Um servidor num domínio Windows pode ter os seguintes papéis:
- Controlador de domínio (Domain Controller)
- Membro de domínio (Domain Member Server)
- Standalone server
- Primary Domain Controller
- Backup Domain Controller
- Active Directory Controller
- AD Domain Server (mais recente)
- NT4 Domain Server (mais antigo)
- não faz parte de nenhum domínio;
- os recursos são (usualmente) disponibilizados através de share ou user mode;
- apenas usa (normalmente) contas de utilizadores locais;
- não tem serviços de logon na rede (ou seja, o logon dos users não é feito na rede, nem sequer no servidor, apenas depende dos shares);
- é preciso mapear o username de logon (externo) a um username no servidor;
- a autenticação no samba é independente do servidor, por isso, mesmo sem pertencer a um domínio, o standalone server pode fazer a autenticação dos users num servidor remoto (LDAP, PAM) ou local (smbpasswd, /etc/passwd);
- share
- user
- domain
- ADS
- server
- cada share precisa de uma autenticação autónoma;
- cada vez que se tenta aceder ao share é necessário enviar o user/pass.
- o acesso é definido por user/pass e eventualmente o nome da máquina;
- os shares só são pedidos pelo cliente DEPOIS de a password ser aceite, por isso o share não pode ser usado para determinar se o pedido é aceite ou não;
- depois de o user/pass ser aceite não é necessário reenviar para aceder a outros shares.
- a autenticação é feita na máquina central (PDC);
- todos os servidores se comportam como clientes do PDC (mesmo o próprio PDC);
- todas as máquinas que participam na segurança do domínio precisam de uma conta na base de dados de segurança;
- basicamente é semelhante ao user level, mas os users estão todos no PDC;
- o SAMBA no modo de segurança domain level pode assumir os papéis de Domain Member Server (DMS), Backup Domain Controller (BDC) ou Primary Domain Controller (PDC).
- define-se com:
[global]
security=domain
workgroup=WORKGROUP
- é preciso que exista uma conta de máquina no PDC/BDC;
- no servidor "cliente":
net rpc join -U admin%pass - é preciso que exista uma conta de user na máquina DMS (mesmo que apenas tenha a shell /bin/false)
- O SAMBA pode fazer parte de um AD em modo nativo
- é um modelo de segurança antigo e obsoleto: NÃO USAR
- Só pode haver 1
- tem o original do SAM
- pode haver vários ou nenhum;
- cada um tem uma cópia do SAM
- pode haver vários ou nenhum;
- não têm cópia do SAM;
- autentica os utilizadores no PDC ou BDC;
- pode haver vários ou nenhum;
- só faz autenticação local, não participa na segurança.
- configurar TCP/IP básico e MSWinNetworking;
- security=user
- configurar name resolution
- configurar logons (NT4/2000/XP)
- configurar roaming/local profiles;
- configurar network policies;
- manage domain accounts
- configurar clientes windows;
- ter um share "netlogon";
- providenciar serviços de netlogon;
- anunciar-se como DC;
Sem comentários:
Enviar um comentário