Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00032 006272 21297450 na godz. na dobę w sumie
Samba 4. Przewodnik administratora - ebook/pdf
Samba 4. Przewodnik administratora - ebook/pdf
Autor: Liczba stron: 248
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-9823-3 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> konfiguracja sieci
Porównaj ceny (książka, ebook (-25%), audiobook).

Usługi katalogowe na Twoje zawołanie!

Usługa Active Directory jest implementacją protokołu LDAP i została wprowadzona na rynek wraz z premierą systemu Windows 2000. Stanowi ona kluczowy element organizacji usług w firmach. Dzięki niej można przechowywać informacje o komputerach, użytkownikach i innych urządzeniach w ramach organizacji. Jednym z kluczowych zadań Active Directory jest uwierzytelnianie elementów podłączonych do domeny. Jeżeli chcesz wdrożyć w Twojej firmie usługę Active Directory, możesz wykorzystać płatne rozwiązania giganta z Redmond lub pokusić się o wdrożenie darmowej alternatywy.

Samba doskonale sprawdza się w roli kontrolera domeny. W trakcie lektury tej książki zdobędziesz dogłębną wiedzę na temat jej stosowania. Na samym początku odkryjesz, jak zainstalować serwer Samba 4 oraz nim zarządzać. Z kolejnych rozdziałów dowiesz się, jak zastąpić istniejący kontroler domeny współpracujący z systemem Windows przez system z Sambą 4. Ponadto w tej wspaniałej książce znajdziesz szczegółowe informacje na temat aktualizacji Samby, rozbudowy schematu Active Directory oraz implementacji rozproszonego serwera plików o wysokiej dostępności. Książka ta jest obowiązkową lekturą dla administratorów i pasjonatów, chcących wdrożyć usługę Active Directory z użyciem darmowych rozwiązań.

Dzięki tej książce:

Poznaj potencjał serwera Samba!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Implementing Samba 4 Tłumaczenie: Robert Górczyński ISBN: 978-83-246-9820-2 Copyright © Packt Publishing 2014. First published in the English language under the title „Implementing Samba 4”. Polish edition copyright © 2014 by Helion S.A. All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/sam4pa Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Pliki z przykładami omawianymi w książce można znaleźć pod adresem: ftp://ftp.helion.pl/przyklady/sam4pa.zip Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis tre(cid:258)ci Przedmowa O autorze Podzi(cid:218)kowania O recenzentach Wprowadzenie Rozdzia(cid:239) 1. Instalacja serwera Samba 4 Instalacja dystrybucji Debian 7 (Wheezy) Instalacja i konfiguracja zale(cid:285)no(cid:258)ci serwera Samba 4 Instalacja serwera Samba 4 krok po kroku Podstawowa weryfikacja instalacji Samby Podsumowanie Rozdzia(cid:239) 2. U(cid:285)ycie Samby 4 jako kontrolera domeny us(cid:239)ugi Active Directory Wa(cid:285)ne kwestie konieczne do uwzgl(cid:218)dnienia podczas planowania us(cid:239)ugi Active Directory Informacje niezb(cid:218)dne do wdro(cid:285)enia us(cid:239)ugi Active Directory Dost(cid:218)pno(cid:258)(cid:202), wydajno(cid:258)(cid:202) i replikacja us(cid:239)ugi sieciowej Konfiguracja Samby 4 jako kontrolera domeny us(cid:239)ug katalogowych Weryfikacja konfiguracji Samby 4 Podsumowanie 7 9 10 11 13 17 18 20 25 26 27 29 30 34 35 36 40 56 Rozdzia(cid:239) 3. Zarz(cid:200)dzanie serwerem Samba us(cid:239)ugi Active Directory 57 Mo(cid:285)liwe role serwera Samba 4 w sieci 58 Implementacja uwierzytelniania i autoryzacji us(cid:239)ugi Active Directory w systemie GNU/Linux 59 62 Konfiguracja bibliotek PAM i NSS Przy(cid:239)(cid:200)czenie komputera dzia(cid:239)aj(cid:200)cego pod kontrol(cid:200) systemu Debian do domeny us(cid:239)ugi Active Directory 67 Kup książkęPoleć książkę Spis tre(cid:286)ci Podstawowe koncepcje polityki grup w serwerze Samba 4 Umo(cid:285)liwienie u(cid:285)ytkownikowi tworzenia zasad grupy Umo(cid:285)liwienie u(cid:285)ytkownikowi po(cid:239)(cid:200)czenia zasady grupy z jednostk(cid:200) organizacyjn(cid:200) Tworzenie zasady grupy Zaufane relacje i replikacja w serwerze Samba 4 Podsumowanie 73 78 82 84 87 92 Rozdzia(cid:239) 4. Zast(cid:200)pienie serwera Microsoft Windows w us(cid:239)udze Active Directory Wa(cid:285)ne kwestie przed zast(cid:200)pieniem kontrolera domeny us(cid:239)ugi Active Directory Planowanie operacji zast(cid:200)pienia serwera — testy i weryfikacja 93 94 95 Eksport obiektów katalogu 99 Porównywanie danych w utworzonej kopii oraz w dzia(cid:239)aj(cid:200)cej us(cid:239)udze Active Directory 101 103 Zast(cid:200)pienie kontrolera domeny us(cid:239)ugi Active Directory 121 124 Sprawdzenie poprawno(cid:258)ci operacji zast(cid:200)pienia serwera Podsumowanie Rozdzia(cid:239) 5. Uaktualnienie Samby z wersji 3 Ró(cid:285)nice mi(cid:218)dzy serwerem Samba w wersjach 3 i 4 Kluczowe kwestie, które trzeba rozwa(cid:285)y(cid:202) przed uaktualnieniem Opracowanie planu uaktualnienia Przygotowanie testów i operacji weryfikacji Procedura uaktualnienia serwera Samba Zatrzymywanie i wy(cid:239)(cid:200)czanie demonów Samby i winbind Edycja pliku konfiguracyjnego Samby 4 Konfiguracja strefy wyszukiwania wstecznego Uzupe(cid:239)nienie konfiguracji o udzia(cid:239) Profiles Wybór sposobu uaktualnienia serwera dzia(cid:239)aj(cid:200)cego w roli Member Server Testowanie uaktualnienia i weryfikacja w serwerze PDC Testowanie uaktualnienia i weryfikacja serwerów dzia(cid:239)aj(cid:200)cych w roli Member Server Podsumowanie Rozdzia(cid:239) 6. Us(cid:239)ugi plików i wydruku Wprowadzenie do wersji protoko(cid:239)u SMB/CIFS i Samba 4 Demony serwera plików i wydruku w Sambie 4 Wprowadzenie do istniej(cid:200)cego w Microsoft Windows sterownika wydruku w wersjach 3 i 4 U(cid:285)ycie oprogramowania CUPS do konfiguracji drukarki w serwerze Samba 4 U(cid:285)ycie Samby do wspó(cid:239)dzielenia drukarki w sieci us(cid:239)ugi Active Directory Wprowadzenie do konfiguracji Samby dla funkcji Microsoft Windows Point and Print Wspó(cid:239)dzielenie plików za pomoc(cid:200) Samby 4 Podsumowanie Rozdzia(cid:239) 7. Rozbudowa schematu us(cid:239)ugi Active Directory za pomoc(cid:200) Samby 4 Planowanie rozbudowy schematu us(cid:239)ugi Active Directory Eksport bie(cid:285)(cid:200)cej konfiguracji schematu us(cid:239)ugi Active Directory Rozbudowa schematu us(cid:239)ugi Active Directory w praktyce Przetestowanie i weryfikacja rozbudowy schematu us(cid:239)ugi Active Directory w Sambie 4 Podsumowanie 127 128 129 130 133 140 143 144 145 146 146 150 154 157 159 159 160 162 163 165 166 172 174 175 176 179 180 192 200 4 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 8. Implementacja rozproszonego serwera plików o wysokiej dost(cid:218)pno(cid:258)ci Przygotowanie (cid:258)rodowiska dystrybucji GNU/Linux Debian Konfiguracja GlusterFS w celu zapewnienia wysokiej dost(cid:218)pno(cid:258)ci i skalowalno(cid:258)ci Integracja CTDB, GlusterFS i serwera Samba 4 Przeprowadzenie testów i weryfikacja serwera plików o wysokiej dost(cid:218)pno(cid:258)ci Podsumowanie Rozdzia(cid:239) 9. Interfejs skryptowy Python w Sambie 4 Programowanie open source i wspó(cid:239)praca z innymi programistami U(cid:285)ycie interfejsu skryptowego Python w serwerze Samba 4 Wprowadzenie do wi(cid:200)za(cid:241) Pythona w serwerze Samba 4 Pot(cid:218)(cid:285)ne mo(cid:285)liwo(cid:258)ci Pythona i serwera Samba 4 Podsumowanie Dodatek A. Odniesienia Skorowidz 201 202 204 209 216 224 225 225 226 229 232 241 243 246 5 Kup książkęPoleć książkę Spis tre(cid:286)ci 6 Kup książkęPoleć książkę 2 U(cid:285)ycie Samby 4 jako kontrolera domeny us(cid:239)ugi Active Directory W tym rozdziale poznasz podstawowe zadania, które trzeba wykona(cid:202), aby poprawnie skonfi- gurowa(cid:202) us(cid:239)ug(cid:218) Active Directory opart(cid:200) na serwerze Samba 4 jako kontrolerze domeny (ang. Domain Controller) dla sieci. Omówione zostan(cid:200) nast(cid:218)puj(cid:200)ce zagadnienia: (cid:81) Minimalne planowanie niezb(cid:218)dne do implementacji us(cid:239)ugi Active Directory opartej na serwerze Samba jako kontrolerze domeny (pod uwag(cid:218) trzeba wzi(cid:200)(cid:202) domen(cid:218), topologi(cid:218) i adresy sieci oraz wymagane us(cid:239)ugi). Przedstawione zostan(cid:200) tak(cid:285)e podstawowe koncepcje istotne podczas konfiguracji us(cid:239)ugi kontrolera domeny. (cid:81) Topologia sieci wykorzystywanej w przyk(cid:239)adach przedstawionych w ksi(cid:200)(cid:285)ce. Uwzgl(cid:218)dnione b(cid:218)d(cid:200) podstawowe techniki planowania i lista rzeczy do sprawdzenia, tak aby pokaza(cid:202) czytelnikowi, jak nale(cid:285)y si(cid:218) przygotowa(cid:202) i jak zebra(cid:202) wszystkie informacje niezb(cid:218)dne do skonfigurowania Samby 4. (cid:81) Wdro(cid:285)enie serwera Samba 4 i us(cid:239)ug niezb(cid:218)dnych do przygotowania prawid(cid:239)owej konfiguracji Samby za pomoc(cid:200) polece(cid:241) wydawanych w pow(cid:239)oce. (cid:81) Inne wa(cid:285)ne aspekty dowolnego kontrolera domeny us(cid:239)ugi Active Directory, mi(cid:218)dzy innymi dost(cid:218)pno(cid:258)(cid:202), wydajno(cid:258)(cid:202) i replikacja. Wymienionymi aspektami zajmiemy si(cid:218) w przyk(cid:239)adowym scenariuszu. Wyja(cid:258)nione zostan(cid:200) przyj(cid:218)te za(cid:239)o(cid:285)enia, a tak(cid:285)e ogólne idee, które trzeba uwzgl(cid:218)dni(cid:202) w rzeczywistych wdro(cid:285)eniach. (cid:81) Szczegó(cid:239)owe omówienie u(cid:285)ycia Samby 4 jako kontrolera domeny us(cid:239)ugi Active Directory. Dowiesz si(cid:218), jak przeprowadzi(cid:202) podstawow(cid:200) weryfikacj(cid:218) konfiguracji oprogramowania Samba 4. To jest bardzo wa(cid:285)ne zadanie w celu przygotowania niezawodnego (cid:258)rodowiska gwarantuj(cid:200)cego administratorowi posiadanie w pe(cid:239)ni funkcjonalnego, opartego na Sambie 4 kontrolera domeny us(cid:239)ugi Active Directory. Kup książkęPoleć książkę Samba 4. Przewodnik administratora Wa(cid:285)ne kwestie konieczne do uwzgl(cid:218)dnienia podczas planowania us(cid:239)ugi Active Directory Podczas planowania funkcji kontrolera domeny us(cid:239)ugi Active Directory najwa(cid:285)niejszym za- daniem, na którym trzeba si(cid:218) skoncentrowa(cid:202) przed przyst(cid:200)pieniem do wykonywania innych czynno(cid:258)ci, jest okre(cid:258)lenie topologii us(cid:239)ug sieciowych. Je(cid:285)eli us(cid:239)uga Active Directory ma by(cid:202) niezawodna, konieczne jest przygotowanie prostej (cho(cid:202) czytelnej) i skalowalnej architektury spe(cid:239)niaj(cid:200)cej potrzeby i wymagania (cid:258)rodowiska. Kontroler domeny us(cid:239)ugi Active Directory mo(cid:285)e zapewni(cid:202) miejsce centralne przeznaczone do zarz(cid:200)dzania urz(cid:200)dzeniami sieciowymi, a tym samym pe(cid:239)n(cid:200) kontrol(cid:218) nad ogromn(cid:200) liczb(cid:200) obiektów (na przyk(cid:239)ad komputerami i u(cid:285)ytkownikami). Kluczow(cid:200) kwesti(cid:200) jest maksymalne zmniejszenie kosztu wykonywania zada(cid:241) administracyjnych, kontroli zasobów i zapewniania bezpiecze(cid:241)stwa (uwierzytelnianie i autoryzacja) w konkretnej sieci. Dlatego te(cid:285) organizacja u(cid:285)ytkowników i zasobów w sposób u(cid:239)atwiaj(cid:200)cy zarz(cid:200)dzanie nimi i jednocze(cid:258)nie umo(cid:285)liwiaj(cid:200)cy (cid:239)atwe skalowanie (na przyk(cid:239)ad przez u(cid:239)atwienie zlecania zada(cid:241) administracyjnych) ma tak istotne znaczenie. Warto pami(cid:218)ta(cid:202) o jednym: nie ma sensu przygotowywanie kontrolera do- meny w sieci, je(cid:258)li aplikacje nie b(cid:218)d(cid:200) mog(cid:239)y by(cid:202) z nim zintegrowane. Oznacza to brak mo(cid:285)li- wo(cid:258)ci u(cid:285)ycia wszystkich funkcji i u(cid:239)atwie(cid:241), które mo(cid:285)e oferowa(cid:202) kontroler domeny us(cid:239)ug ka- talogowych. Opracowanie poprawnej architektury dla konkretnego (cid:258)rodowiska to skomplikowane i obszerne zadanie, którego omówienie wykracza poza zakres tematyczny ksi(cid:200)(cid:285)ki. Zaprezen- towane b(cid:218)d(cid:200) jedynie ogólne informacje, a tak(cid:285)e przyk(cid:239)adowe konfiguracje i topologie; mo(cid:285)esz je wykorzysta(cid:202) w przysz(cid:239)ych implementacjach. Podobnie jak w ka(cid:285)dej implementacji admini- strator musi wzi(cid:200)(cid:202) pod uwag(cid:218) u(cid:285)ytkowników, komputery, jednostki organizacyjne, lasy, do- meny i us(cid:239)ugi. Przedstawiona zostanie prosta, cho(cid:202) efektywna architektura dla u(cid:285)ytkownika domeny EALL.COM.BR wraz ze struktur(cid:200) u(cid:239)atwiaj(cid:200)c(cid:200) mu zrozumienie wa(cid:285)nych koncepcji. Wspomnian(cid:200) architektur(cid:218) czytelnik mo(cid:285)e wykorzysta(cid:202) jako punkt wyj(cid:258)cia do opracowania bardziej skomplikowanych (cid:258)rodowisk. Ogólna rada brzmi: skoncentruj si(cid:218) na konkretnej topologii i wymaganiach, wyod- r(cid:218)bnij zasadnicze koncepcje i opracuj podobne struktury, ale przeznaczone dla Twojego (cid:258)ro- dowiska organizacji. Nie kopiuj wzorcowych projektów architekturalnych z internetu z za(cid:239)o- (cid:285)eniem, (cid:285)e w standardowej postaci b(cid:218)d(cid:200) nadawa(cid:239)y si(cid:218) do u(cid:285)ycia w Twojej sieci. Tego rodzaju projekty zwykle zawieraj(cid:200) obs(cid:239)ug(cid:218) wszystkich dzia(cid:239)ów i definicji istniej(cid:200)cych w oprogramo- waniu. Je(cid:285)eli nie potrzebujesz a(cid:285) tak du(cid:285)ego poziomu skomplikowania, nie u(cid:285)ywaj projektów znalezionych w internecie. Spotka(cid:239)em si(cid:218) ju(cid:285) z wieloma (cid:258)rodowiskami zaprojektowanymi na podstawie ogólnych regu(cid:239), które nie zosta(cid:239)y przygotowane do u(cid:285)ycia w konkretnych sytuacjach. Zamiast tego opracuj proste i skalowane (cid:258)rodowiska. Znalezione w internecie wzorcowe projek- ty architekturalne najcz(cid:218)(cid:258)ciej tworz(cid:200) (cid:258)rodowisko sieciowe, które jest skomplikowane i na- prawd(cid:218) nieefektywne w najbardziej podstawowych zastosowaniach. To ca(cid:239)kowite przeciwie(cid:241)- stwo doskonale zaplanowanego kontrolera domeny us(cid:239)ugi Active Directory. 30 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Analogi(cid:200) do wspomnianej nieefektywnej architektury mo(cid:285)e by(cid:202) na przyk(cid:239)ad struktura katalogów systemu plików. Czasami tworzymy naprawd(cid:218) skomplikowan(cid:200) hierarchi(cid:218) katalogów z wielo- ma podkatalogami. Prowadzi to do powstania wielu poziomów zagnie(cid:285)d(cid:285)e(cid:241) i tak skompliko- wanego drzewa katalogów, (cid:285)e ostateczna struktura zniech(cid:218)ca do u(cid:285)ycia w(cid:239)a(cid:258)ciwych plików, zamiast pomaga(cid:202) w zapewnieniu szybkiego i (cid:239)atwego dost(cid:218)pu do nich. Mo(cid:285)liwo(cid:258)(cid:202) utworzenia wielu katalogów i podkatalogów nie oznacza, (cid:285)e trzeba z niej korzysta(cid:202) dla ka(cid:285)dego obiektu lub przygotowywa(cid:202) struktury zawieraj(cid:200)ce setki podkatalogów — to jedynie prowadzi do zwi(cid:218)kszenia poziomu skomplikowania. W tego rodzaju sytuacjach warto zasta- nowi(cid:202) si(cid:218) nad nast(cid:218)puj(cid:200)cymi kwestiami: (cid:81) Ile plików trzeba b(cid:218)dzie obs(cid:239)ugiwa(cid:202)? (cid:81) Co chce si(cid:218) osi(cid:200)gn(cid:200)(cid:202) — szybkie umieszczanie plików, szybki dost(cid:218)p do plików, czy te(cid:285) jedno i drugie? (cid:81) Czy struktura katalogów b(cid:218)dzie bezpo(cid:258)rednio u(cid:285)ywana przez cz(cid:239)owieka, czy przez aplikacj(cid:218)? (cid:81) Czy istnieje sensowna konwencja nazw dla przechowywanych plików? (cid:81) Je(cid:285)eli nie, to czy ma si(cid:218) kontrol(cid:218) nad zmian(cid:200) nazw plików, aby tym samym zastosowa(cid:202) sensown(cid:200) konwencj(cid:218) nazw? (cid:81) Czy konieczne jest zarz(cid:200)dzanie ró(cid:285)nymi/okre(cid:258)lonymi u(cid:285)ytkownikami i grupami dla poszczególnych katalogów i plików? (cid:81) Czy opracowana struktura pomo(cid:285)e w delegacji zada(cid:241) administracyjnych do pewnych katalogów przeznaczonych dla konkretnych u(cid:285)ytkowników i/lub dzia(cid:239)ów? By(cid:202) mo(cid:285)e uwa(cid:285)asz, (cid:285)e utworzenie struktury katalogów to proste zadanie. Jednak gdy zaczniesz g(cid:239)(cid:218)biej si(cid:218) nad tym zastanawia(cid:202) i analizowa(cid:202) wymienione powy(cid:285)ej pytania, wtedy zdasz sobie spraw(cid:218), (cid:285)e opracowanie struktury katalogów wcale nie musi zalicza(cid:202) si(cid:218) do (cid:239)atwych zada(cid:241). Je(cid:258)li odpowiedzi na wymienione pytania oka(cid:285)(cid:200) si(cid:218) nieprawid(cid:239)owe, proste zadanie utworzenia struktury katalogów mo(cid:285)e w niedalekiej przysz(cid:239)o(cid:258)ci sta(cid:202) si(cid:218) powa(cid:285)nym problemem. Spotka- (cid:239)em si(cid:218) ju(cid:285) z wieloma rozwi(cid:200)zaniami, w których problemy zwi(cid:200)zane z wydajno(cid:258)ci(cid:200) lub skalo- walno(cid:258)ci(cid:200) (a nawet zapewnieniem bezpiecze(cid:241)stwa) pojawia(cid:239)y si(cid:218) tylko dlatego, (cid:285)e twórca rozwi(cid:200)zania nie zada(cid:239) sobie trudu udzielenia odpowiedzi na wymienione pytania. Podobne pytania zwi(cid:200)zane z projektowaniem rozwi(cid:200)zania pojawiaj(cid:200) si(cid:218) podczas planowania us(cid:239)ugi Active Directory dla sieci. Odpowiedzi na pytania dotycz(cid:200)ce prostych zada(cid:241), takich jak np. tworzenie struktury katalogów w systemie plików, mog(cid:200) pomóc w podj(cid:218)ciu odpowiednich decyzji podczas rozwi(cid:200)zywania ró(cid:285)nych problemów architekturalnych. Doskonale zaprojek- towane systemy charakteryzuj(cid:200) si(cid:218) tymi samymi zasadami i s(cid:200) oparte na tych samych, dosko- nale znanych cechach charakterystycznych z zakresu skalowalno(cid:258)ci, wydajno(cid:258)ci, zapewniania bezpiecze(cid:241)stwa i prostej administracji. Powró(cid:202)my do us(cid:239)ugi Active Directory i jej architektury. Ogólnie rzecz bior(cid:200)c, pod uwag(cid:218) na- le(cid:285)y wzi(cid:200)(cid:202) trzy wymienione podstawowe koncepcje: las (ang. forest), domen(cid:218) i jednostk(cid:218) or- ganizacyjn(cid:200). Las to najwy(cid:285)sza warstwa abstrakcji us(cid:239)ugi Active Directory. Zapewnia bez- piecze(cid:241)stwo i zawiera jedn(cid:200) lub wi(cid:218)cej domen. 31 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Domena to cz(cid:218)(cid:258)(cid:202) (partycja) lasu. Mo(cid:285)e zawiera(cid:202) jedn(cid:200) lub wi(cid:218)cej tak zwanych jednostek organi- zacyjnych (ang. organizational units). Wspomniane jednostki organizacyjne to encje grupuj(cid:200)ce ró(cid:285)ne obiekty (na przyk(cid:239)ad u(cid:285)ytkowników i/lub komputery) w celu (cid:239)atwej administracji tymi elementami w skalowalny sposób (na przyk(cid:239)ad u(cid:239)atwienie zlecania zada(cid:241) administracyjnych). Wed(cid:239)ug terminologii u(cid:285)ywanej w przygotowanej przez Microsoft dokumentacji us(cid:239)ugi Active Directory g(cid:239)ównym zadaniem lasu jest implementacja kontroli bezpiecze(cid:241)stwa w (cid:258)rodowisku us(cid:239)ugi Active Directory. Domena zapewnia punkt administracyjny, w którym mo(cid:285)na kierowa(cid:202) replikacj(cid:200), a tym samym nawi(cid:200)zywaniem zaufanych relacji. Jednostki organizacyjne s(cid:200) punk- tami administracyjnymi pozwalaj(cid:200)cymi na zlecanie zada(cid:241) administracyjnych, a tym samym zapewniaj(cid:200) nieocenion(cid:200) mo(cid:285)liwo(cid:258)(cid:202) podzia(cid:239)u obowi(cid:200)zków administracyjnych mi(cid:218)dzy ca(cid:239)(cid:200) or- ganizacj(cid:218) ((cid:283)ród(cid:239)o: http://technet.microsoft.com/pl-pl/library/cc756901(v=ws.10).aspx). To jest bar- dzo wa(cid:285)ny aspekt skalowalno(cid:258)ci, poniewa(cid:285) pracownicy (a zw(cid:239)aszcza administratorzy) to wa(cid:285)ny i jednocze(cid:258)nie najdro(cid:285)szy zasób w firmie. Opracowuj(cid:200)c architektur(cid:218), trzeba wzi(cid:200)(cid:202) to pod uwag(cid:218) ju(cid:285) od samego pocz(cid:200)tku prac. Omówiona tutaj przyk(cid:239)adowa konfiguracja b(cid:218)dzie u(cid:285)ywa(cid:239)a prostego modelu lasu. Wspomnia- ny las to najprostszy model wraz z najmniejszym obci(cid:200)(cid:285)eniem administracyjnym, a ponadto doskonale pasuje do naszych wymaga(cid:241). Na pewno spotkasz si(cid:218) z sytuacjami, w których ko- nieczne b(cid:218)dzie przygotowanie wielu modeli lasu. W takich przypadkach nale(cid:285)y przygotowa(cid:202) projekt zawieraj(cid:200)cy wspomniane modele lasu. Je(cid:285)eli organizacja nie ma skomplikowanych wymaga(cid:241) (na przyk(cid:239)ad zupe(cid:239)nie autonomicznych oddzia(cid:239)ów), wówczas preferowane jest u(cid:285)ycie pojedynczego modelu lasu. W tworzonej tutaj implementacji domena g(cid:239)ówna lasu (ang. forest root domain) to MSDCBRZ. (cid:180)EALL.COM.BR; b(cid:218)dziemy pracowa(cid:202) tylko z jedn(cid:200) lokacj(cid:200) (domena potomna) o nazwie POA. (cid:180)MSDCBRZ.EALL.COM.BR. Istnieje wiele ró(cid:285)nych podej(cid:258)(cid:202) w zakresie przygotowania jednostek organizacyjnych. Wynika to z faktu, (cid:285)e administratorzy maj(cid:200) odmienne punkty widzenia na struktur(cid:218), poniewa(cid:285) poszczególne jednostki organizacyjne maj(cid:200) ró(cid:285)ne potrzeby. Rozpoczniemy od 10 jednostek organizacyjnych i zastosujemy model, który praktycznie od- dziela stacje robocze, us(cid:239)ugi i u(cid:285)ytkowników, czyli trzy wa(cid:285)ne obiekty wymagaj(cid:200)ce obs(cid:239)ugi w dowolnej us(cid:239)udze katalogowej. Dzi(cid:218)ki nim implementacja poszczególnych polityk i admini- strowanie nimi w przysz(cid:239)o(cid:258)ci stan(cid:200) si(cid:218) (cid:239)atwiejsze. Pobieranie przyk(cid:239)adowych fragmentów kodu Przyk(cid:239)adowe fragmenty kodu mo(cid:285)esz pobra(cid:202) dla wszystkich ksi(cid:200)(cid:285)ek kupionych w witrynie http://www. packtpub.com/. W tym celu zaloguj si(cid:218) do swojego konta w Packt. Je(cid:285)eli ksi(cid:200)(cid:285)k(cid:218) kupi(cid:239)e(cid:258) gdzie indziej, wówczas przejd(cid:283) na stron(cid:218) http://www.packtpub.com/support i zarejestruj ksi(cid:200)(cid:285)k(cid:218). Po rejestracji ksi(cid:200)(cid:285)ki otrzymasz wiadomo(cid:258)(cid:202) e-mail wraz z (cid:239)(cid:200)czem pozwalaj(cid:200)cym na pobranie plików. 32 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Struktura b(cid:218)dzie posiada(cid:239)a trzy jednostki organizacyjne najwy(cid:285)szego poziomu, którymi s(cid:200) stacje robocze, us(cid:239)ugi i u(cid:285)ytkownicy. Jednostka organizacyjna przeznaczona dla stacji robo- czych obs(cid:239)uguje ró(cid:285)ne rodzaje urz(cid:200)dze(cid:241), z których b(cid:218)d(cid:200) korzystali u(cid:285)ytkownicy. Do wspo- mnianych urz(cid:200)dze(cid:241) zaliczamy mi(cid:218)dzy innymi komputery biurowe i laptopy. Takie roz- dzielenie urz(cid:200)dze(cid:241) jest bardzo wa(cid:285)ne — trzeba identyfikowa(cid:202) obs(cid:239)ug(cid:218) u(cid:285)ywanych przez u(cid:285)ytkowników urz(cid:200)dze(cid:241) mobilnych, poniewa(cid:285) maj(cid:200) one inne wymagania w zakresie za- pewniania bezpiecze(cid:241)stwa. Konfiguracja zale(cid:285)y na przyk(cid:239)ad od tego, czy u(cid:285)ytkownicy przez ca(cid:239)y czas korzystaj(cid:200) z sieci korporacyjnej i czy u(cid:285)ywaj(cid:200) laptopów poza firm(cid:200). Na pocz(cid:200)tek jednostka organizacyjna przeznaczona dla us(cid:239)ug b(cid:218)dzie zapewnia(cid:239)a obs(cid:239)ug(cid:218) tylko trzech us(cid:239)ug (terminala, wydruku i SQL). Ta liczba na pewno si(cid:218) zwi(cid:218)kszy wraz z instalacj(cid:200) kolej- nych. Pami(cid:218)taj: je(cid:258)li us(cid:239)ugi sieciowe nie s(cid:200) zintegrowane i nie pozwalaj(cid:200) na korzystanie z us(cid:239)ug katalogowych, to nie ma zbyt du(cid:285)ego sensu implementowanie us(cid:239)ug katalogowych i centralne zarz(cid:200)dzanie nimi. Ostatnia jednostka organizacyjna najwy(cid:285)szego poziomu jest po(cid:258)wi(cid:218)cona u(cid:285)ytkownikom i sk(cid:239)ada si(cid:218) z dwóch kolejnych jednostek: dla u(cid:285)ytkowników standardowych i zaawansowanych. Jest to podzia(cid:239) prosty i jednocze(cid:258)nie wystarczaj(cid:200)cy do administracji sieci(cid:200). Na rysunku 2.1 pokazano omówion(cid:200) struktur(cid:218) us(cid:239)ugi Active Directory. Rysunek 2.1. Tworzona tutaj struktura us(cid:239)ugi Active Directory 33 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Informacje niezb(cid:218)dne do wdro(cid:285)enia us(cid:239)ugi Active Directory W celu u(cid:239)atwienia sobie pracy warto wcze(cid:258)niej przygotowa(cid:202) wszystkie informacje niezb(cid:218)dne podczas wdra(cid:285)ania us(cid:239)ugi Active Directory w sieci. Dobrym rozwi(cid:200)zaniem jest przygotowanie odpowiedniej listy jeszcze przed przyst(cid:200)pieniem do wdra(cid:285)ania us(cid:239)ugi. W oparciu o przedsta- wione wcze(cid:258)niej informacje dok(cid:239)adnie znamy potrzeby, sposób zdefiniowania topologii oraz implementacji sieci. Wspomniane dane pozwalaj(cid:200) wi(cid:218)c na utworzenie dokumentu zawieraj(cid:200)- cego potrzebne informacje, a sam dokument u(cid:239)atwi identyfikacj(cid:218) punktów, które pomini(cid:218)to w trakcie opracowywania projektu. W tabeli 2.1 wymieniono informacje, które nale(cid:285)y zebra(cid:202) przed rozpocz(cid:218)ciem implementacji us(cid:239)ugi Active Directory za pomoc(cid:200) Samby 4. Tabela zo- sta(cid:239)a przygotowana w taki sposób, aby u(cid:239)atwi(cid:202) czytelnikowi zrozumienie i odszukanie infor- macji podczas fazy konfiguracji us(cid:239)ugi Active Directory. Gdy b(cid:218)dzie si(cid:218) mia(cid:239)o wcze(cid:258)niej przy- gotowane niezb(cid:218)dne informacje, proces konfiguracji us(cid:239)ugi stanie si(cid:218) jasny i prosty. Na etapie planowania mo(cid:285)esz wi(cid:218)c zebra(cid:202) jak najwi(cid:218)cej informacji. Przedstawiona tabela mo(cid:285)e by(cid:202) po- mocna i s(cid:239)u(cid:285)y(cid:202) w charakterze punktu wyj(cid:258)cia podczas organizacji danych. Tabela 2.1. Lista rzeczy do zrobienia w zakresie konfiguracji us(cid:239)ug katalogowych opartych na Sambie 4 Pytanie lub parametr Rola Czy istnieje ju(cid:285) infrastruktura DNS? Adres IP us(cid:239)ugi Active Directory i interfejs Liczba jednostek organizacyjnych Lokacje/miejsca fizyczne Liczba kontrolerów domeny Domena Konfiguracja DNS Adres IP serwera DHCP Adres IP routera domy(cid:258)lnego Liczba u(cid:285)ytkowników Odpowied(cid:283) lub warto(cid:258)(cid:202) Kontroler domeny ( x ) Tak ( ) Nie 192.168.1.1 (eth1) 10 1 1 POA.MSDCBRZ.EALL.COM.BR Przekazywanie (IP: 8.8.8.8) 192.168.1.1 192.168.1.1 50 Jak wyja(cid:258)niono w rozdziale 1., aby zapewni(cid:202) obs(cid:239)ug(cid:218) pe(cid:239)nych mo(cid:285)liwo(cid:258)ci Samby, us(cid:239)uga Active Directory w Sambie 4 wykorzystuje tak(cid:285)e inne wa(cid:285)ne funkcje. Samba 4 posiada wbudowany serwer DNS, który okazuje si(cid:218) wystarczaj(cid:200)cy dla wielu instalacji. W omawianym tutaj projek- cie równie(cid:285) z niego skorzystamy. Jednak wymagane jest równie(cid:285) u(cid:285)ycie protoko(cid:239)u NTP (ang. Network Time Protocol), poniewa(cid:285) zegary we wszystkich systemach znajduj(cid:200)cych si(cid:218) w sieci musz(cid:200) by(cid:202) zsynchronizowane. Wspomniana synchronizacja ma jeszcze wi(cid:218)ksz(cid:200) wag(cid:218) dla uwie- rzytelniania za pomoc(cid:200) mechanizmu Kerberos. DHCP to kolejna niezb(cid:218)dna us(cid:239)uga; zapewnia administratorom sieci (cid:239)atwy sposób dynamicznej konfiguracji nowych komputerów w sieci 34 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory (na przyk(cid:239)ad przypisanie im adresów IP), a tak(cid:285)e rejestracj(cid:218) nowych maszyn w serwerze DNS (to ma istotne znaczenie dla us(cid:239)ugi Active Directory). Wszystkie us(cid:239)ugi wymienione w tabeli 2.1 s(cid:200) ju(cid:285) skonfigurowane w systemie Debian, który przygotowali(cid:258)my w rozdziale 1. Konfiguracja us(cid:239)ug stanowi(cid:239)a cz(cid:218)(cid:258)(cid:202) procedury instalacyjnej serwera Samba 4. Dost(cid:218)pno(cid:258)(cid:202), wydajno(cid:258)(cid:202) i replikacja us(cid:239)ugi sieciowej Podczas planowania jakiejkolwiek us(cid:239)ugi sieciowej od samego pocz(cid:200)tku konieczne jest uwzgl(cid:218)d- nienie kwestii zwi(cid:200)zanych z jej dost(cid:218)pno(cid:258)ci(cid:200) i wydajno(cid:258)ci(cid:200), poniewa(cid:285) us(cid:239)uga pozbawiona dwóch wymienionych cech charakterystycznych jest po prostu nieu(cid:285)yteczna. To dotyczy równie(cid:285) kon- trolera domeny us(cid:239)ugi Active Directory, która dostarcza podstawowych funkcji ca(cid:239)ej domenie. Je(cid:285)eli us(cid:239)uga oka(cid:285)e si(cid:218) niedost(cid:218)pna, w rezultacie u(cid:285)ytkownicy nie b(cid:218)d(cid:200) mogli nawi(cid:200)za(cid:202) po(cid:239)(cid:200)- czenia z sieci(cid:200), serwery nie b(cid:218)d(cid:200) potrafi(cid:239)y wyszuka(cid:202) komputerów w sieci itd. Tworzona przez nas lista rzeczy do sprawdzenia wymienia ogólne informacje, które pomog(cid:200) w udzieleniu od- powiedzi na pewne wa(cid:285)ne pytania dotycz(cid:200)ce dost(cid:218)pno(cid:258)ci i wydajno(cid:258)ci. Dlatego te(cid:285) przygoto- wanie dobrze udokumentowanego planu znacznie u(cid:239)atwia pó(cid:283)niejsze wdro(cid:285)enie us(cid:239)ugi. Wielko(cid:258)(cid:202) i architektura us(cid:239)ugi Active Directory zale(cid:285)(cid:200) od konkretnego (cid:258)rodowiska wdro(cid:285)eniowego, ale to wykracza poza zakres tematyczny ksi(cid:200)(cid:285)ki. W internecie znajdziesz wiele artyku(cid:239)ów przed- stawiaj(cid:200)cych ró(cid:285)ne aspekty projektów charakteryzuj(cid:200)cych si(cid:218) skalowalno(cid:258)ci(cid:200), wysok(cid:200) dost(cid:218)p- no(cid:258)ci(cid:200) i wydajno(cid:258)ci(cid:200). Podczas rozwa(cid:285)ania kwestii zwi(cid:200)zanych z wydajno(cid:258)ci(cid:200) i replikacj(cid:200) trzeba koniecznie zwróci(cid:202) uwag(cid:218) na kilka wa(cid:285)nych elementów: (cid:81) liczb(cid:218) u(cid:285)ytkowników, (cid:81) liczb(cid:218) domen, (cid:81) fizyczne po(cid:239)o(cid:285)enie danej lokacji. Wymienione punkty to jedynie kilka przyk(cid:239)adów parametrów, które b(cid:218)d(cid:200) mia(cid:239)y ogromny wp(cid:239)yw na obci(cid:200)(cid:285)enie serwera us(cid:239)ugi Active Directory. Warto pami(cid:218)ta(cid:202), (cid:285)e istniej(cid:200) równie(cid:285) inne wa(cid:285)ne parametry. Im wi(cid:218)cej informacji uda Ci si(cid:218) zebra(cid:202) na etapie planowania, tym (cid:239)atwiej b(cid:218)dzie za- planowa(cid:202) zasoby niezb(cid:218)dne do zapewnienia odpowiedniej wydajno(cid:258)ci w danym (cid:258)rodowisku. Dobrym przyk(cid:239)adem innego rodzaju informacji, które mo(cid:285)na umie(cid:258)ci(cid:202) na wspomnianej wcze- (cid:258)niej li(cid:258)cie rzeczy do sprawdzenia, jest rysunek 2.1 pokazuj(cid:200)cy schemat tworzonej us(cid:239)ugi Active Directory. Us(cid:239)ugi, które maj(cid:200) by(cid:202) oferowane w domenie oraz wspó(cid:239)pracuj(cid:200) z us(cid:239)ug(cid:200) Active Directory, b(cid:218)d(cid:200) generowa(cid:239)y obci(cid:200)(cid:285)enie (zapytania DNS, obs(cid:239)uga uwierzytelniania itd.). Dlatego te(cid:285) stanowi(cid:200) czynniki wydajno(cid:258)ci konieczne do uwzgl(cid:218)dnienia na etapie planowania. W oma- wianym tutaj przyk(cid:239)adzie mamy zaledwie kilku u(cid:285)ytkowników i niewiele us(cid:239)ug, wi(cid:218)c serwer z pewno(cid:258)ci(cid:200) poradzi sobie z obs(cid:239)ug(cid:200) obci(cid:200)(cid:285)enia. Poniewa(cid:285) istnieje tylko jedno miejsce (lokacja) i jedna domena, nie ma obaw zwi(cid:200)zanych z wydajno(cid:258)ci(cid:200) podczas replikacji bazy danych us(cid:239)ugi Active Directory. Kiedy analizujemy dost(cid:218)pno(cid:258)(cid:202), nie istnieje co(cid:258) takiego jak ma(cid:239)e (cid:258)rodowisko i nie mo(cid:285)na sobie pozwoli(cid:202) na brak redundancji (zapewnienie wysokiej dost(cid:218)pno(cid:258)ci) naszych us(cid:239)ug. W rozdziale 4. przeczytasz, jak zapewni(cid:202) redundancj(cid:218) w tworzonym (cid:258)rodowisku oraz jak zapewni(cid:202) wysok(cid:200) dost(cid:218)pno(cid:258)(cid:202) us(cid:239)ugi Active Directory. 35 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Konfiguracja Samby 4 jako kontrolera domeny us(cid:239)ug katalogowych Jedn(cid:200) z wa(cid:285)niejszych zmian konfiguracyjnych, dzi(cid:218)ki której znacznie u(cid:239)atwimy sobie prac(cid:218), jest dodanie (cid:258)cie(cid:285)ki dost(cid:218)pu do katalogu, w którym zainstalowano Samb(cid:218) 4, do zmiennej PATH w pliku .bash_profile. W ten sposób podczas pracy z narz(cid:218)dziami Samby 4 nie trzeba b(cid:218)dzie po- dawa(cid:202) pe(cid:239)nej (bezwzgl(cid:218)dnej) (cid:258)cie(cid:285)ki dost(cid:218)pu. W pow(cid:239)oce wydaj przedstawione poni(cid:285)ej polecenie: leal@debian7:~$ sudo echo export PATH=/usr/local/samba/bin:\ (cid:180)/usr/local/samba/sbin:$PATH /root/.bash_profile echo OK Dane wyj(cid:258)ciowe powy(cid:285)szego polecenia powinny zawiera(cid:202) komunikat OK. To b(cid:218)dzie sygna(cid:239) (cid:258)wiadcz(cid:200)cy o udanej modyfikacji pliku .bash_profile, polegaj(cid:200)cej na dodaniu katalogu zawie- raj(cid:200)cego Samb(cid:218) 4 do listy katalogów sprawdzanych po wydaniu polecenia w pow(cid:239)oce. Po spe(cid:239)nieniu wszystkich wymaga(cid:241) stawianych przez (cid:258)rodowisko Samby 4 oraz po sprawdze- niu zainstalowanego oprogramowania konfiguracja Samby 4 do dzia(cid:239)ania w charakterze us(cid:239)ugi Active Directory jest prostym zadaniem. W tym celu wystarczy wyda(cid:202) poni(cid:285)sze polecenie: leal@debian7:~$ sudo samba-tool domain provision --realm=POA.MSDCBRZ.EALL.COM.BR -- (cid:180)domain=POA --adminpass= w1ndow$$! --server-role= domain controller Polecenie samba-tool mo(cid:285)e by(cid:202) uruchomione w trybie interaktywnym przez u(cid:285)ycie argumen- tów domain provision. Nast(cid:218)pnie trzeba b(cid:218)dzie udziela(cid:202) odpowiedzi na poszczególne pytania (na przyk(cid:239)ad domain, adminpass itd.). Jednym z celów ksi(cid:200)(cid:285)ki jest zaprezentowanie czytelnikom jak najwi(cid:218)kszej liczby zautomatyzowanych procedur i prostych skryptów. Narz(cid:218)dzie samba-tool zosta(cid:239)o wywo(cid:239)ane bezpo(cid:258)rednio wraz z wszystkimi poleceniami i argumentami. W ten sposób konfiguracja serwera Samba 4 jest przeprowadzana bez konieczno(cid:258)ci prowadzenia dalszej interakcji. Je(cid:285)eli chcesz ponownie wykona(cid:202) przedstawione polecenie samba-tool, konieczne b(cid:218)dzie wcze(cid:258)niej- sze usuni(cid:218)cie pliku konfiguracyjnego smb.conf. W przeciwnym razie wyst(cid:200)pi b(cid:239)(cid:200)d i dzia(cid:239)anie polecenia zostanie przerwane. Wymieniony plik konfiguracyjny mo(cid:285)esz usun(cid:200)(cid:202) za pomoc(cid:200) polecenia sudo rm /usr/local/samba/etc/smb.conf. Przyjrzymy si(cid:218) teraz poleceniu samba-tool i wyja(cid:258)nimy u(cid:285)yte argumenty. Dzi(cid:218)ki temu b(cid:218)- dziesz doskonale rozumia(cid:239) sposób dzia(cid:239)ania poszczególnych opcji, co pozwoli na ich dostoso- wanie do w(cid:239)asnych potrzeb. W wydanym poleceniu u(cid:285)yto nast(cid:218)puj(cid:200)cych argumentów: (cid:81) samba-tool (cid:127) to podstawowe narz(cid:218)dzie administracyjne Samby. (cid:81) domain provision (cid:127) to argument, w którym domain stanowi podpolecenie narz(cid:218)dzia samba-tool odpowiedzialne za zadania zarz(cid:200)dzania domen(cid:200), natomiast provision oznacza podpolecenie faktycznie konfiguruj(cid:200)ce domen(cid:218). To podstawowa cz(cid:218)(cid:258)(cid:202) wydanego polecenia samba-tool i zapewnia mo(cid:285)liwo(cid:258)(cid:202) konfiguracji domeny. 36 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory (cid:81) --realm (cid:127) to warto(cid:258)(cid:202) realm. (cid:81) --domain (cid:127) to nazwa domeny. (cid:81) --adminpass (cid:127) to has(cid:239)o administracyjne. (Je(cid:285)eli nie zostanie zdefiniowane, Samba wygeneruje losowe has(cid:239)o). Zdefiniowanie has(cid:239)a to wa(cid:285)ny etap podczas konfiguracji Samby 4, poniewa(cid:285) w us(cid:239)udze Active Directory istnieje (cid:258)ci(cid:258)le okre(cid:258)lona polityka dotycz(cid:200)ca hase(cid:239) (tzw. Microsoft Windows Password Policies). W przypadku podania niewystarczaj(cid:200)co silnego has(cid:239)a otrzymasz komunikat b(cid:239)(cid:218)du i polecenie trzeba b(cid:218)dzie wykona(cid:202) ponownie. Has(cid:239)o u(cid:285)yte w przyk(cid:239)adzie jest proste i cho(cid:202) uwzgl(cid:218)dniono w nim zasady wspomnianej polityki, to jednak nie jest przeznaczone do u(cid:285)ycia w (cid:258)rodowiskach produkcyjnych. Argument --server-role wskazuje na konieczno(cid:258)(cid:202) u(cid:285)ycia silnego has(cid:239)a dla instalacji. Poniewa(cid:285) przeprowadzamy konfiguracj(cid:218) kontrolera domeny us(cid:239)ugi Active Directory, warto(cid:258)ci(cid:200) omawia- nego argumentu jest domain controller. Jednak dost(cid:218)pne s(cid:200) tak(cid:285)e inne opcje, mi(cid:218)dzy innymi dc, member server, member i standalone. W przypadku pomini(cid:218)cia argumentu domy(cid:258)lnie u(cid:285)yta zostanie opcja server-role. List(cid:218) wszystkich dost(cid:218)pnych opcji mo(cid:285)esz wy(cid:258)wietli(cid:202), po prostu wydaj(cid:200)c polecenie samba-tool bez (cid:285)adnych argumentów. Ewentualnie zajrzyj na stron(cid:218) podr(cid:218)cznika systemowego man dla omawianego narz(cid:218)dzia (man samba-tool). Po wydaniu wcze(cid:258)niej przedstawionego polecenia przeznaczonego do konfiguracji serwera Samba 4 jako us(cid:239)ugi Active Directory sprawd(cid:283) dane wyj(cid:258)ciowe i upewnij si(cid:218), (cid:285)e wykonanie polecenia przebieg(cid:239)o zgodnie z oczekiwaniami. Poni(cid:285)ej przedstawiono przyk(cid:239)adowe dane wyj(cid:258)ciowe otrzymane po wydaniu omawianego polecenia: Looking up IPv4 addresses More than one IPv4 address found. Using 192.168.1.1 Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema Adding DomainDN: DC=poa,DC=msdcbrz,DC=eall,DC=com,DC=br Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers 37 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,CN=System,DC=poa,DC=msdcbrz,DC=eall,\ C=com,DC=br Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf Once the above files are installed, your Samba 4 server will be ready to use Server Role: active directory domain controller Hostname: debian7 NetBIOS Domain: POA DNS Domain: poa.msdcbrz.eall.com.br DOMAIN SID: S-1-5-21-1069074877-2280341390-3609431641 Wy(cid:258)wietlone dane wyj(cid:258)ciowe zawieraj(cid:200) pewne informacje o poszczególnych krokach konfigu- racji serwera Samba 4. Na podstawie tych komunikatów mo(cid:285)emy dowiedzie(cid:202) si(cid:218) o ustawieniu okre(cid:258)lonych zasobów, o utworzeniu pewnych kontenerów domy(cid:258)lnych i u(cid:285)ytkowników, o gru- pach oraz konfiguracji DNS. Ostatnie wiersze zawieraj(cid:200) pewne u(cid:285)yteczne informacje: nazw(cid:218) domeny i jej warto(cid:258)(cid:202) SID. W tych wierszach znajduj(cid:200) si(cid:218) równie(cid:285) wa(cid:285)ne informacje dotycz(cid:200)ce pliku konfiguracyjnego Kerberos, który zosta(cid:239) wygenerowany automatycznie. Te informacje b(cid:218)d(cid:200) potrzebne do za- ko(cid:241)czenia konfiguracji serwera Samba 4. Plik konfiguracyjny Kerberos trzeba umie(cid:258)ci(cid:202) w od- powiednim katalogu, co nast(cid:218)puje po wydaniu polecenia: leal@debian7:~$ su – root Password: root@debian7:~# cp -pRf /usr/local/samba/private/krb5.conf /etc/ echo OK OK root@debian7:~# exit leal@debian7:~$ Je(cid:285)eli dane wyj(cid:258)ciowe zawieraj(cid:200) komunikat OK, oznacza to, (cid:285)e plik konfiguracyjny Kerberos zosta(cid:239) skopiowany do odpowiedniego katalogu. Teraz trzeba przeprowadzi(cid:202) edycj(cid:218) pliku smb.conf i skonfigurowa(cid:202) serwer DNS, którego serwer Samba b(cid:218)dzie u(cid:285)ywa(cid:239) do przekazywania wszyst- kich zapyta(cid:241) DNS spoza strefy autorytatywnej. W omawianym przyk(cid:239)adzie wykorzystujemy serwery DNS udost(cid:218)pniane przez Google, ale w rzeczywistym wdro(cid:285)eniu powiniene(cid:258) poda(cid:202) 38 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory adres w(cid:239)asnego serwera DNS. Przed edycj(cid:200) pliku smb.conf spójrz na jego zawarto(cid:258)(cid:202), poniewa(cid:285) przekazywanie adresów IP mog(cid:239)o zosta(cid:202) skonfigurowane automatycznie przez samba-tool i nie b(cid:218)dziesz musia(cid:239) wprowadza(cid:202) (cid:285)adnych zmian. Je(cid:285)eli trzeba wprowadzi(cid:202) zmiany, poni(cid:285)szy skrypt zajmie si(cid:218) tym automatycznie: leal@debian7:~$ sudo cp -pRf /usr/local/samba/etc/smb.conf /usr/local/samba/etc/smb.conf-bkp sed -e s/dns forwarder =.*$/dns forwarder = 8.8.8.8/g /usr/local/samba/etc/smb.conf /usr/local/samba/etc/smb.conf-new mv /usr/local/samba/etc/smb.conf-new /usr/local/samba/etc/smb.conf echo OK OK leal@debian7:~$ Je(cid:285)eli dane wyj(cid:258)ciowe zawieraj(cid:200) komunikat OK, oznacza to, (cid:285)e edycja pliku smb.conf zako(cid:241)- czy(cid:239)a si(cid:218) powodzeniem i jeste(cid:258)my gotowi do uruchomienia serwera Samba 4. W przypadku wyst(cid:200)pienia b(cid:239)(cid:218)du nie nale(cid:285)y wprowadza(cid:202) (cid:285)adnych zmian w oryginalnym pliku konfiguracyj- nym Samby. Je(cid:258)li jednak wprowadzono zmiany i nast(cid:200)pi(cid:239)o wygenerowanie b(cid:239)(cid:218)du, oznacza to, (cid:285)e operacja edycji pliku zako(cid:241)czy(cid:239)a si(cid:218) niepowodzeniem. Trzeba wówczas przywróci(cid:202) orygi- nalny plik konfiguracyjny Samby z kopii zapasowej utworzonej na pocz(cid:200)tku skryptu. Dlatego te(cid:285) warto zachowa(cid:202) plik smb.conf.bkp wraz z oryginaln(cid:200) konfiguracj(cid:200) Samby (cid:127) tak na wszelki wypadek. Teraz mo(cid:285)na uruchomi(cid:202) serwer Samba 4, aby dzia(cid:239)a(cid:239) w tle. Serwer powinien by(cid:202) jednow(cid:200)t- kowy, aby umo(cid:285)liwia(cid:202) identyfikacj(cid:218) wszelkich b(cid:239)(cid:218)dów lub ostrze(cid:285)e(cid:241) powodowanych przez oprogramowanie w kolejnych wykonywanych przez nas krokach. Przeprowadzimy wi(cid:218)c seri(cid:218) testów i operacji weryfikacji, aby upewni(cid:202) si(cid:218), (cid:285)e przygotowana tutaj konfiguracja jest gotowa do u(cid:285)ycia w (cid:258)rodowisku produkcyjnym. W oknie terminala wydaj polecenie: leal@debian7:~$ sudo /usr/local/samba/sbin/samba -i -M single Password: Je(cid:285)eli zainstalowane oprogramowanie Samba 4 i konfiguracja nie zawieraj(cid:200) (cid:285)adnych b(cid:239)(cid:218)dów i nie powoduj(cid:200) problemów, powiniene(cid:258) otrzyma(cid:202) nast(cid:218)puj(cid:200)ce dane wyj(cid:258)ciowe: samba version 4.0.5 started. Copyright Andrew Tridgell and the Samba Team 1992-2012 samba: using single process model Attempting to autogenerate TLS self-signed keys for https for hostname DEBIAN7. (cid:180)poa.msdcbrz.eall.com.br TLS self-signed keys generated OK Powiniene(cid:258) zauwa(cid:285)y(cid:202), (cid:285)e proces Samby zosta(cid:239) powi(cid:200)zany z pow(cid:239)ok(cid:200), a nie rozwidlony. Wy(cid:258)wie- tlony komunikat wskazuje na u(cid:285)ycie opcji single jako modelu procesu, co si(cid:218) zgadza, ponie- wa(cid:285) demona uruchomili(cid:258)my wraz z opcj(cid:200) -M single. W ten sposób u(cid:239)atwimy sobie prac(cid:218) pod- czas debugowania i wyszukiwania komunikatów ewentualnych b(cid:239)(cid:218)dów — mamy tylko jeden proces przeznaczony do obs(cid:239)ugi Active Directory. Nie wyst(cid:218)puje wi(cid:218)c ryzyko przeoczenia komunikatu z powodu analizy niew(cid:239)a(cid:258)ciwego procesu. 39 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Weryfikacja konfiguracji Samby 4 Po zainstalowaniu i skonfigurowaniu serwera Samba 4 przeprowadzimy podstawow(cid:200) weryfi- kacj(cid:218), aby upewni(cid:202) si(cid:218), (cid:285)e przygotowane (cid:258)rodowisko mo(cid:285)na zastosowa(cid:202) w produkcji. Testy b(cid:218)d(cid:200) zwi(cid:200)zane z zapytaniami DNS, uwierzytelnianiem Kerberos, a tak(cid:285)e pewnymi podstawowymi mo(cid:285)liwo(cid:258)ciami w zakresie obs(cid:239)ugi (cid:285)(cid:200)da(cid:241) i udzielania odpowiedzi przez nasz nowy serwer. Jak wspomniano w rozdziale 1. i jak to b(cid:218)dzie powtarzane w ca(cid:239)ej ksi(cid:200)(cid:285)ce, zawsze warto opracowa(cid:202) zautomatyzowan(cid:200) procedur(cid:218) testow(cid:200) przeznaczon(cid:200) do weryfikacji (cid:258)rodowiska. Gor(cid:200)co zach(cid:218)cam wi(cid:218)c do rozpocz(cid:218)cia tworzenia skryptów przeprowadzaj(cid:200)cych testy konfiguracji Samby 4 dla przysz(cid:239)ych instalacji, uaktualnie(cid:241) i obs(cid:239)ugi bazy danych. Opracowanie zestawu testów i procedur weryfikacyjnych ma kluczowe znaczenie podczas wprowadzania jakichkolwiek zmian w (cid:258)rodowisku. Mo(cid:285)e równie(cid:285) pomóc w wychwytywaniu problemów przed wdro(cid:285)eniem instalacji w (cid:258)rodowisku produkcyjnym, a tak(cid:285)e pozwoli na wycofanie modyfikacji i powrót do fazy planowania. Rozpoczniemy od testów DNS, poniewa(cid:285) prawid(cid:239)owe dzia(cid:239)anie serwera DNS ma istotne zna- czenie dla poprawnego dzia(cid:239)ania us(cid:239)ugi Active Directory (patrz odwo(cid:239)anie [13] w dodatku A). Je(cid:285)eli wyst(cid:200)pi(cid:200) jakiekolwiek problemy z konfiguracj(cid:200), b(cid:218)dziesz mia(cid:239) mo(cid:285)liwo(cid:258)(cid:202) ich wcze(cid:258)niej- szego rozwi(cid:200)zania. Us(cid:239)uga Active Directory u(cid:285)ywa rekordu SRV do zlokalizowania kontrolerów domeny, poniewa(cid:285) wspomniany rekord jest stosowany do identyfikacji serwerów oferuj(cid:200)cych okre(cid:258)lone us(cid:239)ugi. Dla kontrolera domeny Active Directory konieczne jest utworzenie dwóch rekordów SVR: _kerberos i _ldap. Konieczne jest upewnienie si(cid:218), (cid:285)e system posiada wymienio- ne rekordy, co pozwoli klientom na komunikacj(cid:218) z serwerem i wykrywanie us(cid:239)ug dost(cid:218)pnych w sieci. W nowej pow(cid:239)oce wykonaj nast(cid:218)puj(cid:200)ce polecenia: leal@debian7:~$ host -t SRV _kerberos._udp.poa.msdcbrz.eall.com.br _kerberos._udp.poa.msdcbrz.eall.com.br has SRV record 0 100 88 debian7. poa. (cid:180)msdcbrz.eall.com.br. leal@debian7:~$ host -t SRV _ldap._tcp.poa.msdcbrz.eall.com.br _ldap._tcp.poa.msdcbrz.eall.com.br has SRV record 0 100 389 debian7.poa. (cid:180)msdcbrz.eall.com.br. leal@debian7:~$ host -t A poa.msdcbrz.eall.com.br poa.msdcbrz.eall.com.br has address 192.168.1.1 W Twoim (cid:258)rodowisku po wydaniu powy(cid:285)szych polece(cid:241) powiniene(cid:258) otrzyma(cid:202) podobne dane wyj(cid:258)ciowe. W przypadku wyst(cid:200)pienia b(cid:239)(cid:218)du wskazuj(cid:200)cego na nieznalezienie rekordów ko- nieczne jest przejrzenie procesu konfiguracji i upewnienie si(cid:218) o prawid(cid:239)owym wykonaniu po- szczególnych kroków. Jak mo(cid:285)na si(cid:218) przekona(cid:202) na podstawie danych wyj(cid:258)ciowych polece(cid:241), rekordy SVR dla _ldap i _kerberos zosta(cid:239)y skonfigurowane prawid(cid:239)owo. Inna wa(cid:285)na kwestia dotycz(cid:200)ca konfiguracji DNS to zdefiniowanie przekazywania (cid:127) aby w ten sposób zapewni(cid:202) sobie mo(cid:285)liwo(cid:258)(cid:202) ustalania nazw, dla których nasza us(cid:239)uga Active Directory nie jest autorytatywna. Konfiguracj(cid:218) mo(cid:285)na przetestowa(cid:202), wykorzystuj(cid:200)c pewne doskonale znane witryny internetowe. Oto niezb(cid:218)dne kroki: 1. Wykonanie nast(cid:218)puj(cid:200)cego polecenia w pow(cid:239)oce: leal@debian7:~$ host www.amazon.com 40 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Wygenerowane dane wyj(cid:258)ciowe powinny by(cid:202) podobne do poni(cid:285)szych: www.amazon.com has address 72.21.215.232 2. Teraz mo(cid:285)na podj(cid:200)(cid:202) prób(cid:218) okre(cid:258)lenia rekordu MX dla domeny amazon.com. W tym celu z poziomu pow(cid:239)oki nale(cid:285)y wyda(cid:202) polecenie: leal@debian7:~$ host -t mx amazon.com Dane wyj(cid:258)ciowe powinny by(cid:202) podobne do nast(cid:218)puj(cid:200)cych: amazon.com mail is handled by 5 amazon-smtp.amazon.com. amazon.com mail is handled by 10 smtp-fw-4101.amazon.com. amazon.com mail is handled by 10 smtp-fw-9101.amazon.com. amazon.com mail is handled by 10 smtp-fw-31001.amazon.com. amazon.com mail is handled by 10 smtp-fw-33001.amazon.com. amazon.com mail is handled by 15 smtp-fw-2101.amazon.com. Dzi(cid:218)ki przeprowadzonym testom mo(cid:285)na potwierdzi(cid:202), (cid:285)e serwer DNS wbudowany w us(cid:239)ug(cid:218) Active Directory dzia(cid:239)a prawid(cid:239)owo, poprawie okre(cid:258)la nazwy DNS dla naszej domeny (poa.msdcbrz.eall.com.br) i przekazuje (cid:285)(cid:200)dania dla innych domen. Zweryfikowali(cid:258)my tak(cid:285)e rekordy SVR _kerberos i _ldap i mo(cid:285)emy przyst(cid:200)pi(cid:202) do przetestowania mechanizmu uwierzytelniania Kerberos. 3. W celu przetestowania mechanizmu uwierzytelniania Kerberos mo(cid:285)na wykorzysta(cid:202) polecenie kinit. Wymienione narz(cid:218)dzie potrafi pobra(cid:202) i buforowa(cid:202) bilet dost(cid:218)pu Kerberos (patrz strona podr(cid:218)cznika wy(cid:258)wietlana po wydaniu polecenia man kinit). Najprostsza forma wywo(cid:239)ania kinit i przetestowania konfiguracji Samby 4 to wykonanie poni(cid:285)szego polecenia: leal@debian7:~$ kinit administrator@POA.MSDCBRZ.EALL.COM.BR 4. Powiniene(cid:258) otrzyma(cid:202) nast(cid:218)puj(cid:200)ce dane wyj(cid:258)ciowe: Password for administrator@POA.MSDCBRZ.EALL.COM.BR: 5. Musisz w tym momencie poda(cid:202) has(cid:239)o administratora i nacisn(cid:200)(cid:202) klawisz Enter. Wy(cid:258)wietlone dane wyj(cid:258)ciowe b(cid:218)d(cid:200) mia(cid:239)y posta(cid:202) komunikatu ostrze(cid:285)enia: Warning: Your password will expire in 41 days on Sat Jul 13 19:22:46 2013 6. Teraz mo(cid:285)na u(cid:285)y(cid:202) polecenia klist w celu potwierdzenia rzeczywistego otrzymania biletu oraz prawid(cid:239)owego dzia(cid:239)ania mechanizmu uwierzytelniania Kerberos: leal@debian7:~$ klist 7. Dane wyj(cid:258)ciowe polecenia klist powinny by(cid:202) podobne do przedstawionych poni(cid:285)ej: Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: administrator@POA.MSDCBRZ.EALL.COM.BR Valid starting Expires Service principal 06/02/13 02:09:59 06/02/13 12:09:59 krbtgt/POA.MSDCBRZ.EALL.COM.BR @POA.MSDCBRZ.EALL.COM.BR renew until 06/03/13 02:09:54 Je(cid:285)eli otrzymasz dane wyj(cid:258)ciowe podobne do przedstawionych, oznacza to, (cid:285)e mechanizm uwierzytelniania Kerberos dzia(cid:239)a prawid(cid:239)owo. 41 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Kolejna operacja weryfikacji jest zwi(cid:200)zana z serwerem ldap w kontrolerze domeny us(cid:239)ugi Active Directory zbudowanej w oparciu o Samb(cid:218) 4. Do wykonywania zapyta(cid:241) wzgl(cid:218)dem us(cid:239)ugi Active Directory i potwierdzenia jej prawid(cid:239)owego dzia(cid:239)ania mo(cid:285)na wykorzysta(cid:202) narz(cid:218)dzie ldapsearch. Pierwsze zapytanie b(cid:218)dzie mia(cid:239)o posta(cid:202) nast(cid:218)puj(cid:200)cego polecenia: leal@debian7:~$ ldapsearch -x -h localhost -s base -D cn=administrator, (cid:180)cn=Users,dc=poa,dc=msdcbrz,dc=eall,dc=com,dc=br -W Zostaniesz poproszony o podanie has(cid:239)a administracyjnego LDAP, a nast(cid:218)pnie na ekranie b(cid:218)d(cid:200) wy(cid:258)wietlone obszerne dane wyj(cid:258)ciowe. W celu zachowania zwi(cid:218)z(cid:239)o(cid:258)ci poni(cid:285)ej przedstawiono jedynie kilka ostatnich wierszy danych wyj(cid:258)ciowych: namingContexts: DC=DomainDnsZones,DC=poa,DC=msdcbrz,DC=eall,DC=com,DC=br namingContexts: DC=ForestDnsZones,DC=poa,DC=msdcbrz,DC=eall,DC=com,DC=br supportedSASLMechanisms: GSS-SPNEGO supportedSASLMechanisms: GSSAPI supportedSASLMechanisms: NTLM highestCommittedUSN: 3723 domainFunctionality: 2 forestFunctionality: 2 domainControllerFunctionality: 4 isGlobalCatalogReady: TRUE # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 Je(cid:285)eli po wydaniu polecenia ldapsearch otrzyma(cid:239)e(cid:258) dane wyj(cid:258)ciowe podobne do przedsta- wionych, oznacza to, (cid:285)e ldap w us(cid:239)udze Active Directory dzia(cid:239)a prawid(cid:239)owo. Ostatni i najwa(cid:285)niejszy krok to rzeczywiste przetestowanie komputera dzia(cid:239)aj(cid:200)cego pod kon- trol(cid:200) systemu operacyjnego Microsoft Windows i próba jego dodania do naszej nowej domeny. W omawianym przyk(cid:239)adzie wykorzystamy system operacyjny Windows Server 2008 R2. Po do- (cid:239)(cid:200)czeniu komputera do domeny u(cid:285)yjemy go do utworzenia jednostek organizacyjnych w kon- trolerze domeny us(cid:239)ugi Active Directory. Po zainstalowaniu Microsoft Windows Server 2008 R2 mo(cid:285)na sprawdzi(cid:202), czy system pobiera adres IP z przygotowanego serwera DHCP. W tym celu wykonaj szybki test (na przyk(cid:239)ad za pomoc(cid:200) polecenia ping), aby upewni(cid:202) si(cid:218), (cid:285)e konfiguracja sieci dzia(cid:239)a zgodnie z oczekiwaniami. Za pomoc(cid:200) wiersza polece(cid:241) PowerShell mo(cid:285)esz wyda(cid:202) polecenie ipconfig /all (patrz rysu- nek 2.2) i sprawdzi(cid:202) konfiguracj(cid:218) sieci (spójrz na przyk(cid:239)ad na wiersze Adres IPv4, Serwery DNS, Brama domy(cid:258)lna itd.). 42 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Rysunek 2.2. Sprawdzenie konfiguracji sieci w wierszu polece(cid:241) PowerShell Na rysunku 2.2 wida(cid:202), (cid:285)e system Windows Server 2008 pobra(cid:239) adres IP (192.168.1.12). Dane w wierszach Serwer DHCP, Adres IPv4, Podstawowy serwer WINS, Serwery DNS i Brama domy(cid:258)lna pochodz(cid:200) z przygotowanego przez nas wcze(cid:258)niej kontrolera domeny us(cid:239)ugi Active Directory (jego adres IP to 192.168.1.1). Aby upewni(cid:202) si(cid:218), (cid:285)e system jest w stanie uzyska(cid:202) dost(cid:218)p do us(cid:239)ugi Active Directory (serwer Samba 4), warto przeprowadzi(cid:202) test za pomoc(cid:200) polecenia ping, jak pokazano na rysunku 2.3. Rysunek 2.3. Sprawdzenie dost(cid:218)pno(cid:258)ci serwera Samba 4 za pomoc(cid:200) polecenia ping 43 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Jak mo(cid:285)esz zobaczy(cid:202) na wcze(cid:258)niejszych rysunkach, nie wyst(cid:200)pi(cid:239)y (cid:285)adne problemy z nawi(cid:200)za- niem po(cid:239)(cid:200)czenia z serwerem us(cid:239)ugi Active Directory (system Debian 7). Przeprowadzony test pozwoli(cid:239) na weryfikacj(cid:218) konfiguracji serwera DNS — sprawdzili(cid:258)my mo(cid:285)liwo(cid:258)(cid:202) uzyskania przez Windows Server 2008 dost(cid:218)pu do przygotowanego wcze(cid:258)niej serwera DNS (system Debian 7) i przekonali(cid:258)my si(cid:218), czy nazwy komputerów s(cid:200) prawid(cid:239)owo okre(cid:258)lane. Zanim b(cid:218)dziemy kontynuowa(cid:202) procedur(cid:218) i faktycznie przy(cid:239)(cid:200)czymy si(cid:218) do domeny POA.MSDCBRZ. (cid:180)EALL.COM.BR, mo(cid:285)emy przeprowadzi(cid:202) ostatni test, aby si(cid:218) upewni(cid:202) o prawid(cid:239)owym dzia(cid:239)aniu zegara w systemie Windows Server. W tym celu mo(cid:285)na po prostu spojrze(cid:202) na zegar wy(cid:258)wie- tlany w prawym dolnym rogu ekranu (na pasku zada(cid:241)) lub te(cid:285) wyda(cid:202) polecenie date w wierszu polece(cid:241) PowerShell. Je(cid:285)eli zegar serwera nie wskazuje prawid(cid:239)owej daty lub godziny, trzeba to poprawi(cid:202) przed przej(cid:258)ciem do kolejnego kroku. Aby zmieni(cid:202) godzin(cid:218), po prostu dwukrotnie kliknij zegar na pasku zada(cid:241), a nast(cid:218)pnie kliknij przycisk Zmie(cid:241) ustawienia daty i godziny… (patrz rysunek 2.4). Rysunek 2.4. Zmiana ustawie(cid:241) daty i godziny W ten sposób przeprowadzili(cid:258)my wst(cid:218)pne operacje weryfikacji maj(cid:200)ce na celu upewnienie si(cid:218) o prawid(cid:239)owej konfiguracji us(cid:239)ugi Active Directory i serwera Windows Server 2008, a tak(cid:285)e o mo(cid:285)liwo(cid:258)ci komunikacji mi(cid:218)dzy nimi. Kontynuujemy wi(cid:218)c procedur(cid:218) i przyst(cid:218)pujemy do przy(cid:239)(cid:200)czenia systemu Windows Server 2008 do domeny us(cid:239)ugi Active Directory. Procedura do(cid:239)(cid:200)czenia komputera do domeny jest w Windows Server 2008 bardzo prosta i szybka. Kliknij przycisk Start, a nast(cid:218)pnie prawym przyciskiem myszy opcj(cid:218) Komputer. Z wy(cid:258)wietlonego menu kontekstowego wybierz opcj(cid:218) W(cid:239)a(cid:258)ciwo(cid:258)ci. Wybór odpowiedniej opcji pokazano na rysunku 2.5. Na ekranie zostanie wy(cid:258)wietlone okno Panel sterowania/System i zabezpieczenia/System za- wieraj(cid:200)ce informacje o systemie. Mniej wi(cid:218)cej po(cid:258)rodku okna s(cid:200) wy(cid:258)wietlone informacje ta- kie jak nazwa komputera, domena i grupa robocza (patrz rysunek 2.6). Obok wymienionych informacji znajduje si(cid:218) przycisk Zmie(cid:241) ustawienia, który nale(cid:285)y klikn(cid:200)(cid:202). 44 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Rysunek 2.5. Wy(cid:258)wietlenie w(cid:239)a(cid:258)ciwo(cid:258)ci komputera Rysunek 2.6. Wy(cid:258)wietlone informacje o nazwie komputera, domenie i grupie roboczej Na ekranie zostanie wy(cid:258)wietlone okno dialogowe zawieraj(cid:200)ce przycisk Zmie(cid:241)… obok opisu Aby zmieni(cid:202) nazw(cid:218) tego komputera, jego domen(cid:218) lub grup(cid:218) robocz(cid:200), kliknij przycisk Zmie(cid:241) (patrz rysunek 2.7). Kliknij wskazany przycisk. Po klikni(cid:218)ciu przycisku Zmie(cid:241)… na ekranie zostanie wy(cid:258)wietlone okno dialogowe pozwalaj(cid:200)ce na przy(cid:239)(cid:200)czenie si(cid:218) do domeny. Jako nazw(cid:218) domeny podaj POA. Na rysunku 2.8 pokazano wy- gl(cid:200)d wspomnianego okna dialogowego po wprowadzeniu wymaganej zmiany. Po podaniu nazwy domeny nale(cid:285)y klikn(cid:200)(cid:202) przycisk OK i poda(cid:202) dane uwierzytelniaj(cid:200)ce w nowo wy(cid:258)wietlonym oknie dialogowym (patrz rysunek 2.9). 45 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Rysunek 2.7. Okno dialogowe wy(cid:258)wietlaj(cid:200)ce w(cid:239)a(cid:258)ciwo(cid:258)ci systemu Rysunek 2.8. Wskazanie nazwy domeny, do której zostanie przy(cid:239)(cid:200)czony komputer 46 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Rysunek 2.9. Okno dialogowe pozwalaj(cid:200)ce na podanie danych uwierzytelniaj(cid:200)cych Je(cid:285)eli zostan(cid:200) podane prawid(cid:239)owe dane uwierzytelniaj(cid:200)ce i wszystko przebiegnie bez pro- blemów, po kilku sekundach powinno by(cid:202) wy(cid:258)wietlone kolejne okno dialogowe, tym razem zawieraj(cid:200)ce komunikat Witamy w domenie POA, jak pokazano na rysunku 2.10. Rysunek 2.10. Komunikat powitalny po przy(cid:239)(cid:200)czeniu komputera do domeny Po klikni(cid:218)ciu przycisku OK wy(cid:258)wietlone zostanie kolejne okno dialogowe. Zawiera ono ko- munikat informuj(cid:200)cy o konieczno(cid:258)ci ponownego uruchomienia komputera, aby wprowadzone zmiany odnios(cid:239)y skutek (patrz rysunek 2.11). Przed ponownym uruchomieniem systemu upewnij si(cid:218) o zapisaniu wszystkich otwartych plików. Rysunek 2.11. Komunikat informuj(cid:200)cy o konieczno(cid:258)ci ponownego uruchomienia komputera Teraz mo(cid:285)na bezpiecznie nacisn(cid:200)(cid:202) przycisk OK. System Windows Server 2008 zostanie ponownie uruchomiony po naci(cid:258)ni(cid:218)ciu przycisku Uruchom ponownie teraz pokazanego na rysunku 2.12. 47 Kup książkęPoleć książkę Samba 4. Przewodnik administratora Rysunek 2.12. Przyciski, których klikni(cid:218)cie spowoduje ponowne uruchomienie systemu Po ponownym uruchomieniu komputera trzeba koniecznie zwróci(cid:202) baczn(cid:200) uwag(cid:218) na ekran logowania. Je(cid:285)eli tego nie zrobisz, mo(cid:285)e Ci si(cid:218) wydawa(cid:202), (cid:285)e masz dost(cid:218)pne te same opcje co wcze(cid:258)niej. Domy(cid:258)lnie nast(cid:218)puje zalogowanie na ostatnio u(cid:285)ywanym koncie u(cid:285)ytkownika (Administrator w systemie lokalnym). W przeciwie(cid:241)stwie do innych wersji systemu Microsoft Windows oferuj(cid:200)cych wygodn(cid:200) mo(cid:285)liwo(cid:258)(cid:202) wyboru domeny, do której zaloguje si(cid:218) u(cid:285)ytkownik, tutaj trzeba r(cid:218)cznie poda(cid:202) nazw(cid:218) domeny i u(cid:285)ytkownika w postaci DOMENA\U(cid:285)ytkownik. Na rysunku 2.13 pokazano przyk(cid:239)ad logowania u(cid:285)ytkownika do domeny POA, do której przed chwil(cid:200) zosta(cid:239) do(cid:239)(cid:200)czony komputer (pami(cid:218)taj o konieczno(cid:258)ci podania has(cid:239)a administratora domeny POA). Rysunek 2.13. Zalogowanie si(cid:218) do domeny POA Po naci(cid:258)ni(cid:218)ciu klawisza Enter powinno nast(cid:200)pi(cid:202) zalogowanie do nowej domeny. W ten sposób w pe(cid:239)ni skonfigurowa(cid:239)e(cid:258) system operacyjny Microsoft Windows Server 2008 R2 do u(cid:285)ycia domeny POA us(cid:239)ugi Active Directory oferowanej przez Samb(cid:218) 4. To jest ostatni test i ostatnia procedura weryfikacji poprawno(cid:258)ci dzia(cid:239)ania konfiguracji, a kontroler domeny jest gotowy do umieszczenia w (cid:258)rodowisku produkcyjnym. 48 Kup książkęPoleć książkę Rozdzia(cid:225) 2. • U(cid:298)ycie Samby 4 jako kontrolera domeny us(cid:225)ugi Active Directory Poniewa(cid:285) komputer zosta(cid:239) przetestowany i zintegrowany z domen(cid:200), wykorzystamy go do utwo- rzenia struktury organizacyjnej w us(cid:239)udze Active Directory. W omawianym przyk(cid:239)adzie wspo- mniana struktura b(cid:218)dzie si(cid:218) sk(cid:239)ada(cid:239)a z 10 jednostek organizacyjnych, po których utworzeniu komputer b(cid:218)dzie mo(cid:285)na umie(cid:258)ci(cid:202) w (cid:258)rodowisku produkcyjnym. To jest bardzo wa(cid:285)na proce- dura i mamy pewne konfiguracje domy(cid:258)lne mo(cid:285)liwe do u(cid:285)ycia w celu przetestowania kom- putera podczas jego przygotowywania do umieszczenia w (cid:258)rodowisku docelowym. Wiele wpro- wadzanych zmian nie b(cid:218)dzie tutaj szczegó(cid:239)owo omawianych. Przedstawion(cid:200) procedur(cid:218) zalecam stosowa(cid:202) w trakcie konfiguracji ka(cid:285)dej us(cid:239)ugi Active Directory. Wszystkie wprowadzane zmiany maj(cid:200) za zadanie skonfigurowanie (cid:258)rodowiska w sposób najbardziej odpowiedni do wymaga(cid:241). Aby z poziomu systemu Microsoft Windows Server 2008 R2 zdalnie zarz(cid:200)dza(cid:202) kontrolerem domeny us(cid:239)ugi Active Directory opartej na Sambie 4, nie trzeba instalowa(cid:202) oprogramowania dodatkowego ani pobiera(cid:202) czegokolwiek wi(cid:218)cej, jak ma to miejsce w innych wersjach Micro- soft Windows. Nale(cid:285)y jednak skonfigurowa(cid:202) (to znaczy w(cid:239)(cid:200)czy(cid:202)) pewne funkcje w narz(cid:218)dziu Mened(cid:285)er serwera, które domy(cid:258)lnie nie s(cid:200) w(cid:239)(cid:200)czone. Istnieje mo(cid:285)liwo(cid:258)(cid:202) zarz(cid:200)dzania serwerem Samba 4 za pomoc(cid:200) innej wersji systemu Microsoft Windows, na przyk(cid:239)ad Microsoft Windows 2003, Microsoft Windows XP i Microsoft Windows 7. Uruchom narz(cid:218)dzie Mened(cid:285)er serwera. W tym celu kliknij menu Start, nast(cid:218)pnie Uruchom…, wpisz ServerManager.msc w wy(cid:258)wietlonym oknie dialogowym i naci(cid:25
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Samba 4. Przewodnik administratora
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: