16.4 以 PDC 服務器提供賬號管理 · 鳥哥的Linux私房菜

# 16.4 以 PDC 服務器提供賬號管理 ## 16.4 以 PDC 服務器提供賬號管理我們在 16.1.5 約略談過 PDC 這個玩意兒，他可以讓用戶在計算機教室的任何一個地方，都用同一組賬號密碼登入，并可取得相同的家目錄等數據，這與我們之前談到的，在 Linux 底下使用 NIS 搭配 NFS 是很類似的作法！只是它是用在 Windows 上頭就是了。那如何完成呢？我們底下就來談談這個玩意兒！^\_^ - - - - - - ### 16.4.1 讓 Samba 管理網域使用者的一個實作案例前面介紹的內容都是屬于 Peer/Peer 的聯機狀況，也就是 Samba 服務器與 Windows 客戶端其實是平等地位的啦！所以 Windows 客戶端需要知道 Samba 服務器內的賬號密碼數據后，才能夠順利的使用 Samba 的資源。不過，這樣的方式在較大型一些的局域網絡環境可能就會有點困擾，例如學校的環境。舉例來說，如果你有一個計算機教室里面有 50 部 Windows XP Pro. 的個人計算機，由于計算機教室大家都會使用，因此里面這 50 部個人計算機有使用還原精靈，也就是每次計算機重新啟動后整個操作系統就會還原成原本的樣子。但我們知道使用者總是需要有個人家目錄吧？他們總不希望這次的工作在重新啟動后就失去了～所以我們可以利用一部主機來讓他們儲存數據啊！那就是 Primary Domain Controller (PDC) 服務器。其實 Samba PDC 的作用很簡單，就是讓 Samba PDC 成為整個局域網絡的領域管理員 (domain controller)，然后讓 Windows 主機加入這個領域，未來使用者利用 Windows 登入時，(1)Windows 會前往 PDC 服務器取得用戶的賬號密碼，同時 (2)PDC 還會傳送用戶的重要數據到那部 Windows 個人計算機上，而 Windows 計算機上的用戶注銷時， (3)該用戶修改過的數據也會回傳給 PDC 。如此一來不管這個使用者在哪一部個人計算機上面登入，他都能夠取得正確的個人資料！很棒的作用吧！ PDC 是個很復雜的環境，他可以達到的功能相當的多，而且密碼的驗證也不必在同一部 PDC 主機上面，不過這里我們不談那么復雜的東西，只是做一個簡單的練習，因此底下的這部 PDC 使用 Linux 自己的密碼來進行驗證，并且也只管理自己所分享出去的資源啰！至于假設網絡環境與相關工作組參數如下： ![](https://box.kancloud.cn/2016-05-13_5735da758e183.gif) 圖 16.4-1、一個簡易的 PDC 實作案例相關參數示意圖整個基本的設定流程應該是這樣的： - 區網計算機環境設定：整體網域設定好，尤其 Windows 的工作組與計算機名稱及 IP 等參數； - PDC 設定：因為 PDC 管理自己的密碼，所以 security = user； - PDC 最好擁有整個網域的名稱解析權力，亦即成為主要的名稱解析器； - 需有 netlogon 資源共享，提供 windows 2000/XP pro. 客戶端的登入之用； - 由于 Windows 需讀入個人配置文件，默認目錄為 profile，Linux 系統需預先設定此目錄； - 增加 PDC 上的使用者賬號以及機器代碼 (machine account) 等等 - 在 Windows 2000/XP pro. 個人計算機上設定成為 PDC 的客戶端。底下咱們就來依序處理處理先！ - - - - - - ### 16.4.2 PDC 服務器的建置 PDC 服務器的建立非常的麻煩，需要一步一步的實作進行，挺討厭的。而且，由于建置 PDC 的環境主要在管理整個區網內的 Windows 計算機，因此每部 Windows 計算機的主機名與相關參數要先確定下來，如同上一小節的圖示內，每部計算機的角色定位都需要清楚才行。清楚了各個計算機的角色后，接下來就能夠慢慢的實作進行啰！ - 1. 建置 NetBIOS 與 IP 對應的數據：設定 lmhosts 與 /etc/hosts 由于我們的 Samba 即將成為整個網域的名稱解析者，因此你最好將整個網域的 NetBIOS name 與 IP 的對應寫入 lmhosts 檔案當中。如果你的區網是以 DHCP 發放 IP 的，那么你最好搭配 DNS 系統去建置你的主機名對應信息，否則主機名對應不起來，總是有點困擾。在這個案例中，由于鳥哥使用的 NetBIOS name (如 vbirdserver) 與主機名 (如 www.centos.vbird) 并不相同，因此這里建議需要修改 lmhosts 才好。 ``` [root@www ~]# vim /etc/samba/lmhosts 127.0.0.1 localhost <==這行是預設存在的，不要動他，底下的請自行新增 192.168.100.254 vbirdserver 192.168.100.10 vbirdlinux 192.168.100.20 vbirdwinxp 192.168.100.30 vbirdwin7 [root@www ~]# vim /etc/hosts 192.168.100.254 www.centos.vbird vbirdserver 192.168.100.10 clientlinux.centos.vbird vbirdlinux 192.168.100.20 vbirdwinxp 192.168.100.30 vbirdwin7 ``` 由于 Linux 上的 Samba 很多數據還是與 TCP/IP 的主機名有關，所以除了 lmhosts 之外，建議還是處理一下 /etc/hosts 比較妥當！這樣就行啦！ - 2. 建置 PDC 主設定：處理 smb.conf 假設我們要讓 PDC 客戶端登入時可以取得他自己的家目錄，那么需要這樣處理： ``` [root@www ~]# vim /etc/samba/smb.conf [global] workgroup = vbirdhouse <==請務必確認一下工作組與主機名 netbios name = vbirdserver server string = This is vbird's samba server unix charset = utf8 display charset = utf8 dos charset = cp950 log file = /var/log/samba/log.%m max log size = 50 security = user passdb backend = tdbsam load printers = yes cups options = raw printcap name = cups printing = cups # 與 PDC 有關的一些設定值： # 底下幾個設定值處理成為本局域網絡內的主要名稱解析器 preferred master = yes domain master = yes local master = yes wins support = yes # 操作系統 (OS) 等級越高才能成為主網域的控制者，一般 NT 為 32, # Windows 2000 為 64 ，所以這里我們設定高一點，但不可超過 255 os level = 100 # 底下則是設定能否利用 PDC 登入，且登入需要進行哪些動作： domain logons = yes logon drive = K: <==登入后家目錄掛載成 Windows 哪一槽 logon script = startup.bat <==每個使用者登入后會自動執行的程序 time server = yes <==自動調整 Windows 時間與 Samba 同步 admin users = root <==預設的管理員賬號！預設為 root logon path = \\%N\%U\profile <==使用者的個人化設定 logon home = \\%N\%U <==用戶的家目錄位置！ # 這個在指定登入者能夠進行的工作，里面主要是具有許多執行程序： [netlogon] <==與前面的 logon script 有關，該程序放置在這里 comment = Network Logon Service path = /winhome/netlogon <==重要的目錄，要自己建立才行！ writable = no write list = root follow symlinks = yes guest ok = yes [homes] ....(底下保留原本設定).... [root@www ~]# testparm [root@www ~]# /etc/init.d/smb restart [root@www ~]# /etc/init.d/nmb restart ``` 上面的設定有幾個地方比較有趣一點： - time server：要使 Samba 與 Windows 主機的時間同步，使用這個項目； - logon script：當使用者以 Windows 客戶端登入后，Samba 可以提供一支批處理文件，讓使用者去設定好他們自己的目錄配置。整個配置的內容記錄在 startup.bat 當中。你要注意的是，這個 startup.bat 檔名可以隨意更改，不過他必須要放置到 \[netlogon\] 所指定的目錄內； - logon drive：那么這個家目錄要掛載到那個分割槽？在 Windows 底下大多以 C, D, E... 做為磁盤的代號，你這里可以指定一下家目錄要放置成為那個磁盤代號； - admin users：指定這個 Samba PDC 的管理員身份。 - \[netlogon\]：指定利用網絡登錄時首先去查詢的目錄資源。 - logon path：用戶登入后，會取得的環境設定數據在哪？我們知道用戶會有一堆環境數據，例如桌面等，這些東西都放置到這里來。使用的變量中， %N 代表 PDC 服務器的位置， %U 則代表用戶的 Linux 家目錄。因此最終你得要有 ~someone/profile 的目錄才可以。 - logon home：用戶的家目錄，默認與 Linux 的家目錄相同位置。 - 3\. 建立 Windows 客戶端登入時所需的設定數據 netlogon 目錄先來建立 \[netlogon\] 內所需要的數據好了，那就是一個目錄。由于鳥哥預計將所有的 PDC 數據通通放置到 /winhome 當中，包括用戶家目錄，因此很多東西都需要修訂喔！包括后來的 SELinux 肯定會出問題的～ ``` [root@www ~]# mkdir -p /winhome/netlogon ``` 接下來我們還得要建立允許使用者執行的檔案，就是那個 startup.bat 才行！注意一下，我們這里假設用戶家目錄為 K 槽，那你可以這樣做： ``` [root@www ~]# vim /winhome/netlogon/startup.bat net time \\vbirdserver /set /yes net use K: /home # 這個檔案的格式為：net use [device:] [directory] # 再將該檔案轉成 DOS 的斷行格式才行！因為是提供給 Windows 系統嘛！ [root@www ~]# yum install unix2dos [root@www ~]# unix2dos /winhome/netlogon/startup.bat [root@www ~]# cat -A /winhome/netlogon/startup.bat net time \\vbirdserver /set /yes^M$ net use K: /home^M$ # 瞧見嗎？會多出個奇怪的 ^M 符號，那就是 Windows 斷行字符。 ``` - 4. 建立 Windows 專用的使用者因為鳥哥預計將使用者全部挪到 /winhome 底下，而且每個用戶家目錄應該還要有 profile 目錄存在才行，為了避免麻煩，所以我們先到 /etc/skel 去處理一下，然后才建立賬號，最后才產生 samba 用戶吧！產生 samba 用戶可以使用 pdbedit 也能夠直接使用 smbpasswd -a ，因為沒有要用特殊的參數，所以，Samba 用戶就用舊的 smbpasswd 來處理即可。 ``` [root@www ~]# mkdir /etc/skel/profile [root@www ~]# useradd -d /winhome/dmtsai dmtsai [root@www ~]# useradd -d /winhome/nikky nikky [root@www ~]# smbpasswd -a root [root@www ~]# smbpasswd -a dmtsai [root@www ~]# smbpasswd -a nikky [root@www ~]# pdbedit -L smb1:2004: smb3:2006: smb2:2005: student:505: root:0:root dmtsai:2007: nikky:2008: # 重點是需要有畫底線的那幾個人物出現才行呦！ [root@www ~]# ll /winhome drwx------. 5 dmtsai dmtsai 4096 Jul 29 16:49 dmtsai drwxr-xr-x. 2 root root 4096 Jul 29 16:48 netlogon drwx------. 5 nikky nikky 4096 Jul 29 16:49 nikky # 用戶的家目錄不是在 /home 而是在 /winhome 里頭才是對的呦！ ``` 那以后新增的使用者都有可以存放來自 Windows 的特殊配置文件目錄喔！比較好管理啰～當然啦，使用 useradd 新增使用者后，記得也要使用 smbpasswd -a username 來讓該使用者可以使用 Samba 喔！ - 5. 建立機器碼賬號由于 PDC 會針對 Windows 客戶端的主機名 (NetBIOS name) 進行主機賬號檢查，所以我們也要為客戶端的主機名進行賬號的設定。咦！啥是主機賬號？一般用戶賬號是英文或數字，主機賬號則在該賬號最后面加上一個錢字號『$』即可！舉例來說， vbirdwinxp 這部主機可設定的賬號名稱為 vbirdwinxp$。而我們知道要使用 smbpasswd 增加的使用者必須要在 /etc/passwd 當中，因此要建立這個賬號你就得要這樣做： ``` [root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwinxp$ [root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwin7$ ``` 會增加 -M -s -d 等參數的原因是因為不想要讓這個賬號具有可以登入的權限，因此將這個主機賬號設定的比較怪一點～ ^\_^～接下來讓 Samba 知道這個賬號是主機賬號，所以你應該要這樣做： ``` [root@www ~]# smbpasswd -a -m vbirdwinxp$ [root@www ~]# smbpasswd -a -m vbirdwin7$ ``` 這樣便加入主機賬號啰！而我們的 Samba PDC 也就可以透過『主機賬號』來判斷 Windows 客戶端能否連上來，若連接上 PDC 與 Windows 客戶端后，接下來一般使用者賬號就可以在 windows 客戶端登入了！ - 6. 修改安全性相關數據由于我們建立的賬號目錄在 /winhome 底下，并非正規的 CentOS 目錄，所以最重要的 SELinux 可能會跑掉～所以，我們還得要修訂 SELinux 才行！方法很簡單，將 SELinux type 轉為 samba\_share\_t 即可！ ``` [root@www ~]# chcon -R -t samba_share_t /winhome ``` 由于 SELinux 的數據是會繼承上層目錄的，因此未來新增的用戶，理論上，就不需要重新修訂 SELinux 的文件類型了。但是，如果你老是發現登入 PDC 的賬號卻無法取得家目錄，那么就觀察 /var/log/messages 內的資料來修訂吧！ - - - - - - ### 16.4.3 Wimdows XP pro. 的客戶端請注意，底下的方法僅適用于 Windows 2000, Windows XP 專業版 (Pro.)，一般的 Windows XP home 版本是不支持的！如果你客戶端的主機是隨機版的 Windows XP ，通常是 Windows XP home ，那底下的方法可能就無法適用啰！要連接上 Samba PDC 的過程也是挺簡單的，你可以這樣做： (至于 Windows 7 對于 Samba 的版本要求較高，官方網站是說得高于 3.3.x 以上版本才有支持) - 1. 確認 windows 客戶端的網域與主機名首先我們必須要確認 Windows 客戶端的工作組與主機名跟咱們的 Samba PDC 相同，確認的方式在局域網絡里面已經提過了，這里在強調一次。將鼠標移動到『我的計算機』上面，按下右鍵，選擇『內容』，然后點選『計算機名稱』，會出現如下圖示： ![](https://box.kancloud.cn/2016-05-13_5735da75a2e53.gif) 圖 16.4-2、Windows 客戶端連上 PDC 的方式流程示意圖如上圖所示，你要先確認箭頭 1 處指的主機名與工作組，在我們這個案例當中的工作組為 vbirdhouse，這部 Windows 主機的 NetBIOS 名稱則為 vbirdwinxp 喔！如果不對的話，請按下『變更』來設定，并且重新啟動。重新啟動完畢后再到上圖的畫面當中，按下箭頭 2 所指的網絡識別處。 - 2. 設定主機名與域名接下來我們要設定這部 Windows XP pro. 要鏈接到局域網絡上的哪部 PDC 上面，亦即是處理主機賬號以及 Samba PDC 負責的網域 (domain) 啦！在圖 16.4-2 按下『網絡識別』后，分別在出現的窗口當中選擇： 1. 下一步； 2. 這臺計算機是公司網絡的一部份，而且我在工作時用來聯機到其他計算機(T) 3. 我的公司使用一或多個網域的網絡(C) 4. 下一步然后就會出現如下的窗口： ![](https://box.kancloud.cn/2016-05-13_5735da75b91d3.gif) 圖 16.4-3、Windows 客戶端連上 PDC 的方式流程示意圖請依序填寫 Samba 主機上面的管理員賬號與密碼，要注意這個密碼是記錄于 Samba 中的那個，可不是 /etc/shadow 喔！別搞混了～這是 Samba 服務器的設定呢。輸入之后按下一步吧，通常都會出現找不到正確主機的畫面，如下所示： ![](https://box.kancloud.cn/2016-05-13_5735da75db777.gif) 圖 16.4-4、Windows 客戶端連上 PDC 的方式流程示意圖鳥哥也覺得很奇怪，老是告訴我找不到！不過沒有關系，這里我們依舊再填一次主機的 NetBIOS name 以及組名，如上圖所示，然后繼續按下一步，就會出現如下的畫面啦： ![](https://box.kancloud.cn/2016-05-13_5735da75f3cac.gif) 圖 16.4-5、Windows 客戶端連上 PDC 的方式流程示意圖這次就給他輸入正確的管理員賬號與密碼，記得最后面的網域就是工作組名稱，別寫錯了。處理完畢后給他按下確定吧！然后就會出現如下畫面： ![](https://box.kancloud.cn/2016-05-13_5735da7613d91.gif) 圖 16.4-6、Windows 客戶端連上 PDC 的方式流程示意圖恭喜你，這就表示已經連接上 Samba PDC 啰！我們希望所有的使用者都直接由 Samba PDC 控管，所以這里請填寫『此時不新增使用者』吧！按下一步去。 - 3. 重新啟動并以新的域名登入在圖 16.4-6 之后請重新啟動，開機后整個畫面會有點類似這樣： ![](https://box.kancloud.cn/2016-05-13_5735da7625a4c.gif) 圖 16.4-7、Windows 客戶端連上 PDC 的方式流程示意圖為了保護我們的系統，因此得要按下 \[ctrl\]+\[alt\]+\[del\] 三個組合按鍵后，才會出現如下的登入畫面： ![](https://box.kancloud.cn/2016-05-13_5735da763bf5b.gif) 圖 16.4-8、Windows 客戶端連上 PDC 的方式流程示意圖目前系統上面就會有兩個可選擇的賬號管理模式，一個是本機賬號一個是 PDC 提供的賬號，那我怎知登入者是哪個管理模式？所以你就得要按下上述畫面的『選項』，才會出現『登入到』的那一行數據。出現的兩個數據分別是： - VBIRDWINXP(此計算機)：這就是你的計算機名稱，亦即是以本機賬號登入； - VBIRDHOUSE：就是 PDC 的 workgroup 項目，透過 PDC 的賬號來嘗試登入。現在請輸入你在 Samba PDC 上面擁有的賬號與密碼來嘗試登入吧！那如果你輸入的賬號密碼是對的，卻發現如下的畫面時，肯定是某些檔案權限或者是 SELinux 設定錯誤！請參考 /var/log/messages 或 /var/log/samba/\* 里面的登錄檔來修改！ ![](https://box.kancloud.cn/2016-05-13_5735da76543ab.gif) 圖 16.4-9、使用 PDC 賬號登入卻發現權限錯誤的圖示 - 4. 觀察用戶的家目錄與配置文件如果你可以順利登入的話，打開檔案總管后應該可以看到類似下方的畫面： ![](https://box.kancloud.cn/2016-05-13_5735da768339b.gif) 圖 16.4-10、登入 PDC 后，取得的家目錄狀態呵呵！該連上的通通連結上來啰！你也可以在自己的家目錄 (K 槽) 新增移除數據的！是否很不錯啊！ ^\_^！而當你注銷之后，你在 Windows 桌面上頭所進行的各項個人化設定通通會被移動到 /winhome/dmtsai/profile 當中喔！如果不相信的話，請自行前往 Samba 服務器上頭瞧一瞧就知道了。 - - - - - - ### 16.4.4 Wimdows 7 的客戶端根據 SAMBA 官網的說明，支持 Windows 7 的 Samba 版本必須要高于 3.3.x 才行，還好，我們的 CentOS 6.x Samba 版本真的是高于 3.3.x 的 3.5.x，因此理論上是支持 Windows 7 的！只不過 Windows 7 要加入 Samba PDC 還得要修改注冊碼才行！這部份真的是給它很困擾！在 Windows 7 機碼的修改方面，主要是修改底下的機碼： ``` # 1\. 這個部分是進行『新增』機碼！ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters] “DomainCompatibilityMode”=dword:00000001 “DNSNameResolutionRequired”=dword:00000000 ``` 修改的方式為，在 Windows7 的執行里面輸入『 regedit 』，會出現如下的畫面： ![](https://box.kancloud.cn/2016-05-13_5735da76b66c0.gif) 圖 16.4-11、Windows 7 注冊機碼的動作先由 (1)左側窗口一層一層點選到我們所需要的目標去，然后 (2)觀察最底下的機碼順序看對不對。之后 (3)在右側窗口點選我們所需要的機碼，如果是要新增，那就是在右側空白處右鍵單擊選新增即可增加一組機碼名稱。最后 (4)雙擊機碼會出現可供修改的窗口，那就改成上面表格中的要求即可。更多關于 Windows 7 加入 PDC 的相關資料，請查閱文末的參考數據部分喔。等到將機碼修訂完畢，你就可以使用與 Windows XP 相同的方式來加入 PDC 啰！ - - - - - - ### 16.4.5 PDC 之問題克服如果老是發生錯誤訊息為『使用的帳戶是計算機帳戶。請使用你的通用用戶帳戶或本機用戶帳戶來存取這臺服務器』時，你可以這樣做的： - 先察看一下 /var/log/samba 里面的登錄文件信息，尤其是 log.vbirdwinxp 關于這部主機的信息吶； - 如果還是無法解決，可以在 lmhosts 里面增加 vbirdwinxp 的 IP 與主機名的對應，然后將 samba 整個關掉『/etc/init.d/smb stop』，等待一段時間讓 NetBIOS 的名稱解析時間逾時，再重新啟動 samba 『/etc/init.d/smb start』，然后再重新做一次輸入 root 的密碼那個動作在鳥哥嘗試過的案例中，上面第二個步驟挺有效的！不過，還是得要察看 /var/log/samba 里面的登錄信息才行喔！ - 一些 Windows 賬號在 Windows 系統上面的使用技巧雖然 PDC 很好用，不過你要注意的是，每次你使用 PDC 上頭的賬號登入 Windows 客戶端主機時， Windows 主機會由 /winhome/username/profile/ 當中加載所需要的數據，并暫時啟動一個文件夾在 Windows 系統的 C:\\Documents and Settings\\username 當中，如果你的家目錄下的 profile 數據太多時，光是傳輸就會花去很多時間的！所以，你應該將一些檔案數據放置到你的家目錄下，亦即 K 槽當中，盡量不要使用 Windows 預設的『我的文檔夾』，因為『我的文檔夾』會將數據移動到『 /winhome/username/profile/My Documents/ 』目錄下，同樣的，儲存到桌面的數據會被放置到『 /winhome/username/profile/桌面/ 』目錄中，那樣在登入與注銷時會花去很多時間喔！這個小地方也要注意的呢！ ^\_^ 好了，關于 SAMBA 的 PDC 作法我們就談到這里，還有更多的信息你可以前往這個章節最后面的參考數據所列出的網址去查閱，因為還有很多的作法吶！事實上，鳥哥覺得在一個網域當中，如果有多部的 Windows NT 主機，例如 Windows 2000/XP pro. 這一類的比較穩定的個人使用桌面版本時，使用 PDC 就很有用了！因為 Windows 2000/XP pro. 也是一個多人的操作系統，不像 Windows 98 是單人的操作系統。所以，當使用 Windows 2000/XP pro. 而無法登入 PDC 時，你是無法使用 Windows 2000/XP pro. 上面的任何的信息的。但是在 Windows 98 上面若無法正確的登入，你仍然具有該計算機的主控權喔！另外，設定 Windows 客戶端之前，請先確認你的 Windows 是什么版本？上述的動作對于 Windows XP 家用版 (Home), Windows 7 是沒有作用的！請先確認才行喔！ - - - - - -