域成员服务器

域成员服务器类似于独立服务器，但服务器登录到域控制器（Windows 或者 Samba）并受域的安全规则约束。
域成员服务器的一个示例是运行 Samba 的部门服务器，它在主域控制器 (PDC) 上有一个机器帐户。
部门的所有客户端仍然通过 PDC 进行身份验证，但部门服务器控制打印机和网络共享。
要设置域成员服务器，我们必须先使用 net join 命令加入域或者 Active Directory，然后再启动 smb 服务。

以下是配置 /etc/samba/smb.conf 以实现 Active Directory 域成员服务器的示例。
Samba 对本地运行的服务的用户进行身份验证，但它也是 Active Directory 的客户端。

# vi /etc/samba/smb.conf
[global]
realm = EXAMPLE.COM
security = ADS
password server = kerberos.example.com

领域指令标识 Kerberos 领域并且必须大写。
Kerberos 是一种身份验证协议，允许节点通过非安全网络进行通信以相互证明其身份。
Windows 需要 Kerberos 进行 Active Directory 身份验证。
仅当 Active Directory 和 Kerberos 在不同的服务器上运行时，才需要密码服务器指令。

以下是配置/etc/samba/smb.conf 以实现基于Windows NT4 的域成员服务器的示例。
基于 NT4 的域在其身份验证方法中不使用 Kerberos。

# vi /etc/samba/smb.conf
[global]
workgroup = workgroup_name 
netbios name = netbios_name 
security = domain

域控制器

Samba 服务器不能配置为 Active Directory 主域控制器 (PDC)，但可以配置为显示为 Windows NT4 样式的域控制器。
对于 Windows NT，域控制器类似于 Linux 环境中的网络信息服务 (NIS) 服务器。
它们都托管用户和组信息数据库以及其他服务。
域控制器主要用于安全，包括对访问域资源的用户进行身份验证。

独立服务器

独立的 Samba 服务器可以是工作组服务器或者工作组环境的成员，并且不以任何方式参与 Windows 域。
以下是为独立服务器配置 /etc/samba/smb.conf 中的 [global] 指令的示例：

# vi /etc/samba/smb.conf
[global]
workgroup = workgroup_name 
netbios name = netbios_name 
security = share

设置为 share 的 security 参数表示共享级安全性，而不是用户级安全性。
使用共享级别的安全性，服务器只接受来自客户端的密码而没有明确的用户名。
服务器需要每个共享的密码，与用户名无关。
不鼓励使用共享级安全性，而采用用户级安全性。
有四种不同的方式来实现用户级安全——用户、服务器、域和AD。

Samba 服务器类型在 /etc/samba/smb.conf 文件的 [global] 部分配置。
下面是配置 Samba 时使用的 3 种类型的 Samba 服务器。

• 独立服务器
• 域成员服务器
• 域控制器