Samba kao domenski kontroler
Autori:
- Tina Crnjak (1. dio)
- Luka Šoštarić (2. dio)
Sadržaj |
Osnovni pojmovi važni za rad
Na početku ovoga rada biti će ukratko opisani osnovni pojmovi koji su bitni za razumijevanje njegovog drugog dijela.
Debian
Debian je računalni operativni sustav sastavljen od jezgre, osnovnih alata i programske potpore za raznolike primjene, objavljen kao besplatan i open source softver. Nastao je 1993. godine a objavio ga je Ian Murdock kao novu distribuciju koja će raditi u duhu GNU/Linuxa. Ime je dobio kombinacijom imena objavljivača i njegove djevojke Debre. Na početku je zamišljen kao projekt koji će se održavati pažljivo i svjesno od stane male skupine hakera, a s vremenom je prerastao u veliku zajednicu developera i korisnika. Dostupan je za sve arhitekture računala pa stoga za sebe kaže da je univerzalan operativni sustav sustav. U jezgri operativnog sustava je kernel koji je najtemeljitiji program na računalu te omogućuje pokretanje drugih programa. Debian sustavi trenutno koriste Linux kernel. „Debian GNU / Linux pruža puno više od onog što se misli pod nazivom 'operativni sustav': dolazi s više od 29 000 paketa, već kompajliranih programa (binarni kod za različite strojne platforme) spakiranih u zgodan format za laganu instalaciju na računalo." (Informatička abeceda, Drago Radić, 2012.)
Debian dolazi u nekoliko inačica:
- Stable – izdanje je vrlo stabilno, namijenjeno onim korisnicima kojima je najvažnija sigurnost i stabilnost operativnog sustava. Paketi su prošli brojne provjere te su ispravljene brojne greške i propusti, podržana je nadogradnjama pa se može koristiti u ozbiljne namjene – na poslužiteljima, baze podataka i slično.
- Testing – nije stabilan kao stable ali još uvijek dovoljno za prosječnog korisnika. Ispravljeni su kritični propusti pa bi zbog toga testig izdanje trebalo funkcionirati vrlo dobro, međutim nije stabilan kao stable jer se verzije paketa često mijenjaju. Za ovu verziju možemo reći da je stabilniji za svakodnevnu upotrebu od Ubuntu Linuxa koji je najpopularnija GNU/Linux distribucija bazirana na Debian unstable verziji.
- Unstable – nije namijenjen korištenju na produkcijskim sustavima. Paketi nisu testirani, dolaze izravno od upstream razvijatelja, nisu nužno konfigurirani za instalaciju i deinstalaciju. Najveći nedostatak je velik broj sigurnosnih propusta što sustav čini vrlo nestabilnim. Uglavnom je korišten od strane Debian developera, iskusnih korisnika te ljudi koji žele pomoći Debian projektu u razvoju prijavljivanjem bugova. Bez obzira na sve to, neki smatraju da je ova verzija vrlo stabilna i koriste ga u svakodnevnom životu.Osim navedenih postoji još i experimental izdanje sa najviše sigurnosnih propusta pa se stoga ne preporuča za upotrebu jer je vrlo nestabilno. (Sistemac.srce, 2012.)
Samba
Samba je jedan od najvažnijih programskih paketa na Linux/Unix platformi, izdan pod GNU licencom, koji radi na svim varijantama Linuxa i Unixa a vrši funkciju Windows poslužitelja i omogućuje razne mrežne usluge korisnicima na razini SMB protokola. „SMB (Server message block) je protokol za komunikaciju korisničkih računala (client) sa serverom koji funkcionira na principu zahtjev-odgovor (request-response). Na taj način računala u mreži mogu razmjenjivati podatke ili dijeliti printere, serijske portove, mail slotove i slično.“ (Seminarski rad SMB Samba, Nikola Džida, 2005.)
Samba koristi TCP/IP protokol za komunikaciju preko raznih međusobno povezanih mreža, instaliran na host serveru koji nakon pravilne konfiguracije omogućuje interakciju sa klijentom ili serverom. Daje mrežnom administratoru fleksibilnost i slobodu u smislu konfiguracije i izbora sistema i opreme. (Samba.org, What is Samba?, 2012.) Prva inačica Sambe razvijena je 1992. godine. Razvio ju je Andrew Tridgell (Canberra, Australija). Koristi reverzni inženjering pomoću hvatanja paketa SMB protokola a ime dobiva dodavanjem samoglasnika u naziv protokola SMB: SaMBa. Glavne funkcionalnosti su:(Samba kao PDC, Robert Sedak i Miroslav Zubčić, 2012.)
- Provjera vjerodostojnosti i dozvola pristupa korisnicima
- Dijeljenje diskovnog prostora i pisača
- Pronalaženje imena računala (name resolution)
- Pretraživanje računala
Kako radi Samba
Dva su ključna programa: smbd i nmbd. Smbd služi za provjeru vjerodostojnosti i dozvole pristupa te dijeljenje diskovnog prostora i pisača. Također upravlja „share mode“ i „user mode“ autentifikacijom i autorizacijom. U share modu lozinka je dodijeljena nekoj datoteci ili pisaču (share-u) i ona je poznata svima koji imaju dopuštenje za korištenje toga share-a. Kod user moda svaki korisnik ima svoje korisničko ime i lozinku a administrator može dozvoliti ili zabraniti pristip na individualnoj bazi. Nmbd je poslužitelj imena NetBIOS-a i služi pretraživanju resursa na mreži. Prepoznavanje imena (name resolution) moguće je putem broadcast i point-to-point načina. Kod broadcast prepoznavanja korisnik traži uslugu na određenoj adresi i šalje upit svim računalima u mreži. Računalo s traženim imenom odgovara slanjem svoje IP adrese što može dovesti do povećanja prometa, ali bez puno problema zbog ograničenja na lokalnu mrežu. Point-to-point uvodi NetBIOS Name Service (NBNS) koji funkcionira na način da čuva informacije o NetBIOS imenu i IP adresi korisnika u svojoj jednostavnoj bazi podataka. Za razliku od broadcasta, ova metoda nije ograničena na lokalnu mrežu s obzirom da korisnici na različitim podmrežama mogu dijeliti isti NBNS server. Kod komunikacije između korisnika šalje se ime NBNS serveru a ako je ime na listi, NBNS šalje nazad IP adresu. Njegova lista imena je gotovo potpuno dinamična i ima malo kontrola za osiguravanje upisa imena pa lako dolazi do konflikata. Ostaje još pretraživanje po listama usluga koje su računala u mreži ponudila. Jedno računalo je odabrano za LMB (Local Master Browser) i dobiva posebno NetBIOS ime koje može stajati u dodatku imena koje već ima. Njegova zadaća je držati listu dostupnih usluga koja se pojavljuje kada kliknemo na Network Neighbourhood ikonu. Najčešće korištene aplikacije su smbclient (prijenos podataka i slanje datoteka udaljenim jedinicama za ispis), nmblookup (za traženje imena u mreži, uzimanje njihovih IP adresa i ispitivanje udaljenih uređaja) i swat (udaljeno konfiguriranje Sambe pomoću web preglednika).(Seminarski rad SMB Samba, Nikola Džida, 2005.)
Domenski kontroler
Domenski kontroler je server za autentifikaciju instaliran na Active Directory (AD).
Domenski kontroler služi za:
Autentifikaciju i autorizaciju korisnika – unutar AD-a čuva bazu podataka sa svim domenskim računima (Domain Accounts Database), ostalim informacijama o korisniku, računalu ili drugom mrežnom resursu. Odgovoran je za kreiranje korisničkih računa i dopuštenja. Centraliziran način administracije gdje je moguće kreirati korisničke račune tako da je moguća prijava na bilo koje računalo u mreži sa omogućenim ili onemogućenim pristupom mrežnim resursima.(Smart d.o.o. 2012.)Flexible Single Master Operations (FSMO) uloge- fleksibilne operacije s jednim glavnim računalom. Postoje tri domenske uloge i dvije Forest-wide uloge. Domenske uloge:
- Primary Domain Controller (PDC) emulator – služi kao server za sinkronizaciju sata u Windows forestu koji je bitan zbog moguće razlike u vremenu između računala, važan je stroj koji mora biti hardverski pouzdan i u mogućnosti podnijeti veća opterećenja. Također služi kao glavno računalo za obradu nepodudarnosti u lozinkama, a sve promjene u lozinkama, korisničkim računima ili Group Policiyu repliciraju se na PDC emlator kako bi se osigurala ispravna replikacija na ostale domenske kontrolere.
- Relative Identity (RID) Master – brine se da uvijek postoji dovoljan broj RID oznaka na način da prati stanje i raspoloživost RID raspona i generira nove RID-ove kako bi se osiguralo da uvijek postoji njihov minimalni potrebni broj. RID se dodjeljuje svakom novom objektu u domeni koji je dio kombinacije SID oznake (domenski SID + jedinstveni RID)
- Infrastructure Master – brine da se objektima sa referencama u više domena ispravno upravlja. Ukoliko ova uloga zakaže može doći do problema s članstvom u grupama, međutim ako postoji samo jedna domena onda ova uloga nema utjecaj.
- Schema Master – smješten je na prvom domenskom kontroleru koji je instaliran u domeni a kod kreiranja novog foresta smješten je u prvu domenu koja se kreira. U forestu može biti samo jedan Schema Master. Prati sve nadogradnje i promjene u shemi koje replicira na ostale domenske kontrolere.
- Domain Naming Master – služi za kontrolu dodavanja ili uklanjanja domena u forestu, glavno računalo za imenovanje domena bez kojeg nije moguće dodavati poddomene u već postojećoj domeni (Sistemac.srce, 2012.)
Forest-wide uloge:
Samba u ulozi domenskog kontrolera
Nakon objašnjenja osnovnih pojmova bitnih za ovaj rad (Debian, Samba i domenski kontroler), može se krenuti u detaljnu razradu instalacije i konfiguracije Sambe, primarno za upotrebu u svrhu kontroliranja računalnih domena. Ona može igrati ulogu domenskog kontrolera na tri načina: kao primarni domenski kontroler (eng.: PDC - Primary Domain Controller), pomoćni domenski kontroler (eng.: BDC - Backup Domain Controller) ili ADS domenski kontroler (eng.: Active Directory Service Domain Controller). U ovom radu će detaljno biti objašnjene prve dvije vrste rada. Kada igra ulogu primarnog domenskog kontrolera, onda služi kao centralno mjesto za autentifikaciju za spoj računala u domenu te se s računala na kojem je ona instalirana i postavljena kao primarni domenski kontroler korisnički podaci propagiraju na sva ostala računala, odnosno poslužitelje koji igraju ulogu pomoćnih domenskih kontrolera. Na pomoćnim domenskim kontrolerima se ne može vršiti izmjena korisničkih podataka za spoj u domenu, oni samo služe za čisto posluživanje na temelju podataka koji su nastali na primarnom domenskom kontroleru. Kada se podaci na primarnom domenskom kontroleru promijene, podaci na pomoćnim domenskim kontrolerima se ažuriraju.
Instalacija Sambe
Instalaciju Sambe moguće je odraditi na više načina. Jedan od načina je da se sa službenih stranica Sambe preuzme izvorni kod najnovije verzije Sambe i zatim uz pomoć prevoditelja iz kompleta "GNU/GCC" (eng.: GNU Compiler Collection) konfigurira, prevede i instalira. Drugi način predstavlja korištenje Debianovog ili nekog drugog repozitorija definiranog u "/etc/apt/sources.list". Ova putanja vrijedi za Debian i ostale distribucije bazirane na njemu. Datoteku "sources.list" koja se nalazi na njoj koristi napredni sustav za upravljanje paketima na Debianovim distribucijama Linuxa "APT" (eng.: Advanced Packaging Tool). Dio sustava "APT" za dohvaćanje, instalaciju i ažuriranje pokreće se naredbom "apt-get". Glavna sintaksa joj je "apt-get opcija". Ova naredba ima više opcija (naznačeno kurzivom), a u ovoj trenutnoj priči najbitnije su opcije "update" i "install". Opcija "update" osvježava ili dodaje indekse paketa na temelju sadržaja datoteke "/etc/apt/sources.list", što znači da se dohvaćaju datoteke u kojima su popisi paketa dostupnih za automatiziranu instalaciju naredbom "apt-get install naziv_paketa", dok opcija "install" dohvaća te instalira željeni paket, ali i sve pakete o kojima željeni paket ovisi. Dakle, unošenjem naredbe "apt-get install samba" u ljusku (eng.: shell) sustav "APT" će automatski iz Debianovog repozitorija na internetu preuzeti i instalirati sve pakete o kojima ovisi Samba i sam paket u kojem je Samba. Treći način za instalaciju Sambe je pomoću naredbe "dpkg opcija naziv_paketa.sufiks" i opcije "--install" ili "-i", gdje je ".sufiks" ekstenzija datoteke paketa. Kod Debianovih distribucija ta ekstenzija će biti ".deb". Prvi i treći način spadaju u kompleksne metode instalacije jer obično svi paketi ovise o nekim drugim paketima pa instalacija na ta dva načina može postati vrlo teška i zamorna. Prednost tih načina je fleksibilnost jer korisnik sam odabire koju točno verziju paketa će preuzeti, a može i instalirati neki od paketa koji se ne nalaze u repozitoriju. Međutim, paketi koji nisu u repozitoriju i označeni kao stabilni (eng.: stable) nisu do kraja istestirani i njihova primjena se ne preporučuje za ozbiljan rad. Zato je instalacija pomoću naredbe "apt-get" najpreporučljivija jer nudi jednostavnost i sigurnost repozitorija (ova sigurnost repozitorija je posebno naglašena kod Debiana i sličnih vrlo stabilnih sustava). Zato će ova metoda biti iskorištena i u ovome radu. Koraci instalacije:
- izvršavanje ažuriranja indeksa paketa naredbom "apt-get update",
- instaliranje Sambinog paketa naredbom "apt-get install samba",
- odgovaranje s "yes",
- čekanje dok ne završi instalacijska procedura.
Nakon uspješnog izvršavanja ovih naredbi Samba je spremna za konfiguraciju i korištenje.
Priprema za konfiguraciju Sambe
U ovom odjeljku biti će prikazana konfiguracija Sambe kroz naredbeno-linijsko sučelje, s time da će veliki naglasak biti na podešavanju primarnog i pomoćnog domenskog kontrolera. Samba je servis koji nudi izuzetno mnogo opcija, bilo u segmentu kontrole pristupa domeni ili u segmentu poslužitelja za dijeljenje datoteka između operativnih sustava "Windows" i onih baziranih na Unixu. Za postupak konfiguracije biti će dovoljan jedan od uređivača teksta na Unixu (Pico, Nano, VI Editor i sl.). U ovom primjeru konfiguracije biti će korišten VI Editor. Za početak konfiguracije treba prijeći iz običnog u administratorski način rada (prijaviti se kao korisnik s maksimalnim ovlastima na Unixu - "root"). Najjednostavnije je iskoristiti naredbu "sudo". Ukoliko paket koji je potreban za tu naredbu nije instaliran na sustavu, potrebno je odjaviti se iz običnog korisničkog moda ili otvoriti novi terminal pritiskom kombinacije tipki Ctrl+Alt+F2 te se prijaviti kao "root", a zatim instalirati paket "sudo" kako bi se moglo što jednostavnije prelaziti iz korisničkog u administrativni način rada i obrnuto:
#... korisnik@Dragon~$logout Debian GNU/Linux 6.0 Dragon tty1 Dragon login:root Password: Linux Dragon 2.6.32-5-686 #1 SMP Sun Sep 23 09:49:36 UTC 2012 i686 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Last login: Fri Jan 18 17:22:27 2013 from 192.168.1.205 root@Dragon:~#apt-get update root@Dragon:~#apt-get install sudo #... root@Dragon:~#logout #Sada se treba ponovno prijaviti kao običan korisnik #... korisnik@Dragon~$sudo -i [sudo] password for korisnik: root@Dragon:~#
Konfiguracija Sambe
Sada je konačno sve savršeno i u potpunosti spremno za konfiguraciju. Na početku konfiguracije primarnog domenskog kontrolera najbolje je započeti kao da se podešava datotečni poslužitelj. Da bi od Sambe uopće bilo neke koristi, mora imati podešene sljedeće parametre:
- workgroup,
- netbios name i
- definirana dijeljenja u uglatim zagradama (npr. [dijeljeno]).
Svaki od definiranih dijeljenih prostora mora imati definiranu putanju, na primjer: path=/mapa/dijeljeno. Sintaksa koja se koristi u glavnoj konfiguracijskoj datoteci Sambe nije ništa novo. Naime, kako stoji u dokumentaciji (Tridgell i sur., 2010):
- Datoteka "smb.conf" koristi istu sintaksu kao razne stare ".ini" datoteke u operativnom sustavu "Windows 3.1": svaka se datoteka sastoji od različitih odjeljaka koji počinju nazivom odjeljka između uglatih zagrada ([]) u novome redu. Svaki sadrži nula ili više parova "ključ/vrijednost" koji su razdvojeni znakom jednakosti (=). Datoteka je obična, čisto-tekstualna pa ju možete otvoriti i uređivati u svojem omiljenom alatu za uređivanje.
- sigurnosni način rada mora biti postavljen na "security=user",
- mora biti uključena podrška za kriptirane lozinke (encrypt passwords=yes),
- potreban je ispravno postavljen "netlogon" dijeljeni prostor,
- Samba treba biti konfigurirana kao "Domain Master Browser" (domain master = yes) i
- opcija za domenske prijave mora biti omogućena (domain logons = yes.
Sigurnosni način rada definira koji način autentifikacije će poslužitelj zahtijevati od klijenata koji se pridružuju njegovoj domeni i spajaju na njega. Kao što Carter kaže, odabrani sigurnosni način rada neće izravno utjecati na sigurnosnu politiku koju provodi poslužitelj. Jedini posao poslužitelja je da specificira što klijent smije napraviti, što je dostupno, a što nije itd. Naravno, po potrebi mora moći odbiti zahtjev za pristup resursima koji nije ovlašten. Postavka security = user označava najjednostavniji, takozvani korisnički način autentifikacije u kojem klijentsko računalo šalje poslužitelju zahtjev za otvaranje sesije odmah nakon prve faze komunikacije definirane SMB/CIFS protokolom (prema njemu funkcioniraju računalne mreže bazirane na Windows sustavima). Zahtjev za otvaranje sesije uključuje korisničko ime i lozinku na temelju kojih poslužitelj može prihvatiti ili odbiti zahtjev.
Ovdje poslužitelj ni u kojem slučaju ne može znati kojim resursima će korisnik pristupati i zato odbijanje zahtjeva ne može temeljiti na ničemu drugome osim na korisničkom imenu i lozinci ili imenu klijentskog računala (Tridgell i sur., 2010). U slučaju prihvaćanja korisničkog imena i lozinke, korisnik na svoje računalo može povezivati dijeljene prostore bez ponovnog unošenja istih podataka jer je sve već bilo definirano u fazi otvaranja sesije. Sustavi Windows iz NT obitelji imaju korisnička imena koja su neosjetljiva na kurentna i verzalna slova. Kao što je već spomenuto, korisnička razina sigurnosti definira se direktivom security = user unutar glavne Sambine konfiguracijske datoteke "smb.conf".
Osim upravo navedene korisničke razine postoji još i razina dijeljenog prostora (eng.: "Share-Level Security"). Prema dokumentaciji (Tridgell i sur. 2007), kod te razine klijenti se autentificiraju za svaki dijeljeni prostor posebno na način da se eksplicitno šalje samo lozinka, a na poslužitelju ostaje da zaključi koje korisničko ime klijent pokušava upotrijebiti, međutim Samba ovdje radi iznimku u smislu da su uvijek potrebni korisničko ime i lozinka za pristup dijeljenom prostoru. Opcija "encrypted passwords" označava koristi li poslužitelj kriptirane lozinke u svojoj datoteci s lozinkama za Sambine korisničke račune. Dijeljeni prostor "netlogon" definira se kao prostor koji klijenti mogu samo čitati kako bi mogli pristupiti svojim podacima važnim za prijavu i postavke.
Tamo se nalaze i skripte koje je potrebno pokrenuti kada se korisnik prijavi na svoju račun. Postavka domain master omogućuje konfiguraciju Sambe kao glavnog imenika za trenutnu mrežu ili podmrežu (važno u slučaju da se domena "prostire" preko više mreža), dok domain logons omogućuje uključivanje mogućnosti domenskog kontrolera općenito, bilo da se radi o primarnom ili pomoćnom domenskom kontroleru, domain logons mora biti postavljen na "yes" ukoliko je potrebna funkcija domenskog kontrolera. Pod pojmom imenika za trenutnu mrežu podrazumijeva se skup informacija o računalima unutar podmreže (računalo u ulozi "domain master" vrlo često je i u ulozi primarnog domenskog kontrolera, iako to ne mora nužno biti tako). Uključivanje te direktive će uzrokovati aktiviranje NMBD servisa na poslužitelju koji će odgovoriti na emitirajuće (eng.: broadcast) poruke zahtjeva za određivanjem IP adrese pripadajućeg Netbios naziva. Ako će računalo biti pomoćni domenski kontroler, na njemu ta postavka mora imati vrijednost "no". Na sljedećem primjeru je prikazana minimalna konfiguracija Sambe za funkciju primarnog domenskog kontrolera (Carter, 2007) - primjer je specijalno preuređen za potrebe testnog sustava baziranog na Debianu:
[global] netbios name = DRAGON workgroup = DOMA security = user encrypt passwords = yes domain master = yes domain logons = yes os level = 64 preferred master = yes local master = yes [public] path = /data/public read only = no [netlogon] comment = Net Logon service path = /srv/samba/netlogon read only = yes write list = +ntadmin
Potrebno je objasniti još nekoliko novih parametara. Parametar os level predstavlja prioritet koji se koristi pri "izborima" za primarni domenski kontroler te je važno da na onom poslužitelju za kojeg želimo da bude primarni domenski kontroler taj prioritet bude više od onih prioriteta na ostalim poslužiteljima da ne dođe do kolizija (Red Hat Enterprise Linux Reference, Guide, 2013). Postavke local master i preferred master naznačuju treba li računalo biti preferirani domenski kontroler, odnosno lokalni domenski kontroler za trenutnu mrežu/podmrežu. Postavka path predstavlja putanju do dijeljenog prostora na računalu, dok direktiva read only specificira hoće li dijeljeni prostor biti samo za čitanje. Dijeljeni prostor "netlogon" koristi se za postavljanje skripti koje se trebaju izvršiti pri prijavi korisnika na domenski kontroler te podataka Svim korisnicima koji ne spadaju u grupu administratora mora biti dozvoljeno samo čitanje (zato u postavkama stoji "read only=yes"). Svi korisnici koji pripadaju grupi "ntadmin" imaju pravo zapisivanja sadržaja u dijeljeni prostor "netlogon". Nakon završetka konfiguracije potrebno je ponovno pokrenuti Sambu naredbom "/etc/init.d/samba restart".
Sada je potrebno izvršiti naredbe kojima će se konfigurirati automatsko dodavanje domenske grupe lokalnoj administratorskoj grupi na računalu koje se spaja u domenu s jedinstvenim identifikatorom "512" (RID). "Domain Admins" je posebna grupa u Windows domenama čiji identifikator je uvijek isti (512). U nastavku konfiguracije potrebno je napraviti elevaciju i prijaviti se kao "root":
root@Dragon~#net getlocalsid DOMA SID for domain DOMA is: S-1-5-21-1164989110-3658857341-1214683894
Sada treba osigurati da prije navedena grupa "ntadmin" postoji. To se može jednostavno napraviti sljedećom naredbom:
root@Dragon~#groupadd ntadmin
U slučaju da grupa već postoji sustav će javiti da je grupa već prije bila stvorena, a u protivnom će ju stvoriti. Napomenimo da se ova grupa može zvati bilo kako, međutim najzgodnije je nazvati ju u asocijaciji s vrstom domene s kojom se radi. Ovdje se radi o Windows NT domenama pa je zato to nekako najprikladniji naziv. (Carter i sur.) u knjizi o uporabi Sambe također koriste isti naziv grupe. Dakle, sada kada je osigurano da grupa "ntadmin" postoji, može se izvršiti sljedeća naredba u ljusci:
net groupmap add sid=S-1-5-21-1164989110-3658857341-1214683894-512 \ntgroup="Domain Admins" unixgroup=ntadmin
Sljedeća stvar koju je potrebno napraviti je ovlastiti određeni korisnički račun da može računalo dodati u domenu. U primjeru se korisniku "luka" daju ovlasti da računalo s odgovarajućom lozinkom može povezati u domenu:
root@Dragon~#net groupadd srvadmin root@Dragon~#net groupmap add unixgroup=srvadmin ntgroup="Server Admins" root@Dragon~#net rpc rights grant 'DOMA\Server Admins' SeMachineAccountPrivilege \ -S dragon -U luka Password: <enter luka's password> Successfully granted rights.
Svi Sambini korisnici moraju imati korisnički račun na Unixu. Proces stvaranja korisničkog računa na Unixu pri spajanju u domenu moguće je automatizirati skriptom. U konfiguracijskoj datoteci /etc/samba/smb.conf to se može definirati na sljedeći način:
add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
Nakon toga potrebno je ponovno pokrenuti Sambu naredbom "/etc/init.d/samba restart". Sada je moguće spojiti se u domenu s nekog računala baziranog na Windows sustavu. Otvoriti "Control Panel", zatim otići na "System" pa "Computer Name".
Nakon toga treba umjesto "WORKGROUP" odabrati "Domain" te upisati naziv domene, u testiranom primjeru je to "DOMA". Nakon toga kliknuti i "OK" i pričekati da sustav zatraži korisničko ime i lozinku.
Kada sustav zatraži lozinku, unijeti ono korisničko ime i lozinku za koje je unutar Unix ljuske postavljena autorizacija za spajanje u domenu.
Završni korak nakon unosas korisničkog imena i lozinke sastoji se od klikanja na "OK" i ponovnog pokretanja računala.
Nakon ponovnog pokretanja računala svaki korisnik ima svoje personalizirane postavke (izgled radne površine, raspored opcija i mogućnosti u skladu s postavljenim dozvolama).
Slike 2.3.1-2.3.7 prikazuju postupak spajanja Windows XP računala u domenu "DOMA".
Zaključak
Domenski kontroleri u velikoj mjeri pojednostavljuju upravljanje velikim mrežama jer centraliziraju presudne korisničke informacije za prijavu, osnovne postavke i slično. Samba je jedan fantastičan servis koji omogućuje dijeljenje datoteka između Windows i Unix računala, ali i emuliranje Windows NT domene. Verzija Sambe iskorištena za ovaj rad je 3.5.6 jer je to u trenutku testiranja bila stabilna verzija na Debianovom repozitoriju. Primjenom Sambe kao domenskog kontrolera moguće je napraviti i sustav domenskih kontrolera gdje jedno računalo igra ulogu primarnog domenskog kontrolera (Samba), a druga računala su pomoćni domenski kontroleri koji preuzimaju informacije s primarnog domenskog kontrolera i skidaju s njega teret. Također, Samba omogućuje izvođenje ".CMD" skripti pri svakoj prijavi korisnika. Tako je moguće kontrolirati koje informacije će korisniku biti dostupne, koje postavke će moći koristiti i slično. Samba kao domenski kontroler je idealna za mreže koje se sastoje od mješovitih računala: onih baziranih na Unixu i onih baziranih na operativnom sustavu Windows: vrlo dobro se razvija (stigla je čak do verzije 4.01 koja podržava stvaranje čak i Windows NT 6.0 domena) te osim kao primarni i pomoćni domenski kontroler može raditi i kao AD domenski kontroler (Active Directory Domain Controller). Ovaj rad je ukratko prikazao osnovnu konfiguraciju Sambe kao domenskog kontrolera, no Samba prihvaća iznimno puno opcija te složenija konfiguracija za veće sustave može biti veoma složena. Međutim, ekipa zadužena za njen razvoj je izradila detaljnu dokumentaciju na službenim stranicama, a i podrška na internetskim zajednicama je dosta raširena. Sve u svemu, Samba kao domenski kontroler predstavlja zanimljivu alternativu Microsoftovoj Windows domeni.
Literatura
- Carter, G., Ts, J., Eckstein, R. Using Samba. (2007). O'Reilly Media, Inc. Sebastopol.
- Džida, N. SMB Samba - seminarski rad. (2005). Posjećeno 21.12.2012. <http://spvp.zesoi.fer.hr/seminari/2005/DzidaNikola_SMB-Samba.pdf>
- Nuwan4u.wordpress. Posjećeno 20.1.2013. http://nuwan4u.wordpress.com/2011/10/30/rename-windows-server-20082003-domain-controller-name/
- Radić, D. Informatička abeceda. Posjećeno 20.12.2012. <http://www.informatika.buzdo.com/s772.htm>
- Samba.org. What is Samba?. Posjećeno 21.12.2012. <http://www.samba.org/samba/what_is_samba.html>
- Smart d.o.o. Posjećeno 23.12.2012. <http://www.smart.rs/Start/Usluge/Impl/CoreInfrastructureOptimization/Stranice/ActiveDirectoryDizajn.aspx>
- Sveučilišni računski centar. Sistemac. Posjećeno 21.12.2012. <http://sistemac.srce.unizg.hr/index.php?id=35&no_cache=1&tx_ttnews%5Btt_news%5D=619>
- Sveučilišni računski centar. Sistemac. Posjećeno 23.12.2012. <http://sistemac.srce.unizg.hr/index.php?id=35&no_cache=1&tx_ttnews%5Btt_news%5D=233>
- Tridgell, A., Vernooij, Jelmer R., Terpstra, John J. Samba Man Pages - Server Types and Security Modes. Posjećeno 20.01.2013. <http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html>
- Wiki. (2012) Posjećeno 21.12.2012. <http://wiki.open.hr/wiki/Debian_za_kućne_korisnike>
- Zubčić, M., Sedak, R. Samba kao PDC. str. 4. Posjećeno 21.12.2012. <http://jednostavno.linux.hr/pdf.radionice/Samba-PDC-LDAP.pdf>