2012년 1월 13일 금요일

윈도우 AD 와 리눅스 계정, samba 연동하기 -1

다음은 윈도우 AD 와 리눅스 samba 와 연동하기 위한,
/etc/samba/smb.conf 파일이다.

추가로 윈도우 AD 계정을 리눅스 서버에서 로그인할 수 있는 방법이기도 하다.

smb.conf 관련 옵션(%U, %s 등) 등은 구글 검색해서 조금 더 첨부해서 수정해야할 것 같다.

참고 URL
http://preview.library.microsoft.com/ko-kr/magazine/dd228986

윈도우 AD 는 놔두고
각 리눅스 서버마다 AD 계정을 사용하기 원한다면
해당 리눅스 서버마다 다음과 같은 설정을 모두 해야한다.

우선적으로 설치할 패키지 목록이다
kerberos - 이하 krb5
ldap
winbind
samba

여기서 가장 중요한 것은 samba 패키지이다
samba 패키지 버전을 3.5 이하이면 정상적으로 작동하지만
3.6 이상일 때는 AD 와의 연동이 정상적으로 되지 않으니
버전을 일치 시킨 후 테스트를 꼭 해보아야 한다

일단 krb5, ldap 를 설치할 때는
해당 패키지 외 libkrb5, libpam-krb5, ldap-auth-client, ldap-auth-config, libnss-ldap, libpam-ldap 등도 함께 찾아서 설치해야 한다.
프로그램 자체를 실행시키는 것이 아니라
krb5, ldap 프로그램 뒤에 있는 환경 구성 및 설정을 가지고 와서
AD 계정을 사용하는 방식이기 때문에 꼼꼼히 찾아서 설치해줘야 한다.

현재 운용 중인
OS windows 2003 에 위치한 AD 와
Suse Linux, Ubuntu Linux 등과 상호 연동이 잘되고 있다.

이 외
/etc/hosts
/etc/krb5.conf
/etc/ldap.conf
/etc/nsswitch.conf
등을 추가로 설정해줘야 한다.
그리고 리눅스에서 AD 의 계정 연동을 위해,
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-password
/etc/pam.d/common-session
등의 파일도 추가 설정 변경을 해줘야 한다.

자세한 내용은 너무 길고,
일단 정상적으로 운용되는 리눅스에서
samba 설정 파일이다.

이 글을 올리고 천천히 주석을 달아봐야겠다.

[global]
        comment = *****
        server string = Samba - *****
        os level = 3
        log level = 2
        log file = /var/log/samba/log.%U
        workgroup = *****
        security = ADS
        realm = *****
        password server = *****
        server signing = auto

        idmap backend = tdb
        idmap uid = 1000-19999
        idmap gid = 1000-19999
        idmap config  *****  : default   = yes
        idmap config  *****  : backend   = rid
        idmap config  *****  : range     = 20000-499999

        allow trusted domains = no
        winbind separator = /
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes
        winbind nested groups = yes
        template shell = /bin/bash
        template homedir = /home/%U

        local master = no
        domain master = no
        domain logons = no

#       symbolic link view
        follow symlinks = yes
        wide links = yes
        unix extensions = no

#       samba speed up
        socket options = SO_KEEPALIVE TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 IPTOS_LOWDELAY
        keepalive = 900

#       not used printer
        load printers = no
        show add printer wizard = no

        printcap name = /dev/null
        disable spoolss = yes

        smb ports = 139

        client schannel = no
        server schannel = no

[share]
        comment = share
        path = /share
        valid users = %U
        read only = No
        writable = yes
        inherit acls = yes

[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        valid users = *****\%S
        browseable = no
        writable = yes
        read only = No
        inherit acls = Yes
        public = yes

[users]
        comment = All users
        valid users = %U
        path = /home
        public = no
        read only = No
        writable = yes
        inherit acls = yes
        veto files = /aquota.user/groups/shares/


http://bs-secretroom.blogspot.kr/2012/01/ad-samba.html
http://bs-secretroom.blogspot.kr/2012/07/ad-samba-2.html
http://bs-secretroom.blogspot.kr/2012/07/ad-samba-3.html
작성자: 시간:
Category : , ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)