欢迎来到天天文库
浏览记录
ID:34526370
大小:1.09 MB
页数:11页
时间:2019-03-07
《samba工具使用指南:unix与windows_nt网络互连10new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、下载第10章域迄今为止,我们已经讨论了Samba的一般配置,通过这些配置,无论在工作组中还是域中,Samba都可以工作。Samba服务,如WINS和浏览器,都可以在工作组和域中使用。本章将专门讨论在windows域中配置Sabma。10.1域和工作组比较Windows的域和工作组的相同之处是其中都有一组用户,服务和计算机共享相同的域名空间。它们的不同之处是域在所有成员之间使用了相同的安全策略和管理结构。所有的帐号目录信息保存在一个称为安全帐号管理器(SAM)的安全的集中式数据库中。主域控制器负责维护SAM数据库,每个备份域控制器上保存它的副本(参见第3章)。对系统管理
2、员而言,这种方式的意义表现在,有一个集中的位置管理整个域的帐号,口令,访问控制和策略。使用这种工作模式的终端用户只需登录一次就可以获得对域中所有资源的访问权。域的访问安全性在工作组之上,因为在域登录时使用和PDC之间的安全通信通道,只进行一次客户身份认证。一旦认证通过,就可以使用基本客户组成员关系的访问控制来控制客户对资源的访问。域中的组是一种根据需求和工作利益将用户分类的方法。和域相反,每个工作组都维护了一个保存访问网络资源所需的帐号和口令信息的Cache。系统为每个活跃用户创建了一个独立的文件,保存在/Windows目录下,文件名为〈用户名〉.PWL。Window
3、s用相应的用户登录口令作为钥匙打开此文件。在连接一个网络资源时,系统依次尝试用户身份文件中的每一项,直到接受或拒绝认证。由于使用了功能比较弱的加密方法和多用户交叉登录这一特性,导致了安全隐患的存在,所以将用户身份信息保存在这些Cache文件中是非常不安全的。域还提供了一种通过信任关系认证对位于不同域中的资源的访问的机制。信任关系是将两个域结合为一个管理单元的逻辑关系。信任关系可以是单向的(域A信任域B,但域B不信任域A)或双向的(域A和域B相互信任)。10.2Samba和域与应用范围很广的WINS和浏览器实现不同,Samba的域功能特性不是很明显。但这并不是说在域环境
4、中Samba不能用作客户机或控制器。在NT域中,Samba服务器可以只作为客户机。Samba也可以用做受到一定限制的域控制器。作为Windows9x环境中的域控制器,Samba支持域登录、登录脚本、用户特权和系统策略。Samba不支持复制SAM数据,它也不支持通过WindowsNT管理工具进行远程管理。目前正在研究如何在WindowsNT客户环境中实现SambaPDC的方法。在本章后面部分,读者可以了解到更多关于SambaPDC开发和提供实验性源代码的问题。96第二部分安装与配置下载10.3域客户为了向域中添加Samba服务器,我们必须为服务器创建机器帐号和口令,并通
5、过该域的PDC进行注册。首先应该停止Samba服务器上的smbd和nmbd守护进程。然后,更新服务器的smb.conf文件以反映目标域的属性(见表10-1)。security参数值应设为domain。netbiosname和workgroup参数必须分别说明服务器的NetBIOS域名和域的名字。passwordserver应该列出PDC的名字和该域的所有BDC。因为登录域需要使用加密口令,所以应该将encryptpassword参数值设为yes。设置machinepasswordtimeout间隔以说明每隔多少时间smbd会修改机器口令。缺省值是每周一次。表10-1S
6、amba域成员参数现在不要重启Samba。还需要用服务器管理器在PDC上注册Samba服务器的NetBIOS域名(见图10-1)。在增加了用户和认证了域关系之后,用smbpasswd命令在Samba服务器上设置机器帐号口令(见样例10-1)。新口令将以名为〈域名〉.〈Samba名〉.mac的文件保存在/usr/local/samba/private目录下。“mac”文件扩展名代表机器帐号。图10-1服务器管理器样例10-1创建服务器口令$smbpasswd-j<域名>-r现在可以重启服务器的smbd和nmbd守护进程了。在初始化过程中Samba应登录到域中
7、。可以用服务器管理器认证活跃关系(见图10-2)。当Samba登录到域中之后,它将接收到和Windows到客户机相同的认证和授权信息。这些数据包括了安全标识(SID)的结构和域组关系。在以后的Samba发布中,这些信息将用于自动生成UNIXUID和GID。第10章域97下载图10-2Samba域关系认证10.4域控制器尽管Samba的域控制器的功能还没有达到WindowsNT的水平,但是人们仍然会考虑运行Samba作为Windows9x客户的域控制器。一个原因就是通过Samba完成域认证服务,可以在同一个服务器平台上进行UNIX和NetBIOS域名空
此文档下载收益归作者所有