Una pregunta sobre Samba

Estado
Cerrado para nuevas respuestas.

Saruman

Lanero Reconocido
18 Jul 2002
465
Hola

Tengo una pequeña inquietud sobre samba en linux.
Segun he leido, en las versiones viejas de samba existia una opcion en el archivo de configuracion que permitia mapear grupos unix a grupos globales NT, "domain group map", pero esa opcion no existe a partir de samba 2.1.algo. Tengo una maquina con red hat 7.3 y samba 2.2.5 de prueba, pero quiero reemplazar un servidor de dominio NT server 4 para poner en su lugar un equipo con linux, que es mucho mejor, porque no me amaño a windows.
Los grupos unix son mostrados por samba como grupos locales, pero lo que se necesita son grupos globales.
Como hago para crear o mapear los grupos unix a grupos globales winNT4?
 
EAVEMARIA AL FIN ALGUIEN FORMULO JULIAND NUESTRA PREGUNTA DE LA MANERA QUE ERA!

Si queremos saber COMO SE HACE?

Aunque no creo que quede el dominio igual, eso debe haber diferencia!
 
Serìa muy vacano saber como se hace eso, ya que seria un avance maximo para los administradores de redes que no sean amantes de microsft, necesiten manejar politicas de seguridad a nivel de grupo yquieran montar un PDC linux......

Bien saruman, esa estubo buena, haber si montamos a PISIS con linux de una ves por todas...jejejeje
 
Hola saruman, esto lo corte y pege de por hay, no se si te sirva, me cuentas.

Utilizar Samba como controlador del dominio
Si bien hace un tiempo esto no era oficial, Samba es actualmente totalmente capaz de comportarse como un PDC.

Configurar Samba como un PDC
Hay varias etapas.
Autorizar las peticiones de autentificacion de otras maquinas.

Configurar la autentificacion usuario por usuario

Declararse Master Browser, es decir invertir el mecanismo de eleccion habitual en las maquinas NT para llevarlas a nuestra maquina Samba.


La seccion [GLOBAL] debe contener los siguientes elementos:
domain logons = yes
security = user
os level = 34
local master = yes
preferred master = yes
domain master = yes




Configurar una comparticion permitiendo la autentificacion
Creamos seguidamente una comparticion ficticia, siguiendo este patron :
[netlogon]
path = /export/samba/logon
public = no
writeable = no
browsable = no

Esta comparticion no ofrece el acceso a ningun recurso. Pero sin embargo permite la autentificacion de diferentes maquinas.




Autorizar la conexión de las maquinas NT
Las maquinas NT intentan conectarse directamente al servidor, y no a un recurso en concreto. Es por tanto preciso autorizarlas para ello. Es necesario que las maquinas (y no los usuarios) dispongan de una cuenta. Las maquinas no van a conectarse al shell, asi que no es necesario darles un usuario del sistema con su directorio personal y demas.

El identificador de una maquina es su nombre NetBIOS, seguido del carácter $. Asi por ejemplo la maquina icerberg, tendra como identificador iceberg$. Hecho lo cual hay que añadir esta cuenta de usuario a la base de datos de los usuarios de Samba, con el comando :
smbpasswd -a -m maquina

Los clientes
Acceder a los recursos compartidos : smbclient
Este comando permite acceder, desde un cliente GNU/Linux, a recursos puestos a disposicion a traves de servidores CIFS, bien se trate de un servidor Samba o de un servidor basado en Microsoft Windows. La interfaz es parecida a la del ftp, es de este modo posible transferir ficheros sin esfuerzo. La sintaxis es :
smbclient //maquina/recurso


El recurso puede ser bien un directorio o bien una impresora, o un disco compartido al que se desea acceder. El nombre de la maquina es su nombre de NetBIOS, que puede (y suele) ser diferente de su nombre de DNS. La opcion -R permite elegir el modo de resolucion del nombre de la maquina:

-R lmhosts permite consultar el fichero /etc/lmhosts, que resuelve nombres de IP contra nombres de NetBIOS de la maquina ,

-R wins permite lanzar la consulta a un servidor WINS para obtener dicha conversion.

Una vez conectado al servicio en cuestion, disponemos de una interfaz de transferencia de ficheros identica a la del FTP.

Disponemos de algunas opciones extra, tales como print fichero, para imprimir un fichero local en el servidor.




Integrar un recursos compartido en nuestra jerarquia de directorios: smbmount
El comando smbmount nos permitira movernos de una manera mas comoda por los recursos compartidos via CIFS. Se comporta de una forma similar a los montajes via NFS: el recurso compartido CIFS se monta en un punto de nuestra jerarquia de directorios y podemos movernos por el usando los comandos Unix habituales. smbclient se encarga de gestionar las interacciones entre los ficheros presentes en el servidor.

Para desmontar un recurso compartido usamos el comando smbumount.




Guardar datos de un recurso compartido : smbtar
El comando smbtar es muy similar al comando tar. Permite realizar copias de seguridad de los archivos del servidor desde la maquina cliente Samba. La sintaxis es la siguiente:
smbtar -s servidor -x recurso -t lugar_de_almacenamiento

Nota: Es necesario disponer de permisos de lectura del directorio que deseamos almacenar. Es tambien posible crear copias incrementales con la opcion -N fecha, que no almacena nada mas que los ficheros que han sido modificados a partir de la fecha especificada.
 
viktor, lo que colocaste es correcto, hay que hacer todo eso para que el equipo con samba funcione como PDC, la unica parte en que me parece que hay que tener cuidado son las cuentas, la cuenta de maquina hay que modificarla a mano porque useradd no permite ingresar el signo $. Tambien se agregan usuarios al passwd de samba, ya que no va a validar contra un servidor (security=server) sino contra su propio archivo de usuarios, (si no estoy mal, es en /usr/local/samba/private/passwd), todo eso funciona bien, el problema es que en los clientes (ej. winNT4 workstation) cuando hay que poner los permisos. Solo se pueden ver los usuarios del PDC, NO los grupos, y eso sin grupos no sirve.

Ya estoy aburrido con ventanucos (sin ofender a los usuarios de Windows server 4 o 2000), solo me gusta para jugar y navegar!!!
 
Bueno ... cual es la F.S.M. con Windows ... la cosa es que no saben como trabajarle a un Win ... bueno si es NT4 si ese si que pelle ... pero un W2K ... ese si es responsable y ... bien saruman quien tenia cuenta en LABSIS .... no parce mentiras pero si aguanta a ver si no subutilizo la maquina que tiene GANDALF

QUE VIVA MSWINDOWS 2000 asi les duela
 
NT4 no es peye, un buen informatico lo sabe, pero si es verdad que Windows 2000 server con su nueva tecnologia de administracion de usuarios recursos y maquinas Active Directory es muchisimo mas poderoso que cualquier otra solucion para Intranet, es mas Computer Associated lider en seguridad informatica, se basa puramente en 2k Server.

Ahora hablando un poquito del tema, saruman tenes un error o al menos hasta donde yo logro entender este cuento, la idea del sistema es que valide del servidor y no de la base de datos de usuarios local, es mas la base de datos de usuarios locales no debe tener sino la cuenta de admin y el resto que se validen en la intranet, o al menos ese es el fundamento de una intranet segura y sobre todo dinamica, cada usuario puede logguearse en cualquier maquina y ver sus cosas en cualquiera, como si los pc fueran simples estaciones de trabajo.
 
Me imagino que a loque te refieres son los perfiles moviles, donde cada usuario al validar puede ver su informacion en cualquier estacion.
Cuando un usuario va a validar, samba tiene su base de datos de dominio, pero lo que leido, dice que tambien debe tener una cuenta unix para poder acceder al home (aunque es opcional) y para acceder a los profiles, y funciona perfectamente, pero eso a punta de usuarios...que peye!!!
 
No, no es perfil movil... Aunque es una característica rules de Windows 2000 Pero se demora mucho cuando uno se loguea/desloguea...

Lo que quiere decir enigma es que los clientes están conectados a un servidor de dominio, que es el que maneja toda la seguridad (cuentas de usuarios, permisos, etc)... Entonces cualquier estación conectada a ese dominio, funciona igual... Un administrador se puede conectar desde la estación de trabajo de uno de los trabajadores y realizar cosas administrativas en la red.

En la red de EAFIT un día vi que hicieron algo parecido... En la sala Microsoft se podía bootear con WIndows NT4 o Linux, y los dos te validaban con la misma cuenta....
 
como asi? validan en winNT4 o linux con un usuario de un PDC?
Se que con winNT4 se puede si esta en el dominio, pero validar en linux como administrador de dominio, es decir, el PDC debe ser windows, no? porque si es linux, como se hace para colocar el usuario como domain admin.
 
Yo creo que nos estamos confundiendo sobre esto, el problema que en principio teníamos saruman y yo es el siguiente:

Tenemos un servidor de dominio (Windows NT4 server), y queremos plantear la posibilidad de migrar el servidor a linux y que el dominio siga funcionando normalmente.

cuando digo normalmente es que como en nuestra red debemos manejar politicas globales de grupo y privilegios generales (grupos) y no particulares (usuarios), nos encontramos con el detalle de que samba no maneja (o no se como), dichos grupos...

En pocas palabras lo que necesitamos es poder crear grupos globales (grupos de dominio como domain admins) en el PDC que es un linux y luego ya poder manejar nuestras politicas de seguiridad como antes....
 
JulianD, me tenes que explicar lo de la validacion de los linux contra el servidor windows, a menos que en cada linux workstation este instalado el samba con la opcion de:

security = server
para que siempre validen contra el PDC Windows o Samba y no contra su propia base de datos local

y ahi si te la creo pero de resto no se como es que lo tienen alla...
 
NO hermano, ni idea como lo hicieron, yo no tenia acceso a los administradores de esa época, entonces ni idea de como hacian, pero muy bacano ese cuento... Aqui viendo el documento de viktor parece que tiene mucha relación con los dominios NT, puede ser por ese lado.
 
voy a revisar ese documento que esta chevere, parece un resumen del libro de samba que se consigue en todos lados =), gracias
 
Ahh, listo, voy a leer el documento Victor y le comento si me sirvió...

gracias.
 
Estado
Cerrado para nuevas respuestas.

Los últimos temas