Рашид Ачилов

Правильное подключение FreeBSD в домен Windows дает возможность работать с Active Directory для проверки паролей, членства в группах и т. д. Но это лишь некоторая часть того, для чего FreeBSD может использовать данную информацию.

Ваш компьютер может больше

В журнале №3 за 2005 г. была опубликована статья «FreeBSD в домене Microsoft Windows», где рассказывалось о том, как отказаться от регистрации локальных пользователей и использовать пользователей, предоставляемых доменом Microsoft Windows. На тот момент это было действительно достижением – отпала необходимость отслеживать создание новых пользователей и создавать аналогичные учетные записи на файловом сервере, что значительно облегчило работу. На момент написания той статьи существовали некоторые нерешенные проблемы, над которыми я работал все это время, да и проект Samba не стоял на месте. Результатом нашей постоянной совместной работы стало то, что подключение в домен Windows можно использовать для значительно больших целей, чем простая авторизация в домене, а именно:

n  Элементарный доступ к компьютеру через Microsoft Management Console.

n  Раздача прав на файлы и каталоги с использованием имен пользователей и групп из домена Windows.

Кроме того, были решены следующие вопросы:

n  Первая регистрация в системе. В прошлой статье была указана проблема: если новый пользователь добавлен через средства домена Microsoft Windows, то для него не создается домашнего каталога и автоматическое подключение ресурса может не сработать. Эта проблема была решена – для создания домашних каталогов для пользователей, регистрирующихся впервые с консоли (с использованием pam_winbind), был найден и доработан модуль pam_mkhomedir. Поскольку автор модуля не проявил никакого желания внести предложенный ему патч, то этот модуль, переименованный в pam_mkhome, с наложенным патчем был отправлен в дерево портов и скоро должен там появиться. Для пользователей, которые будут пользоваться только сетевыми ресурсами, было разработано два скрипта, которые автоматически создают домашний (или любой другой) каталог для пользователя, если данный каталог отсутствует.

n  Автоматическое монтирование сетевых ресурсов SMBFS «как в Windows». Здесь проблема заключается в очень скромной поддержке SMBFS во FreeBSD. По сути дела, после внесения в основную систему порта net/smbfs ничего не изменилось, хотя с тех пор прошло много времени. Но для FreeBSD team время словно остановилось. В настоящий момент задача автомонтирования решается скриптами из порта sysutils/mountsmb2, вызываемыми из логин-скрипта, но меня они не устраивают, поэтому ведется работа над PAM-модулем, который бы монтировал ресурсы во время входа в систему, используя с mountsmb2 один файл описания монтируемых ресурсов.

В статье для тестирования всюду использовалась Microsoft Windows 2003 Server Enterprise Edition и FreeBSD 6.1 с Samba 3.0.24с. Чтобы избежать некоторой терминологической путаницы, всюду «домен» и «имя домена» обозначают не DNS-домен, а домен Windows (pre-Windows 2000).