passdb backend

passdb backend = ldapsam:ldap://localhost
                

Aquí indicamos que tipo de base de datos tiene que usar Samba para guardar las datos de los usuarios y los grupos. Hemos puesto ldapsam y la dirección donde se encuentran el servidor para tener los datos en un directorio LDAP. Si vamos a usar Contoladores Secundarios de Dominio (BDC), la única elección lógica es usar LDAP para que el passdb backend se pueda distribuir.

Es posible indicar una lista de valores para este parámetro, por ejemplo:

passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd
                

Si ponemos varias bases de datos, estas se consultan en el mismo orden en el que se especifican, pero tenemos que tener en cuenta que los nuevos usuarios siempre se añaden a la primera base de datos especificada.

Parámetros de control del dominio

Los parámetros os level, preferred master, domain master, security, encrypt passwords y domain logons juegan un papel central para asegurar el control del dominio y las sesiones de red.

El parámetro os level tiene que tomar un valor superior a 32. Un controlador de dominio tiene que ser el examinador principal. El valor de parámetro controla el nivel en que se anuncia samba a si mismo para la elección de examinador.

Un controlador de dominio tiene que tener el modo de seguridad como user, tiene que admitir contraseñas cifradas compatibles con Microsoft y tiene que proporcionar el servicio de sesiones del dominio (domain logons). La contraseñas cifradas tienen que estar activadas.

Parámetros de entorno

Los parámetros logon path, logon home, logon drive y logon script definen los valores que determinan el entorno que ayudan a facilitar las operaciones de sesión y de control automático y de red.

logon path indica el directorio home donde se guardan los ficheros de perfiles (NTuser.dat para windows NT). A diferencia de versiones previas, no influye en los perfiels de W9X. Para gestionar los perfieles en Win 9X tenemos que usar logon home.

Esta opción toma las sustituciones estándar, por ejemplo %u para el nombe de usuari o %m para el nambre de máquina cliente, lo que permite tener script de conexión para cada usuario o máquina. También especifica el directorio desde el cual se cargan los contenidos de las carpetas "escritorio", "menú inicio", "programas" y "entorno de red" tal y como queremos que se muestren en los clientes Windows NT.

El usuario debe poder leer el servicio y la ruta para que las preferencias y los directorios se carguen en los clientes Windows NT. El recurso tiene que tener permiso de escritura, al menos la primera vez que el usuario se conecta, para que los clientes Windows NT puedan crear el fichero user.dat y otros directorios. Los directorio y cualquiera de los contenidos, pueden, si es necesario en nuestro caso, ponerse como sólo lectura. No es conveniente que el fichero NTuser.dat se haga de sólo lectura, renómbrelo como NTuser.man para llevar a cabo los efectos deseados ( MANdatory profile que impide su escritura).

logon home especifica la ubicación del directorio home cuando se conectan estaciones Win95/98 a un PDC Samba. Esto le permite hacer:

C:\>NET USE H: /HOME
                

desde la línea de órdenes, o desde un script albergado en el servidor para poder montar en la máquina cliente el directorio personal que tiene el usuario en el servidor, por ejemplo.

Esta opción, al igual que vimos en el anterior parámetro, toma las sustituciones normales, permitiendole tener scripts distintos por usuario o máquina.

Este parámetro se puede usar con Win9X para asegurarse que los perfiles se almacenan en un subdirectorio del directorio personal del usuario. Esto se hace de la siguiente forma:

logon home = \\servidor\%u\perfil
                

Tenga en cuenta que esta opción sólo es válida si Samba está configurado como logon server.

logon drive especifica la ruta local al cual se conectarán los directorios home las estaciones de trabajo NT. Tenga en cuenta que esta opción sólo es válida si Samba está configurado como logon server.

logon script especifica el fichero de lotes (.bat) o fichero de comandos NT (.cmd) que el cliente tiene que cargar y ejecutar cuando se conecta correctamente al dominio. El fichero debe tener el estilo de fin de línea de DOS (cr/lf). Se recomienda usar un editor estilo DOS para crear este fichero. El script debe ser relativo al path del servicio [netlogon]. Si el servicio [netlogon] especifica un path de /var/samba/netlogon y logon script = CONEX.BAT, entonces el fichero que se carga será:

/var/samba/netlogon/CONEX.BAT
                

El contenido del fichero está enteramente a disposición del administrador. Se puede poner NET TIME \\SERVIDOR /SET /YES, para forzar a cada máquina que sincronice su reloj con el del servidor. Otro que se podría añadir sería NET USE U: \\SERVER\PROGRAMAS para las utilidades de uso común. Observe que es particularmente importante no permitir acceso de escritura al servicio [netlogon] o de escritura sobre los ficheros de lotes, o le permite a los usuarios modificar arbitrariamente los ficheros batch y comprometer la seguridad. Esta opción también toma las sustitucions estándar, permitiéndole tener scritps de logon separados para cada usuario o máquina.

Gestión de cuentas

Parte de la gestión del controlador del dominio se puede realizar de forma remota. Hay situaciones en las que el PDC tiene que añadir una cuenta de usuario grupo nueva y tenemos que enseñarle a hacerlo. Por ejemplo, cada máquina que se agrega al dominio necesita una cuenta de máquina en el servidor y lo ideal es que se cree automáticamente. También es posible, desde un cliente NT, añadir o eliminar grupos o usuarios. Los siguientes parámetros facilitan el desarrollo de todas estas acciones indicando el script que realiza la tarea.

add user script: Esta opción permite a Samba crear los usuarios UNIX requeridos bajo demanda cuando, porejemlo, un usuario del dominio que no está dado de alta en el servidor SAMBA accede al servidor Samba. Por ejemplo, podríamos poner:

add user script = /usr/sbin/smbldap-useradd.pl -a -m '%u'
                

add machine script: Esta opción se ejecutará cuando agregue una máquina a su dominio. Los nombres de máquina terminan en "$". Por ejemplo, nos podría servir:

dd machine script = /usr/sbin/smbldap-useradd.pl -w '%u'

El resto de los parámetros tienen una características similares:

delete user script = /usr/sbin/smbldap-userdel.pl '%u'
 add group script = /usr/sbin/smbldap-groupadd.pl -p '%g'
 delete group script = /usr/sbin/smbldap-groupdel.pl '%g' 
 add user to group script = /usr/sbin/smbldap-groupmod.pl -m '%u' '%g'
 delete user from group script = /usr/sbin/smbldap-groupmod.pl -x '%u' '%g'
 set primary group script = /usr/sbin/smbldap-usermod.pl -g '%g' '%u'
                

El recurso NETLOGON

El recurso NETLOGON, como ya hemos visto en la descripción de los parámetros de configuración del PDC. Juega un papel central en las sesiones de dominio y en el soporte de la pertenencia al dominio. Este recurso está presente en todos los controladores de dominio Microsof. Se usa para proporcionar guiones o scripts de conexión, almacenar ficheros de políticas de grupo (NTConfig.POL) y otras herramientas que pueden ser necesarias para procesar las sesiones. Es un recuros esencial en un controlador de dominio.

Recurso PROFILES

Este recurso se usa para guardar los periles del escritorio. Cada usuario tiene que tener un directorio en la raíz de este recurso. Este directorio tiene que tener permiso de escritura para el usuario y tiene que tener permiso de lectura global.

Acceso a ldap

Samba tiene que comunicarse con el servidor LDAP con privilegios administrativos, pero como el fichero smb.conf tiene permoso de lectura es necesario guardar la clave de acceso en un fichero alternativo y accesible por samba, secrets.tdb. Para suministrar esta clave ejecutanmos:

smbpasswd -w clave
                

y nos debe responder

Setting stored password for "cn=root,dc=bezmi,dc=es" in secrets.tdb