PAM و NIS و LDAP و Kerberos و DS و Samba 4 AD-DC - شبكات SMB

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا الاصدقاء والاصدقاء!

Con éste artículo digo Adiós a la Comunidad DesdeLinux. Una especial despedida para una Especial Comunidad. Desde ahora estaré en mi proyecto personal el cual puedes conocer en http://www.gigainside.com.

الهدف الأساسي للمنصب هو تقديم «صورة كبيرة»حول خدمات المصادقة بالبرمجيات المجانية التي لدينا تحت تصرفنا. على الأقل هذا هو نيتنا. لذلك ستكون طويلة ، على الرغم من حقيقة أننا نعلم أنها تتعارض مع القواعد العامة لكتابة المقالات. نأمل أن يقدره مسؤولو النظام.

نريد أن نشير إلى أن البروتوكول المشترك للعديد من أنظمة المصادقة الحديثة هو LDAP، وأن لا يتوانى عن دراستها بعناية ، بناءً على مواد الدراسة التي سنجدها في الموقع الرسمي http://www.openldap.org/.

لن نقدم تعريفات مفصلة - أو روابط - حول الجوانب التي تمت تغطيتها في المقالات السابقة ، أو تلك التي يمكن الوصول إلى وصفها بسهولة على ويكيبيديا أو مواقع أو مقالات أخرى على الإنترنت ، حتى لا نفقد موضوعية الرسالة التي نريد تقديمها. سنستخدم أيضًا مزيجًا صالحًا من الأسماء باللغتين الإنجليزية والإسبانية ، حيث نعتبر أن معظم الأنظمة وُلدت بأسماء باللغة الإنجليزية ومن المفيد جدًا لمسؤول النظام استيعابها في لغتهم الأصلية.

  • برنامج الأغذية العالمي: وحدة المصادقة القابلة للتوصيل.
  • شيكل: خدمة_معلومات_الشبكة.
  • LDAP: بروتوكول الوصول إلى الدليل خفيف الوزن.
  • كيربيروس: بروتوكول أمان لمصادقة المستخدمين وأجهزة الكمبيوتر والخدمات مركزيًا على الشبكة ، والتحقق من بيانات اعتمادهم مقابل الإدخالات الموجودة في قاعدة بيانات Kerberos.
  • DS: خادم الدليل أو خدمة الدليل
  • AD – DC: الدليل النشط - وحدة تحكم المجال

برنامج الأغذية العالمي

نخصص سلسلة صغيرة لهذا النوع من المصادقة المحلية ، والتي سترى في الممارسة اليومية أنها تستخدم على نطاق واسع ، على سبيل المثال ، عندما ننضم إلى محطة عمل إلى وحدة تحكم المجال أو Active Directory ؛ لتعيين المستخدمين المخزنين في قواعد بيانات LDAP الخارجية كما لو كانوا مستخدمين محليين ؛ لتعيين المستخدمين المخزنين في وحدة التحكم بالمجال في Active Directory كما لو كانوا مستخدمين محليين ، وما إلى ذلك.

شيكل

De ويكيبيديا:

  • نظام معلومات الشبكة (المعروف باختصاره NIS ، والذي يعني في الإسبانية نظام معلومات الشبكة) ، هو اسم بروتوكول خدمات دليل خادم العميل الذي طورته شركة Sun Microsystems لإرسال بيانات التكوين في أنظمة موزعة مثل أسماء المستخدمين والمضيفين بين أجهزة الكمبيوتر على الشبكة.يعتمد NIS على ONC RPC ، ويتكون من خادم ومكتبة من جانب العميل وأدوات إدارية متنوعة.

    كان يطلق على NIS في الأصل Yellow Pages ، أو YP ، والتي لا تزال تستخدم للإشارة إليها. لسوء الحظ ، هذا الاسم هو علامة تجارية لشركة British Telecom ، والتي طلبت من Sun إسقاط هذا الاسم. ومع ذلك ، تظل YP بادئة في أسماء معظم الأوامر المتعلقة بـ NIS ، مثل ypserv و ypbind.

    يقدم DNS مجموعة محدودة من المعلومات ، أهمها المراسلات بين اسم العقدة وعنوان IP. بالنسبة لأنواع المعلومات الأخرى ، لا توجد مثل هذه الخدمة المتخصصة. من ناحية أخرى ، إذا كنت تدير شبكة LAN صغيرة فقط بدون اتصال بالإنترنت ، فلا يبدو أن الأمر يستحق إعداد DNS. ولهذا السبب طورت صن نظام معلومات الشبكة (NIS). يوفر NIS إمكانيات الوصول إلى قاعدة البيانات العامة التي يمكن استخدامها لتوزيع ، على سبيل المثال ، المعلومات الموجودة في ملفات passwd ومجموعات الملفات على جميع العقد على شبكتك. هذا يجعل الشبكة تبدو وكأنها نظام واحد ، مع نفس الحسابات على جميع العقد. وبالمثل ، يمكن استخدام NIS لتوزيع معلومات اسم العقدة الواردة في / etc / hosts على جميع الأجهزة على الشبكة.

    اليوم NIS متاح عمليًا في جميع توزيعات Unix ، وهناك أيضًا تطبيقات مجانية. نشرت BSD Net-2 واحدة مشتقة من تطبيق مرجعي للمجال العام تبرعت به شركة Sun. رمز المكتبة الخاص بجزء العميل من هذا الإصدار موجود في GNU / Linux libc لفترة طويلة ، وتم نقل برامج الإدارة إلى GNU / Linux بواسطة Swen Thümmler. ومع ذلك ، فإن خادم NIS مفقود اعتبارًا من تطبيق المرجع.

    طور Peter Eriksson تطبيقًا جديدًا يسمى NYS. يدعم كلاً من الإصدار الأساسي NIS والإصدار المحسن من Sun NIS +. [1] لا توفر NYS عددًا من أدوات NIS وخادمًا فحسب ، بل تضيف أيضًا مجموعة جديدة كاملة من وظائف المكتبة التي تحتاج إلى تجميعها في libc الخاص بك إذا كنت ترغب في استخدامها. يتضمن هذا مخطط تكوين جديد لتحليل اسم العقدة الذي يحل محل المخطط الحالي المستخدم بواسطة ملف "host.conf".

    يتضمن GNU libc ، المعروف باسم libc6 في مجتمع GNU / Linux ، نسخة محدثة من دعم NIS التقليدي الذي طوره Thorsten Kukuk. وهو يدعم جميع وظائف المكتبة التي توفرها NYS ، ويستخدم أيضًا مخطط تكوين NYS المتقدم. لا تزال هناك حاجة إلى الأدوات والخادم ، لكن استخدام GNU libc يحفظ عمل الترقيع وإعادة تجميع المكتبة

    .

الكمبيوتر واسم المجال وواجهة الشبكة والمحلل

  • نبدأ من تثبيت نظيف - بدون واجهة رسومية - لـ Debian 8 "Jessie". يعني المجال swl.fan "عشاق البرمجيات الحرة". ما هو اسم أفضل من هذا؟.
root @ master: ~ # hostname
رئيسي
root @ master: ~ # hostname -f
سيد. swl.fan

root @ master: ~ # عنوان ip 1: lo: mtu 65536 qdisc noqueue state UNKNOWN رابط / استرجاع افتراضي للمجموعة 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00 inet 00/127.0.0.1 نطاق المضيف lo valid_lft fever_lft forever inet8 :: مضيف النطاق 6/1 Valid_lft fever_lft forever 128: eth2: mtu 0 qdisc pfifo_fast state UP group الافتراضي qlen 1500 link / ether 1000: 00c: 0: 29c: 4: d76 brd ff: ff: ff: ff: ff: ff inet 9/192.168.10.5 brd 24 النطاق العالمي eth192.168.10.255 valid_lft إلى الأبد مفضل_lft للأبد inet0 fe6 :: 80c: 20ff: fe29c: 4d76 / 9 رابط النطاق صالح_لفرت للأبد المفضل_lft للأبد

الجذر @ الرئيسي: ~ # cat /etc/resolv.conf 
ابحث عن خادم أسماء swl.fan 127.0.0.1

تركيب bind9، isc-dhcp-server و ntp

ربط 9

الجذر @ الرئيسي: ~ # تثبيت aptitude bind9 bind9-doc NMAP
الجذر @ الرئيسي: ~ # systemctl status bind9

root @ master: ~ # nano /etc/bind/itled.conf
تشمل "/etc/bind/igned.conf.options" ؛ تشمل "/etc/bind/igned.conf.local" ؛ تشمل "/etc/bind/itled.conf.default-zones" ؛

root @ master: ~ # cp /etc/bind/itled.conf.options \ /etc/bind/igned.conf.options.original

الجذر @ الرئيسي: ~ # nano /etc/bind/itled.conf.options
الخيارات {directory "/ var / cache / bind"؛ // إذا كان هناك جدار حماية بينك وبين خوادم الأسماء التي تريد // التحدث إليها ، فقد تحتاج إلى إصلاح جدار الحماية للسماح // منافذ متعددة بالتحدث. نرى http://www.kb.cert.org/vuls/id/800113

        // إذا قدم موفر خدمة الإنترنت عنوان IP واحدًا أو أكثر لخوادم الأسماء المستقرة // ، فربما تريد استخدامها كموجهين. // قم بإلغاء تعليق الكتلة التالية ، وأدخل العناوين التي تحل محل // العنصر النائب لـ all-0. // معيدي التوجيه {// 0.0.0.0 ؛ //} ؛ // ================================================ = ==================== $ // إذا سجل BIND رسائل خطأ حول انتهاء صلاحية مفتاح الجذر ، // فستحتاج إلى تحديث مفاتيحك. نرى https://www.isc.org/bind-keys
        // ================================================= ====================== $ // لا نريد DNSSEC
        dnssec- تمكين لا ؛
        // dnssec-validation auto؛ المصادقة-nxdomain لا ؛ # تتفق مع RFC1035 listen-on-v6 {any؛ } ؛ // للشيكات من localhost و sysadmin // خلال dig swl.fan axfr // ليس لدينا Slave DNS ... حتى الآن
        allow-transfer {localhost؛ 192.168.10.1 ؛ } ؛
} ؛ الجذر @ الرئيسي: ~ # checkconf مسمى

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// مساحة العنوان المشتركة (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927 و 5735 و 6303)
المنطقة "254.169.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// تعيينات بروتوكول IETF (RFCs 5735 و 5736)
المنطقة "0.0.192.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// TEST-NET- [1-3] للوثائق (RFCs 5735 و 5737 و 6303)
المنطقة "2.0.192.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "100.51.198.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "113.0.203.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IPv6 مثال على نطاق التوثيق (RFCs 3849 و 6303)
المنطقة "8.bd0.1.0.0.2.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// أسماء النطاقات للتوثيق والاختبار (BCP 32)
منطقة "اختبار" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ منطقة "مثال" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ منطقة "غير صالحة" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "example.com" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "example.net" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "example.org" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// اختبار قياس أداء جهاز التوجيه (RFCs 2544 و 5735)
المنطقة "18.198.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "19.198.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IANA محفوظة - Old Class E Space (RFC 5735)
المنطقة "240.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "241.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "242.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "243.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "244.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "245.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "246.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "247.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "248.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "249.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "250.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "251.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "252.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "253.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "254.in-addr.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// عناوين IPv6 غير المعينة (RFC 4291)
المنطقة "1.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "3.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "4.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "5.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "6.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "7.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "8.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "9.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "a.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "b.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "c.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "d.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "e.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "0.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "1.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "2.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "3.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "4.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "5.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "6.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "7.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "8.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "9.f.ip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "afip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "bfip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "0.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "1.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "2.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "3.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "4.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "5.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "6.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "7.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IPv6 ULA (RFCs 4193 و 6303)
المنطقة "cfip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "dfip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IPv6 Link Local (RFCs 4291 و 6303)
المنطقة "8.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "9.efip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "aefip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "befip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IPv6 عناوين المواقع المحلية المهملة (RFCs 3879 و 6303)
المنطقة "cefip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "defip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "eefip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛ المنطقة "fefip6.arpa" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

// IP6.INT مهمل (RFC 4159)
المنطقة "ip6.int" {type master؛ ملف "/etc/bind/db.empty" ؛ } ؛

root @ master: ~ # nano /etc/bind/igned.conf.local
// // قم بأي تكوين محلي هنا // // ضع في اعتبارك إضافة مناطق 1918 هنا ، إذا لم يتم استخدامها في // مؤسستك ، فتتضمن "/etc/bind/zones.rfc1918" ؛
تشمل "/etc/bind/zones.rfcFreeBSD" ؛

// إعلان الاسم والنوع والموقع وإذن التحديث // مناطق سجلات DNS // كلا المنطقتين هما منطقة رئيسية "swl.fan" {type master؛ ملف "/var/lib/bind/db.swl.fan" ؛ } ؛ المنطقة "10.168.192.in-addr.arpa" {type master؛ ملف "/var/lib/bind/db.10.168.192.in-addr.arpa" ؛ } ؛

الجذر @ الرئيسي: ~ # checkconf مسمى

root @ master: ~ # nano /var/lib/bind/db.swl.fan
TTL 3H $ @ IN SOA master.swl.fan. root.master.swl.fan. (1 ؛ تسلسلي 1D ؛ تحديث 1H ؛ إعادة المحاولة 1 وات ؛ انتهاء الصلاحية 3H) ؛ الحد الأدنى أو ؛ الوقت السلبي للتخزين المؤقت للعيش ؛ @ IN NS master.swl.fan. @ في MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "لمحبي البرمجيات الحرة" ؛ sysadmin IN A 192.168.10.1 fileserver IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
TTL 3H $ @ IN SOA master.swl.fan. root.master.swl.fan. (1 ؛ تسلسلي 1D ؛ تحديث 1H ؛ إعادة المحاولة 1 وات ؛ انتهاء الصلاحية 3H) ؛ الحد الأدنى أو ؛ الوقت السلبي للتخزين المؤقت للعيش ؛ @ IN NS master.swl.fan. ؛ 1 في PTR sysadmin.swl.fan. 4 في PTR fileserver.swl.fan. 5 في PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 في PTR blog.swl.fan. 8 في PTR ftpserver.swl.fan. 9 في PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
المنطقة swl.fan/IN: تم تحميل المسلسل 1 موافق
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
المنطقة 10.168.192.in-addr.arpa/IN: تم تحميل المسلسل 1 OK

الجذر @ الرئيسي: ~ # named-checkconf -zp
الجذر @ الرئيسي: ~ # إعادة تشغيل systemctl bind9.service
الجذر @ الرئيسي: ~ # systemctl status bind9.service

الشيكات Bind9

الجذر @ الرئيسي: ~ # حفر swl.fan axfr
root @ master: ~ # حفر 10.168.192.in-addr.arpa axfr
الجذر @ الرئيسي: ~ # حفر في SOA swl.fan
الجذر @ الرئيسي: ~ # حفر في NS swl.fan
الجذر @ الرئيسي: ~ # حفر في MX swl.fan
root @ master: ~ # جذر مضيف proxyweb @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
بدء Nping 0.6.47 ( http://nmap.org/nping ) في 2017-05-27 09:32 EDT مرسلة (0.0037 ثانية) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 إرسال (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | دقيقة rtt: N / A | متوسط ​​rtt: غير متوفر الحزم الأولية المرسلة: 84 (0B) | آر سي دي دي: 0 (3 ب) | ضائع: 100.00 (1٪) تم إجراء عملية Nping: تم اختبار عنوان IP واحد في 3.01 ثانية 

ISC-DHCP الخادم

root @ master: ~ # aptitude install isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# على أي واجهات يجب أن يخدم خادم DHCP (dhcpd) طلبات DHCP؟ # افصل الواجهات المتعددة بمسافات ، مثل "eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.private 
تنسيق المفتاح الخاص: v1.3 الخوارزمية: 157 (HMAC_MD5) المفتاح: Ba9GVadq4vOCixjPN94dCQ == بت: AAA = تاريخ الإنشاء: 20170527133656 نشر: 20170527133656 تنشيط: 20170527133656

الجذر @ الرئيسي: ~ # nano dhcp.key
مفتاح dhcp-key {
        خوارزمية hmac-md5 ؛
        سر "Ba9GVadq4vOCixjPN94dCQ == "؛
} ؛ root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/itled.conf.local
تشمل "/etc/bind/dhcp.key" ؛

منطقة "swl.fan" {type master؛ ملف "/var/lib/bind/db.swl.fan" ؛
        allow-update {key dhcp-key؛ } ؛
} ؛ المنطقة "10.168.192.in-addr.arpa" {type master؛ ملف "/var/lib/bind/db.10.168.192.in-addr.arpa" ؛
        allow-update {key dhcp-key؛ } ؛
};

الجذر @ الرئيسي: ~ # checkconf مسمى

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
الجذر @ الرئيسي: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style المؤقت ؛ تحديثات ddns على ؛ ddns-domainname "swl.fan." ؛ ddns-rev-domainname "in-addr.arpa." ؛ تجاهل تحديثات العميل ؛ التحديث الأمثل خطأ ؛ # قد يكون مطلوبًا على سلطة دبيان ؛ خيار ip-forwarding off ؛ اسم مجال الخيار "swl.fan" ؛ تشمل "/etc/dhcp/dhcp.key" ؛ منطقة swl.fan. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } المنطقة 10.168.192.in-addr.arpa. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } redlocal-network المشتركة {subnet 192.168.10.0 netmask 255.255.255.0 {option router 192.168.10.1؛ قناع الشبكة الفرعية للخيار 255.255.255.0 ؛ خيار عنوان البث 192.168.10.255 ؛ الخيار خوادم اسم المجال 192.168.10.5 ؛ خيار خوادم أسماء netbios 192.168.10.5 ؛ الخيار ntp- خوادم 192.168.10.5 ؛ خيار خوادم الوقت 192.168.10.5 ؛ النطاق 192.168.10.30 192.168.10.250 ؛ }}

الجذر @ الرئيسي: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 حقوق النشر 2004-2014 اتحاد أنظمة الإنترنت. كل الحقوق محفوظة. للحصول على معلومات ، يرجى زيارة https://www.isc.org/software/dhcp/
ملف التكوين: /etc/dhcp/dhcpd.conf ملف قاعدة البيانات: /var/lib/dhcp/dhcpd.leases ملف PID: /var/run/dhcpd.pid

الجذر @ الرئيسي: ~ # إعادة تشغيل systemctl bind9.service 
الجذر @ الرئيسي: ~ # systemctl status bind9.service 

root @ master: ~ # systemctl بدء isc-dhcp-server.service
root @ master: ~ # systemctl status isc-dhcp-server.service

NTP

الجذر @ الرئيسي: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
الجذر @ الرئيسي: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift Statistics loopstats peerstats clockstats filegen loopstats file loopstats نوع اليوم تمكين filegen peerstats file peerstats النوع day تمكين filegen clockstats file clockstats النوع اليوم تمكين الخادم 192.168.10.1 تقييد -4 تقييد kod الافتراضي -6 الافتراضي kod notrap ترشيح لا تقييد noquery 127.0.0.1 :: 1 بث 192.168.10.255

root @ master: ~ # إعادة تشغيل systemctl ntp.service 
الجذر @ الرئيسي: ~ # systemctl status ntp.service
الجذر @ الرئيسي: ~ # ntpdate -u sysadmin.swl.fan
27 مايو 10:04:01 ntpdate [18769]: ضبط خادم الوقت 192.168.10.1 الإزاحة 0.369354 ثانية

فحوصات عامة لخادم ntp و bind9 و isc-dhcp

من عميل Linux أو BSD أو Mac OS أو Windows تحقق من مزامنة الوقت بشكل صحيح. أنه يكتسب عنوان IP ديناميكيًا وأن اسم ذلك المضيف يتم حله من خلال استعلامات DNS المباشرة والعكسية. قم بتغيير اسم العميل وأعد جميع الشيكات. لا تتابع حتى تتأكد من أن الخدمات المثبتة حتى الآن تعمل بشكل صحيح. لشيء ما كتبنا جميع المقالات حول DNS و DHCP بتنسيق شبكات الحاسوب للشركات الصغيرة والمتوسطة.

تثبيت خادم NIS

الجذر @ الرئيسي: ~ # إظهار الكفاءة شيوع
التعارض مع: netstd (<= 1.26) الوصف: العملاء والشياطين لخدمة معلومات الشبكة (NIS) توفر هذه الحزمة أدوات لإعداد مجال NIS وصيانته. يتم استخدام NIS ، المعروف في الأصل باسم Yellow Pages (YP) ، في الغالب للسماح للعديد من الأجهزة في الشبكة بمشاركة نفس معلومات الحساب ، مثل ملف كلمة المرور.

الجذر @ الرئيسي: ~ # aptitude install nis
تكوين الحزمة ┌─────────────────────────┤ تكوين Nis ├──────────────── ── ────────┐ │ اختر "اسم المجال" NIS لهذا النظام. إذا كنت تريد أن يكون جهاز │ │ هذا مجرد عميل ، فيجب عليك إدخال اسم المجال │ │ NIS الذي تريد الانضمام إليه. │ │ │ │ بدلاً من ذلك ، إذا كان هذا الجهاز سيكون خادم NIS ، فيمكنك │ │ إدخال "اسم مجال" جديد لـ NIS أو اسم مجال NIS │ │ الحالي. │ │ │ │ مجال شيكل: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

سيؤدي ذلك إلى تأخير لك لأن تكوين الخدمة غير موجود على هذا النحو. يرجى الانتظار حتى تنتهي العملية.

root @ master: ~ # nano / etc / default / nis
# هل نحن خادم NIS وإذا كان الأمر كذلك فما نوع (القيم: خطأ ، عبد ، سيد)؟
NISSERVER = سيد

root @ master: ~ # nano /etc/ypserv.securenets # securenets يحدد هذا الملف حقوق الوصول إلى خادم NIS الخاص بك # لعملاء NIS (والخوادم التابعة - يستخدم ypxfrd هذا الملف # أيضًا). يحتوي هذا الملف على أزواج قناع الشبكة / الشبكة. # يجب أن يتطابق عنوان IP للعملاء مع # واحد على الأقل من هؤلاء. # # يمكن للمرء استخدام كلمة "host" بدلاً من قناع الشبكة # 255.255.255.255. يُسمح فقط بعناوين IP في هذا الملف # ، وليس أسماء المضيف. # # السماح دائمًا بالوصول إلى المضيف المحلي 255.0.0.0 127.0.0.0 # يتيح هذا الخط الوصول إلى الجميع. يرجى ضبط! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # هل يجب دمج ملف passwd مع ملف الظل؟ # MERGE_PASSWD = صح | خطأ
MERGE_PASSWD = صحيح

# هل يجب دمج ملف المجموعة مع ملف gshadow؟ # MERGE_GROUP = صحيح | خطأ
MERGE_GROUP = صحيح

نبني قاعدة بيانات NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
في هذه المرحلة ، يتعين علينا إنشاء قائمة بالمضيفين الذين سيقومون بتشغيل خوادم NIS. يوجد master.swl.fan في قائمة مضيفي خادم NIS. الرجاء الاستمرار في إضافة أسماء المضيفين الآخرين ، واحد لكل سطر. عندما تنتهي من القائمة ، اكتب أ . المضيف التالي المراد إضافته: master.swl.fan المضيف التالي الذي سيتم إضافته: تبدو القائمة الحالية لخوادم NIS كما يلي: master.swl.fan هل هذا صحيح؟ [y / n: y] نحتاج إلى بضع دقائق لإنشاء قواعد البيانات ... اجعل [1]: ترك الدليل '/var/yp/swl.fan' تم إعداد master.swl.fan كخادم رئيسي لـ NIS . الآن يمكنك تشغيل ypinit -s master.swl.fan على جميع الخوادم التابعة.

الجذر @ الرئيسي: ~ # إعادة تشغيل systemctl شيكل
root @ master: ~ # systemctl status nis

نضيف المستخدمين المحليين

الجذر @ الرئيسي: ~ # adduser bilbo
إضافة المستخدم "bilbo" ... إضافة المجموعة الجديدة "bilbo" (1001) ... إضافة المستخدم الجديد "bilbo" (1001) مع group` bilbo "... إنشاء الدليل الرئيسي" / home / bilbo " ... نسخ الملفات من "/ etc / skel" ... أدخل كلمة مرور UNIX الجديدة: أعد كتابة كلمة مرور UNIX الجديدة: passwd: تم تحديث كلمة المرور بشكل صحيح تغيير معلومات المستخدم لـ bilbo أدخل القيمة الجديدة ، أو اضغط على ENTER لاستخدام الافتراضي الاسم الكامل []: رقم غرفة Bilbo Bagins []: هاتف العمل []: هاتف المنزل []: أخرى []: هل المعلومات صحيحة؟ [نعم / لا]

الجذر @ الرئيسي: ~ # adduser خطوات الجذر @ الرئيسي: ~ # adduser legolas

وهلم جرا.

الجذر @ الرئيسي: ~ # الاصبع legolas
تسجيل الدخول: legolas الاسم: Legolas Archer الدليل: / home / legolas Shell: / bin / bash لم تسجل الدخول مطلقًا. لا بريد. لا توجد خطة.

نقوم بتحديث قاعدة بيانات NIS

root @ master: / var / yp # make
make [1]: إدخال الدليل '/var/yp/swl.fan' جارٍ تحديث passwd.byname ... جارٍ تحديث passwd.byuid ... جارٍ تحديث group.byname ... جارٍ تحديث group.bygid ... جارٍ تحديث netid.byname. .. تحديث shadow.byname ... تم التجاهل -> تم دمجه مع passwd make [1]: مغادرة الدليل '/var/yp/swl.fan'

نضيف خيارات NIS إلى خادم isc-dhcp

الجذر @ الرئيسي: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style المؤقت ؛ تحديثات ddns على ؛ ddns-domainname "swl.fan." ؛ ddns-rev-domainname "in-addr.arpa." ؛ تجاهل تحديثات العميل ؛ التحديث الأمثل خطأ ؛ موثوق. خيار ip-forwarding off ؛ اسم مجال الخيار "swl.fan" ؛ تشمل "/etc/dhcp/dhcp.key" ؛ منطقة swl.fan. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } المنطقة 10.168.192.in-addr.arpa. {127.0.0.1 الأساسي ؛ مفتاح dhcp-key ؛ } redlocal-network المشتركة {subnet 192.168.10.0 netmask 255.255.255.0 {option router 192.168.10.1؛ قناع الشبكة الفرعية للخيار 255.255.255.0 ؛ خيار عنوان البث 192.168.10.255 ؛ الخيار خوادم اسم المجال 192.168.10.5 ؛ خيار خوادم أسماء netbios 192.168.10.5 ؛ الخيار ntp- خوادم 192.168.10.5 ؛ خيار خوادم الوقت 192.168.10.5 ؛
                الخيار غير المجال "swl.fan" ؛
                الخيار nis- خوادم 192.168.10.5 ؛
                النطاق 192.168.10.30 192.168.10.250 ؛ }}

الجذر @ الرئيسي: ~ # dhcpd -t
root @ master: ~ # إعادة تشغيل systemctl isc-dhcp-server.service

تثبيت عميل NIS

  • نبدأ من تثبيت نظيف - بدون واجهة رسومية - لـ Debian 8 "Jessie".
الجذر @ البريد: ~ # اسم المضيف -f
mail.swl.fan

root @ mail: ~ # عنوان IP
2: eth0: mtu 1500 qdisc pfifo_fast state مجموعة افتراضية qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    إنت 192.168.10.9/24 brd 192.168.10.255 نطاق eth0

جذر @ mail: ~ # الكفاءة تثبيت شيوع
جذر @ mail: ~ # nano /etc/yp.conf # # yp.conf ملف التكوين لعملية ypbind. يمكنك تحديد خوادم # NIS يدويًا هنا إذا لم يتم العثور عليها من خلال # البث على الشبكة المحلية (وهو الافتراضي). # # راجع صفحة دليل ypbind للحصول على صيغة هذا الملف. # # هام: بالنسبة إلى "ypserver" ، استخدم عناوين IP ، أو تأكد من أن # المضيف موجود في / etc / hosts. يتم تفسير هذا الملف # مرة واحدة فقط ، وإذا لم يكن DNS قابلاً للوصول بعد ، فلا يمكن حل ypserver # ولن يرتبط ypbind بالخادم مطلقًا. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # مثال على تكوين وظيفة GNU Name Service Switch. # إذا كان لديك حزم `glibc-doc-reference 'و` info' مثبتة ، فجرب: #` info libc "Name Service Switch" للحصول على معلومات حول هذا الملف. passwd: مجموعة التوافقية: الظل المتوافق: الظل المتوافق: مضيف الملفات: ملفات dns nis الشبكات: بروتوكولات الملفات: خدمات ملفات db: ملفات db ethers: ملفات db rpc: ملفات db netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) لمزيد من التفاصيل.
جلسة اختيارية pam_mkhomedir.so skel = / etc / skel umask = 077
# هنا هي الوحدات النمطية لكل حزمة (الكتلة "الأساسية")

root @ mail: ~ # systemctl status nis
root @ mail: ~ # إعادة تشغيل systemctl nis

نغلق الجلسة ونبدأها مرة أخرى ولكن مع مستخدم مسجل في قاعدة بيانات NIS في سيد. swl.fan.

root @ mail: ~ # خروج
تسجيل الخروج الاتصال بالبريد مغلق.

Buzz @ sysadmin: ~ $ ssh legolas @ mail
كلمة مرور legolas @ mail: إنشاء دليل "/ home / legolas". البرامج المتضمنة في نظام دبيان جنو / لينكس هي برامج مجانية ؛ يتم وصف شروط التوزيع الدقيقة لكل برنامج في الملفات الفردية في / usr / share / doc / * / copyright. يأتي Debian GNU / Linux بدون ضمان مطلقًا ، إلى الحد الذي يسمح به القانون المعمول به.
legolas @ mail: ~ $ pwd
/ الرئيسية / ليغولاس
legolas @ mail: ~ $ 

نقوم بتغيير كلمة مرور مستخدم legolas والتحقق منها

legolas @ mail: ~ $ yppasswd 
تغيير معلومات حساب NIS لـ legolas على master.swl.fan. الرجاء إدخال كلمة المرور القديمة: legolas تغيير كلمة مرور NIS لـ legolas على master.swl.fan. الرجاء إدخال كلمة مرور جديدة: آرتشر يجب أن تحتوي كلمة المرور على أحرف كبيرة وصغيرة ، أو غير أحرف. الرجاء إدخال كلمة المرور الجديدة: Arquero2017 الرجاء إعادة كتابة كلمة المرور الجديدة: Arquero2017 تم تغيير كلمة مرور NIS على master.swl.fan.

legolas @ mail: ~ $ exit
تسجيل الخروج الاتصال بالبريد مغلق.

Buzz @ sysadmin: ~ $ ssh legolas @ mail
كلمة مرور legolas @ mail: Arquero2017

البرامج المتضمنة في نظام دبيان جنو / لينكس هي برامج مجانية ؛ يتم وصف شروط التوزيع الدقيقة لكل برنامج في الملفات الفردية في / usr / share / doc / * / copyright. يتوفر Debian GNU / Linux بدون ضمان مطلقًا ، إلى الحد الذي يسمح به القانون المعمول به. آخر تسجيل دخول: السبت 27 مايو 12:51:50 2017 من sysadmin.swl.fan
legolas @ mail: ~ $

تعمل خدمة NIS المطبقة على مستوى الخادم والعميل بشكل صحيح.

LDAP

من ويكيبيديا:

  • LDAP هو اختصار لـ Lightweight Directory Access Protocol (باللغة الإسبانية Lightweight / Simplified Directory Access Protocol) الذي يشير إلى بروتوكول على مستوى التطبيق يسمح بالوصول إلى خدمة دليل مرتبة وموزعة للبحث عن معلومات مختلفة في شبكة بيئة. تعتبر LDAP أيضًا قاعدة بيانات (على الرغم من أن نظام التخزين الخاص بها قد يكون مختلفًا) يمكن الاستعلام عنها.الدليل عبارة عن مجموعة من الكائنات ذات سمات منظمة بطريقة منطقية وهرمية. المثال الأكثر شيوعًا هو دليل الهاتف ، والذي يتكون من سلسلة من الأسماء (أشخاص أو منظمات) مرتبة أبجديًا ، مع كل اسم له عنوان ورقم هاتف مرفق به. لفهم أفضل ، إنه كتاب أو مجلد ، تُكتب فيه أسماء الأشخاص وأرقام هواتفهم وعناوينهم ، ويتم ترتيبها أبجديًا.

    تعكس شجرة دليل LDAP أحيانًا حدودًا سياسية أو جغرافية أو تنظيمية مختلفة ، اعتمادًا على النموذج المختار. تميل عمليات نشر LDAP الحالية إلى استخدام أسماء نظام اسم المجال (DNS) لهيكلة المستويات الأعلى من التسلسل الهرمي. أثناء التمرير لأسفل في الدليل ، قد تظهر الإدخالات التي تمثل الأشخاص أو الوحدات التنظيمية أو الطابعات أو المستندات أو مجموعات الأشخاص أو أي شيء يمثل إدخالًا معينًا في الشجرة (أو عدة إدخالات).

    عادةً ، يخزن معلومات المصادقة (اسم المستخدم وكلمة المرور) ويتم استخدامه للمصادقة ، على الرغم من أنه من الممكن تخزين معلومات أخرى (بيانات اتصال المستخدم ، موقع موارد الشبكة المختلفة ، الأذونات ، الشهادات ، إلخ). باختصار ، LDAP هو بروتوكول وصول موحد لمجموعة من المعلومات على الشبكة.

    الإصدار الحالي هو LDAPv3 ، ويتم تعريفه في RFCs RFC 2251 و RFC 2256 (مستند أساسي LDAP) و RFC 2829 (طريقة المصادقة لـ LDAP) و RFC 2830 (امتداد لـ TLS) و RFC 3377 (المواصفات الفنية)

    .

لفترة طويلة، بروتوكول LDAP - وقواعد بياناته المتوافقة مع OpenLDAP أم لا - هو الأكثر استخدامًا في معظم أنظمة المصادقة اليوم. كمثال على العبارة السابقة ، نقدم أدناه بعض أسماء الأنظمة - الحرة أو الخاصة - التي تستخدم قواعد بيانات LDAP كخلفية لتخزين جميع عناصرها:

  • ب OpenLDAP
  • خادم دليل أباتشي
  • خادم دليل ريد هات - 389 DS
  • خدمات دليل Novell - الدليل الإلكتروني
  • نظام صن مايكروسيستم المفتوح DS
  • مدير هوية ريد هات
  • FreeIPA
  • Samba NT4 Classic Domain Controller.
    نريد توضيح أن هذا النظام تم تطويره بواسطة Team Samba مع Samba 3.xxx + OpenLDAP كـ الخلفية. مايكروسوفت لم تنفذ أي شيء مثل ذلك. قفز من NT 4 Domain Controllers إلى Active Directory الخاص بهم
  • Samba 4 Active Directory - وحدة تحكم المجال
  • ClearOS
  • زنتيال
  • خادم شركة UCS Uninvention
  • مايكروسوفت الدليل النشط

كل تطبيق له خصائصه الخاصة ، والأكثر معيارًا وتوافقًا هو ب OpenLDAP.

Active Directory ، سواء كان الإصدار الأصلي من Microsoft أو من Samba 4 ، يشكل اتحادًا لعدة مكونات رئيسية هي:

يجب ألا نخلط بين أ خدمة الدليل o خدمة الدليل مع أ نشط الدليل o الدليل النشط. الأول قد يستضيف أو لا يستضيف مصادقة Kerberos ، لكنهم لا يقدمون خدمة شبكة Microsoft التي يوفرها مجال Windows ، ولا يمتلكون وحدة تحكم مجال Windows على هذا النحو.

يمكن استخدام خدمة الدليل أو خدمة الدليل لمصادقة المستخدمين في شبكة مختلطة مع عملاء UNIX / Linux و Windows. بالنسبة لهذا الأخير ، يجب تثبيت برنامج على كل عميل يعمل كوسيط بين خدمة الدليل وعميل Windows نفسه ، مثل البرمجيات الحرة. pGina.

خدمة الدليل مع OpenLDAP

  • نبدأ من تثبيت نظيف - بدون واجهة رسومية - لـ Debian 8 "Jessie"، مع نفس اسم الجهاز "الرئيسي" المستخدم لتثبيت NIS ، بالإضافة إلى تكوين واجهة الشبكة وملف /etc/resolv.conf. قمنا بتثبيت ntp و bind9 و isc-dhcp-server لهذا الخادم الجديد ، دون أن ننسى عمليات التحقق العالمية للتشغيل الصحيح للخدمات الثلاث السابقة.
الجذر @ الرئيسي: ~ # aptitude قم بتثبيت slapd ldap-utils

تكوين الحزمة

┌──────────────────┤ تكوين Slapd ├─────────────────────┐ │ أدخل كلمة المرور لإدخال المسؤول في دليل LDAP │ │. │ │ │ │ كلمة مرور المسؤول: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

نتحقق من التكوين الأولي

الجذر @ الرئيسي: ~ # سلابكات
dn: dc = swl ، dc = fan
objectClass: top objectClass: dcObject objectClass: Organization o: swl.fan dc: swl StructureObjectClass: Organization entryUID: c8510708-da8e-1036-8fe1-71d022a16904 creators الاسم: cn = admin، dc = swl، dc = إدخال المعجبين createTimestamp20170531205219: 20170531205219.833955ZNamp000000 : 000ZN000000 إدخال Z # ​​20170531205219 # XNUMX # XNUMX معدل الاسم: cn = admin ، dc = swl ، dc = تعديل المروحة الطابع الزمني: XNUMXZ

dn: cn = admin ، dc = swl ، dc = fan
objectClass: simpleSecurityObject objectClass: organizationalRole CN: وصف مشرف: userPassword LDAP المسؤول :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e-da8e-1036-8fe2-71d022a16904 creatorsName: CN = المشرف، DC = SWL، DC = مروحة createTimestamp: 20170531205219Z entryCSN: 20170531205219.834422Z # 000000 # 000 # 000000 معدِّلات الاسم: cn = admin ، dc = swl ، dc = تعديل المروحة الطابع الزمني: 20170531205219Z

نقوم بتعديل الملف /etc/ldap/ldap.conf

الجذر @ الرئيسي: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl، dc = fan URI    ldap: // localhost

الوحدات التنظيمية والمجموعة العامة «المستخدمون»

نضيف الحد الأدنى من الوحدات التنظيمية اللازمة ، بالإضافة إلى مجموعة Posix "المستخدمين" التي سنجعل جميع المستخدمين أعضاء فيها ، على غرار العديد من الأنظمة التي تضم المجموعة «المستخدمين«. نطلق عليها اسم «المستخدمين» حتى لا تدخل في تعارضات محتملة مع المجموعة «المستخدم" النظام.

الجذر @ الرئيسي: ~ # نانو base.ldif
dn: ou = people، dc = swl، dc = fan objectClass: organizationUnit ou: people dn: ou = groups، dc = swl، dc = fan objectClass: organizationUnit ou: groups dn: cn = users، ou = groups، dc = swl، dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin، dc = swl، dc = fan -W -f base.ldif
أدخل كلمة مرور LDAP: إضافة إدخال جديد "ou = people، dc = swl، dc = fan" إضافة إدخال جديد "ou = groups، dc = swl، dc = fan"

نتحقق من الإدخالات المضافة

الجذر @ الرئيسي: ~ # ldapsearch -x ou = الناس
# people ، swl.fan dn: ou = people ، dc = swl ، dc = fan objectClass: organizationUnit ou: people

root @ master: ~ # ldapsearch -x ou = المجموعات
# groups ، swl.fan dn: ou = المجموعات ، dc = swl ، dc = عنصر المروحة: الفئة التنظيمية: الوحدة ou: المجموعات

root @ master: ~ # ldapsearch -x cn = المستخدمين
# المستخدمون ، المجموعات ، swl.fan dn: cn = المستخدمين ، ou = المجموعات ، dc = swl ، dc = fan objectClass: posixGroup cn: المستخدمين gidNumber: 10000

نضيف العديد من المستخدمين

يجب الحصول على كلمة المرور التي يجب أن نعلنها في LDAP من خلال الأمر slappasswd، والذي يقوم بإرجاع كلمة مرور SSHA المشفرة.

خطوات كلمة المرور للمستخدم:

الجذر @ الرئيسي: ~ # slappasswd 
كلمة المرور الجديدة: أعد إدخال كلمة المرور الجديدة: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

كلمة المرور للمستخدم legolas

الجذر @ الرئيسي: ~ # slappasswd 
كلمة المرور الجديدة: أعد إدخال كلمة المرور الجديدة: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

كلمة المرور للمستخدم gandalf

الجذر @ الرئيسي: ~ # slappasswd 
كلمة المرور الجديدة: أعد إدخال كلمة المرور الجديدة: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

الجذر @ الرئيسي: ~ # مستخدمين nano.ldif
dn: uid = strides، ou = people، dc = swl، dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides GivenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 mail: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas، ou = people، dc = swl، dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas GivenName : Legolas sn: مستخدم آرتشر {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 mail: Legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf، ou = people، dc = swl، dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf GivenName: Gandalf sn: مستخدم المعالج كلمة المرور: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash homeDirectory: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin، dc = swl، dc = fan -W -f users.ldif
أدخل كلمة مرور LDAP: إضافة إدخال جديد "uid = خطوات ، ou = people ، dc = swl ، dc = fan" إضافة إدخال جديد "uid = legolas ، ou = people ، dc = swl ، dc = fan" إضافة إدخال جديد "uid = gandalf، ou = people، dc = swl، dc = fan "

نتحقق من الإدخالات المضافة

الجذر @ الرئيسي: ~ # ldapsearch -x cn = striders
root @ master: ~ # ldapsearch -x uid = خطوات

نحن ندير قاعدة بيانات slpad باستخدام أدوات وحدة التحكم

نختار الحزمة ldapscripts لمثل هذه المهمة. إجراء التثبيت والتكوين كالتالي:

root @ master: ~ # aptitude قم بتثبيت ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin، dc = swl، dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl، dc = fan' GSUFFIX = 'ou = المجموعات USUFFIX = 'ou = people' # MSUFFIX = 'ou = GIDSTART لأجهزة الكمبيوتر = 10001 UIDSTART = 10003 # MIDSTART = 10000 # أوامر عميل OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup etc = "# UTEM . /ldapadduser.template "PASSWORDGEN =" echo٪ u "

لاحظ أن البرامج النصية تستخدم أوامر الحزمة أدوات ldap. يركض أدوات dpkg -L ldap | grep / بن لمعرفة ما هم.

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = و و objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: CN: الاسم المعطى: sn: اسم العرض: uidNumber: gidNumber: 10000 منزل تسجيل الدخول بريد: @ swl.fan أبو بريص: الوصف: حساب المستخدم
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## نقوم بإزالة التعليق UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

نضيف المستخدم "بلبو" ونجعله عضوا في مجموعة "المستخدمين"

الجذر @ الرئيسي: ~ # مستخدمي ldapadduser bilbo
[dn: uid = bilbo، ou = people، dc = swl، dc = fan] أدخل قيمة لـ "GivenName": Bilbo [dn: uid = bilbo، ou = people، dc = swl، dc = fan] أدخل قيمة لـ " sn ": Bagins [dn: uid = bilbo، ou = people، dc = swl، dc = fan] أدخل قيمة لـ" displayName ": قام Bilbo Bagins بإضافة bilbo للمستخدم إلى LDAP بنجاح تعيين كلمة مرور للمستخدم bilbo

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo، people، swl.fan dn: uid = bilbo، ou = people، dc = swl، dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo GivenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: وصف bilbo: حساب المستخدم

لرؤية تجزئة كلمة مرور مستخدم bilbo ، من الضروري إجراء الاستعلام مع المصادقة:

root @ master: ~ # ldapsearch -x -D cn = admin ، dc = swl ، dc = fan -W uid = bilbo

لحذف مستخدم bilbo نقوم بتنفيذ:

root @ master: ~ # ldapdelete -x -D cn = admin، dc = swl، dc = fan -W uid = bilbo، ou = people، dc = swl، dc = fan
أدخل كلمة مرور LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

نحن ندير قاعدة بيانات slapd من خلال واجهة ويب

لدينا خدمة دليل وظيفية ، ونريد إدارتها بسهولة أكبر. هناك العديد من البرامج المصممة لهذه المهمة ، مثل com.phpldapadmin, مدير حساب ldap، وما إلى ذلك ، المتوفرة مباشرة من المستودعات. يمكننا أيضًا إدارة خدمة الدليل من خلال استوديو دليل اباتشي، والذي يجب تنزيله من الإنترنت.

لمزيد من المعلومات، يرجى زيارة الموقع https://blog.desdelinux.net/ldap-introduccion/، و 6 مقالات التالية.

عميل LDAP

المسرح:

قل لدينا الفريق mail.swl.fan كخادم بريد تم تنفيذه كما رأينا في المقالة Postfix + Dovecot + Squirrelmail والمستخدمون المحليون، والتي على الرغم من تطويرها على CentOS ، إلا أنها قد تكون بمثابة دليل لـ Debian والعديد من توزيعات Linux الأخرى. نريد ، بالإضافة إلى المستخدمين المحليين الذين أعلناهم بالفعل ، أن المستخدمين المخزنين في قاعدة بيانات OpenLDAP الموجودة في سيد. swl.fan. ولتحقيق ما سبق علينا «رسم»مستخدمو LDAP كمستخدمين محليين على الخادم mail.swl.fan. هذا الحل صالح أيضًا لأي خدمة تعتمد على مصادقة PAM. الإجراء العام ل ديبيان، هو ما يلي:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌────────────────────┤ تكوين libnss- ldap ├─────────────────────┐ │ أدخل URI ("معرف المورد الموحد" ، أو │ servidor Uniform Resource Identifier) ​​لخادم LDAP. هذه السلسلة تشبه │ │ «ldap: //: / ». يمكنك أيضًا │ │ استخدام «ldaps: // » أو "ldapi: //". رقم المنفذ اختياري. │ │ │ │ يوصى باستخدام عنوان IP لتجنب الفشل عندما لا تتوفر خدمات اسم المجال │ │. │ │ │ │ عنوان URI لخادم LDAP: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ───────────────────────────┘ ┌───────────────────── ┤ تكوين libnss- ldap ├──────────────────────┐ │ أدخل الاسم المميز (DN) لقاعدة بحث LDAP. تستخدم العديد من المواقع مكونات اسم المجال لهذا الغرض. على سبيل المثال ، قد يستخدم المجال "example.net" │ │ "dc = example، dc = net" كاسم مميز لقاعدة البحث. │ │ │ │ الاسم المميز (DN) لقاعدة البحث: │ │ │ │ dc = swl، dc = fan ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libnss- ldap ├──────────────────────┐ │ أدخل إصدار بروتوكول LDAP الذي يجب أن تستخدمه ldapns. يوصى │ │ باستخدام أعلى رقم إصدار متاح. │ │ │ │ إصدار LDAP المراد استخدامه: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libnss- ldap ├──────────────────────┐ │ اختر الحساب الذي سيتم استخدامه لاستعلامات nss بامتيازات الجذر │ │. │ │ │ │ ملاحظة: لكي يعمل هذا الخيار ، يحتاج الحساب إلى أذونات │ │ لتتمكن من الوصول إلى سمات LDAP المرتبطة بإدخالات المستخدم │ │ "الظل" بالإضافة إلى كلمات مرور المستخدمين والمجموعات │ │ . │ │ │ │ حساب LDAP للجذر: │ │ │ │ cn = admin، dc = swl، dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libnss- ldap ├─────────────────────┐ │ أدخل كلمة المرور التي سيتم استخدامها عندما يحاول libnss-ldap │ │ المصادقة على دليل LDAP باستخدام حساب LDAP الخاص بالجذر. │ │ │ │ سيتم حفظ كلمة المرور في ملف منفصل │ │ ("/etc/libnss-ldap.secret") لا يستطيع الوصول إليه إلا الجذر. │ │ │ │ إذا أدخلت كلمة مرور فارغة ، فسيتم إعادة استخدام كلمة المرور القديمة. │ │ │ │ كلمة المرور لحساب الجذر LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── ─┤ تكوين libnss- ldap ├──────────────────────┐ │ │ │ لا تتم إدارة nsswitch.conf تلقائيًا │ │ │ │ يجب عليك تعديل ملفك "/etc/nsswitch.conf "لاستخدام مصدر بيانات LDAP إذا كنت تريد أن تعمل حزمة libnss-ldap. │ │ يمكنك استخدام نموذج الملف │ │ في "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" كمثال على تكوين nsswitch أو │ │ يمكنك نسخه على التكوين الحالي. │ │ │ │ لاحظ أنه قبل إزالة هذه الحزمة قد يكون من الملائم │ │ إزالة إدخالات "ldap" من ملف nsswitch.conf حتى تستمر الخدمات الأساسية │ │ في العمل. │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libpam-ldap ├──────────────────────┐ │ │ │ يسمح هذا الخيار لأدوات كلمات المرور باستخدام PAM لتغيير كلمات المرور المحلية. │ │ │ │ سيتم تخزين كلمة المرور لحساب مسئول LDAP في ملف │ │ منفصل لا يمكن قراءته إلا من قبل المسؤول. │ │ │ │ يجب تعطيل هذا الخيار ، في حالة التركيب "/ etc" عبر NFS. │ │ │ │ هل تريد السماح لحساب مسؤول LDAP بالتصرف كـ │ │ المسؤول المحلي؟ │ │ │ │                                            │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libpam-ldap ├──────────────────────┐ │ │ │ اختر ما إذا كان خادم LDAP يفرض التعريف قبل الحصول على إدخالات entradas. │ │ │ │ نادرًا ما يكون هذا الإعداد ضروريًا. │ │ │ │ هل المستخدم مطلوب للوصول إلى قاعدة بيانات LDAP؟ │ │ │ │                                               │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libpam-ldap ├──────────────────────┐ │ أدخل اسم حساب مسئول LDAP. │ │ │ │ سيتم استخدام هذا الحساب تلقائيًا لإدارة قاعدة البيانات ، لذلك يجب أن يكون لديك الامتيازات الإدارية المناسبة. │ │ │ │ حساب مسؤول LDAP: │ │ │ │ cn = admin، dc = swl، dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ تكوين libpam-ldap ├──────────────────────┐ │ أدخل كلمة المرور لحساب المسؤول. │ │ │ │ سيتم حفظ كلمة المرور في ملف "/etc/pam_ldap.secret". سيكون المسؤول │ │ هو الوحيد الذي يمكنه قراءة هذا الملف ، وسيسمح لـ │ │ libpam-ldap بالتحكم تلقائيًا في إدارة الاتصالات في قاعدة البيانات │ │. │ │ │ │ إذا تركت هذا الحقل فارغًا ، فسيتم استخدام كلمة المرور المحفوظة السابقة │ │ مرة أخرى. │ │ │ │ كلمة مرور مسؤول LDAP: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # مثال على تكوين وظيفة GNU Name Service Switch. # إذا كان لديك حزم `glibc-doc-reference 'و` info' مثبتة ، فجرب: #` info libc "Name Service Switch" للحصول على معلومات حول هذا الملف. passwd: التوافق LDAP
المجموعة: المواطن LDAP
الظل: التوافق LDAP
gshadow: مضيفات الملفات: شبكات dns للملفات: بروتوكولات الملفات: خدمات ملفات db: ملفات db ethers: ملفات db rpc: ملفات db netgroup: nis

دعنا نعدل الملف /etc/pam.d/common-password، نذهب إلى السطر 26 ونزيل القيمة «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - الوحدات النمطية المتعلقة بكلمة المرور المشتركة لجميع الخدمات # # هذا الملف مضمن من ملفات تهيئة PAM الخاصة بالخدمة ، # ويجب أن يحتوي على قائمة بالوحدات النمطية التي تحدد الخدمات التي سيتم # تستخدم لتغيير كلمات مرور المستخدم. الافتراضي هو pam_unix. # شرح خيارات pam_unix: # # يتيح خيار "sha512" كلمات مرور SHA512 المملحة. بدون هذا الخيار ، # الافتراضي هو Unix crypt. استخدمت الإصدارات السابقة الخيار "md5". # # يحل الخيار "غير شائع" محل الخيار "OBSCURE_CHECKS_ENAB" القديم في # login.defs. # # راجع صفحة دليل pam_unix للحصول على خيارات أخرى. # اعتبارًا من pam 1.0.1-6 ، تتم إدارة هذا الملف بواسطة تحديث pam-auth افتراضيًا. # للاستفادة من هذا ، يوصى بتكوين أي # وحدات محلية إما قبل أو بعد الكتلة الافتراضية ، واستخدام # pam-auth-update لإدارة اختيار الوحدات الأخرى. راجع # pam-auth-update (8) للحصول على التفاصيل. # هنا هي كلمة مرور الوحدات النمطية لكل حزمة (الكتلة "الأساسية") [النجاح = 2 افتراضي = تجاهل] pam_unix.so حجب sha512
كلمة المرور [النجاح = 1 user_unknown = تجاهل الافتراضي = يموت] pam_ldap.so try_first_pass
# هذا هو الخيار الاحتياطي إذا لم تنجح أي وحدة في كلمة المرور المطلوبة pam_deny. لذلك # قم بتشغيل المكدس بقيمة إرجاع موجبة إذا لم يكن هناك واحد بالفعل ؛ # هذا يمنعنا من إرجاع خطأ لمجرد أنه لا يوجد شيء يحدد رمز النجاح # لأن كل وحدة أعلاه ستقفز فقط حول كلمة المرور المطلوبة pam_permit.so # وهنا المزيد من الوحدات النمطية لكل حزمة (الكتلة "الإضافية") # end of pam- المصادقة-تحديث التكوين

في حال احتجنا تسجيل الدخول المحلي للمستخدمين المخزنين في LDAP ، ونريد إنشاء مجلداتهم تلقائيًا الصفحة الرئيسية، يجب علينا تحرير الملف /etc/pam.d/common-session وأضف السطر التالي إلى نهاية الملف:

جلسة اختيارية pam_mkhomedir.so skel = / etc / skel umask = 077

في مثال خدمة دليل OpenLDAP الذي تم تطويره مسبقًا ، كان المستخدم المحلي الوحيد الذي تم إنشاؤه هو المستخدم شرب حتى الثمالة، بينما في LDAP نقوم بإنشاء المستخدمين خطوات واسعة, Legolas, عبدالله الكريدا، القيد. إذا كانت التكوينات التي تم إجراؤها حتى الآن صحيحة ، فيجب أن نكون قادرين على سرد المستخدمين المحليين وأولئك الذين تم تعيينهم كمحليين ولكن تم تخزينهم في خادم LDAP البعيد:

الجذر @ البريد: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ،،،: / home / buzz: / bin / bash
الخطوات: x: 10000: 10000: خطوات El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

بعد التغييرات في مصادقة النظام ، من الصالح إعادة تشغيل الخادم وإلا فإننا نواجه خدمة حرجة:

الجذر @ البريد: ~ # إعادة التشغيل

في وقت لاحق نبدأ جلسة محلية على الخادم mail.swl.fan باستخدام بيانات اعتماد المستخدم المخزنة في قاعدة بيانات LDAP الخاصة بـ سيد. swl.fan. يمكننا أيضًا محاولة تسجيل الدخول عبر SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
كلمة مرور gandalf @ mail: إنشاء دليل '/ home / gandalf'. البرامج المتضمنة في نظام دبيان جنو / لينكس هي برامج مجانية ؛ يتم وصف شروط التوزيع الدقيقة لكل برنامج في الملفات الفردية في / usr / share / doc / * / copyright. يأتي Debian GNU / Linux بدون ضمان مطلقًا ، إلى الحد الذي يسمح به القانون المعمول به.
gandalf @ mail: ~ $ su
كلمة المرور:

root @ mail: / home / gandalf # getent group
مشاركة: س: 1001: المستخدمون: *: 10000:

root @ mail: / home / gandalf # exit
خروج

gandalf @ mail: ~ $ ls -l / home /
إجمالي 8 drwxr-xr-x 2 طنين طنين     4096 17 يونيو 12:25 طنين drwx ------ 2 مستخدمي gandalf 4096 17 يونيو 13:05 غاندالف

يتم تنفيذ خدمة الدليل على مستوى الخادم والعميل ، وتعمل بشكل صحيح.

كيربيروس

من ويكيبيديا:

  • Kerberos هو بروتوكول مصادقة لشبكة الكمبيوتر تم إنشاؤه بواسطة معهد ماساتشوستس للتكنولوجيا يسمح لجهازي كمبيوتر على شبكة غير آمنة بإثبات هويتهما لبعضهما البعض بشكل آمن. ركز مصمموه أولاً على نموذج خادم العميل ، ويوفر مصادقة متبادلة: يتحقق كل من العميل والخادم من هوية بعضهما البعض. رسائل المصادقة محمية لمنع التنصت y إعادة الهجمات.

    يعتمد Kerberos على تشفير المفتاح المتماثل ويتطلب طرفًا ثالثًا موثوقًا به. بالإضافة إلى ذلك ، هناك امتدادات للبروتوكول لتكون قادرة على استخدام تشفير المفتاح غير المتماثل.

    يعتمد Kerberos على بروتوكول نيدهام شرودر. يستخدم طرفًا ثالثًا موثوقًا به ، يسمى "مركز توزيع المفاتيح" (KDC) ، والذي يتكون من جزأين منطقيين منفصلين: "خادم المصادقة" (AS أو خادم المصادقة) و "خادم إصدار التذاكر" (TGS أو خادم منح التذاكر ). يعمل Kerberos على أساس "التذاكر" ، والتي تعمل على إثبات هوية المستخدمين.

    يحتفظ Kerberos بقاعدة بيانات للمفاتيح السرية ؛ يشارك كل كيان على الشبكة - سواء كان عميلاً أو خادمًا - مفتاحًا سريًا معروفًا فقط لنفسه و Kerberos. تعمل معرفة هذا المفتاح على إثبات هوية الكيان. للاتصال بين كيانين ، يقوم Kerberos بإنشاء مفتاح جلسة ، والذي يمكن استخدامه لتأمين مشاكلهم.

عيوب Kerberos

De اكورد:

على الرغم من ذلك كيربيروس يزيل تهديدًا أمنيًا شائعًا ، فقد يكون من الصعب تنفيذه لعدة أسباب:

  • ترحيل كلمات مرور المستخدم من قاعدة بيانات قياسية لكلمات المرور UNIX، مثل / etc / passwd أو / etc / shadow ، إلى قاعدة بيانات Kerberos password ، يمكن أن يكون مملاً ولا توجد آلية سريعة لإنجاز هذه المهمة.
  • يفترض Kerberos أن كل مستخدم موثوق به ، ولكنه يستخدم جهازًا غير موثوق به على شبكة غير موثوق بها. هدفه الرئيسي هو منع إرسال كلمات المرور غير المشفرة عبر الشبكة. ومع ذلك ، إذا كان لدى أي مستخدم آخر ، بخلاف المستخدم المناسب ، حق الوصول إلى جهاز إصدار التذاكر (KDC) للمصادقة ، فسيكون Kerberos في خطر.
  • لكي يستخدم التطبيق Kerberos ، يجب تعديل الكود لإجراء الاستدعاءات المناسبة لمكتبات Kerberos. التطبيقات التي يتم تعديلها بهذه الطريقة تعتبر kerberized. بالنسبة لبعض التطبيقات ، قد يكون هذا جهدًا برمجيًا مفرطًا ، نظرًا لحجم التطبيق أو تصميمه. بالنسبة للتطبيقات الأخرى غير المتوافقة ، يجب إجراء تغييرات على طريقة اتصال خادم الشبكة وعملائه ؛ مرة أخرى ، قد يستغرق هذا قدرًا كبيرًا من البرمجة. بشكل عام ، عادةً ما تكون التطبيقات المغلقة المصدر التي لا تدعم Kerberos هي الأكثر إشكالية.
  • أخيرًا ، إذا قررت استخدام Kerberos على شبكتك ، فيجب أن تدرك أنه خيار الكل أو لا شيء. إذا قررت استخدام Kerberos على شبكتك ، يجب أن تتذكر أنه إذا تم تمرير أي كلمات مرور إلى خدمة لا تستخدم Kerberos للمصادقة ، فإنك تخاطر باحتمال اعتراض الحزمة. وبالتالي ، لن تحصل شبكتك على أي فائدة من استخدام Kerberos. لتأمين شبكتك مع Kerberos ، يجب عليك فقط استخدام الإصدارات kerberized لجميع تطبيقات العميل / الخادم التي ترسل كلمات مرور غير مشفرة أو لا تستخدم أيًا من هذه التطبيقات على الشبكة.

لا يعد تنفيذ OpenLDAP وتكوينه يدويًا باعتباره Kerberos Back-End مهمة سهلة. ومع ذلك ، سنرى لاحقًا أن Samba 4 Active Directory - وحدة تحكم المجال تتكامل بطريقة شفافة مع مسؤول النظام وخادم DNS وشبكة Microsoft ووحدة تحكم المجال الخاصة بها وخادم LDAP كنهاية خلفية لجميع كائناتها تقريبًا ، و خدمة المصادقة المستندة إلى Kerberos باعتبارها المكونات الأساسية لنمط Microsoft Active Directory.

حتى الآن لم نكن بحاجة إلى تنفيذ "شبكة Kerberized". لهذا لم نكتب عن كيفية تطبيق Kerberos.

Samba 4 Active Directory - وحدة تحكم المجال

هام:

لا يوجد توثيق أفضل من الموقع wiki.samba.org. يجب أن يقوم مسؤول النظام الذي يحترم نفسه بزيارة هذا الموقع - باللغة الإنجليزية - وتصفح عدد كبير من الصفحات المخصصة بالكامل لسامبا 4 ، والتي كتبها فريق Samba نفسه. لا أعتقد أن هناك وثائق متاحة على الإنترنت لتحل محلها. بالمناسبة ، لاحظ عدد الزيارات المنعكس في أسفل كل صفحة. مثال على ذلك هو أن صفحتك الرئيسية أو "الصفحة الرئيسية" قد تمت زيارتها 276,183 الأوقات اعتبارًا من اليوم 20 يونيو 2017 الساعة 10:10 بالتوقيت الشرقي. بالإضافة إلى ذلك ، يتم الحفاظ على الوثائق محدثة للغاية ، حيث تم تعديل تلك الصفحة في 6 يونيو.

من ويكيبيديا:

Samba هو تطبيق مجاني لبروتوكول Microsoft Windows File Sharing Protocol (المعروف سابقًا باسم SMB ، والذي تمت إعادة تسميته مؤخرًا CIFS) لأنظمة تشبه UNIX. بهذه الطريقة ، من الممكن أن تبدو أجهزة الكمبيوتر التي تعمل بنظام GNU / Linux أو Mac OS X أو Unix بشكل عام مثل الخوادم أو تعمل كعملاء في شبكات Windows. يسمح Samba أيضًا للمستخدمين بالتحقق من صحة كونه وحدة تحكم المجال الأساسي (PDC) ، كعضو في المجال وحتى كمجال Active Directory للشبكات المستندة إلى Windows ؛ بصرف النظر عن القدرة على خدمة قوائم انتظار الطباعة والأدلة المشتركة والمصادقة بأرشيف المستخدم الخاص بها.

من بين الأنظمة الشبيهة بـ Unix التي يمكن تشغيل Samba عليها توزيعات GNU / Linux و Solaris ومتغيرات BSD المختلفة بين يمكننا العثور على خادم Mac OS X من Apple.

Samba 4 AD-DC مع DNS الداخلي الخاص به

  • نبدأ من تثبيت نظيف - بدون واجهة رسومية - لـ Debian 8 "Jessie".

الشيكات الأولية

root @ master: ~ # hostname
رئيسي
root @ master: ~ # hostname --fqdn
سيد. swl.fan
الجذر @ الرئيسي: ~ # عنوان IP
1 ما: mtu 65536 qdisc noqueue state UNKNOWN group default / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00 inet 00/127.0.0.1 domain host lo valid_lft fever_lft forever inet8 :: مضيف النطاق 6/1 Valid_lft fever_lft forever 128: eth2: mtu 0 qdisc pfifo_fast state UNKNOWN group افتراضي qlen 1500 link / ether 1000: 00c: 0: 29: 80b: 3f brd ff: ff: ff: ff: ff: ff
    إنت 192.168.10.5/24 brd 192.168.10.255 نطاق eth0
       valid_lft مفضل للأبد_ lft للأبد inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 رابط النطاق valid_lft المفضل للأبد_ lft للأبد
الجذر @ الرئيسي: ~ # cat /etc/resolv.conf
ابحث عن خادم أسماء swl.fan 127.0.0.1
  • الذي به نعلن الفرع رئيسي فقط ، إنه أكثر من كافٍ لأغراضنا.
root @ master: ~ # cat /etc/apt/sources.list
ديب http://192.168.10.1/repos/jessie-8.6/debian/ جيسي رئيسي
ديب http://192.168.10.1/repos/jessie-8.6/debian/security/ جيسي / التحديثات رئيسي

Postfix بواسطة Exim والمرافق

الجذر @ الرئيسي: ~ # aptitude تثبيت postfix htop mc deborphan

  ┌────────────────────────┤ تكوين Postfix ├───────────────────── ────┐ │ اختر نوع تكوين خادم البريد الأنسب لاحتياجات │ your. │ │ │ │ بدون تكوين: │ │ يحافظ على التكوين الحالي سليمًا. │ │ موقع الإنترنت: يتم إرسال البريد واستلامه مباشرة باستخدام SMTP. │ │ الإنترنت مع «مضيف ذكي»: │ يتم استلام البريد مباشرة باستخدام SMTP أو عن طريق تشغيل أداة como │ مثل «fetchmail». يتم إرسال البريد الصادر باستخدام │ │ "مضيف ذكي". │ │ البريد المحلي فقط: │ البريد الوحيد الذي يتم تسليمه مخصص للمستخدمين المحليين. لا │ │ هناك شبكة. │ │ │ │ النوع العام لتكوين البريد: │ │ │ │ لا يوجد تكوين │ │ موقع إنترنت │ │ إنترنت مزود بـ "smarthost" │ │ نظام القمر الصناعي │ │                         البريد المحلي فقط                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── ─────┤ تكوين Postfix ├─────────────────────────┐ │ "اسم نظام البريد" هو اسم المجال الذي │ │ يستخدم "لتأهيل" _ALL_ عناوين البريد الإلكتروني بدون اسم المجال. يتضمن هذا البريد من وإلى "الجذر": من فضلك لا تجعل máquina يرسل جهازك رسائل بريد إلكتروني من root@example.org إلى │ │ أقل من root@example.org طلبت. │ │ │ │ ستستخدم البرامج الأخرى هذا الاسم. يجب أن يكون اسم مجال مؤهل فريد │ │ (FQDN). │ │ │ │ لذلك ، إذا كان عنوان البريد الإلكتروني على الجهاز المحلي هو │ │ something@example.org، ستكون القيمة الصحيحة لهذا الخيار هي example.org. │ │ │ │ اسم نظام البريد: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

نحن ننظف

الجذر @ الرئيسي: ~ # تطهير الكفاءة ~ ج
الجذر @ الرئيسي: ~ # تثبيت aptitude -f
الجذر @ الرئيسي: ~ # الكفاءة نظيفة
الجذر @ الرئيسي: ~ # aptitude autoclean

نقوم بتثبيت المتطلبات لتجميع Samba 4 و الحزم الضرورية الأخرى

root @ master: ~ # aptitude قم بتثبيت برنامج ACL Attr autoconf bison \
build-basic debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-user libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-Perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev بيرل وحدات بيرل pkg-config \
بايثون-جميع-ديف بيثون-ديف بيثون-dnspython بيثون-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ تكوين مصادقة Kerberos ├───────────────┐ │ عندما يحاول المستخدمون استخدام Kerberos وتحديد اسم │ │ الأساسي أو المستخدم دون توضيح مجال Kerberos الإداري الذي ينتمي إليه │ │ الرئيسي ، يأخذ النظام النطاق الافتراضي.  يمكن أيضًا استخدام النطاق الافتراضي كمجال │ │ لخدمة Kerberos التي تعمل على الجهاز المحلي.  │ │ عادةً ما يكون المجال الافتراضي هو الاسم الكبير لمجال DNS │ │ المحلي.  │ │ │ │ الإصدار 5 من Kerberos الافتراضي: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ تكوين مصادقة Kerberos ├───────────────┐ │ أدخل أسماء خوادم Kerberos في نطاق SWL.FAN الخاص بـ │ │ Kerberos ، مفصولة بمسافات.  │ │ │ │ خوادم Kerberos لمجالك: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ تكوين مصادقة Kerberos ├───────────────┐ │ أدخل اسم الخادم الإداري (تغيير كلمة المرور) │ │ لمجال Kerberos SWL.FAN.   

استغرقت العملية المذكورة أعلاه بعض الوقت لأنه ليس لدينا أي خدمات DNS مثبتة حتى الآن. ومع ذلك ، اخترت المجال بشكل صحيح من خلال إعدادات الملف / الخ / المضيفين. تذكر ذلك في الملف / الخ / resolv.conf لقد أعلنا أن IP 127.0.0.1 هو خادم اسم المجال.

نقوم الآن بتهيئة الملف / etc / ldap / ldap / conf

الجذر @ الرئيسي: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl، dc = fan URI ldap: //master.swl.fan

للاستعلامات باستخدام الأمر ldapsearch مصنوعة من المستخدم الجذر هي من النوع ldapsearch -x -W cn = xxxx، يجب علينا إنشاء الملف /root/.ldapsearch بالمحتوى التالي:

الجذر @ الرئيسي: ~ # nano .ldaprc
BINDDN CN = المسؤول ، CN = المستخدمون ، DC = swl ، DC = fan

يجب أن يدعم نظام الملفات ACL - قائمة التحكم في الوصول

root @ master: ~ # nano / etc / fstab
# / etc / fstab: معلومات نظام الملفات الثابتة. # # استخدم 'blkid' لطباعة المعرف الفريد عالميًا لجهاز # ؛ يمكن استخدام هذا مع UUID = كطريقة أكثر قوة لتسمية الأجهزة # التي تعمل حتى لو تمت إضافة الأقراص وإزالتها. انظر fstab (5). # # # / كان قيد التشغيل / dev / sda1 أثناء التثبيت UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr، acl، barrier = 1، noatime، errors = remount-ro 0 1
# swap قيد التشغيل / dev / sda5 أثناء التثبيت UUID = cb73228a-615d-4804-9877-3ec225e3ae32 لا يوجد تبديل sw 0 0 / dev / sr0 / media / cdrom0 udf، iso9660 user، noauto 0 0

الجذر @ الرئيسي: ~ # جبل -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n user.test -v test testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# ملف: testing_acl.txt user.test = "اختبار"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# ملف: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

الجذر @ الرئيسي: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

نحصل على مصدر Samba 4 ونقوم بتجميعه وتثبيته

يوصى بشدة بتنزيل الملف المصدر للإصدار مستقر من الموقع https://www.samba.org/. في مثالنا نقوم بتنزيل الإصدار سامبا 4.5.1.tar.gz تجاه المجلد / الأراضي الفلسطينية المحتلة.

الجذر @ الرئيسي: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

خيارات الإعداد

إذا أردنا تخصيص خيارات التكوين ، فإننا ننفذ:

root @ master: /opt/samba-4.5.1# ./configure --help

واختيار العناصر التي نحتاجها بعناية فائقة. يُنصح بالتحقق مما إذا كان يمكن تثبيت الحزمة التي تم تنزيلها على توزيعة Linux التي نستخدمها ، والتي في حالتنا هي Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / تكوين فحص توزيع

نقوم بتكوين وتجميع وتركيب samba-4.5.1

  • من المتطلبات المثبتة مسبقًا والملفات 8604 (التي تشكل ملف samba-4.5.1.tar.gz المضغوط) التي تزن حوالي 101.7 ميجابايت - بما في ذلك مجلدات source3 و source4 التي تزن حوالي 61.1 ميغابايت - سنحصل على بديل لـ a Active Directory على غرار Microsoft ، بجودة واستقرار أكثر من المقبول لأي بيئة إنتاج. يجب أن نسلط الضوء على عمل فريق Samba في تقديم البرمجيات الحرة Samba 4.

الأوامر أدناه هي الأوامر الكلاسيكية لتجميع وتثبيت الحزم من مصادرها. يجب أن نتحلى بالصبر بينما تستمر العملية برمتها. إنها الطريقة الوحيدة للحصول على نتائج صحيحة وصحيحة.

root @ master: /opt/samba-4.5.1# ./configure - مع systemd - أكواب قابلة للتعطيل
root @ master: /opt/samba-4.5.1# جعل
root @ master: /opt/samba-4.5.1# جعل تثبيت

أثناء عملية القيادة جعل، يمكننا أن نرى أن مصادر Samba 3 و Samba 4 قد تم تجميعها. ولهذا السبب يؤكد فريق Samba أن الإصدار 4 هو التحديث الطبيعي للإصدار 3 ، سواء بالنسبة لوحدات تحكم المجال القائمة على Samba 3 + OpenLDAP أو خوادم الملفات أو أقدم إصدارات Samba 4.

تزويد سامبا

سوف نستخدم DNS ملف سامبا_داخلي. في https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End سنجد المزيد من المعلومات. عندما يطلبون منا كلمة مرور المستخدم المسؤول ، يجب أن نكتب واحدة بحد أدنى 8 أحرف وأيضًا بأحرف - كبيرة وصغيرة - وأرقام.

قبل الشروع في التزويد ولجعل الحياة أسهل بالنسبة لنا ، نضيف مسار من ملفات سامبا التنفيذية في ملفنا .bashrcثم نغلق ونسجل الدخول مرة أخرى.

الجذر @ الرئيسي: ~ # nano .bashrc
# ~ / .bashrc: تم تنفيذه بواسطة bash (1) للقذائف التي لا تسمح بتسجيل الدخول. # ملاحظة: تم تعيين PS1 و umask بالفعل في / etc / profile. لا يجب عليك # هذا إلا إذا كنت تريد إعدادات افتراضية مختلفة للجذر. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # يمكنك إلغاء تعليق السطور التالية إذا كنت تريد تلوين "ls": # export LS_OPTIONS = '- color = auto '# Eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # المزيد من الأسماء المستعارة لتجنب ارتكاب الأخطاء : # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
أعلن -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / بن "

root @ master: تم إغلاق اتصال الخروج # للخروج الرئيسي. زيون @ مسؤول النظام: ~ $ ssh root @ master

root @ master: ~ # توفير نطاق أداة samba --use-rfc2307 - تفاعلي
عالم [SWL.FAN]: SWL.FAN
 المجال [SWL]: SWL
 دور الخادم (DC ، عضو ، مستقل) [DC]: dc
 خلفية DNS (SAMBA_INTERNAL ، BIND9_FLATFILE ، BIND9_DLZ ، NONE) [SAMBA_INTERNAL]: سامبا_داخلي
 عنوان IP لمعيد توجيه DNS (اكتب "لا شيء" لتعطيل إعادة التوجيه) [192.168.10.5]: 8.8.8.8
كلمة مرور المسؤول: YourPassword 2017
اعد ادخال كلمة المرور: YourPassword 2017
البحث عن عناوين IPv4 البحث عن عناوين IPv6 لن يتم تعيين عنوان IPv6 إعداد share.ldb إعداد secrets.ldb إعداد السجل إعداد قاعدة بيانات الامتيازات إعداد idmap db إعداد SAM db إعداد أقسام وإعدادات sam.ldb up sam.ldb rootDSE التحميل المسبق لمخطط Samba 4 و AD إضافة DomainDN: DC = swl، DC = fan إضافة حاوية التكوين إعداد مخطط sam.ldb إعداد بيانات التكوين sam.ldb إعداد محددات العرض تعديل محددات العرض إضافة حاوية مستخدمين تعديل حاوية المستخدمين إضافة حاوية أجهزة الكمبيوتر تعديل حاوية أجهزة الكمبيوتر إعداد بيانات sam.ldb إعداد مبادئ أمان معروفة جيدًا إعداد مستخدمي ومجموعات sam.ldb إعداد الانضمام الذاتي إضافة حسابات DNS إنشاء CN = MicrosoftDNS، CN = النظام DC = swl، DC = fan إنشاء أقسام DomainDnsZones و ForestDnsZones ملء أقسام DomainDnsZones و ForestDnsZones إعداد علامة sam.ldb rootDSE على أنها متزامنة تحديد GUIDsتم إنشاء تكوين Kerberos المناسب لـ Samba 4 في /usr/local/samba/private/krb5.conf إعداد إعدادات خادم yp المزيفة بمجرد تثبيت الملفات المذكورة أعلاه ، سيكون خادم Samba4 جاهزًا لاستخدام Server Role: active directory domain اسم مضيف وحدة التحكم: مجال NetBIOS الرئيسي: مجال DNS لـ SWL: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

دعونا لا ننسى نسخ ملف تكوين Kerberos كما هو مشار إليه في إخراج ملف تموين:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

لعدم كتابة الأمر أداة سامبا باستخدام اسمك الكامل ، نقوم بإنشاء رابط رمزي بالاسم المختصر أداة:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

نقوم بتثبيت NTP

جزء أساسي في Active Directory هو Network Time Service (خدمة وقت الشبكة) ، وبما أن المصادقة تتم عبر Kerberos وتذاكرها ، فإن مزامنة الوقت مع Samba 4 AD-DC أمر حيوي.

الجذر @ الرئيسي: ~ # aptitude install ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

الجذر @ الرئيسي: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd إحصائيات loopstats peerstats 192.168.10.1 تقييد -4 الافتراضي kod notrap ترشيح nopeer noquery limit -6 الافتراضي kod notrap ، قم بتعديل nopeer noquery ، تقييد mssntp الافتراضي 127.0.0.1: 1 بث 192.168.10.255

الجذر @ الرئيسي: ~ # إعادة تشغيل ntp الخدمة
الجذر @ الرئيسي: ~ # حالة ntp الخدمة

root @ master: ~ # tail -f / var / log / syslog

إذا عند فحص سيسلوغ باستخدام الأمر أعلاه أو باستخدام Journalctl -f وصلتنا الرسالة:

يونيو 19 12:13:21 سيد ntpd_intres [1498]: مات الوالد قبل أن ننتهي ، وخرجنا

يجب إعادة تشغيل الخدمة والمحاولة مرة أخرى. الآن نقوم بإنشاء المجلد ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd لا يمكن الوصول إليه: الملف أو الدليل غير موجود

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs، g + x / usr / local / samba / var / lib / ntp_signd /

# كما هو مطلوب في samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr- س - 2 الجذر ntp 4096 19 يونيو 12:21 / usr / local / samba / var / lib / ntp_signd

نقوم بتكوين بداية Samba من خلال systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[الخدمة] النوع = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [تثبيت] WantedBy = multi-user.target

root @ master: ~ # systemctl تمكين samba-ad-dc
الجذر @ الرئيسي: ~ # إعادة التشغيل

الجذر @ الرئيسي: ~ # حالة systemctl samba-ad-dc
الجذر @ الرئيسي: ~ # systemctl status ntp

مواقع ملفات Samba 4 AD-DC

ALL -مطروحًا منه خدمة samba-ad-dc. المنشأة حديثًا- الملفات موجودة في:

root @ master: ~ # ls -l / usr / local / samba /
مجموع 32 drwxr-sr-x 2 الجذر الموظفين 4096 19 يونيو 11:55 بن
drwxr-sr-x 2 الجذر الموظفين 4096 19 يونيو 11:50 إلخ
drwxr-sr-x 7 الجذر الموظفين 4096 19 يونيو 11:30 تتضمن
drwxr-sr-x 15 root staff 4096 Jun 19 11:33 ليب
drwxr-sr-x 7 الجذر الموظفين 4096 19 يونيو 12:40 خاص
drwxr-sr-x 2 الجذر الموظفين 4096 19 يونيو 11:33 sbin
drwxr-sr-x 5 الجذر الموظفين 4096 19 يونيو 11:33 شارك
drwxr-sr-x 8 الجذر الموظفين 4096 19 يونيو 12:28 فار

في أفضل أسلوب UNIX. يُنصح دائمًا بتصفح المجلدات المختلفة وفحص محتوياتها.

/Usr/local/samba/etc/smb.conf ملف

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# المعلمات العالمية [العالمية] اسم netbios = MASTER realm = SWL.FAN workgroup = SWL dns التوجيه = 8.8.8.8 خدمات الخادم = s3fs ، rpc ، nbt ، wrepl ، ldap ، cldap ، kdc ، drepl ، winbindd ، ntp_signd ، kcc ، dnsupdate ، دور خادم dns = وحدة تحكم مجال الدليل النشط تسمح بتحديثات نظام أسماء النطاقات = آمن فقط idmap_ldb: استخدم rfc2307 = نعم إعداد idmap *: الخلفية = tdb idmap config *: النطاق = 1000000-1999999 خادم ldap يتطلب مصادقة قوية = لا يوجد اسم printcap = / dev / null [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts مقروءة فقط = لا يوجد [sysvol] path = / usr / local / samba / var / locks / sysvol للقراءة فقط = لا

الجذر @ الرئيسي: ~ # testparm
قم بتحميل ملفات تكوين smb من /usr/local/samba/etc/smb.conf قسم المعالجة "[netlogon]" قسم المعالجة "[sysvol]" ملف الخدمات المحملة موافق. دور الخادم: ROLE_ACTIVE_DIRECTORY_DC اضغط على Enter للاطلاع على تفريغ تعريفات الخدمة الخاصة بك # المعلمات العالمية [global] realm = SWL.FAN workgroup = معيد توجيه نظام أسماء النطاقات SWL = 192.168.10.1 خادم ldap يتطلب مصادقة قوية = لا يوجد خلفية للخادم passdb = samba_dsdb دور خادم = دليل نشط وحدة تحكم المجال rpc_server: tcpip = بلا rpc_daemon: spoolssd = rpc_server مضمن: spoolss = rpc_server المضمّن: winreg = rpc_server المضمّن: ntsvcs = rpc_server: eventlog = مضمّن rpc_server: srvsvc = خادم rpcct_server المضمن = استخدام خادم خارجي : الأنابيب الخارجية = تكوين idmap الحقيقي *: النطاق = 1000000-1999999 idmap_ldb: استخدم rfc2307 = نعم تهيئة idmap *: الخلفية = أرشيف خريطة tdb = لا توجد خريطة للقراءة فقط = لا توجد سمات متجر دوس = كائنات نعم vfs = dfs_samba4 acl_xattr [netlogon] المسار = / usr / local / samba / var / locks / sysvol / swl.fan / scripts مقروءة فقط = لا يوجد [sysvol] path = / usr / local / samba / var / locks / sysvol للقراءة فقط = لا

الحد الأدنى من الشيكات

root @ master: ~ # أداة إظهار مستوى المجال
مستوى وظيفة المجال والغابة للمجال 'DC = swl، DC = fan' مستوى وظيفة الغابة: (Windows) 2008 R2 مستوى وظيفة المجال: (Windows) 2008 R2 أدنى مستوى وظيفي للتيار المستمر: (Windows) 2008 R2

الجذر @ الرئيسي: ~ # ldapsearch -x -W

الجذر @ الرئيسي: ~ # أداة dbcheck
فحص 262 عنصرًا تم فحص 262 عنصرًا (0 أخطاء)

الجذر @ الرئيسي: ~ # مسؤول kinit
كلمة المرور المسؤول@SWL.FAN: 
الجذر @ الرئيسي: ~ # klist -f
ذاكرة التخزين المؤقت للتذاكر: الملف: / tmp / krb5cc_0
الافتراضي الأساسي: المسؤول@SWL.FAN

بدء صلاحية الخدمة تنتهي صلاحيتها الرئيسية 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    تجديد حتى 20/06/17 12:53:18 م ، الأعلام: RIA

الجذر @ الرئيسي: ~ # kdestroy
الجذر @ الرئيسي: ~ # klist -f
klist: ملف ذاكرة التخزين المؤقت لبيانات الاعتماد '/ tmp / krb5cc_0' غير موجود

الجذر @ الرئيسي: ~ # smbclient -L localhost -U٪
المجال = [SWL] OS = [Windows 6.1] الخادم = [Samba 4.5.1] تعليق نوع اسم المشاركة --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC الخدمة (Samba 4.5.1) المجال = [SWL] OS = [Windows 6.1] الخادم = [Samba 4.5.1] تعليق الخادم --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
أدخل كلمة مرور المسؤول: المجال = [SWL] OS = [Windows 6.1] الخادم = [Samba 4.5.1]. D 0 الإثنين يونيو 19 11:50:52 2017 .. D 0 الإثنين 19 يونيو 11:51:07 2017 19091584 كتل بحجم 1024. 16198044 كتل متاحة

root @ master: ~ # tool dns serverinfo master -U administrator

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan لديه سجل SRV 0 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan لديه سجل SRV 0 100 master.swl.fan.

الجذر @ الرئيسي: ~ # مضيف - t A master.swl.fan
يحتوي master.swl.fan على عنوان 192.168.10.5

الجذر @ الرئيسي: ~ # مضيف -t SOA swl.fan
يحتوي swl.fan على سجل SOA master.swl.fan. hostmaster.swl.fan. 1 900 600

الجذر @ الرئيسي: ~ # مضيف -t NS swl.fan
swl.fan خادم الاسم master.swl.fan.

الجذر @ الرئيسي: ~ # مضيف -t MX swl.fan
ليس لدى swl.fan سجل MX

الجذر @ الرئيسي: ~ # samba_dnsupdate - الإفراط

root @ master: ~ # قائمة مستخدمي الأداة
مسؤول krbtgt ضيف

root @ master: قائمة مجموعة أدوات ~ #
# الإخراج عبارة عن مجموعة من المجموعات. ؛-)

نقوم بإدارة Samba 4 AD-DC التي تم تركيبها حديثًا

إذا أردنا تعديل انتهاء صلاحية كلمة مرور المسؤول في أيام ؛ تعقيد كلمات المرور الحد الأدنى لطول كلمة المرور ؛ الحد الأدنى والحد الأقصى لمدة - في أيام - لكلمة المرور ؛ وتغيير كلمة مرور المسؤول المعلنة أثناء تموين، يجب علينا تنفيذ الأوامر التالية باستخدام القيم المعدلة لاحتياجاتك:

الجذر @ الرئيسي: ~ # أداة
الاستعمال: أداة السامبا أداة إدارة السامبا الرئيسية. الخيارات: -h، - help إظهار رسالة التعليمات هذه والخروج من خيارات الإصدار: -V، --version عرض رقم الإصدار الأوامر الفرعية المتوفرة: dbcheck - تحقق من قاعدة بيانات AD المحلية بحثًا عن الأخطاء. التفويض - إدارة التفويض. dns - إدارة خدمة اسم المجال (DNS). المجال - إدارة المجال. drs - إدارة خدمات النسخ المتماثل للدليل (DRS). dsacl - معالجة قوائم ACL في DS. fsmo - إدارة أدوار العمليات الرئيسية الفردية المرنة (FSMO). gpo - إدارة كائن نهج المجموعة (GPO). المجموعة - إدارة المجموعة. ldapcmp - قارن بين قاعدتي بيانات ldap. ntacl - معالجة NT ACLs. العمليات - قائمة العمليات (للمساعدة في تصحيح الأخطاء على الأنظمة بدون setproctitle). rodc - إدارة وحدة تحكم المجال للقراءة فقط (RODC). المواقع - إدارة المواقع. spn - إدارة الاسم الأساسي للخدمة (SPN). testparm - بناء الجملة تحقق من ملف التكوين. الوقت - استرجع الوقت على الخادم. المستخدم - إدارة المستخدم. لمزيد من المساعدة حول أمر فرعي محدد ، يرجى كتابة: samba-tool (-h | --مساعدة)

root @ master: مسؤول setexpiry لمستخدم الأداة # ~ - noexpiry
root @ master: ~ # تعيين كلمات مرور مجال الأداة - min-pwd-length = 7
root @ master: ~ # تعيين كلمات مرور مجال الأداة - min-pwd-age = 0
root @ master: ~ # تعيين كلمات مرور مجال الأداة - max-pwd-age = 60
root @ master: ~ # tool user setpassword --filter = samaccountname = Administrator --newpassword = Passw0rD

نضيف العديد من سجلات DNS

الجذر @ الرئيسي: ~ # أداة نظام أسماء النطاقات
الاستعمال: أداة samba-dns إدارة خدمة اسم المجال (DNS). الخيارات: -h، - help إظهار رسالة التعليمات هذه والخروج الأوامر الفرعية المتوفرة: إضافة - إضافة حذف سجل DNS - حذف استعلام سجل DNS - الاستعلام عن اسم. roothints - الاستعلام الجذر تلميحات. serverinfo - الاستعلام عن معلومات الخادم. تحديث - تحديث سجل DNS ، إنشاء منطقة - إنشاء منطقة. zonedelete - حذف منطقة. Zoneinfo - الاستعلام عن معلومات المنطقة. قائمة المناطق - الاستعلام عن المناطق. لمزيد من المساعدة حول أمر فرعي محدد ، يرجى كتابة: samba-tool dns (-h | --مساعدة)

خادم البريد

root @ master: ~ # tool dns أضف بريد swl.fan الرئيسي A 192.168.10.9 -U Administrator
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U Administrator

IP ثابت للخوادم الأخرى

root @ master: ~ # tool dns add master swl.fan sysadmin A 192.168.10.1 -U Administrator
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U Administrator
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U المسؤول
root @ master: ~ # tool dns أضف سيد swl.fan chat A 192.168.10.12 -U Administrator

المنطقة العكسية

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U Administrator
كلمة المرور لـ [SWL \ Administrator]: تم إنشاء المنطقة 10.168.192.in-addr.arpa بنجاح

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. - المسؤول
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. - المسؤول
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. - المسؤول
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. - المسؤول
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. - المسؤول
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. - المسؤول

الفحوصات

root @ master: ~ # tool dns query master swl.fan mail ALL -U administrator
كلمة المرور لـ [SWL \ Administrator]: الاسم = ، السجلات = 1 ، الأطفال = 0 A: 192.168.10.9 (الإشارات = f0 ، المسلسل = 2 ، ttl = 900)

الجذر @ الرئيسي: ~ # سيد المضيف
يحتوي master.swl.fan على عنوان 192.168.10.5
الجذر @ الرئيسي: ~ # مسؤول النظام المضيف
sysadmin.swl.fan لديه عنوان 192.168.10.1
الجذر @ الرئيسي: ~ # البريد المضيف
mail.swl.fan له عنوان 192.168.10.9
الجذر @ الرئيسي: ~ # الدردشة المضيفة
chat.swl.fan لديه عنوان 192.168.10.12
الجذر @ الرئيسي: ~ مضيف الوكيل #
proxy.swl.fan له عنوان 192.168.10.11
root @ master: ~ # خادم ملفات المضيف
fileserver.swl.fan له عنوان 192.168.10.10
root @ master: ~ # host 192.168.10.1
1.10.168.192.in-addr.arpa مؤشر اسم المجال sysadmin.swl.fan.
root @ master: ~ # host 192.168.10.5
5.10.168.192.in-addr.arpa مؤشر اسم المجال master.swl.fan.
root @ master: ~ # host 192.168.10.9
9.10.168.192.in-addr.arpa مؤشر اسم المجال mail.swl.fan.
root @ master: ~ # host 192.168.10.10
10.10.168.192.in-addr.arpa مؤشر اسم المجال fileserver.swl.fan.
root @ master: ~ # host 192.168.10.11
11.10.168.192.in-addr.arpa مؤشر اسم المجال proxy.swl.fan.
root @ master: ~ # host 192.168.10.12
12.10.168.192.in-addr.arpa مؤشر اسم المجال chat.swl.fan.

للفضول

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES ، DC = SWL ، DC = FAN.ldb | grep dn:

نضيف المستخدمين

الجذر @ الرئيسي: ~ # مستخدم الأداة
الاستعمال: مستخدم أداة السامبا إدارةالمستخدم. الخيارات: -h، - help إظهار رسالة المساعدة هذه والخروج الأوامر الفرعية المتوفرة: إضافة - إنشاء مستخدم جديد. إنشاء - إنشاء مستخدم جديد. حذف - حذف مستخدم. تعطيل - تعطيل مستخدم. تمكين - تمكين المستخدم. getpassword - احصل على حقول كلمة المرور لحساب مستخدم / كمبيوتر. قائمة - قائمة بجميع المستخدمين. كلمة المرور - تغيير كلمة المرور لحساب مستخدم (الذي تم توفيره في المصادقة). setexpiry - ضبط انتهاء صلاحية حساب المستخدم. تعيين كلمة المرور - تعيين أو إعادة تعيين كلمة مرور حساب المستخدم. syncpasswords - مزامنة كلمة مرور حسابات المستخدمين. لمزيد من المساعدة حول أمر فرعي محدد ، يرجى كتابة: مستخدم أداة samba (-h | --مساعدة)

root @ master: ~ # مستخدم الأداة ينشئ خطوات Trancos01
تم إنشاء المستخدم "trancos" بنجاح
root @ master: ~ # مستخدم الأداة قم بإنشاء gandalf Gandalf01
تم إنشاء المستخدم "gandalf" بنجاح
الجذر @ الرئيسي: ~ # مستخدم أداة إنشاء legolas Legolas01
تم إنشاء المستخدم "legolas" بنجاح
root @ master: ~ # قائمة مستخدمي الأداة
المسؤول gandalf legolas خطوات krbtgt ضيف

الإدارة من خلال واجهة رسومية أو عبر عميل الويب

قم بزيارة wiki.samba.org للحصول على معلومات مفصلة حول كيفية تثبيت مايكروسوفت RSAT o أدوات إدارة الخادم البعيد. إذا كنت لا تطلب السياسات الكلاسيكية التي يوفرها Microsoft Active Directory ، فيمكنك تثبيت الحزمة مدير حساب ldap والذي يوفر واجهة بسيطة للإدارة من خلال متصفح الويب.

يتم تضمين حزمة برنامج Microsoft Remote Server Administration Tools (RSAT) في أنظمة تشغيل Windows Server.

ننضم إلى المجال لعميل Windows 7 يسمى "سبعة"

نظرًا لعدم وجود خادم DHCP في الشبكة ، فإن أول شيء يجب علينا القيام به هو تكوين بطاقة شبكة العميل باستخدام IP ثابت ، والإعلان عن أن DNS الأساسي سيكون عنوان IP الخاص بـ سامبا AD-DC، وتحقق من تنشيط خيار "تسجيل عنوان هذا الاتصال في DNS". ليس خاملاً التحقق من أن الاسم «سبعة»لم يتم تسجيله بعد في DNS الداخلي الخاص بسامبا.

بعد ضم الكمبيوتر إلى المجال وإعادة تشغيله ، لنحاول تسجيل الدخول مع المستخدم «خطوات واسعة«. سوف نتحقق من أن كل شيء يعمل بشكل جيد. يوصى أيضًا بالتحقق من سجلات عميل Windows والتحقق من كيفية مزامنة الوقت بشكل صحيح.

سيجد المسؤولون الذين يتمتعون ببعض الخبرة في Windows أن أي عمليات تحقق يقومون بها على العميل ستؤدي إلى نتائج مرضية.

ملخص

Espero que sea útil el artículo a los lectores de la Comunidad DesdeLinux.

وداعا!


8 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   غونزالو مارتينيز قال

    مقالة طويلة ولكنها مفصلة ، خطوة بخطوة جيدة جدًا حول كيفية القيام بكل شيء.

    أؤكد على NIS ، الحقيقة هي أنه على الرغم من معرفتي بوجودها ، إلا أنني لم أكن أعرف حقًا كيف تعمل ، ولأكون صريحًا ، فقد أعطتني دائمًا انطباعًا بأنها ميتة عمليًا بجانب LDAP و Samba 4.

    ملاحظة: تهانينا على مشروعك الشخصي الجديد! من المؤسف أنك لن تستمر في الكتابة هنا ، ولكن على الأقل هناك مكان يتبعك.

  2.   HO2Gi قال

    برنامج تعليمي ضخم كما هو الحال دائمًا إلى مفضلاتي ، تحياتي فيكو.
    مبروك على المشروع.

  3.   IWO قال

    قسم NIS رائع ، أنا أتعاطف مع Gonzalo Martinez ، لقد عرفته لفترة وجيزة ولكن لم يكن لدي أي فكرة عن كيفية تنفيذه وفي أي مواقف يتم استخدامه.
    شكرا لك مرة واحدة على "جذع" هائلة من المقال النظري والعملي.
    أخيرًا نجاحات جديدة في مشروعك الجديد «gigainside».

  4.   فيديريكو قال

    شكرا جزيلا للجميع على التعليق !!!.
    تحياتي

  5.   موسول قال

    لا يحتوي smb.conf الذي تقوم بتدريسه على أي ارتباط بـ LDAP ، فهل هو كذلك عن قصد أم تركت شيئًا؟

  6.   أحصل قال

    mussol: هذا هو Samba 4 Active Directory Domain Controller الذي يحتوي بالفعل على خادم LDAP المدمج.

  7.   فنسنت قال

    هل يمكنك التعليق على كيفية توحيد جهاز mac (Apple) في جهاز samba 4 AD-DC؟
    غراسياس.

  8.   jramirez قال

    كيف حالكم؛

    شكرا على الدليل ، إنه رائع. لدي سؤال حول رسالة تظهر لي.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    فشل حل اسم المضيف / IP المحدد: ad.rjsolucionessac.com. لاحظ أنه لا يمكنك استخدام نطاقات IP ذات النمط "/ mask" و "1-4,7,100،XNUMX،XNUMX-"
    لا يمكن العثور على هدف صالح. يرجى التأكد من أن المضيفين المحددين هم إما عناوين IP بالتدوين القياسي أو أسماء مضيفين يمكن حلها باستخدام DNS
    الجذر @ م: ~ #