03.04.2014 Views

Май - Xakep Online

Май - Xakep Online

Май - Xakep Online

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

ХАКЕР.PRO<br />

на. Его рекомендуется указывать при сопоставлении<br />

пользователей. Чтобы управлять доменом,<br />

нам нужно сопоставить группу Linux c Domain<br />

Admins. Можно использовать уже имеющиеся<br />

группы, или создать специальную для работы в<br />

домене, чтобы затем было легче разобраться:<br />

$ sudo groupadd domain_admins<br />

$ sudo net groupmap modify<br />

ntgroup="Domain Admins"<br />

unixgroup=domain_admins<br />

Можно и так:<br />

$ sudo net groupmap add sid=S-<br />

1-5-21-497369389-3960344947-<br />

4188168368-512 unixgroup=domain_<br />

admins type=domain<br />

Аналогичные команды вводим при сопоставлении<br />

других пользователей, только<br />

включаем их в Domain Users. Кстати,<br />

Windows не допустит, чтобы имя пользователя<br />

совпадало с именем группы. Можно<br />

сопоставить нескольких пользователей<br />

Windows с одним пользователем Linux, для<br />

этого создается файл /etc/smbusers.map.<br />

В нем отдельной строкой задается каждое<br />

сопоставление:<br />

пользователь_ Linux = user_win1<br />

user_win2 user_winN<br />

А в секции global добавь строку «username map<br />

= /etc/smbusers.map». Команда для создания<br />

новой доменной группы практически<br />

аналогична:<br />

$ sudo net groupmap add<br />

ntgroup="Sales" unixgroup=domain_<br />

sales type=d<br />

Параметр type определяет тип группы и может<br />

принимать два значения: d (domain global) и l<br />

(domain local). Для удаления доменной группы<br />

вводим «net groupmap delete» с указанием<br />

названия группы.<br />

При использовании Samba (в отличие от<br />

Windows 2003) компьютеры также следует<br />

заносить вручную. Для этого стоит создать еще<br />

одну группу (например, domain_computers),<br />

пользователи, входящие в которую, и будут<br />

компьютерами:<br />

$ sudo groupadd domain_computers<br />

$ sudo useradd -G domain_computers<br />

-s /bin/false -d /dev/null comp1$<br />

$ sudo passwd -l comp1$<br />

$ sudo smbpasswd -a -m comp1<br />

При добавлении системного пользователя значок<br />

«$» в конце имени обязателен. Добавляем<br />

пользователя sergej в группу Domain Admins и<br />

проверяем:<br />

$ sudo net rpc group members<br />

"Domain Admins" -U sergej%password<br />

Теперь добавляем компьютер в домен:<br />

$ sudo net rpc join -<br />

Usergej%password<br />

Проверить подключение можно командой<br />

net rpc testjoin. Итак, пользователи созданы.<br />

По умолчанию группа Domain Admins<br />

имеет права только на раздачу привилегий.<br />

Список всех предоставленных привилегий<br />

можно просмотреть командой:<br />

$ sudo net rpc rights list accounts<br />

-U sergej%password<br />

А список возможных привилегий так:<br />

$ sudo net rpc rights list -U<br />

sergej%password<br />

SeMachineAccountPrivilege Add<br />

machines to domain<br />

SePrintOperatorPrivilege Manage<br />

printers<br />

SeAddUsersPrivilege Add users and<br />

groups to the domain<br />

SeRemoteShutdownPrivilege Force<br />

shutdown from a remote system<br />

SeDiskOperatorPrivilege Manage<br />

disk shares<br />

SeBackupPrivilege Back up files<br />

and directories<br />

SeRestorePrivilege Restore files<br />

and directories<br />

SeTakeOwnershipPrivilege Take<br />

ownership of files or other objects<br />

Чтобы иметь возможность полноценно работать,<br />

сначала нужно даровать самим себе все права:<br />

$ sudo net rpc rights grant<br />

"server.com\Domain Admins"<br />

SeMachineAccountPrivilege<br />

SePrintOperatorPrivilege<br />

SeAddUsersPrivilege SeRemoteShutdow<br />

nPrivilege SeDiskOperatorPrivilege<br />

SeBackupPrivilege<br />

SeRestorePrivilege<br />

SeTakeOwnershipPrivilege -U<br />

sergej%password<br />

Successfully granted rights.<br />

Вот, собственно, и все. Теперь у нас есть контроллер<br />

домена под управлением Linux, пользователи,<br />

обладающие необходимыми правами, и доступные<br />

сетевые ресурсы. Стоит также отметить,<br />

что имеются графические инструменты, позволяющие<br />

упростить настройку Samba. Это SWAT,<br />

входящий в состав Samba (требуется установить<br />

пакет swat), и универсальный Webmin. Последний,<br />

кроме контроля и основных настроек, имеет<br />

еще ряд полезных возможностей, например автоматическое<br />

конвертирование пользователей и<br />

групп Linux в Windows. Успехов. z<br />

Переменные в Samba<br />

В секции global возможно использование<br />

различных переменных для более гибкой<br />

настройки работы сервера. После установки<br />

соединения вместо них подставляются<br />

реальные значения. Например, в директиве<br />

«log file = /var/log/samba/%m.log» параметр<br />

%m помогает определить отдельный<br />

лог-файл для каждой клиентской машины.<br />

Приведу наиболее часто используемые переменные<br />

секции global:<br />

%a — архитектура ОС на клиентской машине<br />

(возможные значения: Win95, Win NT,<br />

UNKNOWN и т.д.);<br />

%m — NetBIOS-имя компьютера клиента;<br />

%L — NetBIOS-имя сервера Samba;<br />

%v — версия Samba;<br />

%I — IP-адрес компьютера клиента;<br />

%T — дата и время;<br />

%u — имя пользователя, использующего<br />

сервис;<br />

%H — домашняя директория<br />

пользователя %u.<br />

Для более гибкой настройки применяется<br />

директива include, использующая приведенные<br />

выше переменные. Например, «include<br />

= /etc/samba/smb.conf.%m» — теперь при<br />

запросе с компьютера sales при наличии файла<br />

/etc/samba/smb.conf.sales конфигурация<br />

будет взята из этого файла.<br />

Также имеется интересная возможность<br />

создания виртуального сервера. Для этого<br />

используется параметр netbios aliases:<br />

netbios aliases = sales accounting admin<br />

Также указываем серверу использовать для<br />

каждого виртуального сервера свой конфигурационный<br />

файл:<br />

include = /etc/samba/smb.conf.%L<br />

Теперь в окне обозревателя сети будет видны<br />

три сервера: sales, accounting, admin.<br />

xàêåð 05 /101/ 07<br />

/<br />

153

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!