>
>>>
>>Шару [netlogon] сделал? Учетные записи НТ-машин сделал? Читайте доки...
>
>
>[netlogon]
> comment = netlogon service
>
> path = /
^^^^^^^^^^^^^^^^^^^^^^ - это как понимать? корневая файловая система используется как netlogon-ресурс?
>
>Ято такое учётные записи НТ и где их создовать? Если можно поподробнее.
>
Машинная учетная запись - это учетная запись Samba-пользователя, принадлежащая машине. Пароль этой учетной записи служит ключом для защищенного соединения с Контроллером Домена. Это служит для предотвращения несанкционированного присоединения к домену машин с именем NetBIOS, уже зарегестрированным в домене, и получения доступа к учетным записям групп/пользователей. Следовательно, машина с Windows 9x никогда не будет действительным членом домена, так как не имеет машинной учетной записи и, следовательно, не имеет защищенного соединения с Контроллером Домена.
В случае основного контроллера домена Windows NT, пароли машинных учетных записей хранятся в реестре. В случае основного контроллера домена Samba, эти пароли хранятся вместе с паролями пользователей Samba как хэши паролей LanMan и NT (в файле smbpasswd). Разумеется, машинная учетная запись имеет и использует только хэш паролей NT.
Так как Samba требует наличия у машинной учетной записи наличия UNIX uid, из которго может быть создан код безопасности Windows NT SID , каждая из этих учетных записей должна иметь соответствующую запись в /etc/passwd и smbpasswd. В будущих версиях предполагается, что запись в /etc/passwd не будет столь необходима.
Существует два способа создания машинных учетных записей.
Создание учетной записи вручную перед присоединением клиента к домену. В этом случае, паролем учетной записи будет NetBIOS имя машины в нижнем регистре.
Создание учетной записи во время присоединения клиента к домену. В этом случае, ключ сессии учетной записи с правами Администратора Домена используется как ключ шифрования для создания случайного пароля машинной учетной записи (рекомендуемый метод).
Создание машинной учетной записи вручную
Первый шаг в создании машинной учетной записи вручную - создание соответствующей записи в /etc/passwd. Это может быть сделано с помощью vipw или любой команды 'добавь пользователя' , которая обычно используется для создания новых учетных записей UNIX. Ниже приведен Linux-вариант команды:
root# /usr/sbin/useradd -g 100 -d /dev/null -c "machine nickname" -s /bin/false machine_name$
root# passwd -l machine_name$
В результате в /etc/passwd будет создана запись с именем машины с добавленным знаком $ в конце, без пароля, без командного процессора и без домашнего каталога. Например, для машины с именем 'doppy' запись в /etc/passwd будет выглядеть примерно так:
doppy$:x:505:501:machine_nickname:/dev/null:/bin/false
Здесь machine_nickname может быть любым описательным именем машины, например BasementComputer. machine_name должно быть абсолютно точным NetBIOS именем машины, которая будет присоединена к домену. Знак "$" должен быть обязательно добавлен, иначе Samba примет эту учетную запись за обычную пользовательскую.
Теперь, когда создана учетная запись UNIX, следующим шагом будет создание машинной записи в smbpasswd с известным паролем. Это может быть сделано с помощью команды smbpasswd(8) , как показано ниже:
root# smbpasswd -a -m machine_name
где machine_name - NetBIOS имя машины.
Создание машинных учетных записей "на лету"
Вторым и самым рекомендуемым методом создания машинных учетных записей является метод создания записей во время присоединения клиента к домену. Для этого вам понадобится настроить параметр smb.conf add user script . Ниже приведен вариант для Linux RedHat 6.2 .
add user script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u
В Samba 2.2.1, только учетная запись root может быть использована для создания машинных учетных записей. Следовательно, необходимо в smbpasswd создать запись для root. root'овые пароли UNIX и Samba должны различаться по соображениям безопасности.
Взято из http://www.opennet.me/docs/RUS/samba_pdc_howto/index.html
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
16-Авг-02, 15:18 (MSK)
