LUDIT-PCLABO 22/07/2003
1) Domeinconfiguratie van Windows 9x clients & Windows Millennium Hier gaat het dus over Windows 95, Windows 98 of Millennium. Hoe kun je het aanmelden op het domein activeren? Vooreerst dient men “Client for Microsoft Networks” te installeren. Dit is het gedeelte dat de NETBIOS laag op je systeem zal implementeren. Na installatie kiest men deze aanmeldprocedure als standaard bij het opstarten. Vervolgens: rechts klikken op netwerkomgeving. selecteer eigenschappen. kies Tabblad configuratie. klik op “Client for Microsoft Networks” en vraag eigenschappen op. Vink optie “Log on to Windows NT domain” aan en vul de naam van het domein in. In het tabblad identificatie (weerom rechts klikken op netwerkomgeving) kan je de NETBIOS-naam van de computer en het domein instellen. Onder TCP/IP instellingen kan je eventueel ook nog een WINS-server instellen als je Samba server hiervoor geconfigureerd is. Na de obligate reboot, meld je je aan op het domein met je gebruikersnaam en paswoord. Nadien schakel je best ook de “browser service” uit op de clients. Dit doe je best via een wijziging in het register. Voor Win9x: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP: MaintainServerList ==> 0 ipv 2 (standaard) Zoniet krijg je continu synchronisaties tussen de Samba servers en deze machines (die toch mislukken).
2) Domeinconfiguratie van Windows 2000 clients Aanmelden van deze machines op het domein vereist extra stappen. Het verschil met Windows9x bestaat erin dat men ook een “account” moet aanmaken voor de machine op het domein. Op de Samba server moet de machine dus gekend zijn in het /etc/samba/smbpasswd bestand. Dit houdt tegelijk ook in dat je je machine slechts op 1 domein kunt gebruiken. Controleer eerst of Netbios over TCP/IP geactiveerd is op de machine. rechts klikken op “My Network Places”. selecteer Properties. rechts klikken op “Local Area Connection”. selecteer Properties. selecteer Internet Protocol (TCP/IP) en klik op Properties.
1
LUDIT-PCLABO 22/07/2003
klik op “Advanced”. klik op het tabblad “WINS”. Doe een “add” van de Primary Domain Controller (LinSam-Server). selecteer ten slotte “Enable Netbios over TCP/IP). Procedure (stappen 1-2 uit te voeren op de server, stappen 3-5 op de clientmachine): STAP 1: Voeg in /etc/passwd de machine toe met aan het eind van de naam een dollarteken ($), zonder paswoord, shell of thuisfolder met volgend commando: /usr/sbin/useradd –u 501 –g 501 –d /dev/null –c “Testmachine” –s /bin/false doppy$ Resultaat in /etc/passwd: machinenaam$:x:uid:gid:naam:/dev/null:/bin/false waarbij machinenaam = Netbios naam van de Windows2000 machine in kleine letters Uid = uniek unix id (bv. 501) Gid = groepsnummer (bv. 501) Naam = willekeurig te kiezen naam (bv. Testmachine)
Op voorhand is het handig als je een groep aanmaakt waar je alle machines aan toevoegt. Voor het uid bepaal je ook best een reeks van nummers die enkel gaat gebruiken voor machine accounts. Dit uid moet uniek zijn. Als je de optie –u 501 weglaat en het systeem zelf een vrij uid laat kiezen, dan wordt een uid gekozen groter dan 99 en groter dan het uid van elke reeds bestaande gebruiker. In ieder geval moet het unix id uniek zijn. Toevoegen van een groep “Machines” in /etc/group: /usr/sbin/groupadd –g 501 Machines Machines:x:501:
# Het gid is vrij te kiezen (in dit voorbeeld 501)
Maak een machine-account in /etc/samba/smbpasswd door het volgende commando uit te voeren: smbpasswd –a –m machinenaam (zonder dollarteken op het einde)
Het paswoord dat hier gevraagd wordt heeft in feite geen enkel belang. Voorbeeld van een lijn voor een machine in smbpasswd: doppy$:506:21EB541C3A74A714BBA405C637523B34:8BBB72B4F590D4EA6E0E2C4963E301F9:[W ]:LCT-3B4B2521:
STAP 2: Maak éénmalig een root-account aan in smbpasswd met een paswoord dat – om veiligheidsredenen – niet hetzelfde is als het echte root paswoord. smbpasswd –a root
Hierna wordt het paswoord gevraagd. STAP 3:
2
LUDIT-PCLABO 22/07/2003
Voeg de machine hierna toe aan het domein. Hiervoor dien je je aan te melden als beheerder van de machine. Verdere instructies in stap 4. STAP 4: Doe hierna het volgende: rechts klikken op “My Computer” kiezen voor “Properties” Tabblad “Network Identification” Klikken op “Properties” Invullen: “computername” = NETBIOS-naam, “member of domain” = domeinnaam, klikken op OK. Hierna wordt een gebruikersnaam en paswoord gevraagd: geef hier in root als gebruikersnaam en het paswoord dat je voor root hebt gekozen in smbpasswd. Als de toevoeging succesvol is, krijg je het bericht: “Welcome to the ….. domain”. Herstarten STAP 5: Na het herstarten kan men zich aanmelden op het domein door het ingeven van een geldige gebruikersnaam en bijhorend paswoord. Je zal merken dat je nu bij het aanmelden de keuze hebt tussen de machine zelf en het domein. Nadien schakel je best ook de “browser service” uit op de clients. Dit doe je best via een wijziging in het register. Voor Win2000/XP/NT: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters: MaintainServerList ==> No ipv Auto (standaard) Zoniet krijg je continu synchronisaties tussen de Samba servers en deze machines (die toch mislukken).
3) Domeinconfiguratie van Windows XP Professional clients Eerst en vooral duidelijk maken dat Windows XP Home editie NIET kan toegevoegd worden aan een Windows domein. Aanmelden van deze machines op het domein vereist extra stappen. Het verschil met Windows9x bestaat erin dat men ook een “account” moet aanmaken voor de machine op het domein. Op de Samba server moet de machine dus gekend zijn in het /etc/samba/smbpasswd bestand. Dit houdt tegelijk ook in dat je je machine slechts op 1 domein kunt gebruiken. Controleer eerst of Netbios over TCP/IP geactiveerd is op de machine. klik op start en selecteer “My Network Places”. klik op “View network connections”. rechts klikken op “Local Area Connection”.
3
LUDIT-PCLABO 22/07/2003
selecteer “Properties”. selecteer Internet Protocol (TCP/IP) en klik op “Properties”. klik op “Advanced”. klik op het tabblad “WINS”. Doe een “add” van de Primary Domain Controller (LinSam-Server). selecteer ten slotte “Enable Netbios over TCP/IP). Procedure (stappen 1-2 uit te voeren op de server, stappen 3-5 op de clientmachine): STAP 1: Voeg in /etc/passwd de machine toe met aan het eind van de naam een dollarteken ($), zonder paswoord, shell of thuisfolder met volgend commando: /usr/sbin/useradd –u 501 –g 501 –d /dev/null –c “Testmachine” –s /bin/false doppy$ Resultaat in /etc/passwd: machinenaam$:x:uid:gid:naam:/dev/null:/bin/false waarbij machinenaam = Netbios naam van de Windows2000 machine in kleine letters Uid = uniek unix id (bv. 501) Gid = groepsnummer (bv. 501) Naam = willekeurig te kiezen naam (bv. Testmachine)
Op voorhand is het handig als je een groep aanmaakt waar je alle machines aan toevoegt. Voor het uid bepaal je ook best een reeks van nummers die enkel gaat gebruiken voor machine accounts. Dit uid moet uniek zijn. Als je de optie –u 501 weglaat en het systeem zelf een vrij uid laat kiezen, dan wordt een uid gekozen groter dan 99 en groter dan het uid van elke reeds bestaande gebruiker. In ieder geval moet het unix id uniek zijn. Toevoegen van een groep “Machines” in /etc/group: /usr/sbin/groupadd –g 501 Machines Machines:x:501:
# Het gid is vrij te kiezen (in dit voorbeeld 501)
STAP 2: Maak een root-account aan in smbpasswd met een paswoord dat – om veiligheidsredenen – niet hetzelfde is als het echte root paswoord. smbpasswd –a root
Hierna wordt het paswoord gevraagd. STAP 3: Voeg de machine hierna toe aan het domein. Hiervoor dien je je aan te melden als beheerder van de machine. Verdere instructies in stap 4. STAP 4: Doe hierna het volgende: 4
LUDIT-PCLABO 22/07/2003
klik op Start en selecteer “My Computer” rechts klikken en selecteer eigenschappen Tabblad “Computer Name” Klikken op “Change” Invullen: “computername” = NETBIOS-naam, “member of domain” = domeinnaam, klikken op OK. Hierna wordt een gebruikersnaam en paswoord gevraagd: geef hier in root als gebruikersnaam en het paswoord dat je voor root hebt gekozen in smbpasswd. Als de toevoeging succesvol is, krijg je het bericht: “Welcome to the ….. domain”. Herstarten STAP 5: Kijk volgende instellingen eens na en verander indien nodig: Ga naar “Control Panel”. Selecteer “Performance and Maintenance”. Kies “Administrative Tools” en daarna “Local Security Policy”. Selecteer “Local Policies” en daaronder “Security Options”. Kijk naar de instelling van "Domain member: Digitally encrypt or sign secure channel (always)". Zet het af (disable). Kijk naar de instelling "Domain member: Disable machine account password changes". Zet het af (disable). Kijk naar de instelling "Domain member: Require strong (Windows 2000 or later) session key". Zet het af (disable). Voor WindowsXP Professional moet je ook een registerpatch uitvoeren. Je vindt deze onder /usr/share/doc/samba-versienummer/docs/Registry/WinXP_SignOrSeal.reg. Dit bestand moet je uitvoeren op de XP client en herstarten. Na het herstarten kan men zich aanmelden op het domein door het ingeven van een geldige gebruikersnaam en bijhorend paswoord. Je zal merken dat je nu bij het aanmelden de keuze hebt tussen de machine zelf en het domein. Nadien schakel je best ook de “browser service” uit op de clients. Dit doe je best via een wijziging in het register. Voor Win2000/XP/NT: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters: MaintainServerList ==> No ipv Auto (standaard) Zoniet krijg je continu synchronisaties tussen de Samba servers en deze machines (die toch mislukken).
4) Domeinconfiguratie van Windows NT clients (zowel server als werkstation) Voor verschil tussen NT workstation en NT server (beiden versie 4.0): zie addendum STAP 1:
5
LUDIT-PCLABO 22/07/2003
Voeg in /etc/passwd de machine toe met aan het eind van de naam een dollarteken ($), zonder paswoord, shell of thuisfolder met volgend commando: /usr/sbin/useradd –u 501 –g 501 –d /dev/null –c “Testmachine” –s /bin/false doppy$ Resultaat in /etc/passwd: machinenaam$:x:uid:gid:naam:/dev/null:/bin/false waarbij machinenaam = Netbios naam van de Windows2000 machine in kleine letters Uid = uniek unix id (bv. 501) Gid = groepsnummer (bv. 501) Naam = willekeurig te kiezen naam (bv. Testmachine)
Op voorhand is het handig als je een groep aanmaakt waar je alle machines aan toevoegt. Voor het uid bepaal je ook best een reeks van nummers die enkel gaat gebruiken voor machine accounts. Dit uid moet uniek zijn. Als je de optie –u 501 weglaat en het systeem zelf een vrij uid laat kiezen, dan wordt een uid gekozen groter dan 99 en groter dan het uid van elke reeds bestaande gebruiker. In ieder geval moet het unix id uniek zijn. Toevoegen van een groep “Machines” in /etc/group: /usr/sbin/groupadd –g 501 Machines Machines:x:501:
# Het gid is vrij te kiezen (in dit voorbeeld 501)
STAP 2: Maak een machine-account in /etc/smbpasswd door het volgende commando uit te voeren: smbpasswd –a –m machinenaam (zonder dollarteken op het einde)
Voorbeeld van een lijn voor een machine in smbpasswd: ntmachine$:506:21EB541C3A74A714BBA405C637523B34:8BBB72B4F590D4EA6E0E2C4963E301F9:[W ]:LCT-3B4B2521:
STAP 3: Maak een root-account aan in smbpasswd met een paswoord dat – om veiligheidsredenen – niet hetzelfde is als het echte root paswoord. smbpasswd –a root
Hierna wordt het paswoord gevraagd. STAP 4: Voeg de machine hierna toe aan het domein. Hiervoor dien je je aan te melden als beheerder van de machine. Verdere instructies in stap 5. STAP 5: (GETEST 30/07/2001) + (UPDATE 15/11/2001) rechts klikken op “Network Neigbourhood” kiezen voor eigenschappen Tabblad “Network Identification” klikken op “Change”
6
LUDIT-PCLABO 22/07/2003
Invullen “Computer Name” = NETBIOS-naam, “Member of Domain” = domeinnaam, je kan hier ook het volgende aanvinken: “create a computer account in the domain”. Dit is echter niet noodzakelijk (meer info: zie addendum). Als de toevoeging succesvol is, krijg je het bericht: “Welcome to the ….. domain”. Herstarten STAP 6: Na het herstarten kan men zich aanmelden op het domein door het ingeven van een geldige gebruikersnaam en bijhorend paswoord. Je zal merken dat je nu bij het aanmelden de keuze hebt tussen de machine zelf en het domein. Vorige stappen vereisen wel dat de “Workstation service” geinstalleerd is op de NT machine. Hoe? Ga naar “Control Panel” en dubbelklik op “Network”: Kies het tabblad “Services” Controleer of de “Workstation Service” geinstalleerd is. Dit is het equivalent van “Client for Microsoft Networks” in Windows 9x. Standaard is dit geinstalleerd, zoniet voeg je het gewoon toe. Nadien schakel je best ook de “browser service” uit op de clients. Dit doe je best via een wijziging in het register. Voor Win2000/XP/NT: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters: MaintainServerList ==> No ipv Auto (standaard) Zoniet krijg je continu synchronisaties tussen de Samba servers en deze machines (die toch mislukken).
7
LUDIT-PCLABO 22/07/2003
Addendum Als je een machine wenst toe te voegen aan een domein, dan moet je een machine account aanmaken op de Samba server. Deze accounts worden bewaard in smbpasswd. Machine accounts bezitten enkel een NT paswoord hash. Samba heeft voor machine accounts een UNIX uid nodig om de gegevens in smbpasswd aan te maken , daarom is het nodig dat je een lijn toevoegt een /etc/passwd. In toekomstige versies van Samba zou dit niet meer nodig zijn. Als je “smbpasswd –a –m machinenaam” uitvoert, dan maak je een machine account aan in smbpasswd met als paswoord “machinenaam” (in kleine letters). Nadeel van deze methode is dat een eventuele inbreker een machine kan toevoegen aan jouw domein gebruik makende van een machine met dezelfde NETBIOS naam. Van zodra je de machine effectief hebt toegevoegd aan het domein wordt het paswoord van het machine account gewijzigd en bestaat dit gevaar niet meer. Onder Win2000 is dit niet mogelijk omdat je daar de machine account pas aanmaakt op het moment dat je de machine toevoegt aan het domein (via de gebruiker “root” met als paswoord het samba paswoord van “root”). Het paswoord van de machine account krijgt hierbij een willekeurige waarde. Je zou de machine account natuurlijk ook op voorhand kunnen aanmaken via “smbpasswd –a –m”, maar dit is dus niet aan te raden. Onder NT kun je dit ook realiseren door “smbpasswd –a –m” achterwege te laten en bij het toevoegen van de machine aan het domein de optie “create a computer account in the domain" aan te vinken. En weerom via de gebruiker “root” met als paswoord het samba paswoord van “root”. Dit werkt wel enkel voor NT Workstation 4.0, niet voor NT Server 4.0. Voor NT Workstation krijg je volgende lijn in smbpasswd: ntws$:505:A04D042ACDDC7ECA93BE158CF2144D12:…:[W
]:LCT-3BF3E8AF:
terwijl voor NT Server: nts$:507:NO PASSWORDXXXXXXXXXXXXXXXXXXXXX:…:[NDW
]:LCT-00000000:
8