奇蹟手工坊台灣官網 http://www.7g-sogo.com
為防範廣告信, 帳號採手動申請, 欲申請本站會員帳號, 請於申請後, 另發一封電子郵件到 lincylin@gmail.com, 說明申請帳號及申請原因, 若審核通過會回信通知
In order to prevent the advertising/spams, account application manually, to apply for membership of the site, please send for an additional e-mail to lincylin@gmail.com, explain the application for account number and application reasons, if the approved will reply by notice.
We have Google Analytics Enabled.

省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統 (Using Samba Active Directory With Ubuntu 16.04)

站長的專長就是 IT ,也就是俗稱的 3C 或是 4C,那就提供一個園地讓大家可以交流吧.... 有相關的問題可以在這邊發問跟討論....

版主: 平凡的奇蹟

回覆文章
平凡的奇蹟
文章: 248
註冊時間: 2015年 5月 14日, 15:31

省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統 (Using Samba Active Directory With Ubuntu 16.04)

文章 平凡的奇蹟 » 2017年 4月 21日, 15:37

在企業環境中, 當電腦的數量與使用者的數量多起來的時候, 都會需要一個適當的管理策略來管理電腦以及使用者群組及帳號, 規模小的公司大多沒有進行所謂的管理, 但是以臺灣最多的中小企業來說, 動輒二三十台電腦以上個公司比比皆是, 如果沒有進行有效的管理, 不管是對於員工還是主管來說, 都會是一個很頭痛的問題, 因為臺灣的企業普遍使用 Windows 作業系統, 又加上沒對使用者進行控管, 每位使用者都是該電腦的系統管理者, 即便是裝上了防毒軟體, 但因為很容易便能夠自行下載安裝軟體, 往往電腦在使用一段時間之後, 就變得非常的複雜且不穩定。

所以一般具有一定規模的公司, 在電腦系統的管理上, 便會採用一些策略來管理這些問題, 最常見的就是替個別的電腦建立個別的使用者帳號, 這些使用者帳號只具備一般的使用權, 而沒有安裝軟體的使用權, 用 Windows 的術語簡單的來說, 就是讓這些使用者成為受限的使用者, 而不具有系統管理員的權限, 不過每台電腦都要去個別設定使用者的帳號, 這也是一個不小的負擔, 而公司到了一定的規模, 人員的流動就不可避免, 因此個別電腦去進行帳號的管理長久下來就會變得相當的不方便。

微軟在很多年前就推出了 Windows 網域的觀念, 把原本點對點的工作群組提升至中央控管的網域管理, 在公司內部的網路環境上, 建立起一個或多個網域, 然後個別的電腦加入這些網域, 之後對這網域的使用者群組跟帳號進行管理, 加入網域內的所有電腦就能一體適用, 簡單的來說, 只要在網域上建立了使用者帳號, 使用者在這些網域內的電腦都能登入使用 (當然, 實際上, 網域還能設定原則, 規定那些帳號能夠登入那些電腦, 不過這不在我們討論的範圍內)。

所以對一般中小企業來說, 二三十台以上的電腦, 使用網域管理能夠使得公司網路環境下的電腦管理起來比較方便, 而 Windows 網域從開始的 NT 網域演進到現在所謂的 Active Directory Domain (主動式目錄網域, 簡稱 AD 網域或直接稱 AD, 但稱呼 AD 網域比較不容易跟別的英文縮寫搞混, 恩, 不過我們臺灣這邊直接使用英文而不翻譯, 內地則是翻譯為活動目錄), 相較於 NT 網域來說 AD 網域相當的複雜, 也提供了更多的功能, 當然, 這邊也不討論 AD 網域具有那些高深的功能。

其實以一般中小企業來說, NT 網域就很夠用了, 可惜, 新版的 Windows 是不支援 NT 網域的, 尤其是最新版的 Windows 10 更是不支援, 所以如果要讓公司內的新版本 Windows 能夠以網域來進行管理, 那就必須使用 AD 網域才行。而大多數使用網域管理的公司, 所要的功能也不多, 就是能夠進行使用者帳號跟使用者群組的管理, 然後能夠在 Windows 開機登入時, 進行帳戶的驗證即可, 甚至所謂的桌面漫遊功能這些, 通通用不上, 因為大多數的公司, 員工都有固定使用的電腦, 不會今天在這個座位使用 A 電腦, 然後明天上班又坐到另一個座位使用 B 電腦, 所以, 其實 AD 網域的十八般武藝, 大多數的公司可能只用到功能的百分之一都不到, 所以 .......... 咳咳... 所以..... 所以我要寫這篇文章來介紹如何用 Samba 架設 AD 網域。

好了, 開場白說了那麼多, 主要是稍微帶過所謂 Windows 的網域以及為啥要用網域這個主題, 接下來再讓我多嘮叨幾句 .......

話說, 我自己的公司專門在提供中小企業的 IT 委外服務, 簡單的來說, 就是提供 IT 顧問的服務, 客戶的公司不需要成立自己的 IT 部門, 也不需要聘請自己的 IT 人員, 只要跟我的公司簽約, 我的公司就能提供相對應的服務, 客戶可以把我的公司當作自己的 IT 部門, 所以拉, 我在服務客戶的同時, 也要盡心盡力去為客戶著想呢, 為著客戶省錢..... 咳咳 ....... (謎之音:你這樣說是想要人家稱讚你偉大嗎??)

總之, 情況是這樣, N 年前 (好像 N 差不多也等於 10 了), 客戶因為需求, 所以當初購買了 Dell 的機架式伺服器, 然後同時也買了隨機版的 Windows 2003 Server, 然後就架起了 Windows 的 AD 網域, 然後就一直用下來..... 直到最近, 那台伺服器掛了, 也買不到零件備品, 這台伺服器就只能讓它安詳的長眠 .... 所以必須重建整個環境..... 當然了, 因為當初 Windows 2003 Server 是隨機版, 所以, 如果要重新架一個伺服器起來, 隨機版的是不能用的, 因為隨機版的授權只是當初那台 Dell 伺服器, 如果可以買到備品, 把那台機器修好, 隨機版還是可以再同一台機器再安裝一次的, 只要打電話告訴微軟實際發生的情況, 然後就可以重新取得授權.... 問題是... 現在是一台新的機器...... 所以 ..... 從新買一套 Windows Server 可得花不少錢, 而且將近十年下來, 使用 Windows 的機器早已暴增到不少, 所以整個授權買下來, 估計要花上一大筆錢 ......

這時 .... 我當然要替客戶打算了..... 所以, 幫客戶省錢.... 用 Samba 來架設一套 AD 網域環境吧......
呼..... 說了這麼久... 終於可以進入主題了 ........

不過進入主題之前...... 還是得說點廢話.... 咳咳.... 不是廢話.... 是..... 進一步做點關於 Windows 網域的一些背景常識的說明.....

Windows 網域裡面有個很重要的東西, 叫做網域控制站 (Domain Controller, 簡稱 DC), 以前舊版本的 NT 網域還有分為網域主控站 (Primary Domain Controller, 簡稱 PDC), 備份網域控制站 (Backup Domain Controller, 簡稱 BDC), 以及成員伺服器 (Member Server), 而全新的 Windows AD 網域則變成了只有網域控制站 (DC) 以及成員伺服器兩種, 所以熟悉 NT 網域的朋友在看 AD 網域時, 要稍微做一下轉換 ......

接著, 我再稍微介紹一下要怎樣安裝 Sambe 作為 AD 的網域控制站 ....

從 Samba 4.0 開始, 便可以提供做為 AD 網域控制站的服務, 當然, 不可能完全百分之百跟 AD 網域一模一樣, 但是我們要的功能卻都一個不少, 所以可以很放心的使用, 網域控制站必須在乾淨的伺服器下建立, 所謂乾淨的伺服器, 指的是未經設定的 Samba 伺服器, 所以, 如果你的伺服器沒有安裝過 Samba 伺服器, 那就是乾淨的伺服器, 如果以前安裝過 Samba 伺服器, 那就把所有的 Samba 安裝設定檔案刪除, 資料檔案刪除, 清除乾淨之後, 也能算是乾淨的伺服器 ..... 不過我們這邊沒那麼麻煩.... 我裝了一台全新的伺服器來進行安裝........

前面的說明, 就先到這邊 ........接下來, 就是安裝的步驟了.....

平凡的奇蹟
文章: 248
註冊時間: 2015年 5月 14日, 15:31

Re: 省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統

文章 平凡的奇蹟 » 2017年 4月 21日, 17:05

接下來就是安裝了.......

不過在安裝前, 有幾個項目要先準備好, 首先就是網域 AD 網域的名稱, 因為 AD 網域控制站需要使用到 DNS 服務, 所以 AD 網域控制站是跟 DNS 綁在一起的, Samba 也很甘心地提供了一個內建的 DNS 服務器, 我們直接使用內建的 DNS 服務器就行了, 比較方便。

熟悉網際網路的朋友都知道 DNS 是用來提供名稱到 IP 對應的服務, 例如 www.7g-sogo.com 這個網域, 對應到的 IP 就是 61.62.220.154 , 當我們上網時, 瀏覽器打入 http://www.7g-sogo.com 的時候, 電腦就會去詢問 DNS , www.7g-sogo.com 的伺服器在哪裡, DNS 就會告訴電腦, www.7g-sogo.com 的伺服器 IP 位址就是 61.62.220.154, 然後電腦就會去這個位址跟伺服器要求我要你的網頁, 請你把網頁給我, 然後伺服器就會把網頁內容傳給我們的電腦, 瀏覽器再根據收到的網頁內容, 在電腦的畫面上顯示出來, 這就是開啟網頁的流程..... 透過這個簡單的說明, 大家就能知道 DNS 就是類似一個電話簿的功能, 透過一個名字去找出相對應的電話號碼出來, 只是這個電話號碼是全世界的網路 ....

而 AD 網域使用的 DNS , 也是類似的功能, 但有一個很大的不同, 那就是我們一般所說的 DNS 是對全世界的網路提供服務, 而 AD 網域使用的 DNS 只是對內部網路的電腦提供服務, 換句話說, 只有內部的網路可以透過 AD 網域的 DNS 來尋找內部網路上的電腦, 而外部的電腦則不能夠過這個 AD 網域使用的 DNS 來尋找內部的電腦, 當然這是安全上的考量, 我們總不希望外面的人可以隨意地找到自己公司內部的任何一台電腦吧, 當然, 技術上是能辦到, 但 .... 實務上我們不希望如此, 所以, 這點是必須弄清楚的 ...

由於 AD 網域使用了自己的 DNS, 而公司內部網路的電腦, 又必須透過這個 DNS 找到內部網路上的其他電腦, 但如果要找外部的電腦呢 (說白點, 就是當你要上網找資料, 上網下載東西 ... 等等, 就是找外部的電腦), 這時候, 就必須提供一個機制, 讓內部網路的其他電腦也能夠去尋找外面的伺服器才行, 不過這點不必擔心, AD 網域所使用的 DNS 服務能夠提供這樣的服務, 自己無法解析的名稱, 就會送到外部的 DNS 去詢問, 所以就解決了內部網路其他電腦在能夠尋找內部網路裡面的電腦的同時, 也能尋找外部網路上的其他伺服器。在這邊, 我們只要知道 AD 網域會使用自己專用的一個 DNS, 然後還能在無法解析名稱時, 去詢問外部的 DNS 就行了。

但, 這時會有個問題, 如果我們自己 AD 網域的名稱沒取好, 很有可能跟外部的網路起衝突, 我舉個例子好了 ....... 假設, 內部網路有個電腦, 名稱叫做 www , 然後 ... 好死不死的 .... 把網域名稱亂取了 google 這個名稱, 然後 ...... 你又設置了上層網域名稱為 com.tw .... (好啦, 別吐槽我, 你不太可能取成這樣的名稱跟網域, 但 ..... 如果你取的名稱, 剛好國際上有某個公司或網站, 剛好是這個名字, 然後你又不知道 ....結果就 ...) ......

這時會發生甚麼事? ..... 當你要上網, 輸入 www.google.com.tw 的時候 ..... 因為你的電腦是先透過 AD 網域的 DNS 來解析這個名稱, 然後 ...... 這個 DNS 就會把這個理解為 .... 你要找的是內部網路上的這台叫做 www 的電腦 .... 所以, 你要開啟網頁 www.google.com.tw 的時候 .... 卻總是開到內部網路這台電腦的網頁 (如果這台電腦剛好有架設網頁伺服器的話) .... 或者, 你老是會收到打不開網頁的錯誤訊息 (恩, 這才是比較有可能遇上的, 因為內部網路的電腦不太可能會去架設網頁伺服器) ....... 好啦, 我這邊只是舉比較極端的例子 .... 總之, 網域的名稱得好好的取, 別亂取 ... 否則容易出問題 ....

我會建議網域名稱最好取跟公司所使用的網域名稱相關的, 這樣比較不容易出問題 .... 例如, 假設我取個 atlas 的網域名稱, 然後我的網域是 7g-sogo.com, 這樣我的網域全名就會變成 atlas.7g-sogo.com , 然後我區域網路內的電腦 gamepc 的網域全名就會變成 gamepc.atlas.7g-sogo.com , 由於 7g-sogo.com 這個網域是由我自己我掌控, 所以可以確保我所使用的 atlas.7g-sogo.com 網域不會跟世界上的其他網域起衝突, 所以, 大家在安裝之前, 要先思考好, 要怎樣設定AD 網域的名稱。

我現在是幫客戶的總公司架設新的 AD 網域, 所以我把AD 網域名稱取為 headquarters , 然後後面用的自然是客戶公司所擁有的網域名稱。

接下來, 進入伺服器的實際安裝 ...

先確認一下 /etc/hosts 檔案的內容是否正確, 我的內容如下 :
127.0.0.1 localhost
192.168.1.3 main-ad-01.headquarters.[xxxxxxxx].com.tw main-ad-01
抱歉, 我把網域名稱改為 [xxxxxxxx] 以免洩漏客戶的訊息, 總之, 你修改為自己的網域名稱即可, 192.168.1.3 是我這台網域控制站的內部網路的 IP 位址, 這邊需要正確的設定, 後面的設定步驟才有辦法進行。另, 以上只列出 IPv4 的部分, IPv6 就先不管了, 客戶目前用不上, 未來幾年內也用不上。

其實安裝 Samba 非常簡單, 以 Ubuntu Server 為例, 輸入以下指令就能開始安裝

代碼: 選擇全部

apt-get install samba
很快吧, 這樣 Samba 就安裝好了 ..

不過我們還要安裝一個元件 winbind , 使用以下指令來安裝

代碼: 選擇全部

apt-get install winbind
接下來要進行 AD 網域控制站的初始設定, hosts 檔案還沒正確設定的, 記得一定要先設定好再進行下面的步驟 ...

接下來使用以下指令來初始化 AD 網域控制站

代碼: 選擇全部

samba-tool domain provision --use-rfc2307 --interactive
後面兩個參數是告訴初始工具, 我們要啟用 NIS 延伸功能, 這個功能可以把 Unix 的一些屬性存入 AD, 至於為何, 這邊先不討論, 是為了以後保留擴充彈性, 現在先開啟這個功能並沒有甚麼缺點, 但如果現在沒開啟, 以後想用的時候要開啟, 就很麻煩了, 得手動修改很多東西, 所以, 這邊先開啟吧, 不管用不用得上, 總是為了將來先預做準備。最後一個參數就是用交談模式, 所以稍後起始工具會詢問我們一些問題, 我們直接回答便可 (當然, 也可以用非交談模式, 但要直接把所有需要的參數一起打上去, 對我們來說, 還是交談模式比較方便), 稍後設定系統管理員的時候要注意, 密碼一定要有大小寫的英文字母同時存在, 也要有數字存在, 因為它會要求 "強密碼", 如果沒使用強密碼, 設定會失敗, 如果你設定過程中失敗, 記得刪除 /etc/samba/smb.conf 檔案, 然後再重新來過一遍。

我起始化的過程畫面如下, 我塗黑了客戶公司的網域名稱
samba-ad-01.JPG
samba-ad-01.JPG (396.43 KiB) 已瀏覽 58128 次

好啦, Samba 的安裝設定部分就完成了, 很容易也很快吧? 不過還有一些細部的設定要做好 .... 剛剛說過, Samba 是跟 DNS 綁在一起的, 然後我們要告訴伺服器使用自身的 DNS 來解析名稱, 所以我們要做好相關的設定, 而 Linux 機器上要使用哪個 DNS 伺服器, 是在 /etc/resolv.conf 檔案裡面設定的, 不過現在比較新版的 Ubuntu, 因為使用了自動的 dns 偽裝服務 (dnsmasq), 這樣可以自動更新名稱伺服器, 同時也能快取暫用的網址名稱跟 IP 的對照表, 所以會自動的更新 /etc/resolv.conf 的內容 ...

嚴格的說, 其實 /etc/resolv.conf 是軟連結到 /run/resolvconf/resolv.conf , 所以其實自動更新的是 /run/resolvconf/resolv.conf 的內容, 反正, 在這種情況下, 就算我們修改 /etc/resolv.conf 的內容, 其實過一段時間還是會被新的覆蓋過去, 我們不要這樣的情況, 要解決的方式也很簡單, 就是刪除掉軟連結, 所以使用以下指令

代碼: 選擇全部

unlink /etc/resolv.conf
這樣, /etc/resolv.conf 這個連結就不存在了, 然後我們可以自己建立一個新的, 真正的 /etc/resolv.conf 檔案, 使用你自己習慣的文字編輯器來建立吧, 我建立的內容如下 :
domain headquarters.[xxxxxxxx].com.tw
nameserver 192.168.1.3
同樣的, 我把客戶的網域名稱改成 [xxxxxxxx] 了, 你明白就好, 這邊要換成你自己的網域名稱..

因為 AD 網域使用 Kerberos 來驗證使用者的登入、機器以及服務, 而 Samba 初始 AD 網域時, 也自動幫我們做了 Kerberos 的組態設定, 所以我們只要直接指定要使用它就行了, 所以使用以下的指令來建立相關的軟連結

代碼: 選擇全部

ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf
接下來我們可以重新啟動 Samba 進行測試了, 使用以下指令

代碼: 選擇全部

/etc/init.d/samba restart
因為套件安裝 Samba 之後系統會自動啟動, 所以這邊我們用 Restart 來重新啟動, 接下來使用以下指令來測試一下是否正確

代碼: 選擇全部

smbclient -L localhost -U%
如果看到類似這樣的畫面, 應該就是正確的
samba-ad-02.JPG
samba-ad-02.JPG (54.38 KiB) 已瀏覽 58128 次

接下來測試登入的功能正確不正確, 使用以下指令

代碼: 選擇全部

smbclient //localhost/netlogon -UAdministrator -c 'ls'
正確的話, 應該會詢問你 administrator 的密碼, 然後可以看到以下的畫面
samba-ad-03.JPG
samba-ad-03.JPG (47.31 KiB) 已瀏覽 58128 次

最後, 我們再驗證 DNS 是否正確吧, 使用以下指令

代碼: 選擇全部

host -t SRV _ldap._tcp.headquarters.[xxxxxxxx].com.tw
host -t SRV _kerberos._udp.headquarters.[xxxxxxxx].com.tw
host -t A main-ad-01.headquarters.[xxxxxxxx].com.tw
正確的話可以看到以下畫面
samba-ad-04.JPG
samba-ad-04.JPG (128.45 KiB) 已瀏覽 58128 次

到這個步驟, 我們就完成了 Samba AD 網域控制站的安裝及設定, 可以開始使用囉。

平凡的奇蹟
文章: 248
註冊時間: 2015年 5月 14日, 15:31

Re: 省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統

文章 平凡的奇蹟 » 2017年 4月 24日, 15:55

裝好了網域控制站系統, 接下來就找一台 Windows 客戶端電腦來加入這個新的網域試試吧 ..... 為了確認最新版本的 Windows 能夠正確無誤的加入 AD 網域, 所以我們測試的對象就是 Windows 10 專業版....

不過在加入網域之前, 要先修改 Windows 客戶端的 DNS 設定, 因為客戶這邊的環境電腦很多, 而 Windows、Mac、Linux 的機器都有, 因為不同的部門有不同部門的需要, 所以, 只有使用 Windows 客戶端的部門需要加入這個 Windows 的 AD 網域, 因此, 公司防火牆的 DHCP 設定, 並不會把 DNS 服務指向這台 Samba 的 AD 網域控制伺服器, 所以囉, 原本的 DNS 設定就不適用在要加入 AD 網域的 Windows 機器上, 因此, 需要修改一下 DNS 的設定, 把 Windows 客戶端的電腦 DNS 指向這台機器, 否則加入網域的驗證會失敗, 因為 Windows 會笨到找不到這台機器來做驗證 (也不能說它笨, 因為它確實不知道這台伺服器的存在, 不過這邊我還是要用笨來說它, 咳咳.......)

好啦, 先修改 Windows 客戶端的 DNS 設定, 至於怎麼叫出設定的話面, 我就不詳細說明了, 這些基本功夫大家應該都要有.... 以下是設定的畫面
samba-ad-10.JPG
samba-ad-10.JPG (76.54 KiB) 已瀏覽 58121 次

接下來, 開始加入網域吧, Windows 10 要怎樣叫出這功能呢? 很簡單, 打開文件夾, 在本機上按又鍵選內容就會出現了, 這個步驟很簡單, 我也不多說了, 以下是系統的畫面
samba-ad-11.JPG
samba-ad-11.JPG (73.59 KiB) 已瀏覽 58121 次

這台電腦是我為了寫文章所以用虛擬機模擬出來的虛擬機, 所以請忽略掉 CPU 資訊吧, 別被 CPU 嚇死了, 沒人真的會拿這麼貴的 CPU 當簡單的 Windows 客戶端電腦吧, 所以別追究了, 至於虛擬機的相關訊息, 我前幾天才在我的論壇上寫過介紹, 有興趣的人自己找找吧.... 這邊就不囉說了, 按下變更設定來進入下一個畫面
samba-ad-12.JPG
samba-ad-12.JPG (71.57 KiB) 已瀏覽 58121 次

系統畫面可以讓你做一些跟系統相關的設定, 按下變更來進行電腦及網域的設定吧
samba-ad-13.JPG
samba-ad-13.JPG (74.96 KiB) 已瀏覽 58121 次

把原本選擇在工作群組的選項, 改為網域, 然後輸入網域名稱, 然後按下確定
samba-ad-14.JPG
samba-ad-14.JPG (75.03 KiB) 已瀏覽 58121 次

這邊輸入之前在安裝設定 Samba 初始化網域的時候所設定的系統管理員帳號及密碼....之後按下確定, 幾秒鐘之後就會出現歡迎加入網域的訊息
samba-ad-15.JPG
samba-ad-15.JPG (71.25 KiB) 已瀏覽 58121 次

如果你按下確定之後等了很久還是沒出現, 最後跑出找不到驗證伺服器的訊息, 那就是你忘了告訴這台 Windows 客戶端網域控制伺服器的位址在哪, 所以記得去設定 DNS, 設定好之後再試一次就行了......

好了, 看到這邊, 你已經學會怎麼幫公司省下一大筆錢了吧, 如果公司發獎金給你, 別忘了分一些給我喔.... 呵呵....

平凡的奇蹟
文章: 248
註冊時間: 2015年 5月 14日, 15:31

Re: 省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統

文章 平凡的奇蹟 » 2017年 4月 26日, 14:30

再幫大家補充一下, 如果用 Windows Server 安裝了 AD 網域控制站, 要進行網域管理時, 可以使用 Windows Server AD 網域控制站上面的網域管理工具來管理使用者群組及帳號, 但問題是現在沒有了 Windows Server AD 網域控制站, 那我們要去哪裡找到工具來管理呢? 其實不必擔心, 微軟也提供了微軟遠端伺服器管理工具 ( Microsoft Remote Server Administration Tools 簡稱 RSAT) 讓大家下載使用, 我們這邊用 Windows 10 來舉例, 所以就去下載 Windows 10 使用的 RSAT 吧, 網址在這 https://www.microsoft.com/zh-TW/downloa ... x?id=45520 , 自己選擇適當的版本, 我選的是 64 位元版, 其他非 Windows 10 而是 Windows 8 或者 Windows 7 的朋友, 可以自行搜尋一下, 很容易找到相對應的版本, 我就不一一的列出了。

不過 RSAT 只能在加入了網域的 Windows 客戶端使用喔, 如果你的 Windows 客戶端沒有加入網域, 自然無法管理該網域, 這個理由不需要再多加說明。

安裝後執行的畫面如下 :
samba-ad-16.JPG
samba-ad-16.JPG (141.63 KiB) 已瀏覽 58110 次

至於如何進行網域群組跟使用者的管理, 這些都是網管的基本功, 同樣的, 我也不再多囉嗦了 ..... 祝大家使用愉快 !!!

平凡的奇蹟
文章: 248
註冊時間: 2015年 5月 14日, 15:31

Re: 省錢大作戰 - 用 Samba 架設免費的 AD 網域控制站系統 (Using Samba Active Directory With Ubuntu 16.04)

文章 平凡的奇蹟 » 2017年 5月 17日, 14:37

因為系統安裝的預設值使用的是強密碼模式, 這是為了保護系統的安全 ....

但是實際的應用上, 在一般的用戶環境下, 很難要求用戶使用強密碼, 畢竟不是每個人都願意使用複雜的密碼 ...... 雖然站在網路安全及管理的角度來看, 強密碼是有其必要 ..... 但, 實務上 IT 部門除非是很強勢的部門, 否則很難做到 .... 尤其是資訊委外服務的情況下 .... 客戶的要求, 只能盡量的滿足 ...

所以在實際應用上, 往往必須將強密碼關掉, 甚至, 最短的密碼長度也需要改短 .... 所幸, 系統還保留了相當的彈性讓人可以進行調整 ....

現在就將強密碼給關閉吧 .. (再次重申, 從安全角度上看, 強密碼有其必要性 ...... 但這邊是跟現實上的使用者需求做妥協)

代碼: 選擇全部

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --min-pwd-length=5
上面的第一行指令是將強密碼的複雜度關掉 .... 如此就不會強迫密碼裡面一定要包含大寫跟小寫字母, 還有數字 ...
第二行指令則是將最短的密碼長度設定為 5 .... 所以密碼的長度只要超過 5 個字元就能被接受

另外也有幾個參數可以考慮是否使用
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
第一行是系統會記得幾組曾經使用過的密碼, 第二行及第三行則是設定密碼用多久之後必須變更 .. 設為 0 是永不過期

好啦, 以上的設定請小心使用 ....

回覆文章