7.5.1 ads模式主配置文件配置示例
根据上述要求,可以配置如下Samba服务器主配置文件smb.conf: - [global]
- workgroup = lycb # 指定AD域的NetBIOS名称。
必须有这个语句,否则不能在域网络中搜 - # 索得到该Samba服务器
- server string = File Server
- netbios name = Sambaserver
- security = ads # 指定Samba服务器的工作模式为ads
- hosts allow = 172.16. 127.
- encrypt passwords = yes
- guest account = alice # 指定alice用户作为来宾访问账户
- realm = lycb.local # 指定Windows域名(DNS格式)
- password server = 172.16.0.1 # 指定担当身份
验证服务器的服务器IP地址 -
- [homes]
- comment = Home Directories
- browseable = no
- writable = yes
- path = /home/%U
- valid users = %U
-
- [share]
- comment = All user's share directory
- path = /usr/share
- public = no
- guest ok =yes
- readonly = yes
-
- [program]
- comment = Program Files
- path = /etc/program
- valid users = @administrator alice # 指
定该共享目录仅允许域网络中的administrtors组成员 - # 和alice用户访问
- public = no
- writable = yes
另外,建议在[global]部分使用以下所示配置,使得winbind服务可以列出Samba服务器加入的AD中的所有用户和组信息,确保在windbind服务运行时,可以使用在DC中的用户和组来进行类似文件/目录权限设置以及Samba共享定义等: - idmap uid = 15000-20000 # 指定一个uid范围,
该范围内的uid被用来映射Linux用户到 - # Windows用户SID,而且要确保这个id范围内没有被本地或NIS
- # 用户占用,在winbind服务启动后,也不能在该ID范围内添加用户
- idmap gid = 15000-20000 # 指定一个gid范围,该
范围内的gid被用来映射Linux用户到 - # Windows的组SID,而且要确保这个id范围内没有被本地或NIS
- # 组占用,在winbind启动以后,也不能在该ID范围内添加新组
- winbind enum groups = yes # 指定winbind服务
是否能在系统上创建Windows域组。一般情况下 - # 都要设置为yes,除非你出于某种原因希望关闭该功能
- winbind enum users = yes # 指定winbind服务
是否能在系统上创建Windows域用户。一般情 - # 况下都要设置为yes,除非你出于某种原因希望关闭该功能
- winbind separator = + # 指定一个字符作为分隔符,
winbind将使用该分隔符来分隔用户或组 - # 名使用该配置将使得域用户表示为"MYDOMAIN+username",域组
- # 被表示为"MYDOMAIN+Domain Users"
- template homedir = /homes/%D/%U # 用来指定为域
用户产生主目录。使用变量替换可使winbind - # 服务把用户主目录设置为/homes/MYDOMAIN/username
- template shell = /bin/bash # 控制Samba在哪里寻找域用户的主目录
然后,管理员需要手动编辑/etc/nsswitch.conf文件,这样winbind能实现使用域上的用户。具体将在7.5.3节介绍。
使用testparm命令检查主配置文件的语法和完整的综合有效设置,确认无误后即可进行下面的krb5.conf配置文件配置。
|