ตัวอย่างในบทความนี้ทดสอบบน Fedora 10 และติดตั้ง Samba เวอร์ชั่น 3.2.4

สร้างแชร์สำหรับทดสอบ

จากดีฟอลต์คอนฟิกของ Samba ที่ติดตั้งมา เพิ่มแชร์สำหรับการทดสอบในไฟล์ /etc/samba/smb.conf ในที่นี้จะตั้งชื่อว่า [test-share] ระบุ path เป็น /export อนุญาตให้เขียนได้ (writable)

[test-share]
path = /export
writable = yes
public = yes

ใช้ root เพื่อสร้างไฟล์และไดเร็คทอรี ในส่วนแชร์ เพื่อทดสอบ

[root@file-server ~]# mkdir /export
[root@file-server ~]# cd /export

[root@file-server export]# mkdir .dir-test1
[root@file-server export]# mkdir .dir-test2
[root@file-server export]# mkdir dir-test3
[root@file-server export]# mkdir dir-test4
[root@file-server export]# touch .file-test1.ext1
[root@file-server export]# touch .file-test2.ext2
[root@file-server export]# touch file-test3.ext3
[root@file-server export]# touch file-test4.ext4

[root@file-server export]# ls -al
total 8
drwxrwxrwx  6 root root 4096 2009-04-03 15:06 .
drwxr-xr-x 22 root root 4096 2009-04-03 14:14 ..
drwxr-xr-x  2 root root    6 2009-04-03 15:05 .dir-test1
drwxr-xr-x  2 root root    6 2009-04-03 15:05 .dir-test2
drwxr-xr-x  2 root root    6 2009-04-03 15:05 dir-test3
drwxr-xr-x  2 root root    6 2009-04-03 15:05 dir-test4
-rw-r--r--  1 root root    0 2009-04-03 15:05 .file-test1.ext1
-rw-r--r--  1 root root    0 2009-04-03 15:05 .file-test2.ext2
-rw-r--r--  1 root root    0 2009-04-03 15:06 file-test3.ext3
-rw-r--r--  1 root root    0 2009-04-03 15:06 file-test4.ext4

รอสักครู่หรือ รีสตาร์ต Samba เพื่อให้มีผลทันที

[root@file-server samba]# /etc/init.d/smb restart
Shutting down SMB services:                                [  OK  ]
Starting SMB services:                                     [  OK  ]

ทดลองเปิดแชร์ไฟล์จาก Windows XP

ยกเลิกการซ่อนไฟล์ที่ขึ้นต้นด้วยจุด

ดีฟอลต์คอนฟิกของ Samba จะถือว่าไฟล์หรือไดเร็คทอรีบนเซิร์ฟเวอร์ ที่ขึ้นต้นด้วยเครื่องหมายจุด “.” เป็นไฟล์ “hidden” เมื่อมองผ่านแชร์ไฟล์จาก Windows

หมายเหตุ ไฟล์หรือไดเร็คทอรี ที่ขึ้นต้นด้วยเครื่องหมายจุด “.” ส่วนใหญ่จะเป็นคอนฟิกหรือ profile สำหรับโปรแกรมที่รันอยู่บน Linux/UNIX

เปลี่ยนคอนฟิกของ Windows XP เพื่อให้แสดงไฟล์ที่ซ่อนไว้ โดยคลิกที่ Tools -> Folder Options แล้วกดที่แทป View ภายใต้ “Hidden files and folders” เลือกเป็น “Show hidden files and folders”

หลังจากแก้ไขคอนฟิก Folder Options จะเห็นไฟล์หรือไดเร็คทอรีที่ขึ้นต้นด้วยจุด “.” เพิ่มขึ้นมา แต่เป็นสีจางๆ

ถ้าเราต้องการแก้ไขการถูกมองเป็น “hidden” สามารถทำได้โดยเพิ่มคอนฟิกภายใต้ share ที่ต้องการ

[test-share]
path = /export
writable = yes
public = yes
hide dot files = no

รอสักครู่หรือ รีสตาร์ต Samba เพื่อให้มีผลทันที

[root@file-server samba]# /etc/init.d/smb restart
Shutting down SMB services:                                [  OK  ]
Starting SMB services:                                     [  OK  ]

ทดลองดูผ่านแชร์ไฟล์บน Windows XP อีกครั้ง จะเห็นว่า ไฟล์หรือไดเร็คทอรี ที่ขึ้นต้นด้วยเครื่องหมายจุด “.” กลับมาเป็นสีปกติเหมือนไฟล์ทั่วไป และ ถึงแม้เราจะเปลี่ยน “Folder Options” กลับไปเป็น “Do not show hidden files and folders” อีกครั้ง ไฟล์เหล่านี้ก็ยังสามารถมองเห็นได้ตามปกติ

 การซ่อนไฟล์ตามชื่อไฟล์

เราสามารถคอนฟิกเพื่อให้ Samba ซ่อนไฟล์ “hidden” ตามชื่อไฟล์ได้ เช่นต้องการซ่อนชื่อไฟล์หรือไดเร็คทอรีที่ในชื่อไฟล์มีคำว่า “test3″

[test-share]
path = /export
writable = yes
public = yes
hide dot files = no
hide files = /*test3*/

รอสักครู่หรือ รีสตาร์ต Samba เพื่อให้มีผลทันที

[root@file-server samba]# /etc/init.d/smb restart
Shutting down SMB services:                                [  OK  ]
Starting SMB services:                                     [  OK  ]

ทดลองดูผ่านแชร์ไฟล์บน Windows XP หลังจากแก้ไขคอนฟิก จะเห็นว่าไฟล์ที่มีคำว่า “test3″ กลายเป็นสีจางๆ ไปแล้ว

การป้องกัน (veto) การแชร์ไฟล์ตามชื่อที่กำหนด

การซ่อน (hide) เป็นเพียงไม่ให้ผู้ใช้งานเห็นไฟล์จาก Windows ได้โดยดีฟอลต์เท่านั้น ผู้ใช้งานสามารถเปลี่ยน Folder Options ทำให้มองเห็นไฟล์ที่ซ่อนได้ “Show hidden files and folders”

แต่ถ้าเราต้องการไม่ให้ผู้ใช้งานเรียกใช้ไฟล์บางไฟล์ผ่านทางการแชร์ไฟล์ได้ โดยระบุเป็นชื่อไฟล์ที่กำหนด สามารถทำได้โดยใช้คอนฟิก “veto files” เช่น ไม่ต้องการให้ผู้ใช้งานเห็นไฟล์ที่มีคำว่า “test4″ สามารถคอนฟิกได้ดังนี้

[test-share]
path = /export
writable = yes
public = yes
hide dot files = no
hide files = /*test3*/
veto files = /*test4*/

รอสักครู่หรือ รีสตาร์ต Samba เพื่อให้มีผลทันที

[root@file-server samba]# /etc/init.d/smb restart
Shutting down SMB services:                                [  OK  ]
Starting SMB services:                                     [  OK  ]

ทดลองดูผ่านแชร์ไฟล์บน Windows XP หลังจากแก้ไขคอนฟิก ไฟล์ที่มีคำว่า “test4″ จะหายไปแล้ว

ถึงแม้เราจะรู้ชื่อไฟล์ที่ถูก veto ไว้ แล้วระบุลงไปในช่อง Address เลย ก็ไม่สามารถดูแชร์ไฟล์ที่มีคำว่า “test4″ ได้อีกเลย

การคอนฟิก veto ไฟล์ จะป้องกันทั้งการอ่านและเขียน หรือ download, upload ผ่านแชร์ไฟล์ ตัวอย่างเช่น ถ้าคอนฟิก veto ไฟล์ที่มีคำว่า “test4″ ไว้ แล้วเราพยายามจะ upload ไฟล์ ชื่อ upload-test4.txt ผ่านแชร์ไฟล์ Samba จะไม่อนุญาต

ในกรณีที่ต้องการซ่อนหรือป้องการการใช้ไฟล์หลายๆ ชื่อ เช่นต้องการป้องกันการใช้ไฟล์ที่มีคำว่า “test4″ หรือคำว่า “test1″ สามารถคอนฟิกได้ดังนี้

veto files = /*test4*/*test1*/

ข้อมูลอ้างอิง

• Using Samba, 1st Edition – 5.2 Filesystem Differences
  

• กำหนดคีย์ (index) ที่ใช้ในการค้นหาข้อมูล
• อนุญาตให้ผู้ใช้สามารถเปลี่ยน password โดยใช้คำสั่ง smbldap-passwd ด้วยตัวเองได้ ไม่ต้องใช้ rootdn

• ซ่อนรหัสผ่าน (password) ไม่ให้สามารถอ่านได้โดยตรง แต่ใช้ในการตรวจสอบสิทธิ (authenticate) ได้

# ------------------------
# /etc/openldap/slapd.conf
# ------------------------
include     /etc/openldap/schema/corba.schema
include     /etc/openldap/schema/core.schema
include     /etc/openldap/schema/cosine.schema
include     /etc/openldap/schema/duaconf.schema
include     /etc/openldap/schema/dyngroup.schema
include     /etc/openldap/schema/inetorgperson.schema
include     /etc/openldap/schema/java.schema
include     /etc/openldap/schema/misc.schema
include     /etc/openldap/schema/nis.schema
include     /etc/openldap/schema/openldap.schema
include     /etc/openldap/schema/ppolicy.schema
include     /etc/openldap/schema/collective.schema

# Samba Schema
include     /etc/openldap/schema/samba.schema

# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

pidfile     /var/run/openldap/slapd.pid
argsfile    /var/run/openldap/slapd.args

# Enable Monitoring
database monitor

# ldbm and/or bdb database definitions
database    bdb
suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}xxx
directory   /var/lib/ldap

# Indices to maintain for this database
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index uniqueMember                      eq

# required to support pdb_getsambapwrid()
index displayName                       pres,sub,eq
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index sambaSIDList                      eq
index sambaGroupType                    eq
index default                           sub

# users can authenticate and change their password
# hide password fields
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
      by self write
      by anonymous auth
      by * none

access to attrs=shadowLastChange,shadowMax
      by self write
      by * read

# all others attributes are readable to everybody
access to *
      by * read

# loglevel stats stats2

# EOF.

ตัวอย่างในบทความนี้จะเป็นการแก้ไขหลังจากเปลี่ยน IP ของเครื่องเซิร์ฟเวอร์จาก 10.1.0.1 ไปเป็น IP ใหม่คือ 192.168.1.1 ของโดเมน SMBLDAP

ก่อนการแก้ไข

หลังจากที่เปลี่ยน IP Addres ของลีนุกซ์แล้ว โดยอาจใช้คำสั่ง system-config-network หรือใช้คำสั่ง ifconfig โดยตรง ทดลองรัน Samba เพื่อทำหน้าที่ PDC ขึ้นมาใหม่ เครื่องไคลเอนต์จะไม่สามารถ join เข้าโดเมนได้

ปัญหาที่เกิดขึ้น เนื่องมาจาก มีการเก็บข้อมูล IP เก่าว่าเป็น Domain Controller อยู่ ซึ่งสามารถตรวจสอบได้จากไฟล์ /var/log/samba/log.nbmd จะขึ้นข้อความว่า Domain Controller ยังผูกกับ IP เก่าอยู่

ตัวอย่างการรัน Samba หลังจากเปลี่ยน IP Adddress

[root@samba-server ~]# service smb start
Starting SMB services:                                     [  OK  ]
[root@samba-server ~]# service nmb start
Starting NMB services:                                     [  OK  ]

ตัวอย่างไฟล์ log.nmbd ที่มีปัญหา

[root@samba-server ~]# tail -f /var/log/samba/log.nmbd
[2008/10/25 16:41:02,  0] nmbd/nmbd.c:main(849)
  nmbd version 3.2.3-0.20.fc9 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2008
[2008/10/25 16:41:02,  0] nmbd/asyncdns.c:start_async_dns(155)
  started asyncdns process 2161
[2008/10/25 16:41:02,  0] nmbd/nmbd_logonnames.c:add_logon_names(160)
  add_domain_logon_names:
  Attempting to become logon server for workgroup SMBLDAP on subnet 192.168.1.1
[2008/10/25 16:41:02,  0] nmbd/nmbd_logonnames.c:add_logon_names(160)
  add_domain_logon_names:
  Attempting to become logon server for workgroup SMBLDAP on subnet UNICAST_SUBNET
[2008/10/25 16:41:02,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(336)
  become_domain_master_browser_wins:
  Attempting to become domain master browser on workgroup SMBLDAP, subnet UNICAST_SUBNET.
[2008/10/25 16:41:02,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(350)
  become_domain_master_browser_wins: querying WINS server from IP 192.168.1.1 for domain master browser name SMBLDAP<1b> on workgroup SMBLDAP
[2008/10/25 16:41:02,  0] nmbd/nmbd_become_dmb.c:become_domain_master_query_success(234)
  become_domain_master_query_success:
  There is already a domain master browser at IP 10.1.0.1 for workgroup SMBLDAP registered on subnet UNICAST_SUBNET.
[2008/10/25 16:41:02,  0] nmbd/nmbd_logonnames.c:become_logon_server_success(121)
  become_logon_server_success: Samba is now a logon server for workgroup SMBLDAP on subnet UNICAST_SUBNET
[2008/10/25 16:41:06,  0] nmbd/nmbd_logonnames.c:become_logon_server_success(121)
  become_logon_server_success: Samba is now a logon server for workgroup SMBLDAP on subnet 192.168.1.1
[2008/10/25 16:41:24,  0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(395)
  *****

  Samba name server SAMBA-SERVER is now a local master browser for workgroup SMBLDAP on subnet 192.168.1.1

  *****
[2008/10/25 16:41:24,  0] libsmb/nmblib.c:send_udp(839)
  Packet send failed to 10.1.0.1(137) ERRNO=Network is unreachable
[2008/10/25 16:41:24,  0] nmbd/nmbd_packets.c:send_netbios_packet(160)
  send_netbios_packet: send_packet() to IP 10.1.0.1 port 137 failed
[2008/10/25 16:41:24,  0] nmbd/nmbd_nodestatus.c:node_status(87)
  node_status: Failed to send packet trying to get node status for name SMBLDAP<1b>, IP address 10.1.0.1

ใน Samba จะมีการเก็บข้อมูลของโดเมนว่า เครื่องใดทำหน้าที่อะไรบ้างในเน็ตเวิร์ก จะเก็บไว้ในหลายๆ ไฟล์ ไฟล์หนึ่งที่สามารถดูได้อย่างง่ายคือไฟล์ wins.dat

ตัวอย่างไฟล์ wins.dat

[root@samba-server ~]# cat /var/lib/samba/wins.dat
VERSION 1 0
"SMBLDAP#1e" 1225185500 0.0.0.0 e4R
"SAMBA-SERVER#00" 1225185500 10.1.0.1 192.168.1.1 66R
"SAMBA-SERVER#03" 1225185500 10.1.0.1 192.168.1.1 66R
"SMBLDAP#1b" 1225184635 10.1.0.1 64R
"SAMBA-SERVER#20" 1225185500 10.1.0.1 192.168.1.1 66R
"SMBLDAP#00" 1225185500 0.0.0.0 e4R
"SMBLDAP#1c" 1225185500 10.1.0.1 192.168.1.1 e4R

จะเห็นได้ว่าไฟล์นี้ยังเก็บข้อมูล IP เก่าอยู่ ทำให้ Samba ทำงานได้ไม่ถูกต้อง

การแก้ไข Samba หลังจากเปลี่ยน IP Address ของเครื่องเซิร์ฟเวอร์

ขั้นตอนแรกต้อง stop เซอร์วิส Samba ก่อน ทั้ง smb และ nmb

ตัวอย่างการ stop เซอร์วิส Samba

[root@samba-server ~]# service smb stop
Shutting down SMB services:                                [  OK  ]
[root@samba-server ~]# service nmb stop
Shutting down NMB services:                                [  OK  ]

ลบไฟล์ที่เก็บข้อมูลของโดเมน โดยไฟล์เหล่านี้จะถูกสร้างขึ้นมาใหม่โดยอัตโนมัติหลังจากรันเซอร์วิส Samba อีกครั้ง

[root@samba-server ~]# rm -f /var/lib/samba/wins.dat
[root@samba-server ~]# rm -f /var/lib/samba/browse.dat
[root@samba-server ~]# rm -f /var/lib/samba/gencache.tdb

รันเซอร์วิส Samba อีกครั้ง

[root@samba-server ~]# service smb start
Starting SMB services:                                     [  OK  ]
[root@samba-server ~]# service nmb start
Starting NMB services:                                     [  OK  ]

ตรวจสอบไฟล์ log.nmbd หลังการแก้ไข

[root@samba-server ~]# tail -f /var/log/samba/log.nmbd
[2008/10/25 16:46:05,  0] nmbd/nmbd.c:main(849)
  nmbd version 3.2.3-0.20.fc9 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2008
[2008/10/25 16:46:05,  0] nmbd/asyncdns.c:start_async_dns(155)
  started asyncdns process 2269
[2008/10/25 16:46:05,  0] nmbd/nmbd_logonnames.c:add_logon_names(160)
  add_domain_logon_names:
  Attempting to become logon server for workgroup SMBLDAP on subnet 192.168.1.1
[2008/10/25 16:46:05,  0] nmbd/nmbd_logonnames.c:add_logon_names(160)
  add_domain_logon_names:
  Attempting to become logon server for workgroup SMBLDAP on subnet UNICAST_SUBNET
[2008/10/25 16:46:05,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(336)
  become_domain_master_browser_wins:
  Attempting to become domain master browser on workgroup SMBLDAP, subnet UNICAST_SUBNET.
[2008/10/25 16:46:05,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(350)
  become_domain_master_browser_wins: querying WINS server from IP 192.168.1.1 for domain master browser name SMBLDAP<1b> on workgroup SMBLDAP
[2008/10/25 16:46:05,  0] nmbd/nmbd_logonnames.c:become_logon_server_success(121)
  become_logon_server_success: Samba is now a logon server for workgroup SMBLDAP on subnet UNICAST_SUBNET
[2008/10/25 16:46:05,  0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(110)
  *****

  Samba server SAMBA-SERVER is now a domain master browser for workgroup SMBLDAP on subnet UNICAST_SUBNET

  *****
[2008/10/25 16:46:05,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(291)
  become_domain_master_browser_bcast:
  Attempting to become domain master browser on workgroup SMBLDAP on subnet 192.168.1.1
[2008/10/25 16:46:05,  0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(304)
  become_domain_master_browser_bcast: querying subnet 192.168.1.1 for domain master browser on workgroup SMBLDAP
[2008/10/25 16:46:09,  0] nmbd/nmbd_logonnames.c:become_logon_server_success(121)
  become_logon_server_success: Samba is now a logon server for workgroup SMBLDAP on subnet 192.168.1.1
[2008/10/25 16:46:13,  0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(110)
  *****

  Samba server SAMBA-SERVER is now a domain master browser for workgroup SMBLDAP on subnet 192.168.1.1

  *****
[2008/10/25 16:46:27,  0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(395)
  *****

  Samba name server SAMBA-SERVER is now a local master browser for workgroup SMBLDAP on subnet 192.168.1.1

  *****

ตรวจสอบไฟล์ wins.dat หลังการแก้ไข

[root@samba-server ~]# cat /var/lib/samba/wins.dat
VERSION 1 0
"SMBLDAP#1e" 1225187165 0.0.0.0 e4R
"SAMBA-SERVER#00" 1225187165 192.168.1.1 66R
"SAMBA-SERVER#03" 1225187165 192.168.1.1 66R
"SMBLDAP#1b" 1225187165 192.168.1.1 64R
"SAMBA-SERVER#20" 1225187165 192.168.1.1 66R
"SMBLDAP#00" 1225187165 0.0.0.0 e4R
"SMBLDAP#1c" 1225187165 192.168.1.1 e4R

ในบทความนี้จะคอนฟิกเพิ่มเติมเพื่อให้ Samba ทำหน้าที่เป็น Domain Controller ของ Windows client ได้

แก้ไขไฟล์ /etc/samba/smb.conf

ต้องแก้ไขไฟล์ smb.conf เพิ่มเติมโดยในที่นี้จะแสดงคอนฟิกทั้งหมดของไฟล์นี้เลย เพื่อคอนฟิกให้ Samba ทำหน้าที่เป็น Domain Controller

[global]
 workgroup = SMBLDAP
 server string = Samba Server Version %v

 passdb backend = ldapsam:ldap://127.0.0.1/
 passwd program = /usr/sbin/smbldap-passwd -u "%u"
 passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
 unix password sync = Yes
 log file = /var/log/samba/log.%U
 max log size = 50
 time server = Yes
 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

 add user script = /usr/sbin/smbldap-useradd -m "%u"
 delete user script = /usr/sbin/smbldap-userdel "%u"
 add group script = /usr/sbin/smbldap-groupadd -p "%g"
 delete group script = /usr/sbin/smbldap-groupdel "%g"
 add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
 delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
 set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
 add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"

 logon script = logon.bat
 logon path = \\%L\profiles\%u
 logon drive = H:
 domain logons = Yes
 os level = 65
 preferred master = Yes
 domain master = Yes
 wins support = Yes

 ldap admin dn = uid=root,ou=People,dc=test-ldap,dc=com
 ldap group suffix = ou=Group
 ldap idmap suffix = ou=Idmap
 ldap machine suffix = ou=Computers
 ldap suffix = dc=test-ldap,dc=com
 ldap user suffix = ou=People
 cups options = raw

[homes]
 comment = Home Directories
 read only = No
 browseable = No

[profiles]
 path = /home/profiles
 read only = No
 guest ok = Yes
 browseable = No

คำแนะนำ รันคำสั่ง testparm ทุกครั้งเพื่อตรวจสอบความถูกต้องของคอนฟิกไฟล์ หลังการแก้ไขไฟล์ /etc/samba/smb.conf

สร้างไดเร็คทอรีสำหรับเก็บ profiles ของ user

เพื่อให้ user สามารถล็อกอินจาก Windows หลายๆ เครื่องแล้วมี profiles เหมือนกัน เช่น desktop ต้องสร้างไดเร็คทอรี่บนลีนุกซ์ที่รัน Samba สำหรับเก็บ profiles ของ user

ตัวอย่างการสร้างไดเร็คทอรี สำหรับเก็บ profiles ของ user

[root@fc9-min ~]# cd /home
[root@fc9-min home]# mkdir profiles
[root@fc9-min home]# chgrp "Domain Users" profiles
[root@fc9-min home]# chmod 770 profiles
[root@fc9-min home]# ls -ld profiles
drwxrwx--- 2 root Domain Users 4096 2008-10-19 00:27 profiles

รันเซอร์วิส Samba

เพื่อให้ Samba ทำหน้าที่เป็น Domain Controller ได้นั้น จำเป็นต้องรัน 2 เซอร์วิสคือ smb และ nmb ตามตัวอย่าง

[root@fc9-min ~]# service smb start
Starting SMB services:                                     [  OK  ]

[root@fc9-min ~]# service nmb start
Starting NMB services:                                     [  OK  ]

คอนฟิก Windows ให้ join Domain

ล็อกอินเป็น Administrator บนเครื่องไคลเอนต์ Windows ที่จะ join Domain คลิ้กขวาที่ My Computer แล้วเลือก Properties คลิ้กที่ Computer Name แล้วกดปุ่ม Change ใส่ชื่อ Domain ที่ต้องการ join ในที่นี้คือ SMBLDAP

หน้าจอ “Computer Name Changes” จะให้ใส่ User Name และ Password ที่จะใช้ join domain ให้ใส่ User Name เป็น root และใส่ password ตามที่ระบุใน rootpw

ถ้าถูกต้องจะมีหน้าจอขึ้นข้อความ “Welcome to the SMBLDAP domain.” กดปุ่ม Ok แล้วก็รีสตาร์ตเครื่อง

หลังจากบู๊ตเครื่องเสร็จ หน้าจอ Log On to Windows จะสามารถเลือก Log on to เป็น SMBLDAP ได้ ใส่ user ที่เพิ่มจากคำสั่ง smbldap-useradd ในตัวอย่างคือ user01

เมื่อล๊อกออก (Log Off) จาก user01 จะมีการเก็บ profiles ของ user เข้าไปในไดเร็คทอรี บนลีนุกซ์ที่ตั้งไว้ด้วย

ตัวอย่างไฟล์ profiles ที่ถูกสร้างขึ้น ของ user01

[root@fc9-min ~]# ls -l /home/profiles/user01/
total 568
drwx--x--x+ 4 user01 Domain Users   4096 2008-10-18 17:48 Application Data
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 16:20 Cookies
drwx------+ 2 user01 Domain Users   4096 2008-05-03 23:12 Desktop
drwx--x--x+ 3 user01 Domain Users   4096 2008-10-18 17:49 Favorites
drwx--x--x+ 4 user01 Domain Users   4096 2008-10-18 17:49 My Documents
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 23:12 NetHood
-rwx------  1 user01 Domain Users 524288 2008-10-18 17:54 NTUSER.DAT
-rwx------  1 user01 Domain Users   1024 2008-10-18 17:54 NTUSER.DAT.LOG
-rw-------  1 user01 Domain Users    268 2008-10-19 00:55 ntuser.ini
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 23:12 PrintHood
drwx--x--x+ 2 user01 Domain Users   4096 2008-10-18 17:49 Recent
drwx--x--x+ 2 user01 Domain Users   4096 2008-10-18 17:48 SendTo
drwx--x--x+ 3 user01 Domain Users   4096 2008-05-03 23:12 Start Menu
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 16:17 Templates

ข้อมูลอ้างอิง

• ติดตั้ง smbldap-tools บน Fedora 9
• การใช้งานคำสั่งของ smbldap-tools
• ไฟล์คอนฟิก openldap สำหรับ smbldap-tools

หมายเหตุ ทุกคำสั่งของ smbldap-tools สามารถที่จะดูวิธีการใช้งานโดยย่อได้ จากการรันคำสั่งที่ต้องการแล้วต่อท้ายด้วยออปชั่น ‘-h’ หรือ ‘-?’ หรือไม่ก็อ่านรายละเอียดการใช้งานได้จาก man page ของแต่ละคำสั่ง

smbldap-useradd เพิ่ม user

คำสั่ง smbldap-useradd ใช้เพิ่ม user เข้าไปใน LDAP

ตัวอย่างการเพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ออปชั่นของคำสั่ง smbldap-useradd ที่ใช้ เพื่อให้ใช้งานร่วมกับ Samba ได้มีดังนี้

• -a เพิ่มข้อมูล Samba ของ user
• -m สร้างไดเร็คทอรี่ Home ของ user ด้วย
• -P ให้เรียกคำสั่ง smbldap-passwd หลังจบคำสั่ง เพื่อตั้งรหัสให้ user

หลังจากที่เพิ่ม user เข้าในระบบแล้ว สามารถใช้คำสั่ง id หรือ getent เพื่อตรวจสอบข้อมูลของ user ได้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:System User:/home/user01:/bin/bash

smbldap-passwd เปลี่ยนรหัสผ่านของ user

คำสั้ง smbldap-passwd ใช้เพื่อเปลี่ยนรหัสผ่านของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-passwd user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

smbldap-userlist แสดงรายชื่อ user

คำสั่ง smbldap-userlist ใช้เพื่อแสดงรายชื่อ user ทั้งหมดที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-userlist
uid  |username

   0 |root                 |
 999 |nobody               |
1001 |user01               |

smbldap-usershow แสดงรายละเอียด user

คำสั่ง smbldap-usershow ใช้เพื่อตรวจสอบข้อมูลทั้งหมดของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-usershow user01
dn: uid=user01,ou=People,dc=test-ldap,dc=com
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
uid: user01
uidNumber: 1001
gidNumber: 513
homeDirectory: /home/user01
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: user01
sambaSID: S-1-5-21-3697236364-1357617849-1956783867-3002
sambaPrimaryGroupSID: S-1-5-21-3697236364-1357617849-1956783867-513
sambaProfilePath: \\fc9-min\profiles\user01
sambaHomePath: \\fc9-min\user01
sambaHomeDrive: H:
sambaLMPassword: C53C042BF139A7D9AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 152E0323FE05645650DD50FD31C2FCDF
sambaPwdLastSet: 1224343354
sambaPwdMustChange: 1228231354
userPassword: {SSHA}d+ZTyu7BhUarCaM2Ifu9bk/RS0lkSi80
shadowLastChange: 14170
shadowMax: 45
gecos: System User,,,,
cn: System User
sn: User
givenName: System
loginShell: /bin/bash

smbldap-userinfo แก้ไขข้อมูลเบื้องต้นของ user

คำสั่ง smbldap-userinfo ใช้เพื่อแก้ไขข้อมูลเบื้องต้นของ user เช่น User Shell, Full Name ถ้าต้องการแก้ไขข้อมูลอื่นๆ ต้องใช้คำสั่ง smbldap-usermod

[root@fc9-min ~]# smbldap-userinfo user01
Changing the user information for user01
Enter the new value, or press ENTER for the default
 User Shell [/bin/bash]:
 Full Name [System User]: User01 Full Name
 Room Number []:
 Work Phone []:
 Home Phone []:
 Other []:
LDAP updated

ตรวจสอบ Full Name หลังการแก้ไขด้วยคำสั่ง getent

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-usermod แก้ไขข้อมูลของ user

คำสั่ง smbldap-usermod ใช้เพื่อแก้ข้อมูลของ user ที่อยู่ใน LDAP โดยต้องระบุออปชั่นที่ต้องการแก้ไข

ตัวอย่างการใช้คำสั่ง smbldap-usermod เพื่อแก้ไข Home ของ user01

[root@fc9-min ~]# smbldap-usermod -d /new-home/user01 user01

ตรวจสอบหลังการแก้ไข

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/new-home/user01:/bin/bash

เปลี่ยนข้อมูลกลับ

[root@fc9-min ~]# smbldap-usermod -d /home/user01 user01
[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-userdel ลบ user

คำสั่ง smbldap-userdel ใช้เพื่อลบ user ออกจาก LDAP

[root@fc9-min ~]# smbldap-userdel -r user02

smbldap-groupadd เพิ่ม group

คำสั่ง smbldap-groupadd ใช้เพื่อเพิ่ม group ใหม่เข้าไปใน LDAP

ตัวอย่างการเพิ่ม newgroup เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-groupadd newgroup

smbldap-groupshow ดูข้อมูลของ group

คำสั่ง smbldap-groupshow ใช้เพื่อดูข้อมูลรายละเอียดของ group ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000

smbldap-groupmod แก้ไขข้อมูลของ group

คำสั่ง smbldap-groupmod ใช้เพื่อแก้ไขข้อมูลของ group เช่น การเพิ่ม user เข้าไปอยู่ใน group

ตัวอย่างการเพิ่ม user01 เข้าไปอยู่ใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user01 newgroup
adding user user01 to group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users),1000(newgroup)

ตัวอย่างการเพิ่มหลายๆ user เข้าไปใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user02,user03,user04,user05 newgroup
adding user user02 to group newgroup
adding user user03 to group newgroup
adding user user04 to group newgroup
adding user user05 to group newgroup

ตรวจสอบข้อมูลของ newgroup

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000
memberUid: user01,user02,user03,user04,user05

ตัวอย่างการลบ user ออกจาก group

[root@fc9-min ~]# smbldap-groupmod -x user01 newgroup
deleting user user01 from group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

smbldap-groupdel ลบ group

คำสั่ง smbldap-groupdel ใช้เพื่อลบ group ออกจาก LDAP

ตัวอย่างการลบ newgroup ออกจาก LDAP

[root@fc9-min ~]# smbldap-groupdel newgroup

ข้อมูลอ้างอิง

• ติดตั้ง smbldap-tools บน Fedora 9

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9

ในบทความนี้จะถือว่าเป็นการติดตั้ง OpenLDAP ใหม่เลย โดยไม่มีข้อมูลใดๆ อยู่ใน LDAP

ติดตั้ง Perl Module ที่จำเป็น

โปรแกรม smbldap-tools เขียนด้วยภาษา Perl จะเรียกใช้ Perl Module ต่างๆ ดังนั้นก่อนที่จะใช้งานได้ ต้องติดตั้ง Perl Module เหล่านี้ก่อน สำหรับ Fedora 9 สามารถดาวน์โหลดไฟล์ต่างๆ ได้จาก Fedora 9 Everything

ตัวอย่างการติดตั้ง Perl Module ที่จำเป็นตามลำดับ บน Fedora 9

[root@fc9-min ~]# rpm -ivh perl-Digest-MD4-1.5-6.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Crypt-SmbHash-0.12-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Digest-SHA1-2.11-7.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Net-SSLeay-1.32-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Socket-SSL-1.12-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Raw-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Base-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Tagset-3.10-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Parser-3.56-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-URI-1.35-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-libwww-perl-5.808-7.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-Common-0.13-13.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-NamespaceSupport-1.09-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh --nodeps perl-XML-SAX-0.16-5.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-1.65-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-LDAP-0.34-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Jcode-2.06-6.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map-0.112-14.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-String-2.09-8.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map8-0.12-17.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-MapUTF8-1.11-6.fc8.noarch.rpm

หลังจากติดตั้ง Perl Module ที่ต้องใช้เรียบร้อยแล้ว ก็ติดตั้งโปรแกรม smbldap-tools โดยสามารถดาวน์โหลดได้จากที่เดียวกัน

[root@fc9-min ~]# rpm -ivh smbldap-tools-0.9.5-2.fc9.noarch.rpm

รันเซอร์วิส Samba เบื้องต้น

ก่อนที่จะเริ่มคอนฟิก smbldap-tools ได้นั้น จำเป็นต้องรันเซอร์วิส Samba ก่อน โดยคอนฟิกที่ต้องเปลี่ยนในไฟล์ /etc/samba/smb.conf ในเบื้องต้นนี้คือส่วน workgroup เพราะค่านี้จะถูกอ่านตอนรันคอนฟิก smbldap-tools ส่วนคอนฟิก อื่นๆ ไว้แก้ไขที่หลังได้

ตัวอย่างไฟล์ smb.conf ที่แก้ไข ก่อนคอนฟิก smbldap-tools

 workgroup = SMBLDAP

ใช้คำสั่ง service เพื่อรันเซอร์วิส Samba

[root@fc9-min ~]# /etc/init.d/smb start
Starting SMB services:                                     [  OK  ]

แก้ไขคอนฟิก OpenLDAP

จากการติดตั้ง OpenLDAP Server ต้องเพิ่มไฟล์ schema ของ Samba เข้าไปในไฟล์ slapd.conf ด้วย

ตัวอย่างไฟล์ /etc/openldap/slapd.conf หลังการแก้ไข

include     /etc/openldap/schema/samba.schema

suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

หมายเหตุ คอนฟิกส่วน rootpw ได้มาจากการรันคำสั่ง slappasswd

รันเซอร์วิส OpenLDAP หลังจากแก้ไขคอนฟิกไฟล์ slapd.conf

[root@fc9-min ~]# /etc/init.d/ldap start
Starting slapd:                                            [  OK  ]

รันไฟล์ configure.pl เพื่อคอนฟิก smbldap-tools

ไฟล์คอนฟิกหลักของ smbldap-tools จะอยู่ในไดเร็คทอรี /etc/smbldap-tools/ ซึ่งจะประกอบด้วยคอนฟิกหลายๆ ส่วน เพื่อความสะดวกในการแก้ไขไฟล์ จากการติดตั้ง smbldap-tools จะมีไฟล์ /usr/share/doc/smbldap-tools-0.9.5/configure.pl เพื่อช่วยในการคอนฟิกไฟล์

ตัวอย่างรันไฟล์ configure.pl เพื่อสร้างคอนฟิกไฟล์ของ smbldap-tools

[root@fc9-min ~]# /usr/share/doc/smbldap-tools-0.9.5/configure.pl
$# is no longer supported at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
       smbldap-tools script configuration
       -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
 . if your samba controller is up and running.
 . if the domain SID is defined (you can get it with the 'net getlocalsid')

 . you can leave the configuration using the Crtl-c key combination
 . empty value can be set with the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...

Samba Configuration File Path [/etc/samba/smb.conf] >

The default directory in which the smbldap configuration files are stored is shown.
If you need to change this, enter the full directory path, then press enter to continue.
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scripts ...

. workgroup name: name of the domain Samba act as a PDC
  workgroup name [SMBLDAP] >
. netbios name: netbios name of the samba controler
  netbios name [] > fc9-min
. logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:'
  logon drive [] > H:
. logon home: home directory location (for Win95/98 or NT Workstation).
  (use %U as username) Ex:'\\fc9-min\%U'
  logon home (press the "." character if you don't want homeDirectory) [\\fc9-min\%U] >
. logon path: directory where roaming profiles are stored. Ex:'\\fc9-min\profiles\%U'
  logon path (press the "." character if you don't want roaming profile) [\\fc9-min\profiles\%U] >
. home directory prefix (use %U as username) [/home/%U] >
. default users' homeDirectory mode [700] >
. default user netlogon script (use %U as username) [] > \\fc9-min\netlogon\%U
  default password validation time (time in days) [45] >
. ldap suffix [] > dc=test-ldap,dc=com
. ldap group suffix [] > ou=Group
. ldap user suffix [] > ou=People
. ldap machine suffix [] > ou=Computers
. Idmap suffix [ou=Idmap] >
. sambaUnixIdPooldn: object where you want to store the next uidNumber
  and gidNumber available for new users and groups
  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=PDCTEST] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 162, <STDIN> line 17.
  ldap master server [] > 127.0.0.1
. ldap master port [389] >
. ldap master bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap master bind password [] >
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
Use of uninitialized value $server in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 262, <STDIN> line 21.
  ldap slave server [] > 127.0.0.1
. ldap slave port [389] >
. ldap slave bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap slave bind password [] >
. ldap tls support (1/0) [0] >
. SID for domain PDCTEST: SID of the domain (can be obtained with 'net getlocalsid fc9-min')
  SID for domain PDCTEST [S-1-5-21-3697236364-1357617849-1956783867] >
. unix password encryption: encryption used for unix passwords
  unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >
. default user gidNumber [513] >
. default computer gidNumber [515] >
. default login shell [/bin/bash] >
. default skeleton directory [/etc/skel] >
. default domain name to append to mail adress [] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Use of uninitialized value $# in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314, <STDIN> line 33.
backup old configuration files:
  /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old
  /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
  /etc/smbldap-tools/smbldap.conf done.
  /etc/smbldap-tools/smbldap_bind.conf done.

รันคำสั่ง smbldap-populate

โปรแกรม smbldap-tools จะมีคำสั่ง smbldap-populate เพื่อช่วยเพิ่มข้อมูลเข้าไปใน OpenLDAP โดยจะอ้างอิงจากคอนฟิกที่รันด้วย configure.pl

หมายเหตุ ในที่นี้จะถือว่า ไม่มีข้อมูลใดๆ อยู่ใน OpenLDAP เลย

ตัวอย่างการรันคำสั่ง smbldap-populate

[root@fc9-min openldap]# smbldap-populate
Populating LDAP directory for domain PDCTEST (S-1-5-21-3697236364-1357617849-1956783867)
(using builtin directory structure)

adding new entry: dc=test-ldap,dc=com
adding new entry: ou=People,dc=test-ldap,dc=com
adding new entry: ou=Group,dc=test-ldap,dc=com
adding new entry: ou=Computers,dc=test-ldap,dc=com
adding new entry: ou=Idmap,dc=test-ldap,dc=com
adding new entry: uid=root,ou=People,dc=test-ldap,dc=com
adding new entry: uid=nobody,ou=People,dc=test-ldap,dc=com
adding new entry: cn=Domain Admins,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Users,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Guests,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Computers,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Administrators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Account Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Print Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Backup Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Replicators,ou=Group,dc=test-ldap,dc=com
adding new entry: sambaDomainName=PDCTEST,dc=test-ldap,dc=com

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password: ldap1234
Retype new password: ldap1234

หมายเหตุ Password ที่ใส่ในส่วนท้ายของคำสั่ง smbldap-populate เป็น rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

รันคำสั่ง smbpasswd

รันคำสั่ง smbpasswd เพื่อใส่ ldap admin password ที่ Samba ใช้ในการเชื่อมต่อกับ LDAP

[root@fc9-min ~]# smbpasswd -w ldap1234
Setting stored password for "uid=root,ou=People,dc=test-ldap,dc=com" in secrets.tdb

หมายเหตุ ‘ldap1234′ คือ rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

คอนฟิกให้ลีนุกซ์ ตรวจสอบผู้ใช้งานจาก LDAP

ใช้คำสั่ง authconfig-tui เพื่อคอนฟิกให้ ลีนุกซ์ตรวจสอบผู้ใช้งานหรือ authenticate จาก LDAP

คอนฟิก Samba ให้ authenticate จาก LDAP

แก้ไขคอนฟิกไฟล์ของ Samba เพื่อให้ authenticate จาก ldap

ตัวอย่างไฟล์ /etc/samba/smb.conf ที่แก้ไขเพิ่มเติม

 workgroup = SMBLDAP
 security = user
 passdb backend = ldapsam:ldap://127.0.0.1/

 ldap suffix = dc=test-ldap,dc=com
 ldap admin dn = uid=root,ou=People,dc=test-ldap,dc=com
 ldap group suffix = ou=Group
 ldap user suffix = ou=People

เพิ่ม user ใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -s /bin/bash -d /home/user01 -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ทดสอบด้วยคำสั่ง smbclient

ใช้คำสั่ง smbclient เพื่อทดสอบการใช้ Samba เพื่อ authenticate ผู้ใช้จาก LDAP

ตัวอย่างการทดสอบด้วยคำสั่ง smbclient

[root@fc9-min samba]# smbclient '\\localhost\user01' -U user01
Enter user01's password:
Domain=[fc9-min] OS=[Unix] Server=[Samba 3.2.3-0.20.fc9]
smb: \> dir
  .                                   D        0  Sat Oct 18 12:21:59 2008
  ..                                  D        0  Sat Oct 18 11:38:30 2008
  .bashrc                             H      124  Sat Oct 18 11:38:30 2008
  .bash_logout                        H       18  Sat Oct 18 11:38:30 2008
  .bash_profile                       H      176  Sat Oct 18 11:38:30 2008

                60160 blocks of size 65536. 55959 blocks available
smb: \> exit

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9
• การใช้งานคำสั่งของ smbldap-tools
• คอนฟิก Samba เป็น Domain Controller
• Smbldap-tools User Manual

เวอร์ชั่นของ Samba ที่ติดตั้งมาพร้อมกับ Fedora 9 นั้น ปรับปรุงมาจาก pre-release ซึ่งตอนต้นเดือนกรกฎาคม Samba ได้ออกเวอร์ชั่น 3.2 แบบสมบูรณ์มา ดังนั้นก่อนที่จะนำไปคอนฟิกต่อไป แนะนำให้ปรับปรุงเป็นเวอร์ชั่นล่าสุด

หมายเหตุ เนื้อหาบทความปรับปรุงเป็นเวอร์ชั่นล่าสุด 3.2.3 (ตุลาคม 2551)

ตรวจสอบโปรแกรม Samba ที่ติดตั้งมากับ Fedora 9
ในการ ติดตั้ง Fedora 9 แบบประหยัดพื้นที่สุด จะมี rpm package ที่เกี่ยวกับโปรแกรม Samba อยู่หลายไฟล์ ซึ่งตรวจสอบได้โดยใช้คำสั่ง rpm ตามตัวอย่างต่อไปนี้

[root@fc9-min ~]# rpm -qa | grep samba
samba-common-3.2.0-1.pre3.9.fc9.i386
samba-winbind-3.2.0-1.pre3.9.fc9.i386

ก่อนที่จะปรับปรุงเป็นเวอร์ชั่นล่าสุด แนะนำให้ถอดโปรแกรม (removing package) Samba และที่เกี่ยวข้องออก

ตัวอย่างการถอดโปรแกรม (removing package)

[root@fc9-min ~]# rpm -ev bluez-utils
[root@fc9-min ~]# rpm -ev bluez-gnome
[root@fc9-min ~]# rpm -ev gvfs
[root@fc9-min ~]# rpm -ev libsmbclient
[root@fc9-min ~]# rpm -ev samba-winbind --nodeps
[root@fc9-min ~]# rpm -ev samba-common
[root@fc9-min ~]# rpm -ev libtdb

หมายเหตุ ในที่นี้จะถอดโปรแกรมอื่นๆ ด้วยเช่น bluez, gvfs ซึ่งเป็นโปรแกรมใน gnome ถ้าคุณไม่จำเป็นต้องใช้ ก็ไม่ต้องติดตั้งกลับเข้าไปก็ได้

ดาวน์โหลดไฟล์ update
มีอยู่หลายเว็บไซต์ที่ให้บริการดาวน์โหลดไฟล์ update ของ Fedora ได้ ตัวอย่างที่หนึ่งที่มีการปรับปรุงอยู่ตลอดเวลา สามารถดาวน์โหลดได้ที่ http://mirrors.kernel.org/fedora/updates/9/

ณ เวลาที่เขียนบทความนี้ (ตุลาคม 2551) ชื่อไฟล์ที่จำเป็นต้องดาวน์โหลดเพื่อปรับปรุงบน Fedora 9 (i386) และเวอร์ชั่นของโปรแกรมจะมีดังนี้

• libtdb-1.1.1-20.fc9.i386.rpm
• samba-winbind-3.2.3-0.20.fc9.i386.rpm
• libsmbclient-3.2.3-0.20.fc9.i386.rpm
• samba-common-3.2.3-0.20.fc9.i386.rpm
• samba-client-3.2.3-0.20.fc9.i386.rpm
• perl-Convert-ASN1-0.21-3.fc9.noarch.rpm
• samba-3.2.3-0.20.fc9.i386.rpm
• samba-doc-3.2.3-0.20.fc9.i386.rpm

ติดตั้ง Samba เวอร์ชั่นใหม่
ใช้คำสั่ง rpm เพื่อติดตั้งไฟล์ที่ดาวน์โหลดมา

ตัวอย่างการปรับปรุงโปรแกรมบน Fedora 9 (i386)

[root@fc9-min ~]# rpm -i libtdb-1.1.1-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i --nodeps samba-winbind-3.2.3-0.20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i libsmbclient-3.2.3-0.20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i samba-common-3.2.3-0.20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i samba-client-3.2.3-0.20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i perl-Convert-ASN1-0.21-3.fc9.noarch.rpm
[root@fc9-min ~]# rpm -i samba-3.2.3-0.20.fc9.i386.rpm
[root@fc9-min ~]# rpm -i samba-doc-3.2.3-0.20.fc9.i386.rpm

หมายเหตุ ไฟล์ perl-Convert-ASN1-0.21-3.fc9.noarch.rpm มีอยู่ในแผ่นติดตั้ง Fedora 9 อยู่แล้ว

ตรวจสอบหลังจากการปรับปรุง
คุณสามารถใช้คำสั่ง rpm เพื่อตรวจสอบความถูกต้องของเวอร์ชั่นโปรแกรมจากการติดตั้งได้

[root@fc9-min ~]# rpm -qa | grep samba
samba-client-3.2.3-0.20.fc9.i386
samba-winbind-3.2.3-0.20.fc9.i386
samba-common-3.2.3-0.20.fc9.i386
samba-doc-3.2.3-0.20.fc9.i386
samba-3.2.3-0.20.fc9.i386

ข้อมูลอ้างอิง

• ติดตั้ง Fedora 9 แบบประหยัดพื้นที่สุด
• คอนฟิก Samba เป็น Domain Controller