Chào mừng bạn đến với ``vũ điệu Samba`` trong ``Lễ hội.. Chim cánh chụt``!
Bạn có biết gần đây ``vũ điệu`` này đã có sự chuyển biến lớn hay không? Bạn đã biết, đã nghe hay đã ``vọoc`` những chức năng mới của Samba 3.0 chưa? Nếu chưa thì hãy thử nhé! Tôi sẽ cùng thử với các bạn trong bài viết này!
Như các bạn đã biết, Samba đã có một vị trí nhất định, một phần không thể thiếu trong các Distribution của giới mã mở, như Red Hat Enterprise Linux(RHEL) 3.0 Fedora Core, và trong nhiều Distributio khác.
Nếu bạn yêu thích *nix, bạn đã từng sử dụng Samba 2.2x thì bạn có có nghĩ đến việc nâng cấp lên phiên bản Samba 3.0 mới mẽ, với nhiều tính năng rất ``ăn tiền`` này chưa?
Cho dù bạn đang quản trị một mạng lớn, hay chỉ là một Iter bình thường, hoặc thậm chí là là người mới mò mẫm, mới đặt chân vào thế giới Samba thì bạn đừng do dự, hãy thử đi rồi bạn sẽ thấy thú vị với những khám phá của mình. Bạn cũng đừng lo nếu mình đang ``sở hữu`` vốn kiến thức ``tiếng Anh.. thầy chạy`` không thể sờ mó, gậm nhấm được cái mớ chỉ toàn chữ là chữ của đám Anglo Sắc xông ``mắc toi`` kia! Bởi vì những gì bạn được đọc bên dưới được viết bằng thứ ngôn ngữ mà bất cứ người Việt (không mù chữ) nào cũng có thể đọc và có thể hiểu được! greensmile.gif
Ơ kê, bắt đầu nào quý vị!
1. ``Điểm mặt`` những chức năng mới trong Samba 3.0
1.1. Internationalization
1.2. SWAT Internationalization
1.3. Unicode Support: Xử lý thông tin bằng UCS-2 (Unicode base)
Windows 2000/XP/Windows Server 2003
1.4. Kết hợp với Active Directory
Đuợc hỗ trợ xác thực (authentication) của Kerberos nên tương thích với Active Directory (Windows 2000 trở lên)
1.5. Mở rộng chức năng Winbind
Có thệ quản lý LDAP server trên mapping tables userID + Groups
1.6. Hỗ trợ nhóm toàn cụ Arbitrarry (Arbitrary Global Group support)
1.7. Hỗ trợ tính năng Attestation database
smbpasswd, và nhiều chưc năng Attestation có chất luợng bảo mật cao khác.
1.8. Mở rộng an ninh cho SMB -
SMB signature; mã hóa cho security channel, và có sự phố hợp với nhiều chức năng bảo mật cao của Windows
1.9. Mở rộng, làm phong phú thêm các Command cho các tính đồ chuộng gõ bàn phím hơn là rê chuột.
===============================
2. Cấu hình cho Samba 3.0
Phần này giới thiệu cơ bản cách cấu hình của Samba - nếu bạn đã từng ``làm việc`` với Samba 2.x bạn sẽ nhận ra nhiều cái ``lối cũ ta về`` á! Tuy nhiên, Samba 3.0 có rất nhiều chức năng mới, hoặc đã được nâng cấp, sửa đổi nên các bạn cũng cần lưu ý.
Như đã đề cập ở phần giới thiệu, Samba 3.0 được tích hợp trong các distribution của *nix nên khi bạn cài đặt các Dis này thì mặc định các bạn đã có tùy chọn xử lý với Samba.
Ngoài ra, các bạn có thể download bản Samba mới nhất ở đây:
http://us1.samba.org/samba/
Đây là phiên bản mới nhất (Samba 3.0.6) và được sử dụng cho bài viết này. Bạnbạn có thể tùy chọn download các gói RPM, Tar, SRPM để cài đặt. Bài này tôi dùng SRPM, và GNU Libiconv để thực hiện cài đặt.
cd /usr/src/redhat/SRPMS/
rpm --rebuild libiconv-1.8-1.src.rpm
rpm --rebuild samba-3.0.6.src.rpm
Khi thực hiện rebluild, hệ thống của bạn sẽ tiến hành biên dịch Samba - bạn phải có các packages như GCC , LDAP , Kerberos để thi hành biên dịch. Nếu thực hiện rebuild thành công, trong /usr/src/redhat/RPM/RPMS/i386 sẽ có file RPM -- > Còn không nhanh chân dùng file này để mà cài với đặt!
Ah há, nếu bạn nào có ``Coca Cola``, á lộn, có APT, bạn cụng có thể dùng chúng để để download và cài đặt cho nhanh nhanh hơn tí! greenbiggrin.gif
apt-get update
apt-get install locales
apt-get install samba
Nếu như 2 cách trên bạn không thể dùng đuợc, hoặc bạn muốn sử dụng bản Samba mới nhất này vì lý do gì đó thì bạn có thể complier Samba từ source. Muốn cài đặt Samba, như đã nó trên, bạn cần cài đặt GNU Libiconv. Để sử dụng Attestation Database hoặc AD Domain support thì bạn cần cài LADP và Kerberos.
Tiến trình cài cài đặt Samba có thể mô tả như sau:
Nếu bạn không muốn nhận các thông báo lỗi (error message) khi cấu hình Samba thì cần chọn các Options:
--with-libiconv=
: GNU libiconv install dir
--with-pam : Hữu hiệu hóa PAM
--with-ads : Active Directory
--with-ldapsam : support Attestation LDAP
cd samba-3.0.6source
./configure --with-libiconv=/usr/local --with-automount --with-smbmount --with-pam --with-pam_smbpass --with-ldapsam --with-syslog --with-quotas --with-utmp --with-winbind --with-ldap --with-ads --with-smbwrapper
$ make
$ su
# make install
Unicode Support (UCS-2、UTF-8)
/etc/smb.conf
[global]
unix charset = UTF-8
dos charset = UTF-8
display charset = UTF-8
unix charset = Nhưng char chạy trên Unix filesystem
dos charset =Nhưng char chạy trên Windows
display charset = Những chat chạy trên SWAT
Tham gia Active Directory
Khi sử dụng Kerberos Attestation, Samba 3.0 có thể tham gia Active Drectory trên Windows .
Thí dụ bạn có những yếu tố như sau:
DCOS : Windows Server 2000 (DC= Domain control )
FQDN : thanbai.w2000ad1.minh.com
Directory domain : W2000AD1.MINH.COM
Samba 3.0.3 PC : 777 (computer name )
Cách cấu hình /etc/krb5.conf
[realms]
W2000AD1.MINH.COM = { # Active domain name
kdc = thanbai.w2000ad1.minh.com # Dc host
}
[domain_realm]
.thanbai.w2000ad1.minh.com = W2000AD1.MINH.COM
thanbai.w2000ad1.minh.com = W2000AD1.MINH.COM
# DNS domain name và Kerberos Realm
đồng thời trong file /etc/smb.conf bạn cấu hình như sau
[global]
workgroup W2000AD1 <- Net BIOS name
realm = W2000AD1.MINH.COM
security = ADS
Chuẩn bị xong, ta bắt đầu tham gia vô Active Directory:
kinit
administrator@W2000AD1.MINH.COM <--- Nhập chữ IN
Password for
administrator@W2000AD1.MINH.COM: <--- Nhập Password cũa Administrator
Kau khi login thành công, bạn dùng cmd:
net ads join
Joined...
cái ni chắc bạn đã thấy rồi......
Support of an attestation database
Tiếp theo tôi xin giới thiệu một trong các tính năng hay ho của Samba là hỗ trợ nhiều chức năng bảo mật tốt cho auth database.
Default attestation modules
smbpasswd : (default)
tdbsam : Databse dạng TDB
ldapsam : Set URL LDAP server
example config
[global]
passdb backend = ldapsam:ldap://ldap.minh.com smbpasswd
pdbedit command
cmd này dùng cho ta quản lý acount như add user , modify user ,
pdbedit -u 777 -v
Unix username: 777
NT username:
Account Flags: [U ]
User SID: S-1-5-21-3899892270-3850540773-3613385630-12000
Primary Group SID: S-1-5-21-3899892270-3850540773-3613385630-10201
Full Name:
Home Directory: \777
HomeDir Drive: G:
Logon Script:
Profile Path: \777profile
Domain: SAMBA30
Account desc:
Workstations:
.............
..............
.............
Mỏ rộng security cho SMB
Samba protocol đuợc mỡ rộng và có rất nhiều chức năng năng cao bảo mật cho samba.
Một số tính năng mới của Samba3.0:
encrypt passwords、client plaintextauth
lanman auth、client lanman auth
ntlm auth、client ntlmv2auth
ntlmv2 auth、client ntlmv2auth
server signing、client signin
server schannel、client schannel
disable netbios
Global group support in NT domain
Trong Samba 2.2 chỉ có hỗ trợ Domain Admins và Domain Users, nhưng đối với samba3.0.x thì hoàn toàn đuợc cải thiện trong vấn đề này, samba3.0.x có thể dùng tất cả domain trong Windows
Bạn có thể dùng command net groupsmap để cấu trúc global group. Khi dùng net groupsmap command cần có sự phối họp của *nix groups, bạn có thể mapping hoặc make một *nix group dành cho bên *nix
Phối hợp Domain Admins và *nix omadm group
# net groupmap modify NTgroup=`Domain Admins` UNIXgroup=domadm
# net groupmap add NTgroup=`Samba 1` UNIXgroup=samba1 type=d
No rid or sid specified, choosing algorithmic mapping
Successully added group Samba 1 to the mapping db
check setting
# net groupmap list
Domain Admins (S-1-5-21-3665834988-2389521404-3181922140-512) - > domadm
Domain Guests (S-1-5-21-3665834988-2389521404-3181922140-514) - > -1
...............................
..........................
...........................
......................
.....................
Samba 1 (S-1-5-21-2348584241-585622575-4239557047-1000) - > samba1
con số là SID
==========
3. Tổng kết
Còn rất nhiều chức năng tôi không nêu trong bài viết đuợc trong khuôn khổ giới hạn của bài viết này. Hy vọng có thời gian để bổ túch thêm trong các version tíep theo của bài này ngõ hầu giúp các bạn có nguồn tài liệu bằng Việt ngữ để có thể tìm hiểu, học hỏi, nâng cao thêm kiến thức về Samba.
4. Các tài liệu tham khảo
Active Directory
/forum/showtopic_3...tml#entry206869
LDAP
http://www.gracion.com/server/whatldap.html
SWAT
http://www.sjoerd-visser.demon.nl/net-linux/swat.html
Các site khác:
http://us1.samba.org/samba/docs/
http://samba.sernet.de/
http://www.ifn.ing.tu-bs.de/ifn/sonst/samba-vms.html
http://www.osnews.com/story.php?news_id=6684
777-Diemxua