NT 도메인에 삼바 참여시키기

편역 : 조용준, antilove@hanmail.net
               antilove@hitel.net
               antilove@nownuri.net
----------------------------------------------------------------------

  이글에서는 삼바 서버를 기존의 사용중인 NT 도메인에 참여시키는 방법을
설명한다. PDC, 다수의 윈도 클라이언트가 존재하는 NT 도메인에 새로운
삼바 서버를 추가하여 도메인에 접근이 허가된 사용자들이 삼바 서버를
공유할 수 있게 된다.
  삼바 패키지의 DOMAIN_MEMBER.html을 번역하고 약간 수정을 하였다.


0.제약
  먼저 삼바 서버에 접근하고자 하는 사용자는 도메인 계정과 삼바 서버의
지역 유닉스 계정을 가지고 있어야 한다. 현재 개발 중인 appliance
모드에서는 지역 유닉스 계정이 없이도 삼바 서버에 접근할 수 있다고 한다.


1.삼바 서버 등록
  삼바 서버의 NetBIOS 이름을 윈도우즈 NT의 Server Manager를 사용하여
PDC에 등록한다. 이러게 하면 도메인 SAM(Security Account Manager)에
machine account가 생성된다.
  NetBIOS 이름은 smb.conf 파일의 [global] 섹션의 netbios name 파라미터
에서 확인할 수 있다.


2.machine account password 파일 생성
  삼바 서버의 NetBIOS 이름이 SERV1이고 참가하려는 NT 도메인이 DOM이고
PDC의 NetBIOS 이름이 DOMPDC이고 DOMBDC1과 DOMBDC2라는 두 백업 도메인
컨트롤러가 있다고 하자.

  도메인에 참가 하려면, 먼저 모든 삼바 대몬을 중지시키고 다음 커맨드를
실행한다.

  smbpasswd -j DOM -r DOMPDC

  성공이라면 다음 메시지가 터미널 윈도우에 출력된다. smbpasswd에 대한
자세한 내용은 smbpasswd man 페이지에 있다.

  1999/04/21 21:18:27 : change_trust_account_password: Changed password for domain DOM.
  Joined domain DOM.

  이 커맨드는 machine account password 변경 프로토콜을 통해서 삼바 서버에
대한 임의의 새로운 machine account password를 smbpasswd 파일이 있는
디렉토리(/usr/local/samba/private)의 파일에 저장한다.
  파일 이름은 아래와 같다:

  <NT DOMAIN NAME>.<Samba Server Name>.mac

  .mac suffix는 machine account password 파일을 의미한다. 따라서 위 예제의
경우 파일은:

  DOM.SERV1.mac

  이 파일은 반드시 root 계정이 만들어야 하고 소유해야 하며 다른 사용자가 읽을
수 없다. 이것이 시스템에 대한 도메인-레벨 보안의 핵심이고 shadow 파일과 같이
조심스럽게 다루어져야 한다.


3.smb.conf 파일 수정
  삼바 대몬들을 다시 시동하기 전에 smb.conf 파일을 수정해서 삼바가 도메인-레벨
보안을 사용하도록 설정해야 한다.

  smb.conf 파일의 [global] 섹션에 "security =" 항목을 다음과 같이 수정한다.

  security = domain

  다음은 [global] 섹션에 "workgroup =" 을 다음과 같이 수정한다.

  workgroup = DOM

  이것은 참가하려는 도메인의 이름이다.

  또 사용자들이 NT PDC에서 확인받을 수 있도록 "encrypt passwords"를 "yes"로
설정해야 한다.

  마지막으로 [global] 섹션에 "password server =" 을 다음과 같이 수정한다.

  password server = DOMPDC DOMBDC1 DOMBDC2

  이 항목에 삼바 서버가 사용자들을 확인하기 위해서 문의하는 주 도메인 컨트롤러와
백업 도메인 컨트롤러를 지정한다. 삼바 서버는 여기에 지정된 서버들에게 순서대로
문의를 하며 이 순서를 조정하면 도메인 컨트롤러들에 걸리는 부하를 분산시킬 수 있다.

5.삼바 데몬 재시동
  마지막으로 삼바 데몬을 재 시동시키면 클라이언트에서 도메인 보안을 사용할 준비가
끝난다. 이제 공유를 만들고 사용하면 된다.