ITE1804 - Operativsystemer og tjenestedrift obligatorisk oppgave Samba

Samba V4

Detaljert framgangsmåte:

Del 1: Installasjon

Nettverksoppsett

Sjekk notatet "Forberedelser til lab" dersom dette ikke er gjort allerede, Linux systemet må ha fast IP adresse. VMware må være satt opp med bridged nett, verifiser ved å sjekke IP adressen. Vi skal i denne laboppgaven også benytte Windows XP systemer, disse må tilhøre samme IP nett som Linux. Ved bruk av VMware for kjøring av WIndows XP må også dette settes opp med bridged nettverk. Alternativt kan du benytte ditt eget Win 7/8 system istedenfor XP. VMware image for Windows XP ligger på adressen her. Brukernavn "stud" og passord "stud@hin" for å få aksess til området.

APT basert installasjon

Benytt apt for installering av samba tjeneren, sudo apt-get install samba. Sjekk at den kjører ved å benytte kommando netstat -lptn, du skal se at samba prosessene lytter på flere porter.

Del 1: Samba som domenekontroller i Windows domene

1. Ta gjerne en snapshot av din VM før du begynner, da er det lett å gå tilbake til denne ved behov.
2. Følg punktet Provisioning Samba (Setting up a new domain). Før du gjør dette ta vare på den gamle smb.conf filen.
   
   mv /etc/samba/smb.conf /etc/samba/smb.conf.old
   samba-tool domain provision --use-rfc2307 --interactive
   
   Her må du angi realm med STORE bokstaver (f.eks. MITT-DOMENE.NNTH.ORG.LOCAL), og domenenavn (NETBIOS navn, f.eks. MITT-DOMENE) for dette, server rolle: dc (domain controller), DNS backend: SAMBA_INTERNAL og DNS forwarder (navnetjener for eksterne forespørsler, på HiN benytt 192.168.200.1, hjemme/Bodø angi din DNS tjener (hjemme ofte den samme som ruter) og passordet for Administrator.
   NB ! Passordet for Administrator må oppfylle krav til kompleksitet > 7 tegn og kombinasjon av tall, bokstaver, minst en stor bokstav. Dersom passordet ikke tilfredstiller kravet får du en noe kryptisk feilmelding, blant annet med referanse til ACL (men har ikke noe med dette å gjøre, sic...). Må du kjøre provisioning flere ganger må du slette opprettede filer som beskrevet i dokumentet.
   
   Før du startet Samba tjeneren sjekk om en annen prosess lytter på port 53 med netstat -lptn, stopp i så tilfelle denne (kill "PID for prosessen"). Dersom du har en prosess med navn smbd og nmbd som lytter på portene 137, 138, 139, og 445 må disse også stoppes. Sjekk filen /etc/samba/smb.conf. Under globals står de verdiene du har angitt, NETBIOS navnet som står her er navnet på din domenekontroller. Start deretter Samba tjeneren med kommando:
   
   service smbd stop
   service nmbd stop
   samba
   
   
3. Følg deretter punktet Testing Connectivity to Your Samba AD DC. Legg merke til her kommandoene for å stoppe og starte tjeneren igjen (disse kan du få god bruk for).
4. Følg deretter punktet Configure DNS. Samba benytter egen intern DNS tjener, men trenger IP for DNS forespørsler den ikke er ansvarlig for, legg inn dette i "dns forwarder" i global delen i /etc/samba/smb.conf. Dette ble lagt inn under pkt. 1. I pkt. "Testing DNS" skal det benyttes dig ikke host programmet.
5. Legg inn et WIndows system i domenet: Følg beskrivelsen her: https://wiki.samba.org/index.php/Configuring_a_windows_client_for_AD. Viktig at du setter opp Samba systemet som DNS tjener for WIndows systemet ! Når du skal legge Windows systemet inn i domenet blir du spurt om brukernavn og passord, benytt "Administrator" med tilhørende passord.
6. Installer RSAT (Remote Server Administration Tools) for AD management på Windows systemet som beskrevet her: https://wiki.samba.org/index.php/Samba_AD_management_from_windows. Samba tjeneren kan nå konfigureres fra Windows systemet ved hjelp av RSAT. For Windows XP klient installeres RSAT for WIndows 2003 herfra http://www.microsoft.com/en-us/download/details.aspx?id=16770
7. Etter at Windows systemet er med i domenet kan en ved innlogging velge om den vil logge på det lokale system eller på domenet som en domenebruker. Fra nå av benytter vi stort sett domeneinnlogging. Logg deg på domenet med brukeren Administrator og det passordet du valgte tidligere.

Del 2: Opprettelse av brukere og deling av ressurser i nettverket.

Opprettelse av Organizational Unit (OU) og bruker.

1. Benytt Windows for videre konfigurering.
2. Benytt programmet Active Directory Users and Computers. Programmet ligger i gruppen Administrative Tools i kontrollpanelet, Du skal ha din egen OU (Organizational Unit) i AD treet der du kan opprette nye objekter.
3. Opprett en ny OU under domenet ditt i AD. Opprett deretter en bruker i denne OU.
4. Logg av som Administrator og logg deg på domenet med den nye brukeren du opprettet. Verifiser at Mine dokumenter peker til et område på den lokale systemet. (dette skal vi nå endre....)

Opprettelse av katalogdelinger

1. Følg beskrivelsen her: https://wiki.samba.org/index.php/Setup_and_configure_file_shares
   1. ACL må være støttet på Linux, pakken libacl1 må være installert, dette er standard på 14.04.
   2. Filesystem support: Det må legges inn støtte for ACL i filsystemet og dette må angis i filen /etc/fstab på Linux. Du må legge inn ACL støtte for de filsystemene der dette skal benyttes. Har du kun ett filsystem montert på / legger du inn for dette. Har du flere filsystemer i tillegg til / for eksempel /home kan du legge inn for disse også. Trengs kun for de filsystemer der du skal tilby Samba delinger. Nedenfor er et utdrag fra /etc/fstab med der ACL støtte er lagt inn for filsystemet / som ligger på partisjonen /dev/sda1 som har fått en egen UUID under installasjonen
      
      # / was on /dev/sda1 during installation
      UUID=79c60801-7e35-42bd-ba0a-1ec74e9f6e53 / ext3 user_xattr,acl,errors=remount-ro 0 1
      
      
   3. Benytt man fstab for mer informasjon om formatet på fstab poster
   4. Opprett en deling med navn Felles, lag katalogen for delingen /home/felles/ og legg denne inn i /etc/samba/smb.conf, det skal kunne skrives til dette området så sett opp read only = no
   5. Reload Samba, kommando: smbcontrol all reload-config
   6. Følg punktet Setup share permissions, gi gruppen Everyone full aksess på delingsrettigheter, men begrens gruppens aksess til lese i filsystemrettigheter. Angi at gruppen Administrators kan lese & skrive i filsystemrettigheter. Når du benytter Datamaskinbehandling verktøyet skal du koble deg opp mot domenekontrolleren (Samba tjeneren) ikke mot domenet. Altså ved oppkobling angi f.eks. ubuntu.mittdomene.nnth.org.local, ubuntu er navnet på domenekontrolleren (NETBIOS navnet i smb.conf), domenenavnet er mittdomene.nnth.org.local. Kobler du deg opp mot domenet får du ikke opp "Security" tab for å sette aksess i filsystemet.
   7. Publiser delingen i AD. Dette gjøres for at det skal bli lett å finne delingen, velg egenskaper for delingen og deretter Publiser. Legg inn en beskrivelse og publiser delingen.
2. Prøv å aksessere delingen via nettverket ved å browse på domenekontrolleren, i og med at du er innlogget som administrator skal du kunne skrive til delingen, prøv dette.
3. En deling med navn NETLOGON er opprettet automatisk. Dette er en standard deling som benyttes i Windows, det forventes at login script ligger på denne delingen. Delingen skal være kun lesbar på nettet.

Oppsett av hjemmeområde for brukere og roaming profiler

1. Brukerne skal settes opp med roaming profiler, dette er beskrevet i dokumentet https://wiki.samba.org/index.php/Samba_%26_Windows_Profiles
   1. Implementing roaming profiles with Samba beskriver dette (katalognavnene kan variere)
   2. Gi delingen navnet PROFILER og opprett denne under /home/profiler/
   3. Sett opp rettighetene til delingen som beskrevet
   4. Legg inn på brukeren i feltet Profile path: \\server-navn\PROFILER\%USERNAME% (server-navn er navnet på domene kontrolleren)
2. Opprett delingen BRUKERE og katalogen /home/brukere/, sett opp rettigheten tilsvarende som for PROFILER. Dette gjøres for at kun brukeren selv skal ha aksess til sin profil og hjemmeområde.
3. Legg inn på brukeren i feltet Home folder: \\server-navn\BRUKERE\%USERNAME% (server-navn er navnet på domene kontrolleren) og at H: skal mappes til dette området
4. Til slutt ønsker vi at Mine dokumenter skal peke til hjemmeområdet for brukeren på tjeneren, dette gjøres ved hjelp av prinsippet folder redirection
5. Følg punktet Configuring folder redirection i samme dokumentet, men ikke legg dette inn som standard politikk for hele domenet, men kun for den OU som brukeren ligger under
   1. Velg OU og egenskaper
   2. Velg Gruppepolitikk og velg Ny
   3. Rediger denne på tilsvarende måte som beskrevet
6. Logg av som Administrator og inn som brukeren.
7. Gjør noen endringer av ditt oppsett, skjerm, snarveier , programgrupper eller lignende. Disse endringene lagres når du logger av og skal tas vare på til neste gang du logger på.
8. Verifiser at Mine Dokumenter peker til et omåde på tjeneren og prøv å lagre noen filer her.
9. Logg av og på igjen og verifiser at endringene er ivaretatt.
10. Logg deg på et annet system som er med i det samme domenet som ditt system med din bruker. Sjekk at du får opp samme oppsettet. Får du det ? (Dersom ikke er det noe galt med din tjenerbasert profil, sjekk at du har skriveaksess til området og at det eksisterer.)
11. Søk i AD etter delingen Felles. Velg Mine nettverkssteder og deretter Søk i Active Directory, søk etter alle delte mapper i domenet. Du skal da finne delingen Felles, sjekk at du kan lese denne.

Del 3: Gruppepolitikk og innloggings skript (frivillig)

I denne delen skal du aktivere et login skript for brukeren og samtidig sørge for at noe programvare installeres automatisk på brukerens system. To metoder tilgjengelig for installasjon/distribusjon: Assigned og Published..

• Assigned (tilordnet) til en bruker - Brukeren alltid ha programmet tilgjengelig, uansett hvilket system brukeren benytter. Dersom brukeren logger seg på et system hvor programmet ikke er installert vil programmet installeres.
• Assigned (tilordnet) til en datamaskin. Programmet vil alltid være tilgjengelig på denne datamaskinen, uansett hvilken bruker som benytter den. Installasjon skjer neste gang systemet starter.
• Published, Programmet er ikke installert, men vil bli installert på oppfordring fra brukeren. Dette kan skje enten ved at brukeren velger Add/Remove Programs i kontrollpanelet, eller at brukeren velger et dokument eller liknende som har dette programmet assosiert med seg.

1. Opprett filen login.bat i mappen for NETLOGON. Her kan du legge inn WIndows kommandoer som vil kjøres når brukeren logger på. Foreta en mapping av fellesområdet "Felles" til drive G: med kommando net use G: \\"systemnavn"\felles, systemnavn er her navnet på ditt system.
2. Registrer login.bat som innloggingsskript på brukeren oppsett i programmet Active Directory Users and Computers
3. Last ned filen http://kark.hin.no/sysadm/windows/lab11.zip og pakk ut denne, den inneholder tre .msi filer. De tre .msi filene legges på området \\server-navn\NETLOGON
4. Rediger gruppepolitikken for den OU som brukeren ligger under som tidligere
5. Legg inn følgende på Brukerkonfigurasjon - Programvareinstallasjon, legg til ny pakke og velg filen red.msi fra NETLOGON området, angi at den skal være tilordnet.
6. Logg inn som brukeren og verifiser at programmet Red er installert under programgruppen Programs
7. Verifiser at G: nå er koblet opp mot Felles området