметры, указывающие непосредственно использовать направленный UDP (UDP Unicast, односторонняя передача пакетов одному адресату по UDP) для регистрации себя на сервере WINS и получить перечень данных об актуальных сетевых настройках, чтобы применить их для корректной работы с сетью.

6. Почему вы используете IP маршрутизацию (routing) только на сервере MASSIVE?

- Сервер MASSIVE действует как роутер для Интернет. Другие серверы (BLDG1 и BLDG2) не нуждаются в маршрутизации, так как они подключены только к их собственной сети. Таблица маршрутизации необходима непосредственно серверу MASSIVE, чтобы посылать весь трафик, предназначенный для сегментов удаленной сети на роутер, который для них является шлюзом.

7. Вы ничего не упомянули о применении перемещаемых профилей, почему?

- Если не сконфигурировано как-то иначе, то по умолчанию режим работы Samba-3 с клиентами Windows подразумевает использование перемещаемых профилей.

8. На компьютерах-серверах членах домена, вы настроили winbind в файле /etc/nsswitch.conf. Вы не делали никаких настроек PAM. Это какое-то упущение?

- PAM требуется только для аутентификации. Когда Samba использует шифрованные пароли Microsoft требуется минимальное использование PAM. Конфигурация PAM управляет только аутентификацией. Если вы хотите входить на серверы члены домена используя имена пользователей и пароли сети Windows, необходимо настроить PAM разрешить использование winbind. Samba использует только возможности разрешения подлинности диспетчера разрешения имен NSS (name service switch).

9. В этом примере вы запустили SWAT, но ничего не объяснили. Что это такое?

- О, я не думал, что бы заметите это. Просто показано, что это может использоваться. Более полно SWAT обсуждается в повествовании о TOSHARG2, где целая глава посвящена этой теме. Раз уж мы заговорили об этом, замечу, чтобы вы не применяли явно SWAT в какой-либо системе, где в файле smb.conf используется вложенные файлы (параметр include), потому что SWAT оптимизирует их в единый файл, но оставляет на месте битые ссылки на вложенный файл первого уровня.

10. Контроллер домена имеет скрипт автоматического выключения (shutdown). Это не опасно?

- Прекрасно, вы определили это! Я полагаю, это опасно. Тем не менее, он желателен, когда ты знаешь, что можно с ним сделать.
(к началу страницы)

Назад
Глава 3. Безопасная офисная сеть
Содержание
Дальше
Глава 5. Делаем пользователей довольными