Практическая работа № 18 ОРГАНИЗАЦИЯ ФАЙЛОВОГО СЕРВЕРА МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE

реклама
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Практическая работа № 18
ОРГАНИЗАЦИЯ ФАЙЛОВОГО СЕРВЕРА
Цель: освоить правила создания файлового сервера, интегрированного с
доменом Windows, при помощи пакета Samba.
Задание
1. Изучить назначение пакета Samba и порядок
установки rpm-пакетов на примере пакета krb-5
workstation.
2. Сконфигурировать службы smb и winbind.
3. Зарегистрировать файловый сервер на машине
Linux в домене Windows.
Технология выполнения
Пакет Samba
Пакет Samba создан для поддержки сети Microsoft и эмулирует работу
файлового сервера Windows. Минимально пакет составляют две службы: служба
smb (Sever Message Block – блок серверных сообщений) и служба winbind,
которая позволяет брать учетные записи с контроллера домена Windows.
Active Directory базируется на протоколе авторизации Kerberos, при котором
имя пользователя и пароль не передаются по сети, а используется механизм так
называемых билетов, выдаваемых сервером на определенное время. Получив
билет, машина, входящая в домен, может авторизоваться на других машинах
домена без участия сервера.
Для использования при входе в сеть (с машины под управлением Linux)
учетных записей, хранящихся на контроллере домена под управлением
Windows 2000 Server, используется протокол Kerberos версии 5. Для Linux
разработаны два новых пакета, поддерживающих работу этого протокола.
Находятся они на инсталляционном диске №3 Linux-ASP: krb-5 workstation –
для клиентской машины Linux, krb-5 server – для сервера Linux, являющегося
контроллером домена. При инсталляции Linux они не были установлены.
Инсталляция дополнительных пакетов выполняется командой rpm – ivh
имя_пакета, где ключ – i означает режим инсталляции, а – vh позволяют
отражать на экране вспомогательную информацию (не обязательно).
Команда rpm –e имя_пакета позволяет удалить пакет из системы, rpm –q –a
позволяет получить список всех инсталлированных пакетов. Подробная справка о
работе с пакетами: man rpm.
Конфигурирование служб smb и winbind
1. Войти в систему пользователем root и установить с инсталляционного диска
№3 пакет krb-5 workstation (предварительно подмонтировав диск; в
Midnight Commander копирование выделенного имени файла в командную
1
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
строку выполняется нажатием Alt + Enter). Выполнить обновление базы
данных пакетов командой updatedb.
2. Синхронизировать системное время основной операционной системы и
гостевой при помощи команды date MMDDhhmmYY (месяц, день, час,
минуты, год – например, date 0518102504). Команда date без параметров
выводит текущую дату и время.
3. Внести исправления в следующие конфигурационные файлы: /etc/krb5.
conf, /etc/nsswich.conf и /etc/samba/smb.conf
Образец изменений в конфигурационном файле /etc/krb5.conf для
домена Ivanov.ibi
(сформировать только указанные строки, а остальные строки из файла удалить
или закомментировать символом # или ;)
[realms]
IVANOV.IBI = {
kdc = server - ivanov.ivanov.ibi
}
Где прописными буквами указывается полное имя домена, а строчными
буквами
- имя или IP-адрес KDC (Kerberos Domain Controller), который находиться на
контроллере домена.
Изменения в конфигурационном файле
/etc/nsswicth.conf
(только дописать в двух строчках параметр winbind)
passwd: files winbind
shadow: files
group: files winbind
Образец обязательных изменений в конфигурационном файле
/etc/samba/smb.conf
(проверить, чтобы у откорректированных строк
были сняты символы ремарки # или ;)
18 workgroup = Ivanov
–
имя
рабочей
(как в сетевом окружении Windows)
21 server string = Linux
– всплывающая надпись возле машины Linux в
сети Windows
28 hosts allow = 10.0.13. –
127.
из
список
сетей
(через
которых
разрешен
группы
пробел),
доступ
2
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
к машине Linux
–
идентификация
пользователей
выполняется службой Active Directory
53 security = ADS
55 password
10.0.13.1
server
=
– IP -адрес контроллера домена
65 encrypt passwords =
– шифровать пароли
yes
Дописать следующие строки:
realm
IVANOV.IBI
=
unix charset
UTF-8
= кодировки кириллицы
dos charset
CP866
=
– имя домена (ПРОПИСНЫМИ БУКВАМИ)
display charset =
CP1251
winbind uid
10000-20000
= –
диапазон
номеров
локальных
который
будет
использован
для
создания пользователей домена.
winbind gid
10000-20000
= – диапазон номеров локальных групп пользователей,
который
будет
использован
для
динамического
создания групп пользователей домена.
winbind
separator=+
winbind
time = 10
пользователей,
динамического
– символ-разделитель, используемый для составления
доменных имен пользователей и располагающийся
между именем домена и именем пользователя.
cache – интервал времени (в секундах) между запросами
winbind к PDC в целях синхронизации списков
пользователей и групп.
template homedir – шаблон имени домашних каталогов доменных
= /home/%U
пользователей,
автоматически
присваиваемых
каждому пользователю.
template shell = –
командный
интерпретатор,
назначаемый
по
/bin/bash
умолчанию для пользователей, авторизованных через
winbind.
#===============
=======================
[ public ]
path
/tmp/samba
Share
Definitions
– сетевое имя каталога, доступного из сети Windows;
= – полное локальное имя каталога, который должен
быть создан и иметь права 777
3
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
public = yes
writable = yes
4. Создать каталог общего доступа по сети / tmp / samba и задать на него
права 777.
5. Проверить корректность конфигурационных файлов командой testparm и
устранить выявленные ошибки.
Регистрация файлового сервера Linux в домене Windows
6. На контроллере домена (под управлением Windows Server) создать учетную
запись пользователя adm (с паролем 123) и включить его в группу
администраторы домена.
7. Зарегистрировать машину под управлением Linux в домене командой: net
ads join –U adm и проверить наличие ее в домене (Пуск–Программы–
Администрирование–Active
Directory-пользователи
и
компьютеры
–
Computers).
8. С помощью конфигуратора setup в параметрах загрузки системы (System
services) включить (пробелом) службы smb и winbind – теперь эти службы
будут автоматически запускаться при перезагрузках системы.
9. Запустить службы командами service smb start и service winbind start
или перезагрузить систему командой reboot.
10.
Проверить в сети Windows наличие машины с именем linux и
доступность ее общих ресурсов пользователям домена (с сервера и с
виртуальной машины Windows).
В Active Directory авторизация производится не по имени и паролю, а c
помощью билетов протокола Kerberos. Билеты Kerberos даются на определенное
время (обычно на сутки, но это зависит от настроек сервера). Поэтому их нужно
периодически обновлять с помощью команды kinit: kinit username@REALM, где
username – имя пользователя в Actiev Directory домена REALM.
Так что, если клиент службы smb (smbclient) вдруг перестает подключаться к
доменным ресурсам, попробуйте обновить билет – скорее всего, дело именно в
этом.
При работе с виртуальными машинами возможно расхождение системного
времени с контроллером домена. Синхронизацию времени с windows-сервером
можно выполнить при помощи команды net time.
Организация доступа Linux к ресурсам домена Windows
Для работы из ОС Linux с компьютерами, зарегистрированными в Active
Directory, не требуется указывать имя пользователя и пароль.
Выполните следующую команду:
smbclient -k -L <имя компьютера в домене>
Вы должны получить список доступных ресурсов, при этом smbclient не
должен запрашивать имя пользователя и пароль.
4
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Монтирование сетевых ресурсов на машине под управлением Linux:
mount –t smbfs –o,
username=имя_пользователя,password=пароль,iocharset=cp1251,
codepage=cp866,rw //сетевой_ресурс /mnt/точка_монтирования.
Подмонтировать сетевые папки, размещенные на сервере и на клиентской
машине Windows, результат предъявить преподавателю.
Задание на самостоятельную работу
Исследовать возможности управления службой smb в графическом режиме
работы ОС Linux (рис. 18.1).
Рис. 18.1. Графический конфигуратор службы smb в среде Gnom
При помощи графического конфигуратора создать новый ресурс на файловом
сервере Linux и проверить его доступность в сети Windows.
5
Скачать