文章分类

解放微軟下的王國－Domain Control under Samba

创建：2005-10-27 16:19:06
作者：Unlinux
来自: http://www.Unlinux.com

解放微軟下的王國

由 HK.Samba.Org 成立到現在，自己和不同的會員都有談及 Samba 的發展和發展方向。
但是往往發覺會員最不能了解的部份就是 Samba 中 Domain Control 的部份。

其�?也難怪的，因為 Samba 中有關 Domain Control 的部份是 Samba 3 發展歷程
中重要一環，相比在 Samba 2 的世界下， Domain Control 的發展可以算是一個巨大的
跳躍。

另外 Domain Control 中也可算是 Samba 3 中最難理解的一部份，因為內含有與其它
服務的配合，例如︰ Kerberos （這一隻看守地獄的三頭狗，也可以算是在 Unix 界中最
難攪的服務。），又例如︰ LDAP （這又是另一令人又?矍液薜姆⻊铡Ｒ驗樵� Unix 界中
，這也是可以算是第一或第二今人頭痛的服務。這包括設定和資料維護，可算是一項不輕的工
作。）這更加深了 Samba 3 在 Domain Control 上的神秘感。

但是這一場演講會下，我們嘗試就這一方面作了一定量的了解。

首先我們還是先看一看這演講會的講題︰ Free Microsoft Kingdom 。

這令我想起一個大問題？究景微軟下的王國是一個什麼樣的王國？如果不能回答這個問題，
那又可言「解放」？

當我們想起微軟王國，這其�?有很多不同的人對這王國有不同的思考，這都是合理的；如果你的
腦海浮起了這樣的圖片可以說是一點也不出奇怪的。

一個對建制的迷思。

但是如果我們只抱著這個取向?碚J識他，那可能我們一直也不能真了解他。所以我們還是要問我們要怎樣理解
才合理。

我想我們還是不能離開一個最重要的問題，這也是這王國最基本的組成部份 —— Domain （網域）

如果你們要問我一個問題，
這是一個很湴椎膯栴}︰「如果微軟比 Unix 優勝的話，那優勝的地方在那裏？」

當然這問題也會有很多不同的答案！例如︰使用者環境．．．這都是不爭的事�?，但是最令我著迷的是 Domain （網域）
的理念。（如果你是 Unix 或 Linux 死硬派的話，請原�?我在這裏稱讚 Microsoft 。）

在我們還未進入考慮網域的理念時，我們先作一個更大的思考。一個稱為 Trust Domain （信任網域）的思考！

在微軟王國中基本的單位是網域，但只是這樣的在網域之間還可以產生一定的關係和聯係的。
這可以稱作信任網域。當然在 Active Directory 中的理念下這會有所不同，因為在
Active Directory ，你可以用另一眼光?砜淳W域這問題；比較合理的是把它看作一個巨大的
樹木，而這樹木中，你可以把不同的分支分割出?恚会嶙尣煌� Domain Control （網域控制伺服器）?碜鞴芾恚�
管理的部份又各自連接於這樹木下。（在這文中所言的信任網域的結構是根躆 NT4 網域
結構而言的。）

在信任網域下，你或許可以把它思考成為不同的大蛇；各自把尾巴連結起?怼�

在這結構下，每一網域控制伺服器皆把在網域下的資料與其它的網域控制伺服器作分享。

但跟著?淼膯栴}有兩個︰

第一個問題是︰在網域下有什麼資料？他們可以作分享。

第二個問題是︰如何分別在不同網域下的資料？網域控制伺服器如何分別這一筆資料是屬於網域 A ，而不是網域 B ？

說�?在第二個問題比較容易回答。要分別不同網域下的資料，其�?依?牡牟煌W域下的 SID
(Security Identifier) 就可以辦到了。你可以嘗試在 Samba 3 下執行這個指令；那你就可以提
取你 Samba 網域下的 SID 了。

# net getlocalsid

SID for domain KRB is: S-1-5-21-2539658682-2581673518-1142642392

#

這裏你或許應該留意這是一很長的一組號碼，而且每一網域下的 SID 也不同。另外在網域下
每一帳號都是以網域的 SID 作起始，而產生其它不同物件的 SID 。因此這就很容分別出這筆資料或是物件屬A 網域還是屬於 B 網域了。你可以用以下的指令查詢 Samba 伺服器下帳號之資料，而其中更包含了帳號 SID 。

# pdbedit -L

root:0:root

# pdbedit -v root

Unix username: root

NT username:

Account Flags: [U ]

User SID: S-1-5-21-2539658682-2581673518-1142642392-1000

Primary Group SID: S-1-5-21-2539658682-2581673518-1142642392-1001

Full Name: root

Home Directory: \krbroot

HomeDir Drive:

Logon Script:

Profile Path: \krbrootprofile

Domain: KRB

Account desc:

Workstations:

Munged dial:

Logon time: 0

Logoff time: Sat, 14 Dec 1901 04:45:51 GMT

Kickoff time: Sat, 14 Dec 1901 04:45:51 GMT

Password last set: Mon, 23 Feb 2004 11:33:24 GMT

Password can change: Mon, 23 Feb 2004 11:33:24 GMT

Password must change: Sat, 14 Dec 1901 04:45:51 GMT

#

這裏你可看見使用者帳號 root 的 SID 是 S-1-5-21-2539658682-2581673518-1142642392-1000
而這 SID 的開始亦是和 Domain 的 SID 是相同的。只有最後的一組數字不同，這不同的就是
1000 ；這不同的一組數字可稱作 RID 。在這裏 root 的 RID 是 1000 。

第二個問題就比較上複雜，也難以回答；或許我們還是回到 Samba 下尋找答案。當你執行 smbpasswd
時，你或許會發現有如下的 options .

$ smbpasswd -h

...

......

options:

...

......

extra options when run by root or in local mode:

-a add user

...

......

-i interdomain trust account

-m machine trust account

...

......

$

在 smbpasswd 下，你可以找到三種不同的使用者帳號。

使用者帳號 ( user account )

信任電腦帳號 ( machine trust account )

信任網域帳號 ( interdomain trust account )

在這裏你可以思考就是使用者帳號之存在問題，首先使用者帳號是相關於使用者的帳號模
式；這不只存在於 Microsoft 網域世界，其�?這也存在於 Unix 的世界內。

這是當一使用者希望提取一服務時，服務器必須確認提取服務的就是使用者帳號下所登錄
的使用者，而不是一個?阂獾墓粽摺�

服務器如何能分辨這個差�?？這主要就是倚靠服務器本身首先登錄使用者的資料，然後
如果使用者能夠在提取這個服務的時候，能提供的資料和服務器本身所登錄之資料吻合的
話，服務器本身就會為正確提供資料的使用者服務。

這不只在於 Microsoft 網域，其�?當你去任何一網上服務者，而它又要求代登入使用的
時候，你也會面對使用者帳號的使用和管理的問題。

另外什麼是信任電腦帳號？

要了解信任電腦帳號的話，你或許要先理解在 Microsoft 下的 Domain Logons （網域登入）服務。

Microsoft 下的網域登入服務

Microsoft 網域下是把伺服器和桌面系統完全分開的。這不像 Linux 伺服器，因為
你可以想像 Linux 的桌面系統下可以安裝不同的伺服器系統，例如︰Mandrake 和
Debian 下，他們完全可以在安裝程式時安裝不同的伺服器系統和桌面用戶程式。

其�?在某些 Linux 的版本下，他們是把桌面系統和伺服器系統分開的，例如︰
紅旗 Linux ，他把桌面系統和伺服器系統分開在不同的安裝光碟上，但是這也不是如
Microsoft 形式下的把伺服系統和桌面系統不同的分別。因為在這上面的分別只是安裝
上的分別，而 Microsoft 在這裏的分別是在於網域登入上。

做一個簡單而有關網絡身分的�?驗

在 /etc/samba/smb.conf 下的 [global] 部分中加入或修改這樣的幾行。

[global]

...

......

domain master = yes

preferred master = yes

domain logons = yes

security = user

......

...

然後你可以執行 testparm ?頊y試你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_DOMAIN_PDC

Press enter to see a dump of your service definitions

......

你可以在這裏看見你的 Samba 會把自己看作是 PDC ，當然這也是 Microsoft 網域下
的網域控制服務器。

第二步驟，修改 /etc/samba/smb.conf ；只要把 domain logons 的設定作 no 。其它的設定也不需要作出更改。

[global]

...

......

domain master = yes

preferred master = yes

domain logon = no

security = user

......

...

這樣當你再次執行 testparm ?頊y試你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

......

這時你可以看見你的 Samba 伺服器己改變了身份。在這裏它己變成了 STANDALONE 的機器，而失去了網域控制伺服器的尊貴身份。

再次修改你的 smb.conf 檔案︰

[global]

...

......

domain master = yes

preferred master = yes

domain logon = no

security = domain

......

...

這次只修改了 security 的設定，而其它的卻不作修改。現在你可以再用 testparm ?�
檢查你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

......

這次得出?淼慕Y果顯示了 Samba 不再是 STANDALONE 了，而又變身成為
DOMAIN_MEMBER 。

Microsoft 網域下的 DOMAIN_CONTROLER 和 DOMAIN_MEMBER （網域成員）

Microsoft 網域下的網域控制伺服器就是以 DOMAIN CONTROLER 的身份存在在網域下。
（而 PDC 就是其中一�?形的 DOMAIN CONTROLER ，而 BDC 又是另一�?形的
DOMAIN CONTROLER ，下文會再言 BDC 的設定。）

Microsoft 網域下的桌面系系統就是以 DOMAIN_MEMBER 的身份存在在網域下。
（例如 NT workstation，或者 Windows 2000 Prefessinal 和 Windows XP Prefessinal
。他們就是以 DOMAIN_MEMBER （網域成員）的身份存在。

DOMAIN_MEMBER 和 DOMAIN CONTROLER 有什麼分別？讓我們?氖褂谜叩慕嵌认�
思考這問題。

使用者和 DOMAIN_MEMBER

當使用者使用 Microsoft 網域下的資源時，他們一定會使用某台電腦的（或電腦�?形
的配備，或許未?韴绦� CE 的手帳也可以作網絡登入之用！）。他們絕不可能在只是坐在椅上而不需要透過使用電腦就可以使用網域下的檔案目錄吧！

當使用者使用某台電腦時，很多時候在開始使用時，他們也需要輸入使用者名稱和
使用者帳戶所登錄的密碼。就如使用者帳號下所記錄的！但是問題卻在如果使用者在登入的
時候選擇了某網域作為登入的話，那他所登入的電腦本身就很有可能是沒有記錄這使用者帳號
的資料，而記錄這資料的責任卻是遠端地存放在 PDC 和 BDC 內的，好了讓我們站在
DOMAIN_CONTROLER （網域控制伺服器）的角度?硐胂脒@事情。

DOMAIN_CONTROLER 和 DOMAIN_MEMBER

當我們站在 DOMAIN_CONTROLER 的角度下?硐脒@事情的話；就好像在網域下有一台電腦
拿著某人的資料包括這人的登入名稱和密碼?硐蚰阕鞒龅侨氲囊螅『昧巳绻@台電腦是一台含有?阂獾碾娔X，
而且它是被一個?阂獾墓粽咚刂疲ɑ蛟S這真是一個信任的使用者，但卻坐在一台你不能信任的電腦下！），那這個?赫吖粽吆苡锌梢允菫榱似平饽橙说氖褂�
者密碼而?恚� DOMAIN_CONTROLER 是不能在任何電腦對他作詢問時，他都坦找愿娴摹�

如何可以分辦 DOMAIN_MEMBER 是否可以信靠的電腦？這個答案就是信任電腦帳號。

信任電腦帳號的組成

如何在 Microsoft 網域下達成信任電腦的關係？（我想你可以把它看作成一個
關係，因為如果網域下有兩台 Microsoft 或者 Samba 伺服器，但這不能算是能夠達成
信任電腦帳號，因為這兩台電腦可以獨立成為 STANDALONE 級數的伺服器，而不是構成
信任電腦的關係即 DOMAIN CONTROLER 和 DOMAIN MEMBER 的關係；不使用這關係的話；會引致很多不良的影響！這可以普遍見於不同大少的公司。（他們都可以在不同部們，不同的
分公司的地址下都有很多不同的電腦在咦鳎坏钱斨袇s沒有把它們的權責分別清楚，
這些伺服器都需要保存一組的使用的電腦帳號，而且當一些使用者會同一時間，或不同
的時間下接觸多於一台伺服器時，這些伺服器甚至需要把使用者的資料作多於一次的登
錄，當然每多一次的登錄，這會使得使用者在修改自己的密碼時，他就要到不同的伺服器下修
改他們帳號內的使用者密碼。這些都會加深管理的難度！）

在建立信任電腦帳號的關係時，在 Microsoft 的網域下需要有起碼兩台電腦。一台是
PDC ，另外一台成為 DOMAIN_MEMBER 。還有一個很重要的步驟，就是 join DOMAIN 的
步驟。

信任電腦帳號的組成 (PDC)

在這裏先設定你的 PDC 。也先看看你的 /etc/samba/smb.conf 。

[global]

...

......

domain master = yes

preferred master = yes

domain logons = yes

security = user

add machine script = /usr/sbin/useradd %u

......

...

以上的設定是把你的 Samba 設定成為 PDC ，後再加上一 add machine script 的
option . 這會使到你的 DOMAIN_MEMBER 作 join DOMAIN 時，使你的 PDC 自動地在 Unix 或 Linux 系統下產生你 DOMAIN_MAMBER 的電腦帳號。

信任電腦帳號的組成 (DOMAIN_MEMBER)

好了另外我們要?砜匆豢� DOMAIN_MEMBER 內的 /etc/samba/smb.conf 的設定︰

[global]

...

......

domain master = no

preferred master = no

domain logons = no

security = domain

add user script = /usr/sbin/useradd %u

......

...

基本上如果你的 Samba 是作 DOMAIN_MEMBER 的話，原則性地你的 Samba 就不需要成
為 domain master （網域控制伺服器），亦不需要成為 preferred master ，當然你亦不需要作 domain logons （在網域上提供網域登入）
伺服器。你亦可以不把這些 Options 作出設定的，但要記得把 security 的設定設定作
domain ，就可以了。（這也是使你的 Samba 成為網域成員的最重要一環，這代表著你的 Samba 願意提供服務給網域控制器下所登錄的使用者。）

增加使用者程式 (add user script)

另外有個設定，你可能需要加在你網域成員的 smb.conf 內的
"add user script" 。

為什麼要加入這設定？（其�?你可以使用 winbind ?砣√孢@設定的。）

或許你會思想一個問題，如果在網域的 PDC 帳號內有某使用者 frankie 的帳號，但是
這帳號卻不存在在網域成員的 Unix 或 Linux 帳號內，那你的網域成員（如果它是執行 Samba 系統）就不能容
容 frankie 提取網域成員機器內在網域上所分享的網域資源。因為 frankie 在提取
網域成員下的資源時，你的 Samba 卻不知道 frankie 應在 Unix 或 Linux 下
應使用什麼使用者和群組的權力?硖崛≠Y源。所以沒有它途，只有就是不提供服務給 frankie 。但是如
果在你 Samba 下的 /etc/samba/smb.conf 下加入 add user script 的時候，
那當網域成員( Samba )發現 frankie 是存在於網域控制伺服器內，更能通過認証；卻又發現在
自己 Unix 或 Linux 系統下卻沒有 frankie 使用者存在，那網域成員 Samba 就會用 "add user
script" 的程式?碓� Unix 系統內加建 frankie 的帳號，這樣 frankie 就能在 unix
系統下存在了。因此網域成員在遇上 frankie ?硖崛【W絡資源時，就可以使用
新增的帳號的使用者權限和群組權限?硖崛　�

參加 ( Join ) 網域

當你設定好主網域控制伺服器和網域成員這兩台(Samba)伺服器，那你還需要一個簡單的步驟；這簡單的步驟就是參
加網域(Join Domain)的過程。（暫時集中在討論 rpc 級數的 Join Domain，另外亦集中論討在 Samba 3 下 Join Domain 的情況。）

在 Samba 3 中如果要達成參加網域的動作時，你首先要理解三件事。

-> 首先你要把你的網域成員加入到什麼 Domain 下。其�?你也能理解，如果你要加入到 HKSAMBA
Domain 下，和當你加入到 GODCLICK Domain 下，這是兩件不同的事情的。要設定你的網域成員要加入何網域，這可以在網域成員下的 /etc/samba/smb.conf 的 workgroup 設定作修改。

-> 另外你要知道在那主網域控制伺服器（PDC)下，最高權力者的使用者帳號密碼。在不同的伺服器系統下這個最高權力者的帳號名稱各有不同，例如︰在 Microsoft 下，最高權力者是 Administrator ，而在 Samba 系統下最高權力者，即是 Unix 或 Linux 下的最高權力者︰ root 。

-> 第三樣事情就是當加入網域時所選擇的保案級數。（在 Samba 3 下
你可以選擇的保案級數是 rpc、 rap 和 ads 。在這裏暫時只集中在 rpc 保案級數上。）
在這裏保安級數不同於 smb.conf 下的 security 的設定。

在這裏我們嘗試把我們的 Samba 伺服器 ( DOMAIN_MEMBER ）加入網域中。

# net rpc join -U root -w 123456

Joined domain HKSAMBA.

#

在這裏你需要使用在你 Samba 機器下，使用 root 的帳號，然後執行 net 的指令。
net 的指令下，你需要選擇保安級數，這裏所選擇的保安級數為 rpc 。（這是和 NT４同等
級數。），後使用 join 的指令，表示你打算把你的 Samba 伺服器加入到網域下，之後你要在 net 指令下告訴你的 Samba 系統，當他打算 Join 入 Domain 時，使用什
麼使用者帳號。因在此你打算把你的 Samba 伺服器加入到 Samba 所管理的網域，所以最高權力的使用者帳號為 root ，而 -w 這個設定所加入的是這個帳的使用者密碼。（這密碼不是 root 下的系統密碼，而是 Samba passdb 下的使用者密碼。所以很有可能需要你先把 root 的帳號加到你的 Samba passdb 下，你可以使用 'pdbedit -a root' ?磉_致。）

當你的 Samba 伺服器能成功參與該網域，你就會接收到你成功參與的信息。
另外你也可以嘗試使用主網域控制伺服器下的使用者帳號資料?淼侨肽憔W域成員的電腦。（這不需要理會這網域成員下的 Samba 伺服器有否這使用者帳號，也不會理會這網域成員下這使用者帳號的密碼有否和主網域控制器下的相同與否，也會完全使用網域控制器下的 passdb 使用者帳號資料作 Samba 認証之用。

發生在參與網域行為下

當你�?現了參與網域行為，即把網域成員參與了網域後，有什麼特別的事情會發生？

要了解這事情，你可以?木W域控制器下去了解它，另一方面亦需要?木W域成員的角度下去了解它。

發生在參與網域行為下的網域控制器

當你的網域成員參與了網域時，你可以發現在網域的網域主控伺服器下自動地加入了一個信任電腦帳號。你可以用 pdbedit 瀏覽你網域 PDC 下的帳號戶口列表。

# pdbedit -L -w

member$:1001:BB6FA10D4DD129BA7CD0EAC7B36D5E5C:

70595DCF510FD294D987EBFB004FA75F:[W ]:LCT-4092041F:

root:0:44EFCE164AB921CAAAD3B435B51404EE:

32ED87BDB5FDC5E9CBA88547376818D4:[U ]:LCT-40920331:

#

在這裏你可以發現你的網域控制伺服器下加入了一個帳號，而這個帳號是信任電腦帳號，而這個帳號的名稱為 member$ 。（如果不是使用者帳號的話， Samba 是會在這個帳號的結尾加上一個 '$' 的字原的，而另外在 Samba 下，每一個帳號都有一個旗號的，而這 member$ 的帳號旗號為 'W' ，即表示這帳號為一信任電腦帳號。這也是所有發生在網域控制伺服器下的事情，當然要令網域控制伺服器能成功建立這一帳號，也是需要像前文所說在 /etc/samba/smb.conf 中加入 'add machine script' 的設定。

發生在參與網域行為下的網域成員

另一方面可能你也會可翻查在網域成員的改變，但是我想你還是先思考當中的可能轉變。

有什麼是可能轉變的？我想只有兩項。

-> 記錄著主網域控制伺服器下對這帳號所設定的密碼。

-> 所登入網域的 SID ，這兩項資料。（ SID 是網域中最基本的資料，所以網域成員也自然要知道這資料，好分別他是加入何網域的。）

但是這密碼究景收在那檔案內。如何可以發現這密碼？先首要了解 Samba 大部資料是收在 tdb 資料檔案下的，這信任電腦密碼也不例外。你可以翻查不同 tdb 檔案，看密碼收在那檔案下。（在這裏可以先告訴你這密碼是收在 /var/lib/samba/secrets.tdb 下，另外你可以用 tdbdump ?聿榭催@檔案。）

# tdbdump /var/lib/samba/secrets.tdb

{

key = "SECRETS/MACHINE_LAST_CHANGE_TIME/HKSAMBA"

data = ">492@"

}

{

key = "SECRETS/MACHINE_SEC_CHANNEL_TYPE/HKSAMBA"

data = "2000"

}

{

key = "SECRETS/MACHINE_PASSWORD/HKSAMBA"

data = "-gguYvmRBBx6IH0"

}

{

key = "SECRETS/SID/MEMBER"

data = "1400000515000FDFD9DBB3AE

D0CCFEKC800000000000000

000000000000000

0000000000000000"

}

{

key = "SECRETS/SID/HKSAMBA"

data = "1400000515000

D9D7E0D1;xB3ED844170000000000000000

0000000000000

0000000000000000"

}

{

key = "INFO/random_seed0"

data = "O700"

}

#

當然有了這樣的一個密碼後，網域成員就可以提取了在網域控制伺服器下所記錄的使用者資料了。

什麼是信任網域帳號？

要了解信任網域帳號，你可以依?牧私庑湃坞娔X的邏輯?砹私馑�

另外在這裏有一些持別地方可以加以注意的。首先在兩個互相信任的網域下，大家應有相同的級別。還記得蛇咬著蛇這個圖案嗎？他們大家是平等共存的。在這前題下，你可以想像的就是在不同的信任網域下皆需要為不同的信任網域加上另一信任網域的〔信任網域帳號〕，另外亦需要作申請信任的動作。

其�?也可以作單方面的信任，即 A 網域建立了 B 網域的〔信任網域帳號〕，而在 B 網域卻沒有建立 A 網域的〔信任網域帳號〕，另外 B 網域申請了 A 網域的信任，但是 A 網域卻沒有申請 B 網域的信任，這情況絕對會存在的！如是這樣，那 A 網域的使用者帳號資料就可以給 B 網域?砣∮茫� B 網域的使用者帳號資料卻不能被 A 網域取用；這意味著 A 網域的使用者可透過 B 網域下的網域成員?淼侨� A 網域，也作表著 B 網域下的網絡資源也可分配合 A 網域下的使用者使用。反之卻不能。

新增信任網域帳號

如果你想理解信任網域帳號，或許你可以?男略鼍W域帳號?砝斫馑�

這是沒有自動新增信任網域帳號的程序呼叫的，你需要手動地增加它。在這過程中你會有幾個不同的過程，你需要依?牡摹�

在這例子裏有兩個網域，一個網域稱為 GODCLICK ，而另一個網域稱為 HKSAMBA ，現在打算使 HKSAMBA 網域信任 GODCLICK 的網域。

-> 首先第一步先在 HKSAMBA 的主網域控制伺服下的 Unix 或 Linux 系統下新增一個使用者帳號代表著這個信任網域。（如何設定主網域控制伺服器，你可以留意前文的內容。）

# useradd godclick$

#

在這裏加入的使用者帳號是信任的網域名稱。（現在的例子是︰ GODCLICK ）但記緊在信任的網域名稱後加上 '$' 字原。（但因為 '$' 字原在 Unix 或 Linux 的 Shell 下是一特別的字原，因此需要在這字原後加上另一保留字原 '' 。）

當你完成了這一個 Unix 下的使用者帳號後，你可以檢查一下這使用者帳號是否被建立成功。

$ getent passwd | grep godclick

godclick$:x:1003:100::/home/godclick$:/bin/bash

$

另一步驟就是建立信任網域帳號在 HKSAMBA 的主網域控制伺服器之 Samba 伺服器的 pdbedit 內。

# smbpasswd -a -i godclick

New SMB password:

Retype new SMB password:

Added user godclick$.

這一次的加帳號指令是 smbpasswd 而不是 pdbedit ，而且一定要使用主網域控制伺服器下的 root 帳號?硇略鲂湃尉W域帳號，另外這裏的網域名稱是不需要再加上 '$' 字原在最後部份的。但是當 smbpasswd 知道你在新增信任網域帳號時，他就會在這個帳號的最後方加上 '$' 的字原。另外記得在這裏你是需要加入密碼的，這密碼也是在 GODCLICK 網域申請加入 HKSAMBA 網域時所必須要提交的的

做完這些預備功夫後，你可進行信任網域的過程了。

信任網域過程

好了在 GODCLICK 之 PDC 執行 net 指令如下︰

# net rpc trustdom establish hksamba

Password:

[2004/05/03 15:49:20, 0] utils/net_rpc.c:rpc_trustdom_establish(2106)

Success!

#

這裏你會發現在 net 指令是需要你加上密碼的，但是要加上什麼密碼？

在這裏你所加上的密碼是你在執行 '# smbpasswd -a -i godclick.net' 所加上的密碼。

另外你在這裏接收到 Success 的信息時，即表示你已成功地把建立了網域信任的關係，
但是你要留意在此時，網域 godclick 能夠查詢 hksamba 的網域使用者資料，但是 hksamba 卻仍不能查詢 godclick 網域之資料，因為這裏只建立了 hksamba 對 godclick 的信任，
卻沒有建立 godclick 對 hksamba 的信任。

測試信任網域

我想當你建立了信任網域時，或許你需要作這方面的測試。

你可以先在網域 GODCLICK 的 PDC 下作使用 smbclient ?碜鳒y試。

# pdbedit -L

Unable to open/create TDB passwd

# smbclient -W HKSAMBA -U root -L localhost

Password:

Domain=[GODCLICK] OS=[Unix] Server=[Samba 3.0.2-Debian]

Sharename Type Comment

--------- ---- -------

print$ Disk Printer Drivers

IPC$ IPC IPC Service

(workstation-178 server (Samba 3.0.2-Debian))

ADMIN$ IPC IPC Service

(workstation-178 server (Samba 3.0.2-Debian))

root Disk Home Directories

Domain=[GODCLICK] OS=[Unix] Server=[Samba 3.0.2-Debian]

Server Comment

--------- -------

WORKSTATION-178 workstation-178 server (Samba 3.0.2-Debian)

Workgroup Master

--------- -------

GODCLICK

#

你可以先使用 pdbedit ?頇z查你的使用者帳號，在這裏你會發覺在你 GODCLICK 是完全
沒有使用者帳號的，所以在這裏回報了一個錯誤的信息（Unable to open/create TDB passwd )但是你卻可以使用 root 的使用者帳號?聿樵� PDC 的網域資源。在
smbclient 下，你會發覺加上了 '-W hksamba' 的設定，這設定告訴 smbclient 在查詢帳號時使用 HKSAMBA 網域的使用者帳號。

在信任網域下的帳號密碼

在這裏或許有朋友會詢問為何 GODCLICK 網域下沒有使用者帳號，但是仍能查詢 HKSAMBA 網域下的使用者帳號，那麼信任網域帳號在 GODCLICK 下存在在何處？以致它能查詢 HKSAMBA 網域之資料。

當你在 GODCLICK 之 PDC 下執行了 'net rpc trustdom establish' 後，你可以在

/var/lib/samba/secrets.tdb 檔案下找到這帳號的碼密資料。

# tdbdump /var/lib/samba/secrets.tdb

{

key = "SECRETS/SID/GODCLICK"

data = "1400000515000:849A15S

F6ED5CBFB22U000000000000

00000000000000000000

00000000000000"

}

{

key = "SECRETS/$DOMTRUST.ACC/HKSAMBA"

data = "8000H0K0S0A0M0B0A000000

000000000000000000000

000000000000000000000

0000006000123456080F995@14000

000515000D9D7E0D1;xB3ED844170000

000000000000000000000

000000000000000000000"

}

{

key = "INFO/random_seed0"

data = "O700"

}

#

在這裏你會發覺在這裏 Key 的 "SECRETS/$DOMTRUST.ACC/HKSAMBA" 所指著的 Data 這是這個信任網域的密碼。

一些特別的事情有關信任網域

首先你要理解信任網域是在不同的網域下的使用者可以使用不同網域下的資源，如果這是事是發生在 Microsoft 的網域下的話，這會因為使用者擁有唯一而且不同的 SID ，以作分別；所以不同的網域下的使用者帳號有完全不同的使用者權力。但是在 Samba 網域下卻有一問題，就是因為不同的使用者帳號需是有不同的 SID ，但是在 Samba 伺服器下卻會把這個使用者帳號轉換成 Unix 使用者帳號，在這裏很多時候不是依?� SID ?硖幚恚鞘褂檬褂谜叩膸ぬ柕牡侨朊Q?磙D換，因此在 HKSAMBA 網域下的使用者 root 和 GODCLICK 網域下的使用者 root 在同一台 GODCLICK 之網域主控伺服器的 Samba 在 Unix 或 Linux 系統的層面上卻擁有了相同的使用者權力，因為這兩帳號在登入時都是使用了 root ?碜鲙ぬ柕侨朊Q。

Samba 的網域資料和 tdb files

Samba 的網域控制伺服器 PDC ，當中有不少的使用者帳號的資料結構；當中有很大情度是與 Unix 伺服器是有很大的差別的，因此 Samba 在這方面有它自己不同的資料庫，這主要是把資料放在 tdbsam 內的，也是 tdb file 內。這是一個很簡單的資料結構檔案，是由 Key 和 Data ?斫M成的，而在每一個 tdb files 內的 Key 是唯一的。即是說沒有任何一筆資料是擁有相同的 Key 的，另外你可以使用 tdbdump 這工具指令?矸� tdb 資料庫的內容。（如上文所示）

Samba 有很大量之資料是使用 tdb 資料庫?泶娣牛以谖�?淼娜兆友Y samba 仍會大量使用 tdb ?泶娣刨Y料，但是在使用 tdb ?泶娣刨Y料，卻會面對不同的問題：

-> tdb 資料庫不是一網絡形態之資料庫，因此在使用 tdb 資料庫時，只能在單一台 Samba 中使用，而另一台 Samba 伺服器卻不容易查詢另一台 Samba 下的 tdb 資料庫內的內容。
（但你可以想像的就是網域下某些資料是不完全隸屬於此一網域下的網域控制器，而是隸屬於這整個網域。例如︰使用者帳號，群組資料和 SID 對 Unix id 的對比表格。）

-> tdb 資料庫亦沒有提供一簡易的備份方法，當然更沒有主伺服器和副伺服器資料處理上的分別。
因此要可能要管理者另外建立一方式?硗瓿� PDC 和 BDC 伺服器的備份和設定。

-> tdb 資料庫的結構是不容理解的，亦不容易透過直接修改資料庫的資料內容以作維護的。（當然 Samba 仍提供不同的指令讓你修改當中的內容，而且直接修改資料庫的資料內容，亦容易產生不必要的錯誤。）

OpenLDAP 與 Samba 的網域資料

在 Samba 下，除了使用 tdb database ?泶娣啪W域之資料外，亦可使用 OpenLDAP ?泶娣胚@方面的資料。

為什麼使用 OpenLDAP ?泶娣啪W域資料

因為 OpenLDAP 是一善於存放網域資料的伺服器，它亦是一網絡形態的伺服器；所以在網絡下不同的 Samba 亦可以同一時間查詢 OpenLDAP 內的資料內容，達致資料同步的目的。

另外在服務結構上，OpenLDAP 是有主和副伺服器之分工，而且當 Samba 無法查詢主伺服器時，他可以自動地查詢副伺服器；這使得備份和失效處理上更容易辦到。

另外主網域控制器和副網域控制器能同時查詢 OpenLDAP 內之資料庫，產生平衡負載的效果；這使得查詢服務的時間縮短。

Samba 下的 samba.schema

要讓 OpenLDAP 能給予 Samba 作查詢，首先要考慮的就是如何把 Samba 網域資料存放在 OpenLDAP 內。

在這方面，你需要先理解的就是 OpenLDAP 下如果需要存放不同的資料，首先要在 OpenLDAP 伺服器定義這資料結構，這方面稱作 Schema 。當然 Samba 的 Schema 資料結構是不需要自
己?矶x它！在網絡上，你可以找到這 Schema ，或許你在安裝 Samba 時；你的 Linux 或 Unix 系統亦會替你安裝在你的伺服器檔案系統下。另外你可以把 Samba 的原程式碼的 tar.gz 檔案內找到。

./examples/LDAP/samba.schema

另一方面你要留意的是這 samba.schema 在 Samba 2.2.* 和 Samba3 是不同的，亦有不同的結構，所以不要 Samba 2.2.* 的 samba.schema ，使用在 Samba 3 下。（在這裏主要是集中在 Samba 3 下?碛懻撍＃�

Samba 下的 samba.schema 結構

如果你打開 samba.schema ?砜纯吹脑挘ㄎ沂止膭钅憧纯催@檔案。）你會發現在這檔案下定義了不同的 objectclass .

-> sambaSamAccount 這是你會遇上的第一個 objectclass ，這是用?泶娣啪W域下的使用者資料的。

-> sambaGroupMapping 這是用?泶娣啪W域下群組資料及對應到 Unix 系統下的 gid 的對應表。

-> sambaDomain 這是用?泶娣啪W域下的 SID 和 RID 之資料。（這方面之資料有助建立主和副網域控制器。）

-> sambaUnixIdPool，sambaIdmapEntry 這兩個 Objectclass 是用?泶娣啪W域上的 SID 和相對應之 Unix 下的 uid 之資料，這主要是給予 Winbind 作查詢之用。

Samba 下 OpenLDAP 的基本設定

在這裏開始設定 OpenLDAP 伺服器，容讓 Samba ?磉M行查詢和維護。

OpenLDAP 伺服器的名稱為 slapd ，而它的設定檔案存放在 /etc/openldap/slapd.conf
或者在 /etc/ldap/slapd.conf 。

這裏是我 Linux 下的 /etc/ldap/slapd.conf 。

allow bind_v2

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/samba.schema

schemacheck on

pidfile /var/run/slapd/slapd.pid

argsfile /var/run/slapd.args

loglevel 0

modulepath /usr/lib/ldap

moduleload back_bdb

backend bdb

database bdb

suffix "dc=swpearl,dc=com"

directory "/var/lib/ldap"

index objectClass eq

lastmod on

access to attribute=userPassword

by dn="cn=admin,dc=swpearl,dc=com" write

by anonymous auth

by self write

by * none

access to * by

dn="cn=admin,dc=swpearl,dc=com" write

by * read

在這裏你可以留意在 include 的關鍵字下你可以發現這一行：

include /etc/ldap/schema/samba.schema

這一行的意義就是說把 /etc/ldap/schema/samba.schema 加入 OpenLDAP 的 schema 資料庫內。

另外也把我伺服器下的 ldap 資料庫的資料列舉如下：

# ldapsearch -xw 123456 -D 'cn=admin,dc=swpearl,dc=com'

> -LLL -b 'dc=swpearl,dc=com'

dn: dc=swpearl,dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

o: swpearl.com

dc: swpearl

dn: cn=admin,dc=swpearl,dc=com

objectClass: simpleSecurityObject

objectClass: organizationalRole

cn: admin

description: LDAP administrator

userPassword:: e2NyeXB0fTBWS3J4Q8hBYXVlQVk=

#

暫時這個資料庫仍是十分簡單，只有兩筆資料；而且在查詢過程中，你可以發現你的最高權力的 dn 為︰cn=admin,dc=swpearl,dc=com ，另外他的密碼為 123456 。另外的伺服下的 suffix 是 dc=swpearl,dc=com 這些資料對你設定 ldapsam 是十分重要的。因為 Samba 是需要知道應使用什麼使用者和密碼?聿樵� LDAP 伺服器的，另一方面亦需要知道網域資料應放在何子葉下的。

設定 Samba 使用 OpenLDAP 作網域資料存放

設定好了 OpenLDAP 伺服器，然後要再到設定 Samba 。如果要設定 Samba 伺服器，當然你還是要修改 /etc/samba/smb.conf ?磉_到。

這是有關 ldapsam 的設定。（ ldapsam 是指把網域下的帳號資料存放入 LDAP 伺服器中，也可以說是使用 LDAP ?聿樵儙ぬ栙Y料。）

[global]

workgroup = GODCLICK

passdb backend = ldapsam:ldap://localhost

domain logons = Yes

preferred master = Yes

domain master = Yes

ldap suffix = dc=swpearl,dc=com

ldap admin dn = cn=admin,dc=swpearl,dc=com

ldap ssl = no

...

......

這些就是最基本有關 ldapsam 的設定了；但是你可以發現在這裏是沒有記錄 'ldap admin password'，其�?在 smb.conf 中亦沒有這個設定。所以跟著?淼牟襟E你是需要把 'ldap admin dn' 的 password 加以設定的。

設定 'ldap admin dn' 的密碼

如果你要完成 ldapsam ，那你就要作這最後一步的設定了。

# smbpasswd -w 123456

Setting stored password for "'cn=admin,dc=swpearl,dc=com'" in secrets.tdb

#

在設定密碼的時候，請你使用 smbpasswd 這指令，而另一方面你需要加上 '-w' 的 Option ，那你會發現 samba 會把 'cn=admin,dc=swpearl,dc=com' 的密碼存放在
/var/lib/samba/secrets.tdb 中。你可以用 tdbdump ?頇z查這個檔案。

# tdbdump /var/lib/samba/secrets.tdb

{

key = "SECRETS/LDAP_BIND_PW/'cn=admin,dc=swpearl,dc=com'"

data = "1234560"

}

......

你可以發現 Samba 會使用 plain-text 形式?泶娣拍愕拿艽a，所以請保持 /var/lib/samba/secrets.tdb 檔案只有 root 能閱讀它。

網域 SID 與 ldapsam

好了，現在你可以?男聠� Samba 。然後再檢查你的 ldap database.

# /etc/init.d/samba restart

Stopping Samba daemons: nmbd smbd.

Starting Samba daemons: nmbd smbd.

# ldapsearch -xw 123456 -LLLD 'cn=admin,dc=swpearl,dc=com'

> -b 'dc=swpearl,dc=com'

...

......

dn: sambaDomainName=GODCLICK,dc=swpearl,dc=com

sambaDomainName: GODCLICK

sambaSID: S-1-5-21-362447930-1559098963-1429385919

sambaAlgorithmicRidBase: 1000

objectClass: sambaDomain

#

在這時你可以發現你 Samba 主網域控制伺服器在 OpenLDAP 資料庫下自動地新增了一筆資料，這筆資料是用?泶娣啪W域下的 SID 的和 RID 。

為何要把這網域的 SID 加在 OpenLDAP 的資料庫內。這是有利於主和副網域控制伺服器的設定，因為在網域中所有的網域控制伺服器是需要有相同網域的 SID ，所以 Samba 把這資料放在 OpenLDAP 下，是有利於這方面的查詢和設定的。

在 ldapsam 中建立使用者

Samba 能自行管理使用者帳號的，當然使用者帳號在 ldapsam 下亦不例外。現在你可以先用 'pdbedit -Lw' ?聿樵� Samba 使用者的帳號資料，後你可以再使用 'pdbedit -a root' ?斫⑹� root 的使用者帳號，後你可以再查詢 ldapsam 內的資料。

# pdbedit -Lw

# pdbedit -a root

new password:

retype new password:

Unix username: root

NT username: root

Account Flags: [U ]

User SID: S-1-5-21-362447930-1559098963-1429385919-1000

Primary Group SID: S-1-5-21-362447930-1559098963-1429385919-1001

Full Name: root

...

......

# ldapsearch -xw 123456 -D 'cn=admin,dc=swpearl,dc=com'

> -b 'dc=swpearl,dc=com'

...

dn: uid=root,dc=swpearl,dc=com

uid: root

sambaSID: S-1-5-21-362447930-1559098963-1429385919-1000

sambaPrimaryGroupSID: S-1-5-21-362447930-1559098963-1429385919-1001

displayName: root

sambaPwdCanChange: 1083653650

sambaPwdMustChange: 2147483647

sambaLMPassword: 44EFCE164AB921CAAAD3B435B51404EE

sambaNTPassword: 32ED87BDB5FDC5E9CBA88547376818D4

sambaPwdLastSet: 1083653650

sambaAcctFlags: [U ]

objectClass: sambaSamAccount

objectClass: account

...

在這裏你可以發現 Samba 把你的使用者帳號加到 OpenLDAP 伺服器當中了。

在 Samba ldapsam 下達致的主和副網域控制伺服器的設定 (PDC 和 BDC)

其�?這方面是十分容易的；當我們要設定 PDC 和 BDC 前，或許我們要先討論一下什麼是 PDC ，什麼是 BDC ，什麼是網域資料庫？（其�?在講 ldapsam 時，已有和大家介紹過什麼是網域資料庫了。）但是當中和 PDC 和 BDC 的關係又是什麼？

在 Microsoft 的網域環境下，PDC 是負責存放網域資料的，另外還提供了一很重要的服務︰網域登入，其次 Microsoft 的網域下之 PDC 亦負責把網域資料分發給網域下之 BDC ，當 BDC 接收到這網域內的資料時，它亦可以依這資料?硖峁┚W域登入的服務給使用者。

在 Samba ldapsam 下，其本上 PDC 和 BDC 皆沒有直接存放網域資料，這些網域資料存放在 OpenLDAP 下。當然把這些資料的存放工作和分發工作亦是交由 OpenLDAP 的負責！所以在資料存放這層面上 Samba ldapsam 的 PDC 和 BDC 是同級的。

另一方面網域下的 PDC 和 BDC 亦有一個很重要的分別︰就是在增加使用者帳號或者加入信任電腦和信任網域帳號時，只會向 PDC 提交申請，而不會向 BDC 申請的！因為 BDC 只是一備分網域控制器！它完全不會用?碡摀芾砭W域資料的責任，但是在持別的情況下，管理者是可以直接在 BDC 下使用 pdbedit 或者 smbpasswd ?硇略龌蛐薷氖褂谜邘ぬ柕摹�

設定 Samba ldapsam 下之 BDC 網域控制器

還記得你 PDC 的 smb.conf 的設定嗎？

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Processing section "[print$]"

Loaded services file OK.

Server role: ROLE_DOMAIN_PDC

Press enter to see a dump of your service definitions

# Global parameters

[global]

workgroup = GODCLICK

server string = %h server (Samba %v)

passdb backend = ldapsam:ldap://10.0.2.178

domain logons = Yes

preferred master = Yes

domain master = Yes

ldap suffix = dc=swpearl,dc=com

ldap admin dn = cn=admin,dc=swpearl,dc=com

ldap ssl = no

[homes]

......

這是你 BDC 下的 smb.conf 的設定。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Processing section "[print$]"

Loaded services file OK.

Server role: ROLE_DOMAIN_BDC

Press enter to see a dump of your service definitions

# Global parameters

[global]

workgroup = GODCLICK

server string = %h server (Samba %v)

passdb backend = ldapsam:ldap://10.0.2.178

domain logons = Yes

preferred master = Yes

domain master = No

dns proxy = No

ldap suffix = dc=swpearl,dc=com

ldap admin dn = cn=admin,dc=swpearl,dc=com

ldap ssl = no

[homes]

...

.......

在這裏你可以發覺 PDC 和 BDC 的 smb.conf 之差別只在於 'domain master' 這個設定。其它的設定可以說是完全一樣，另外因為 BDC 也會查詢 openLDAP 內的資料，因此你也是需要在 BDC 下執行 'smbpasswd -w' ，讓 BDC 也記錄了如何查詢 openLDAP 的資料。

# smbpasswd -w 123456

Setting stored password for "cn=admin,dc=swpearl,dc=com" in secrets.tdb

# pdbedit -Lw

root:0:44EFCE164AB921CAAAD3B435B51404EE:

32ED87BDB5FDC5E9CBA88547376818D4:[U ]:LCT-40973E12:

#

這樣你就可以使用 BDC ?聿樵� OpenLDAP 內的帳號資料。

你也可以嘗試一下，如果網域成員能否在主網域控制伺服器查詢失敗時，會否轉而查詢副網域控制伺服器下的使用者帳號資料。

Samba 的 Domain Member

說到這裏 Samba 作網域控制器，已作了一非常簡單的介紹了；當然還有很多很有意思的主題還未在這裏提及的，例如︰ groupmap 和 idmap 等主題，當然還有 posixAccount 和 sambaSAMAccount 的聯合使用的問題，但是回到這文件的編寫目的，就是為 Samba 的網域結構作一定的簡介。（這裏可算是達到了！）

但是 Samba 在網域成員角色方面卻仍有一些十分重要的部分未在這裏作介紹。

這裏是 Samba 和 Microsoft 在 Active Directory 上互動關係。（暫時 Active Directory 和 Samba 的配搭上只出現在 Samba 成為網域成員的角色上，而不能出現在 Samba 的網域控制伺服器的角色上，這方面的研究將會出現在 Samba4 的發展上。）

Active Directory 的結構

Active Directory 在 Microsoft 下的出現，其�?對網域結構和網域保安都提供了一很重要的改進。

首先 Active Directory 的組成上是由四個很重要的伺服器所組成︰ DNS 伺服器，DHCP 伺服器，LDAP 伺服器和 Kerberos 伺服器所組成。他們有良好的分工，這使得 Active Directory 有良好的保安結構，而且在管理上亦為輕易。例如使用 Kerberos 伺服器，這使得 Active Directory 在帳號認証時，不會直接把密碼在網絡上傳送，而是使用 Kerberos 的傳票形式?碚J証，這會使得網絡上的入侵者，無法捕捉使用者的密碼資料。

另外 Active Directory 在使用 LDAP ?泶娣啪W域資料，這方面使得網域結構更為?椥院透挥凶兓＠绌U在 LDAP 的結構下，網域的控制可以不只有信任網域結構下?碜鞒龇止ぃ硗庖嗫梢杂煞秩~的結構下?碜鞒龇止ぃ嗉词钦f︰在你的網域下可以有一 Active Directory 網域為 samba.org ，而另外可以在另 Active Directory 網域為 hk.samba.org
而這網域是在 samba.org 之下的，但卻又可以獨立地加以管理。

Samba 的 security ADS

Samba 和 Active Directory 的合作模式暫時只在於和 Microsoft 的 Kerberos 服務器溝通，這方面可以看作是保安上的一大進步。但是在網域結構上卻仍沒有很大的改進，暫時 Samba 亦是停留在 NT4 的結構上。

但是這卻是下一大版本 Samba4 躍進上的目標。

Samba4 的目標

在 Active Directory 的結構下，Samba4 要面對的問題可以說是有兩大方面︰

-> 能接收 LDAP 的通信協定方式?戆l放網域下的資料內容，這亦是 Active Directory 內的網域資料發放方式。

-> 為何 Samba4 要?男陆⑦@方面的資料發放的方式。

=> 先要了解的是 Samba 現在仍是大量倚重 tdb 資料檔案；但是這資料檔案卻亦有很大的問題，可看前文的分解，tdb 是不能接收 LDAP 形式的資料查詢。（其�?現在的 Samba 伺服器已能夠把資料放在不同的資料庫下，如 mysql 和 postgresql 中；但是這些資料庫仍是無法接收 LDAP 通信協定的查詢。）當然 OpenLDAP 能夠接收這方面的查詢，但是又要面對另一問題，就是如果要放資料進入 OpenLDAP 的資料庫內；必須要依?� schema 的設定。（見上文）而這方面 schema 的設定卻是令 OpenLDAP 要完全代替 Active Directory 的 LDAP 功能成為巨大的阻力。因為現時 Active Directory 的基本 schema 結構已能填?M一本厚厚的巨著了，如果 Samba 由現在開始要?男轮貙戇@方面的資料；一定是一件吃力又不討好的工作！（如果有自願人士為這方面努力，可以聯絡本會。）

=> 所以 Samba-term 正在開始設計另一資料存取的方式，這方式就是 ldb ，它將會是一個建立在不同的資料庫上的共同通信層面，這層面會使得存在在不同資料庫下的資料能共同使用這層面而達致資料庫內的資料能使用 LDAP 的通信協定?聿樵儭Ｒ虼司涂梢允官Y料存放富更大的?椥裕硗庥挚梢苑� Active Directory 的模式而被 Microsoft 的使用者查詢。

Samba4 的目標（二）

在 Active Directory 的結構下，還有另一個問題，就是如何讓 Microsoft 的信任電腦查詢 Unix 下的 Kerberos ，提取票據？

要明白這方面的問題，首先要理解 Microsoft 網域下的信任電腦在查詢 Micorsoft Kerberos 時，他們在提取票據時使用 Microsoft RPC 傳呼的，而在 Unix 的 Kerberos 在為他的服務器提供票據時，卻是使用 keytab 的方式；固定地存放在服務器的檔案系統下。這方面的差別就是 Samba 另一個需要努力的地方。

未?� Samba 的展望

其�?現在 Samba 已能完全�?現 NT4 級數的網域伺服器，而且現在大部分的小型公司仍在使用 NT4 作其網域伺服器。加上 Microsoft 更停止對 NT4 的支援服務，因此亦是時候把你公司內的伺服器升級作 Samba 網域控制器了。

另外在未?淼娜兆樱琒amba 亦會使用 Microsoft 的 Active Directory 的網域結構下提供網域控制伺服器的服務，因此你的公司亦更可以對 Samba 的未?硗断赂蟮男湃我黄薄�

回到上一連結 http://hk.samba.org/inside-samba/tiny.cgi

Frankie Chow

解放微軟下的王國

由 HK.Samba.Org 成立到現在，自己和不同的會員都有談及 Samba 的發展和發展方向。
但是往往發覺會員最不能了解的部份就是 Samba 中 Domain Control 的部份。

其�?也難怪的，因為 Samba 中有關 Domain Control 的部份是 Samba 3 發展歷程
中重要一環，相比在 Samba 2 的世界下， Domain Control 的發展可以算是一個巨大的
跳躍。

另外 Domain Control 中也可算是 Samba 3 中最難理解的一部份，因為內含有與其它
服務的配合，例如︰ Kerberos （這一隻看守地獄的三頭狗，也可以算是在 Unix 界中最
難攪的服務。），又例如︰ LDAP （這又是另一令人又?矍液薜姆⻊铡Ｒ驗樵� Unix 界中
，這也是可以算是第一或第二今人頭痛的服務。這包括設定和資料維護，可算是一項不輕的工
作。）這更加深了 Samba 3 在 Domain Control 上的神秘感。

但是這一場演講會下，我們嘗試就這一方面作了一定量的了解。

首先我們還是先看一看這演講會的講題︰ Free Microsoft Kingdom 。

這令我想起一個大問題？究景微軟下的王國是一個什麼樣的王國？如果不能回答這個問題，
那又可言「解放」？

當我們想起微軟王國，這其�?有很多不同的人對這王國有不同的思考，這都是合理的；如果你的
腦海浮起了這樣的圖片可以說是一點也不出奇怪的。

一個對建制的迷思。

但是如果我們只抱著這個取向?碚J識他，那可能我們一直也不能真了解他。所以我們還是要問我們要怎樣理解
才合理。

我想我們還是不能離開一個最重要的問題，這也是這王國最基本的組成部份 —— Domain （網域）

如果你們要問我一個問題，
這是一個很湴椎膯栴}︰「如果微軟比 Unix 優勝的話，那優勝的地方在那裏？」

當然這問題也會有很多不同的答案！例如︰使用者環境．．．這都是不爭的事�?，但是最令我著迷的是 Domain （網域）
的理念。（如果你是 Unix 或 Linux 死硬派的話，請原�?我在這裏稱讚 Microsoft 。）

在我們還未進入考慮網域的理念時，我們先作一個更大的思考。一個稱為 Trust Domain （信任網域）的思考！

在微軟王國中基本的單位是網域，但只是這樣的在網域之間還可以產生一定的關係和聯係的。
這可以稱作信任網域。當然在 Active Directory 中的理念下這會有所不同，因為在
Active Directory ，你可以用另一眼光?砜淳W域這問題；比較合理的是把它看作一個巨大的
樹木，而這樹木中，你可以把不同的分支分割出?恚会嶙尣煌� Domain Control （網域控制伺服器）?碜鞴芾恚�
管理的部份又各自連接於這樹木下。（在這文中所言的信任網域的結構是根躆 NT4 網域
結構而言的。）

在信任網域下，你或許可以把它思考成為不同的大蛇；各自把尾巴連結起?怼�

在這結構下，每一網域控制伺服器皆把在網域下的資料與其它的網域控制伺服器作分享。

但跟著?淼膯栴}有兩個︰

第一個問題是︰在網域下有什麼資料？他們可以作分享。

第二個問題是︰如何分別在不同網域下的資料？網域控制伺服器如何分別這一筆資料是屬於網域 A ，而不是網域 B ？

說�?在第二個問題比較容易回答。要分別不同網域下的資料，其�?依?牡牟煌W域下的 SID
(Security Identifier) 就可以辦到了。你可以嘗試在 Samba 3 下執行這個指令；那你就可以提
取你 Samba 網域下的 SID 了。

# net getlocalsid

SID for domain KRB is: S-1-5-21-2539658682-2581673518-1142642392

#

這裏你或許應該留意這是一很長的一組號碼，而且每一網域下的 SID 也不同。另外在網域下
每一帳號都是以網域的 SID 作起始，而產生其它不同物件的 SID 。因此這就很容分別出這筆資料或是物件屬A 網域還是屬於 B 網域了。你可以用以下的指令查詢 Samba 伺服器下帳號之資料，而其中更包含了帳號 SID 。

# pdbedit -L

root:0:root

# pdbedit -v root

Unix username: root

NT username:

Account Flags: [U ]

User SID: S-1-5-21-2539658682-2581673518-1142642392-1000

Primary Group SID: S-1-5-21-2539658682-2581673518-1142642392-1001

Full Name: root

Home Directory: \krbroot

HomeDir Drive:

Logon Script:

Profile Path: \krbrootprofile

Domain: KRB

Account desc:

Workstations:

Munged dial:

Logon time: 0

Logoff time: Sat, 14 Dec 1901 04:45:51 GMT

Kickoff time: Sat, 14 Dec 1901 04:45:51 GMT

Password last set: Mon, 23 Feb 2004 11:33:24 GMT

Password can change: Mon, 23 Feb 2004 11:33:24 GMT

Password must change: Sat, 14 Dec 1901 04:45:51 GMT

#

這裏你可看見使用者帳號 root 的 SID 是 S-1-5-21-2539658682-2581673518-1142642392-1000
而這 SID 的開始亦是和 Domain 的 SID 是相同的。只有最後的一組數字不同，這不同的就是
1000 ；這不同的一組數字可稱作 RID 。在這裏 root 的 RID 是 1000 。

第二個問題就比較上複雜，也難以回答；或許我們還是回到 Samba 下尋找答案。當你執行 smbpasswd
時，你或許會發現有如下的 options .

$ smbpasswd -h

...

......

options:

...

......

extra options when run by root or in local mode:

-a add user

...

......

-i interdomain trust account

-m machine trust account

...

......

$

在 smbpasswd 下，你可以找到三種不同的使用者帳號。

使用者帳號 ( user account )

信任電腦帳號 ( machine trust account )

信任網域帳號 ( interdomain trust account )

在這裏你可以思考就是使用者帳號之存在問題，首先使用者帳號是相關於使用者的帳號模
式；這不只存在於 Microsoft 網域世界，其�?這也存在於 Unix 的世界內。

這是當一使用者希望提取一服務時，服務器必須確認提取服務的就是使用者帳號下所登錄
的使用者，而不是一個?阂獾墓粽摺�

服務器如何能分辨這個差�?？這主要就是倚靠服務器本身首先登錄使用者的資料，然後
如果使用者能夠在提取這個服務的時候，能提供的資料和服務器本身所登錄之資料吻合的
話，服務器本身就會為正確提供資料的使用者服務。

這不只在於 Microsoft 網域，其�?當你去任何一網上服務者，而它又要求代登入使用的
時候，你也會面對使用者帳號的使用和管理的問題。

另外什麼是信任電腦帳號？

要了解信任電腦帳號的話，你或許要先理解在 Microsoft 下的 Domain Logons （網域登入）服務。

Microsoft 下的網域登入服務

Microsoft 網域下是把伺服器和桌面系統完全分開的。這不像 Linux 伺服器，因為
你可以想像 Linux 的桌面系統下可以安裝不同的伺服器系統，例如︰Mandrake 和
Debian 下，他們完全可以在安裝程式時安裝不同的伺服器系統和桌面用戶程式。

其�?在某些 Linux 的版本下，他們是把桌面系統和伺服器系統分開的，例如︰
紅旗 Linux ，他把桌面系統和伺服器系統分開在不同的安裝光碟上，但是這也不是如
Microsoft 形式下的把伺服系統和桌面系統不同的分別。因為在這上面的分別只是安裝
上的分別，而 Microsoft 在這裏的分別是在於網域登入上。

做一個簡單而有關網絡身分的�?驗

在 /etc/samba/smb.conf 下的 [global] 部分中加入或修改這樣的幾行。

[global]

...

......

domain master = yes

preferred master = yes

domain logons = yes

security = user

......

...

然後你可以執行 testparm ?頊y試你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_DOMAIN_PDC

Press enter to see a dump of your service definitions

......

你可以在這裏看見你的 Samba 會把自己看作是 PDC ，當然這也是 Microsoft 網域下
的網域控制服務器。

第二步驟，修改 /etc/samba/smb.conf ；只要把 domain logons 的設定作 no 。其它的設定也不需要作出更改。

[global]

...

......

domain master = yes

preferred master = yes

domain logon = no

security = user

......

...

這樣當你再次執行 testparm ?頊y試你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

......

這時你可以看見你的 Samba 伺服器己改變了身份。在這裏它己變成了 STANDALONE 的機器，而失去了網域控制伺服器的尊貴身份。

再次修改你的 smb.conf 檔案︰

[global]

...

......

domain master = yes

preferred master = yes

domain logon = no

security = domain

......

...

這次只修改了 security 的設定，而其它的卻不作修改。現在你可以再用 testparm ?�
檢查你的 samba 系統。

# testparm

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

......

這次得出?淼慕Y果顯示了 Samba 不再是 STANDALONE 了，而又變身成為
DOMAIN_MEMBER 。

Microsoft 網域下的 DOMAIN_CONTROLER 和 DOMAIN_MEMBER （網域成員）

Microsoft 網域下的網域控制伺服器就是以 DOMAIN CONTROLER 的身份存在在網域下。
（而 PDC 就是其中一�?形的 DOMAIN CONTROLER ，而 BDC 又是另一�?形的
DOMAIN CONTROLER ，下文會再言 BDC 的設定。）

Microsoft 網域下的桌面系系統就是以 DOMAIN_MEMBER 的身份存在在網域下。
（例如 NT workstation，或者 Windows 2000 Prefessinal 和 Windows XP Prefessinal
。他們就是以 DOMAIN_MEMBER （網域成員）的身份存在。

DOMAIN_MEMBER 和 DOMAIN CONTROLER 有什麼分別？讓我們?氖褂谜叩慕嵌认�
思考這問題。

使用者和 DOMAIN_MEMBER

當使用者使用 Microsoft 網域下的資源時，他們一定會使用某台電腦的（或電腦�?形
的配備，或許未?韴绦� CE 的手帳也可以作網絡登入之用！）。他們絕不可能在只是坐在椅上而不需要透過使用電腦就可以使用網域下的檔案目錄吧！

當使用者使用某台電腦時，很多時候在開始使用時，他們也需要輸入使用者名稱和
使用者帳戶所登錄的密碼。就如使用者帳號下所記錄的！但是問題卻在如果使用者在登入的
時候選擇了某網域作為登入的話，那他所登入的電腦本身就很有可能是沒有記錄這使用者帳號
的資料，而記錄這資料的責任卻是遠端地存放在 PDC 和 BDC 內的，好了讓我們站在
DOMAIN_CONTROLER （網域控制伺服器）的角度?硐胂脒@事情。

DOMAIN_CONTROLER 和 DOMAIN_MEMBER

當我們站在 DOMAIN_CONTROLER 的角度下?硐脒@事情的話；就好像在網域下有一台電腦
拿著某人的資料包括這人的登入名稱和密碼?硐蚰阕鞒龅侨氲囊螅『昧巳绻@台電腦是一台含有?阂獾碾娔X，
而且它是被一個?阂獾墓粽咚刂疲ɑ蛟S這真是一個信任的使用者，但卻坐在一台你不能信任的電腦下！），那這個?赫吖粽吆苡锌梢允菫榱似平饽橙说氖褂�
者密碼而?恚� DOMAIN_CONTROLER 是不能在任何電腦對他作詢問時，他都坦找愿娴摹�

如何可以分辦 DOMAIN_MEMBER 是否可以信靠的電腦？這個答案就是信任電腦帳號。

信任電腦帳號的組成

如何在 Microsoft 網域下達成信任電腦的關係？（我想你可以把它看作成一個
關係，因為如果網域下有兩台 Microsoft 或者 Samba 伺服器，但這不能算是能夠達成
信任電腦帳號，因為這兩台電腦可以獨立成為 STANDALONE 級數的伺服器，而不是構成
信任電腦的關係即 DOMAIN CONTROLER 和 DOMAIN MEMBER 的關係；不使用這關係的話；會引致很多不良的影響！這可以普遍見於不同大少的公司。（他們都可以在不同部們，不同的
分公司的地址下都有很多不同的電腦在咦鳎坏钱斨袇s沒有把它們的權責分別清楚，
這些伺服器都需要保存一組的使用的電腦帳號，而且當一些使用者會同一時間，或不同
的時間下接觸多於一台伺服器時，這些伺服器甚至需要把使用者的資料作多於一次的登
錄，當然每多一次的登錄，這會使得使用者在修改自己的密碼時，他就要到不同的伺服器下修
改他們帳號內的使用者密碼。這些都會加深管理的難度！）

在建立信任電腦帳號的關係時，在 Microsoft 的網域下需要有起碼兩台電腦。一台是
PDC ，另外一台成為 DOMAIN_MEMBER 。還有一個很重要的步驟，就是 join DOMAIN 的
步驟。

信任電腦帳號的組成 (PDC)

在這裏先設定你的 PDC 。也先看看你的 /etc/samba/smb.conf 。

[global]

...

......

domain master = yes

preferred master = yes

domain logons = yes

security = user

add machine script = /usr/sbin/useradd %u

......

...

以上的設定是把你的 Samba 設定成為 PDC ，後再加上一 add machine script 的
option . 這會使到你的 DOMAIN_MEMBER 作 join DOMAIN 時，使你的 PDC 自動地在 Unix 或 Linux 系統下產生你 DOMAIN_MAMBER 的電腦帳號。

信任電腦帳號的組成 (DOMAIN_MEMBER)

好了另外我們要?砜匆豢� DOMAIN_MEMBER 內的 /etc/samba/smb.conf 的設定︰

[global]

...

......

domain master = no

preferred master = no

domain logons = no

security = domain

add user script = /usr/sbin/useradd %u

......

...

基本上如果你的 Samba 是作 DOMAIN_MEMBER 的話，原則性地你的 Samba 就不需要成
為 domain master （網域控制伺服器），亦不需要成為 preferred master ，當然你亦不需要作 domain logons （在網域上提供網域登入）
伺服器。你亦可以不把這些 Options 作出設定的，但要記得把 security 的設定設定作
domain ，就可以了。（這也是使你的 Samba 成為網域成員的最重要一環，這代表著你的 Samba 願意提供服務給網域控制器下所登錄的使用者。）

增加使用者程式 (add user script)

另外有個設定，你可能需要加在你網域成員的 smb.conf 內的
"add user script" 。

為什麼要加入這設定？（其�?你可以使用 winbind ?砣√孢@設定的。）

或許你會思想一個問題，如果在網域的 PDC 帳號內有某使用者 frankie 的帳號，但是
這帳號卻不存在在網域成員的 Unix 或 Linux 帳號內，那你的網域成員（如果它是執行 Samba 系統）就不能容
容 frankie 提取網域成員機器內在網域上所分享的網域資源。因為 frankie 在提取
網域成員下的資源時，你的 Samba 卻不知道 frankie 應在 Unix 或 Linux 下
應使用什麼使用者和群組的權力?硖崛≠Y源。所以沒有它途，只有就是不提供服務給 frankie 。但是如
果在你 Samba 下的 /etc/samba/smb.conf 下加入 add user script 的時候，
那當網域成員( Samba )發現 frankie 是存在於網域控制伺服器內，更能通過認証；卻又發現在
自己 Unix 或 Linux 系統下卻沒有 frankie 使用者存在，那網域成員 Samba 就會用 "add user
script" 的程式?碓� Unix 系統內加建 frankie 的帳號，這樣 frankie 就能在 unix
系統下存在了。因此網域成員在遇上 frankie ?硖崛【W絡資源時，就可以使用
新增的帳號的使用者權限和群組權限?硖崛　�

參加 ( Join ) 網域

當你設定好主網域控制伺服器和網域成員這兩台(Samba)伺服器，那你還需要一個簡單的步驟；這簡單的步驟就是參
加網域(Join Domain)的過程。（暫時集中在討論 rpc 級數的 Join Domain，另外亦集中論討在 Samba 3 下 Join Domain 的情況。）

在 Samba 3 中如果要達成參加網域的動作時，你首先要理解三件事。

-> 首先你要把你的網域成員加入到什麼 Domain 下。其�?你也能理解，如果你要加入到 HKSAMBA
Domain 下，和當你加入到 GODCLICK Domain 下，這是兩件不同的事情的。要設定你的網域成員要加入何網域，這可以在網域成員下的 /etc/samba/smb.conf 的 workgroup 設定作修改。

-> 另外你要知道在那主網域控制伺服器（PDC)下，最高權力者的使用者帳號密碼。在不同的伺服器系統下這個最高權力者的帳號名稱各有不同，例如︰在 Microsoft 下，最高權力者是 Administrator ，而在 Samba 系統下最高權力者，即是 Unix 或 Linux 下的最高權力者︰ root 。

-> 第三樣事情就是當加入網域時所選擇的保案級數。（在 Samba 3 下
你可以選擇的保案級數是 rpc、 rap 和 ads 。在這裏暫時只集中在 rpc 保案級數上。）
在這裏保安級數不同於 smb.conf 下的 security 的設定。

在這裏我們嘗試把我們的 Samba 伺服器 ( DOMAIN_MEMBER ）加入網域中。

# net rpc join -U root -w 123456

Joined domain HKSAMBA.

#

在這裏你需要使用在你 Samba 機器下，使用 root 的帳號，然後執行 net 的指令。
net 的指令下，你需要選擇保安級數，這裏所選擇的保安級數為 rpc 。（這是和 NT４同等
級數。），後使用 join 的指令，表示你打算把你的 Samba 伺服器加入到網域下，之後你要在 net 指令下告訴你的 Samba 系統，當他打算 Join 入 Domain 時，使用什
麼使用者帳號。因在此你打算把你的 Samba 伺服器加入到 Samba 所管理的網域，所以最高權力的使用者帳號為 root ，而 -w 這個設定所加入的是這個帳的使用者密碼。（這密碼不是 root 下的系統密碼，而是 Samba passdb 下的使用者密碼。所以很有可能需要你先把 root 的帳號加到你的 Samba passdb 下，你可以使用 'pdbedit -a root' ?磉_致。）

當你的 Samba 伺服器能成功參與該網域，你就會接收到你成功參與的信息。
另外你也可以嘗試使用主網域控制伺服器下的使用者帳號資料?淼侨肽憔W域成員的電腦。（這不需要理會這網域成員下的 Samba 伺服器有否這使用者帳號，也不會理會這網域成員下這使用者帳號的密碼有否和主網域控制器下的相同與否，也會完全使用網域控制器下的 passdb 使用者帳號資料作 Samba 認証之用。

發生在參與網域行為下

當你�?現了參與網域行為，即把網域成員參與了網域後，有什麼特別的事情會發生？

要了解這事情，你可以?木W域控制器下去了解它，另一方面亦需要?木W域成員的角度下去了解它。

發生在參與網域行為下的網域控制器

當你的網域成員參與了網域時，你可以發現在網域的網域主控伺服器下自動地加入了一個信任電腦帳號。你可以用 pdbedit 瀏覽你網域 PDC 下的帳號戶口列表。

# pdbedit -L -w

member$:1001:BB6FA10D4DD129BA7CD0EAC7B36D5E5C:

70595DCF510FD294D987EBFB004FA75F:[W ]:LCT-4092041F:

root:0:44EFCE164AB921CAAAD3B435B51404EE:

32ED87BDB5FDC5E9CBA88547376818D4:[U ]:LCT-40920331:

#

在這裏你可以發現你的網域控制伺服器下加入了一個帳號，而這個帳號是信任電腦帳號，而這個帳號的名稱為 member$ 。（如果不是使用者帳號的話， Samba 是會在這個帳號的結尾加上一個 '$' 的字原的，而另外在 Samba 下，每一個帳號都有一個旗號的，而這 member$ 的帳號旗號為 'W' ，即表示這帳號為一信任電腦帳號。這也是所有發生在網域控制伺服器下的事情，當然要令網域控制伺服器能成功建立這一帳號，也是需要像前文所說在 /etc/samba/smb.conf 中加入 'add machine script' 的設定。

發生在參與網域行為下的網域成員

另一方面可能你也會可翻查在網域成員的改變，但是我想你還是先思考當中的可能轉變。

有什麼是可能轉變的？我想只有兩項。

-> 記錄著主網域控制伺服器下對這帳號所設定的密碼。

-> 所登入網域的 SID ，這兩項資料。（ SID 是網域中最基本的資料，所以網域成員也自然要知道這資料，好分別他是加入何網域的。）

但是這密碼究景收在那檔案內。如何可以發現這密碼？先首要了解 Samba 大部資料是收在 tdb 資料檔案下的，這信任電腦密碼也不例外。你可以翻查不同 tdb 檔案，看密碼收在那檔案下。（在這裏可以先告訴你這密碼是收在 /var/lib/samba/secrets.tdb 下，另外你可以用 tdbdump ?聿榭催@檔案。）

# tdbdump /var/lib/samba/secrets.tdb

{

key = "SECRETS/MACHINE_LAST_CHANGE_TIME/HKSAMBA"

data = ">492@"

}

{

key = "SECRETS/MACHINE_SEC_CHANNEL_TYPE/HKSAMBA"

data = "2000"

}

{

key = "SECRETS/MACHINE_PASSWORD/HKSAMBA"

data = "-gguYvmRBBx6IH0"

}

{

key = "SECRETS/SID/MEMBER"

data = "1400000515000FDFD9DBB3AE

D0CCFEKC800000000000000

000000000000000

0000000000000000"

}

{

key = "SECRETS/SID/HKSAMBA"

data = "1400000515000

D9D7E0D1;xB3ED844170000000000000000

0000000000000

0000000000000000"

}

{

key = "INFO/random_seed0"

data = "O700"

}

#

當然有了這樣的一個密碼後，網域成員就可以提取了在網域控制伺服器下所記錄的使用者資料了。

什麼是信任網域帳號？

要了解信任網域帳號，你可以依?牧私庑湃坞娔X的邏輯?砹私馑�

另外在這裏有一些持別地方可以加以注意的。首先在兩個互相信任的網域下，大家應有相同的級別。還記得蛇咬著蛇這個圖案嗎？他們大家是平等共存的。在這前題下，你可以想像的就是在不同的信任網域下皆需要為不同的信任網域加上另一信任網域的〔信任網域帳號〕，另外亦需要作申請信任的動作。

其�?也可以作單方面的信任，即 A 網域建立了 B 網域的〔信任網域帳號〕，而在 B 網域卻沒有建立 A 網域的〔信任網域帳號〕，另外 B 網域申請了 A 網域的信任，但是 A 網域卻沒有申請 B 網域的信任，這情況絕對會存在的！如是這樣，那 A 網域的使用者帳號資料就可以給 B 網域?砣∮茫� B 網域的使用者帳號資料卻不能被 A 網域取用；這意味著 A 網域的使用者可透過 B 網域下的網域成員?淼侨� A 網域，也作表著 B 網域下的網絡資源也可分配合 A 網域下的使用者使用。反之卻不能。

新增信任網域帳號

如果你想理解信任網域帳號，或許你可以?男略鼍W域帳號?砝斫馑�

這是沒有自動新增信任網域帳號的程序呼叫的，你需要手動地增加它。在這過程中你會有幾個不同的過程，你需要依?牡摹�

在這例子裏有兩個網域，一個網域稱為 GODCLICK ，而另一個網域稱為 HKSAMBA ，現在打算使 HKSAMBA 網域信任 GODCLICK 的網域。

-> 首先第一步先在 HKSAMBA 的主網域控制伺服下的 Unix 或 Linux 系統下新增一個使用者帳號代表著這個信任網域。（如何設定主網域控制伺服器，你可以留意前文的內容。）

# useradd godclick$

#

在這裏加入的使用者帳號是信任的網域名稱。（現在的例子是︰ GODCLICK ）但記緊在信任的網域名稱後加上 '$' 字原。（但因為 '$' 字原在 Unix 或 Linux 的 Shell 下是一特別的字原，因此需要在這字原後加上另一保留字原 '' 。）

當你完成了這一個 Unix 下的使用者帳號後，你可以檢查一下這使用者帳號是否被建立成功。

$ getent passwd | grep godclick

godclick$:x:1003:100::/home/godclick$:/bin/bash

$

另一步驟就是建立信任網域帳號在 HKSAMBA 的主網域控制伺服器之 Samba 伺服器的 pdbedit 內。

# smbpasswd -a -i godclick

New SMB password:

Retype new SMB password:

Added user godclick$.

這一次的加帳號指令是 smbpasswd 而不是 pdbedit ，而且一定要使用主網域控制伺服器下的 root 帳號?硇略鲂湃尉W域帳號，另外這裏的網域名稱是不需要再加上 '$' 字�
转载自：http://www.unlinux.com/doc/samba/20051027/3663.html

【评论】【加入收藏夹】【大中小】【打印】【关闭】
* 请尊重我们的劳动，转载请注明出自UnLinux.Com及作者名 *

※ 相关链接
无相关信息

文章分类

热门文章

最新文章

解放微軟下的王國－Domain Control under Samba