疯狂的企鹅系列 单点登录和企业目录（三）(3)

随着Samba 3.0.11版本的发布，权限的概念被引入，在这之前的版本，一个可以使用网络的uid=0的用户是所有用户、组、机器和打印机管理必须的，在3.0.11版本中，一个有适当权限的用户可以启动这些类型的请求，一个uid=0的用户最终还是必须的，但是它不再需要有网络使用权，因此你可能会疑惑为什么我们要增加一个uid=0的用户到目录中，当最初设置samba的时候有点象鸡和蛋的问题，为了执行这些特殊的操作，你需要特权，但是你又不能自己给自己授予这些权限，因此，将这些权限授予一个常规用户，你暂时需要一个uid=0用户，并且以后你还可以从目录中将其移除，要找出你的版本支持什么权限，可以使用下面的网络命令：

# net rpc rights list -U root
Password:
     SeMachineAccountPrivilege  Add machines to domain
      SePrintOperatorPrivilege  Manage printers
           SeAddUsersPrivilege  Add users and groups to the domain
     SeRemoteShutdownPrivilege  Force shutdown from a remote system
       SeDiskOperatorPrivilege  Manage disk shares

新版本增加了更多的权限，因此在行动之前，你务必要知道你的版本都支持些什么权限，好了，现在我们需要指派权限给组和/或用户，很明显第一步应该是授予所有权限给Domain Admins组：

# net rpc rights grant "CI\Domain Admins" \
 SeMachineAccountPrivilege SePrintOperatorPrivilege \
 SeAddUsersPrivilege SeRemoteShutdownPrivilege \
 SeDiskOperatorPrivilege -U root
Password:
Successfully granted rights.

到了这一步，我们应该从目录中移除root用户了，因为任何属于Domain Admins组的用户都能够使用samba管理命令了。

将一台机器加入域

虽然我们已经有一个samba用户了，但是它现在还不能登陆到任何机器，在windows世界里，为了用户域帐户有效必须将机器进入到域中，当一台机器加入域时，它需要为它自己创建一个域帐户，这个帐户与普通的域帐户类似除了结尾是个$标记，因为我没有使用smbldap工具，我编写了一个小Perl脚本来从secret.tdb读取管理员的密码，并将机器帐户增加到LDAP目录，这个脚本也在前面列出的那个包中，它依赖Crypt::SmbHash, Net::LDAP, File::Temp和TDB_File Perl模块，一旦你将这个脚本放在某个位置，你就可以通过右击我的电脑、选择属性、选择计算机名然后点击修改按钮、输入一个合适的计算机名、然后选择域：输入你的samba域名（图1）将机器添加到域中，一旦你点击确定按钮，它将要求你输入用户名和密码，输入一个属于Domain Admins组的用户名和密码---我这里输入的是leggett。过一会，你将收到一个成功加入域的欢迎信息，一旦你重新启动后，你将有机会作为一个域用户登陆。

图1加入域