6.6.1. 鏈接及類似資源
Samba主站。在這裡我們提供了離你最近的鏡像站點!
Samba鏡像站中的開發文檔可能會提到你的問題。如果是這樣的話,就說明開發者正在解決它。
看看Scott Merrill是如何來模擬備份域控制器的:http://www.skippy.net/Linux/smb-howto.Html。
在http://bioserve.latrobe.edu.au/samba中,David Bannon維護了一篇把2.0.7作為PDC的文章。
在http://samba.org/cifs/中有其它關於CIFS的信息。
在http://mailhost.cb1.com/~lkcl/ntdom/中有關於UNIX上的NT域的內容。
早期SMB規范:FTP://ftp.microsoft.com/developr/drg/CIFS/
--------------------------------------------------------------------------------
6.6.2. 郵件列表
如何從郵件列表中獲得幫助?
Samba有許多相關的郵件列表。請到http://samba.org選擇離你最近的鏡像站點,然後選Support欄中的Samba related mailing lists。
與Samba TNG有關的問題請到http://www.samba-tng.org。但請不要把這類問題發到Samba的主列表中去。
在使用郵件列表時請遵循以下規則:
記住,開發者是志願工作者,他們沒有任何收益,也不保證其觀點百發百中,通常也只能算是最佳建議而已。
盡可能提供你所使用的Samba及操作系統的版本,還有smb.conf的有關部分,至少要給出影響PDC功能的[global]段中的選項。
如果你是通過CVS獲得代碼的,那麼除了代碼版本之外,還應提供最後一次刷新的日期。
請盡量簡單厄要地表達問題,不要用html格式來發送郵件。
不要討論無關的問題。
不要交叉投遞,請選擇最合適的列表進行提問。很多人都訂閱了多個列表,他們討厭過多地看到同一話題。如果有人看到某個問題更適合其它列表,會幫你轉發過去的。
如果要討論一個調試方面的問題,請不要把整個記錄都發上來,提供相應的出錯信息足矣。
如果你有一個完整的netmon跟蹤信息(從打開管道到出錯),那麼就把*.cap文件發上來吧。
在郵件中夾帶附件請三思而後行,最好只提供相關的部分。要知道Samba的郵件列表有大量的訂閱者,不是每個人都希望收到一份smb.conf的。
如何取消郵件列表?
要退訂請去當初訂閱的地方看看:http://lists.samba.org,或者看一下這裡。請不要在郵件中詢問如何退訂。
--------------------------------------------------------------------------------
6.7. DOMAIN_CONTROL.txt:Samba & Windows NT域控制
該附錄的原作者為Samba開發小組的John H Terpstra。
注意:“域控制器”和那些與之相關的術語同屬於一種特殊驗證方法,這種方法是建立SMB域的基礎。在Windows NT Server 3.1之前,各家公司都單獨開發了域控制器,並各自對LAN Manager 2.1協議進行了擴展。Windows NT則使用了微軟自己的方法來分發用戶驗證數據庫。DOMAIN.txt文件舉例說明了Samba基於共享驗證數據庫機制參與或建立SMB域的方法,它和Windows NT的SAM是不同的。
Windows NT Server既可作為獨立的文件和打印服務器,也可作為參與域控制的服務器(域成員、主域控制器或備份域控制器)。
OS/2 Warp Server、Digital Pathworks和其它類似產品在這方面的功能都很相似,它們都可以同Windows NT一起參與域控制。但只有那些含有兼容Windows NT代碼的服務器才可以作主域控制器(如Windows NT Server、Advanced Server for Unix)。
對很多人來說這些術語實在是太令人混淆了,所以讓我們來解釋一下。
每個Windows NT系統(工作站或服務器)都有一份注冊表數據庫。該注冊表含有所有在NT環境中運行的服務(與UNIX的後台進程類似)的初始信息。同時,注冊表還包括應用程序所需動態庫的位置。其實,它囊括了系統運作所需的全部信息。
在任何Windows NT機器上,只要打開一個命令提示符並輸入以下命令就可以找到注冊表文件:
C:\WINNT\>dir %SystemRoot%\System32\config
其中的環境變量%SystemRoot%可以用下面的命令得到:
C:\WINNT\>echo %SystemRoot%
你需要了解的主要幾個注冊表部件就是這些文件:default、system、software、sam和security。
在一個域環境中,Windows NT域控制器會互相復制SAM和SECUR99vY文件,這樣就保證了域中所有控制器數據的一致性。
Windows NT系統是由一種安全模式構成的,在這種模式中,所有待運行的應用程序和服務都必須先向安全管理器驗明自身以獲得所需的適當權限。而且NT的用戶數據庫也位於注冊表中,這些數據包括用戶的安全標識符、主目錄、組成員資格、桌面配置等等。
每個NT系統(工作站與服務器)都有自己的注冊表。參與域安全控制工作的NT服務器共享一套公有的數據庫,而工作站及獨立服務器則各自擁有一份完全獨立的注冊表數據庫,在這一點上,這兩種系統是有區別的。
NT的用戶數據庫稱為SAM(Security Access Manager),使用它可以完成所有用戶的驗證工作,另外還有交叉驗證(例如,確保用戶請求的服務項根據用戶的權限進行工作)。
Samba開發小組已經提供了一個工具,用來把NT的SAM轉換為smbpasswd格式。該工具可以在離你最近的Samba鏡像站的/pub/samba/pwdump找到,詳情可以參見ENCRYPTION.txt文件。這個工具雖然很有用,但要用它把SAM復制到Samba系統上卻並不那麼容易。
在一個由配置好了的NT服務器所控制的安全域系統中,Windows for Workgroups、Windows 95和Windows NT Workstations/Servers都可以協同工作。每個這樣的域最多只能有一台主域控制器(PDC);而每個域至少要有一台備份域控制器(BDC)。這些域控制器要互相復制SAM數據庫,因此它們的注冊表中都會有最新的SAM信息。
--------------------------------------------------------------------------------
Chapter 7. 用Winbind在Windows NT與UNIX間進行統一登錄
7.1. 概要
在異種計算機環境中通過統一登錄來集成UNIX和Windows NT系統長期以來一直是人們追求的目標。我們向你推薦一個稱為winbind的Samba組件來解決統一登錄的問題。它在UNIX上實現了微軟的RPC調用、可插式驗證模塊和名字服務切換,通過這些功能可以使NT域用戶能在UNIX主機上以UNIX用戶身份進行操作。本文對winbind系統進行了描述,解釋了它所提供的功能以及配置和內部工作原理方面的問題。
--------------------------------------------------------------------------------
7.2. 介紹
大家都知道UNIX和Windows NT系統使用不同的技術和方式來表示用戶和組信息。這就使得集成這兩種系統變得更加困難。
現在常用的方法之一,就是在兩種系統上創建相同的用戶賬號,並使用Samba在兩者之間提供文件和打印服務器。但是這種方法還不是很完美,因為在一大堆機器上維護賬號是件麻煩事兒,而且在兩種系統間使用兩套口令既容易引起同步問題,又使用戶感到很混亂。
於是,我們就把UNIX主機的統一登錄問題劃分成三個小問題來看:
獲得Windows NT用戶和組信息
驗證Windows NT用戶
為Windows NT用戶更改口令
最理想的情況是,所使用的方法應該可以解決以上所有的問題,並且無須在UNIX主機上復制信息,也無須使系統管理員在維護這兩種系統的用戶及組信息時產生額外的負擔。winbind系統提供了一套解決上述三個問題簡單而漂亮的方案。
--------------------------------------------------------------------------------
7.3. Winbind的功能
winbind把一台UNIX主機變成一個完全的域成員,這樣就可以統一管理UNIX和NT上的賬號了。這時,這台UNIX主機將可以查看NT的用戶及組信息,就好象這些信息是UNIX本地的一樣,同時,使用戶可以在純UNIX環境裡象使用NIS+一樣的來使用NT域。
最後實現的結果是,當UNIX主機向操作系統查詢任何用戶或組名時,該查詢都會被發往指定域中的NT域控制器。因為winbind通過系統低層(使用C庫中的NSS名字解析模塊)重定向了該查詢,而這對NT域控制器來說是完全透明的。
UNIX主機上的用戶可以把NT用戶及組名當作“本地”賬號來用,還可以把文件的屬主改成NT域用戶,甚至可以用一個域用戶的身份登錄到UNIX主機並運行一個X-Window會話。
使用winbind要當心的唯一問題,就是用戶名和組名使用DOMAIN\user和DOMAIN\group這樣的形式,這是winbind所必須的,因為它要用這種形式來檢測重定向查詢的目標域控制器,並考慮信任域的問題。
另外,winbind還利用了可插式驗證模塊(PAM)通過NT域向任何使用PAM的應用程序提供驗證服務。這就解決了系統間的口令同步問題,因為所有口令都保存在一個單一的位置上(域控制器中)。
--------------------------------------------------------------------------------
7.3.1. 使用目標
winbind的服務目標是那些要把UNIX工作站或服務器加到現有NT域結構的機構。這些機構可以利用winbind在無須維護單獨賬號結構的情況下配置UNIX工作站,這就減少了向NT結構中添加UNIX工作站的管理費用。還有,使用winbind可以把
另外,winbind還利用了可插式驗證模塊(PAM)通過NT域向任何使用PAM的應用程序提供驗證服務。這就解決了系統間的口令同步問題,因為所有口令都保存在一個單一的位置上(域控制器中)。
--------------------------------------------------------------------------------
7.3.1. 使用目標
winbind的服務目標是那些要把UNIX工作站或服務器加到現有NT域結構的機構。這些機構可以利用winbind在無須維護單獨賬號結構的情況下配置UNIX工作站,這就減少了向NT結構中添加UNIX工作站的管理費用。還有,使用winbind可以把