Построй свой домен

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #051, стр. 051-040-2

Зайди в директорию /etc/samba и открой файл smb.conf. В самом начале ты увидишь главную секцию [Global]. В ней описываются важные параметры, от которых зависит работа демона. Первые две директивы называются workgroup и netbios name соответственно. Значение workgroup определяет название домена. Можешь не заморачиваться с выбором имени – обзови домен легко запоминающимся словом (названием твоей фирмы, например). Параметр netbios name отвечает за имя PDC в домене. К примеру, если ты определишь эту директиву как server, то клиенты смогут использовать расшаренные ресурсы и подключать сетевые диски обращаясь к пути "\\server".

Далее идет параметр server string. Это не что иное, как описание сервера. Пользы от введения этой директивы мало, однако комментарий может облегчить жизнь твоим некомпетентным коллегам. В этом случае описание "Самые нужные программы и документы" является наиболее правильным :). Хотя решать, как говорится, тебе.

После определения имен и описаний, ты наткнешься на ряд параметров, которые нужны для организации журналирования и безопасности. Для правильного логгинга имеются опции log file, log level и max log size. При первоначальной настройке и обкатке PDC оставь название лога в виде /var/log/samba/smbd.%m. В этом случае ты всегда можешь разобраться в проблеме, если какая-то машина не захочет входить в сетевой домен. Размер лога определяет максимальный объем журнала (в килобайтах). Если обнулить значение этой директивы, размер контролироваться не будет. log level определяет уровень логирования. Чем он выше – тем больше информации запишется в журнал. Значение 5 является оптимальным. Ставить его выше рекомендуется лишь в том случае, если возникают какие-то проблемы. Впрочем, не каждый администратор разберется в записях, сделанных при высоком уровне логирования. Следующая порция опций - hosts allow, security, encrypt passwords, smb passwd file, null passwords и pam password change. Первая директива определяет список хостов, с которых разрешено логиниться в домен. Разумнее всего внести в него диапазон IP-адресов твоей локальной сети. Параметр Security определяет назначение сервера PDC. Если ты задашь его значение строкой user, это будет означать, что все доменные аккаунты находятся на этом же сервере. Обязательно включи encrypt passwords, иначе все пароли будут передаваться открытым текстом, что очень небезопасно. Null passwords разумнее всего отключить из соображений безопасности (если, конечно, сотрудники не пользуются общей учетной записью без заданного пароля). И, наконец, последний параметр в моем списке определяет возможность смены пароля. Если его значение равно yes, то любой желающий сможет изменить пароль нажатием <CTRL>+<ALT>+<DEL> на клиентской машине.

Все параметры, оканчивающиеся на *master, должны иметь значение yes. Именно они указывают Samba, чтобы она выступала в роли главного контроллера домена. Включи также директивы wins support, domain logons и nt acl support. Первая опция заставляет smbd резолвить netbios-имена, а последняя реализует копирование UNIX-прав на клиентскую машину.