Sítě PAM, NIS, LDAP, Kerberos, DS a Samba 4 AD-DC - SMB

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Ahoj přátelé a přátelé!

Tímto článkem se loučím s komunitou DesdeLinux. Zvláštní rozloučení pro zvláštní komunitu. Od této chvíle budu ve svém osobním projektu, který můžete vidět na http://www.gigainside.com.

Hlavním cílem příspěvku je nabídnout «Velký obraz»O ověřovacích službách se svobodným softwarem, které máme k dispozici. Alespoň to je náš záměr. Bude to tedy dlouho, navzdory skutečnosti, že víme, že je to proti obecným pravidlům psaní článků. Doufáme, že to správci systému ocení.

Chceme zdůraznit, že společným protokolem pro mnoho moderních autentizačních systémů je LDAP, a že není zbytečné studovat to pečlivě, ze studijního materiálu, který najdeme na oficiálních stránkách http://www.openldap.org/.

Nebudeme poskytovat podrobné definice - ani odkazy - na aspekty, kterými se zabývají předchozí články, ani na ty, jejichž popis může být snadno přístupný na Wikipedii nebo na jiných webech či v článcích na internetu, aby nedošlo ke ztrátě objektivity zprávy, kterou chceme dát. Použijeme také platnou kombinaci jmen v angličtině a španělštině, protože si myslíme, že většina systémů se narodila se jmény v angličtině a pro Sysadmina je velmi výhodné je asimilovat v původním jazyce.

• PAM: Zásuvný ověřovací modul.
• NIS: Network_Information_Service.
• LDAP: Lightweight Directory Access Protocol.
• Kerberos: Bezpečnostní protokol k autentizaci uživatelů, počítačů a služeb centrálně v síti, ověřování jejich pověření proti existujícím položkám v databázi Kerberos.
• DS: Adresářový server nebo adresářová služba
• AD–DC: Active Directory - Domain Controler

PAM

Tomuto typu místního ověřování věnujeme malou sérii, o které v každodenní praxi uvidíte, že je široce používána, když například připojíme pracovní stanici k řadiči domény nebo službě Active Directory; mapovat uživatele uložené v externích databázích LDAP, jako by to byli místní uživatelé; mapovat uživatele uložené v řadiči domény ve službě Active Directory, jako by to byli místní uživatelé atd.

• Ověření Squid + PAM na CentOS 7.
• Místní správa uživatelů a skupin
• NSD autoritářský server DNS + Shorewall
• Prosody IM a místní uživatelé
• Postfix + Dovecot + Squirrelmail a místní uživatelé
  

NIS

De Wikipedia:

• Network Information System (známý pod zkratkou NIS, což ve španělštině znamená Network Information System) je název protokolu adresářových služeb klient-server vyvinutý společností Sun Microsystems pro odesílání konfiguračních dat v distribuovaných systémech, jako jsou jména uživatelů a hostitelů mezi počítači v síti.NIS je založen na ONC RPC a skládá se ze serveru, knihovny na straně klienta a různých nástrojů pro správu.

  Původně se NIS nazýval Zlaté stránky neboli YP, což se k němu dodnes používá. Toto jméno je bohužel ochrannou známkou společnosti British Telecom, která požadovala, aby Sun toto jméno upustila. YP však zůstává předponou ve jménech většiny příkazů souvisejících s NIS, jako jsou ypserv a ypbind.

  DNS poskytuje omezený rozsah informací, nejdůležitější je korespondence mezi názvem uzlu a IP adresou. Pro ostatní typy informací neexistuje žádná taková specializovaná služba. Na druhou stranu, pokud spravujete pouze malou LAN bez připojení k internetu, nezdá se, že by bylo dobré nastavit DNS. Proto Sun vyvinul Network Information System (NIS). NIS poskytuje funkce obecného přístupu k databázi, které lze použít k distribuci například informací obsažených v passwd a seskupení souborů do všech uzlů v síti. Díky tomu vypadá síť jako jediný systém se stejnými účty ve všech uzlech. Podobně lze NIS použít k distribuci informací o názvu uzlu obsažených v / etc / hosts na všechny počítače v síti.

  Dnes je NIS k dispozici prakticky ve všech unixových distribucích a existují dokonce i bezplatné implementace. BSD Net-2 zveřejnil jeden, který byl odvozen z implementace veřejné domény reference darované společností Sun. Kód knihovny pro klientskou část této verze existuje v libc GNU / Linux již dlouhou dobu a administrační programy byly do GNU / Linux přeneseny Swen Thümmler. Od implementace reference však chybí server NIS.

  Peter Eriksson vyvinul novou implementaci nazvanou NYS. Podporuje základní NIS i vylepšenou verzi Sun NIS +. [1] NYS poskytuje nejen řadu nástrojů NIS a server, ale také přidává zcela novou sadu knihovních funkcí, které musíte zkompilovat do svého libc, pokud je chcete použít. To zahrnuje nové konfigurační schéma pro překlad názvů uzlů, které nahrazuje aktuální schéma používané souborem "host.conf".

  GNU libc, známý jako libc6 v komunitě GNU / Linux, obsahuje aktualizovanou verzi tradiční podpory NIS vyvinuté Thorstenem Kukukem. Podporuje všechny funkce knihovny poskytované NYS a také využívá pokročilé konfigurační schéma NYS. Nástroje a server jsou stále potřeba, ale použití GNU libc ušetří problémy s opravou a překompilováním knihovny

  .

Název počítače a domény, síťové rozhraní a překladač

• Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“. Doména swl.fan znamená „Fanoušci svobodného softwaru“. Jaké lepší jméno než toto?.

root @ master: ~ # název hostitele
mistr
root @ master: ~ # název hostitele -f
mistr.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc stav fronty NEZNÁMÁ skupina výchozí odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo valid_lft navždy upřednostňovaný_lft navždy inet6 :: Hostitel 1/128 oboru valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 rozsah globální eth0 valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe4c: odkaz na obor 76d9 / 64 valid_lft navždy preferovaný_lft navždy

root @ master: ~ # cat /etc/resolv.conf 
prohledat swl.fan nameserver 127.0.0.1

Instalace bind9, isc-dhcp-server a ntp

svázat9

root @ master: ~ # aptitude install bind9 bind9-doc nmap
root @ master: ~ # systemctl status bind9

root @ master: ~ # nano /etc/bind/named.conf
zahrnout "/etc/bind/named.conf.options"; zahrnout "/etc/bind/named.conf.local"; zahrnout "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
volby {adresář "/ var / cache / bind"; // Pokud mezi vámi a jmennými servery, se kterými chcete // mluvit, je brána firewall, možná budete muset bránu firewall opravit a umožnit tak komunikaci více portů //. Vidět http://www.kb.cert.org/vuls/id/800113

        // Pokud váš ISP poskytl jednu nebo více adres IP pro stabilní // jmenné servery, pravděpodobně je budete chtít použít jako servery pro předávání. // Odkomentujte následující blok a vložte adresy, které nahradí // zástupný symbol všech 0. // vyvážecí vozy {// 0.0.0.0; //}; // ================================================ ====================== $ // Pokud BIND zaznamená chybové zprávy o vypršení platnosti kořenového klíče, // budete muset aktualizovat své klíče. Vidět https://www.isc.org/bind-keys
        // =============================================== ======================= $ // Nechceme DNSSEC
        dnssec-povolit ne;
        // dnssec-validation auto; auth-nxdomain no; # odpovídá RFC1035 listen-on-v6 {any; }; // Pro kontroly od localhost a sysadmin // přes dig swl.fan axfr // Nemáme Slave DNS ... až dosud
        allow-transfer {localhost; 192.168.10.1; };
}; root @ master: ~ # named-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Sdílený adresní prostor (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 and 6303)
zóna "254.169.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// Přiřazení protokolu IETF (RFC 5735 a 5736)
zóna "0.0.192.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// TEST-NET- [1-3] pro dokumentaci (RFC 5735, 5737 a 6303)
zóna "2.0.192.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "100.51.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "113.0.203.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// Příklad rozsahu IPv6 pro dokumentaci (RFC 3849 a 6303)
zóna "8.bd0.1.0.0.2.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// Názvy domén pro dokumentaci a testování (BCP 32)
zóna "test" {typ master; soubor "/etc/bind/db.empty"; }; zóna „příklad“ {typ master; soubor "/etc/bind/db.empty"; }; zóna "neplatná" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.com" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.net" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.org" {typ master; soubor "/etc/bind/db.empty"; };

// Testovací testy směrovače (RFC 2544 a 5735)
zóna "18.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "19.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// IANA Reserved – Old Class E Space (RFC 5735)
zóna "240.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "241.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "242.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "243.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "244.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "245.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "246.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "247.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "248.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "249.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "250.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "251.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "252.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "253.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "254.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// Nepřiřazené adresy IPv6 (RFC 4291)
zóna "1.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "8.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "a.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "b.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "c.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "d.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "e.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "0.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "1.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "2.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "8.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "afip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "bfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "0.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "1.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "2.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// IPv6 ULA (RFC 4193 a 6303)
zóna "cfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "dfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// Místní IPv6 odkaz (RFC 4291 a 6303)
zóna "8.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "aefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "befip6.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// IPv6 zastaralé místní lokální adresy (RFC 3879 a 6303)
zóna "cefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "defip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "eefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "fefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; };

// IP6.INT je zastaralý (RFC 4159)
zóna "ip6.int" {typ master; soubor "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Proveďte zde libovolnou místní konfiguraci // // // Zvažte přidání zón z roku 1918, pokud se ve vaší // organizaci nepoužívají, zahrňte "/etc/bind/zones.rfc1918";
zahrnout "/etc/bind/zones.rfcFreeBSD";

// Deklarace názvu, typu, umístění a oprávnění k aktualizaci // zón záznamu DNS // Obě zóny jsou zónou MASTER "swl.fan" {type master; soubor "/var/lib/bind/db.swl.fan"; }; zóna "10.168.192.in-addr.arpa" {typ master; soubor "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # named-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; aktualizace 1H; opakování 1W; platnost 3H); minimální nebo; Negativní doba ukládání do mezipaměti; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT „Pro fanoušky svobodného softwaru“; sysadmin IN A 192.168.10.1 souborový server IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; aktualizace 1H; opakování 1W; platnost 3H); minimální nebo; Negativní doba ukládání do mezipaměti; @ IN NS master.swl.fan. ; 1 V PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 V PTR master.swl.fan. 6 V PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 V PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
zóna swl.fan/IN: načten sériový 1 OK
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zóna 10.168.192.in-addr.arpa/IN: načten sériový 1 OK

root @ master: ~ # named-checkconf -zp
root @ master: ~ # systemctl restart bind9.service
root @ master: ~ # systemctl status bind9.service

Kontroly Bind9

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb hostitel root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Počínaje Nping 0.6.47 ( http://nmap.org/nping ) v 2017-05-27 09:32 EDT SENT (0.0037 s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min. Rtt: N / A | Prům. Rtt: N / A Odeslané surové pakety: 84 (0B) | Rcvd: 0 (3B) | Ztraceno: 100.00 (1%) Nping hotový: 3.01 IP adresa ping za XNUMX sekundy 

isc-dhcp-server

root @ master: ~ # aptitude install isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Na jakých rozhraních by měl server DHCP (dhcpd) obsluhovat požadavky DHCP? # Oddělte více rozhraní mezerami, např. „Eth0 eth1“.
ROZHRANÍ = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n UŽIVATEL dhcp klíč
root @ master: ~ # cat Kdhcp-key. +157 + 51777.private 
Formát soukromého klíče: v1.3 Algoritmus: 157 (HMAC_MD5) Klíč: Ba9GVadq4vOCixjPN94dCQ == Bity: AAA = Vytvořeno: 20170527133656 Publikovat: 20170527133656 Aktivovat: 20170527133656

root @ master: ~ # nano dhcp.key
klíč dhcp-klíč {
        algoritmus hmac-md5;
        tajemství "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
zahrnout "/etc/bind/dhcp.key";

zóna "swl.fan" {typ master; soubor "/var/lib/bind/db.swl.fan";
        allow-update {key dhcp-key; };
}; zóna "10.168.192.in-addr.arpa" {typ master; soubor "/var/lib/bind/db.10.168.192.in-addr.arpa";
        allow-update {key dhcp-key; };
};

root @ master: ~ # named-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style prozatímní; ddns-aktualizace na; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovat aktualizace klienta; update-optimization false; # Může být požadováno na Debianu autoritativní; možnost přesměrování IP vypnuto; volba název-domény "swl.fan"; zahrnout "/etc/dhcp/dhcp.key"; zóna swl.fan. {primární 127.0.0.1; klíč dhcp-key; } zóna 10.168.192.in-addr.arpa. {primární 127.0.0.1; klíč dhcp-key; } redlocal sdílené sítě {podsíť 192.168.10.0 maska ​​sítě 255.255.255.0 {volitelné směrovače 192.168.10.1; volitelná maska ​​podsítě 255.255.255.0; možnost broadcast-address 192.168.10.255; volba domain-name-servery 192.168.10.5; volba netbios-name-servery 192.168.10.5; volba ntp-servery 192.168.10.5; možnost časové servery 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Konsorcium internetových systémů DHCP Server 4.3.1 Copyright 2004-2014 Konsorcium internetových systémů. Všechna práva vyhrazena. Pro více informací navštivte https://www.isc.org/software/dhcp/
Konfigurační soubor: /etc/dhcp/dhcpd.conf Databázový soubor: /var/lib/dhcp/dhcpd.leases PID soubor: /var/run/dhcpd.pid

root @ master: ~ # systemctl restart bind9.service 
root @ master: ~ # systemctl status bind9.service 

root @ master: ~ # systemctl start isc-dhcp-server.service
root @ master: ~ # systemctl status isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistika loopstats peerstats clockstats filegen loopstats soubor loopstats typ den povolit filegen peerstats soubor peerstats typ den povolit filegen clockstats soubor clockstats typ den povolit server 192.168.10.1 omezit -4 výchozí kod notrap nomodify nopeer noquery omezit -6 výchozí kod notrap nomodify nopeer noquery omezit 127.0.0.1 omezit :: 1 vysílání 192.168.10.255

root @ master: ~ # systemctl restart ntp.service 
root @ master: ~ # systemctl status ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27. května 10:04:01 ntpdate [18769]: upravit časový server 192.168.10.1 offset 0.369354 s

Globální kontrola serverů ntp, bind9 a isc-dhcp

Z klienta s Linuxem, BSD, Mac OS nebo Windows zkontrolujte, zda je čas správně synchronizován. Že získává dynamickou IP adresu a že jméno tohoto hostitele je řešeno přímými a reverzními dotazy DNS. Změňte jméno zákazníka a proveďte všechny kontroly znovu. Nepokračujte, dokud si nejste jisti, že dosud nainstalované služby fungují správně. K něčemu jsme napsali všechny články o DNS a DHCP Počítačové sítě pro malé a střední podniky.

Instalace serveru NIS

root @ master: ~ # aptitude show nis
Konflikty s: netstd (<= 1.26) Popis: klienti a démoni pro Network Information Service (NIS) Tento balíček poskytuje nástroje pro nastavení a údržbu domény NIS. Služba NIS, původně známá jako Zlaté stránky (YP), se většinou používá k tomu, aby několik počítačů v síti sdílelo stejné informace o účtu, například soubor hesla.

root @ master: ~ # aptitude install nis
Konfigurace balíčku ┌─────────────────────────── ───────────┐ │ Vyberte „název domény“ NIS pro tento systém. Pokud chcete, aby byl tento počítač pouze klientem, měli byste zadat název domény NIS you │, ke které se chcete připojit. │ │ │ │ Alternativně, pokud má být tímto strojem server NIS, můžete │ │ zadat nový „název domény“ NIS nebo název existující domény NIS │ │. Domain │ │ │ NIS doména: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ───────────────────────────τ  

Zpoždí to vaši, protože konfigurace služby jako taková neexistuje. Počkejte prosím na dokončení procesu.

root @ master: ~ # nano / etc / default / nis
# Jsme serverem NIS a pokud ano, jaký druh (hodnoty: false, slave, master)?
NISSERVER = pán

root @ master: ~ # nano /etc/ypserv.securenets # securenets Tento soubor definuje přístupová práva k vašemu serveru NIS # pro klienty NIS (a podřízené servery - ypxfrd používá i tento # soubor). Tento soubor obsahuje páry síťová maska ​​/ síť. # IP adresa klienta se musí shodovat s alespoň jedním # z nich. # # Jeden může použít slovo „hostitel“ namísto síťové masky # 255.255.255.255. V tomto # souboru jsou povoleny pouze adresy IP, nikoli názvy hostitelů. # # Vždy povolit přístup pro localhost 255.0.0.0 127.0.0.0 # Tento řádek poskytuje přístup všem. PROSÍM NASTAVTE! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Měli bychom sloučit soubor passwd se stínovým souborem? # MERGE_PASSWD = true | false
MERGE_PASSWD = true

# Měli bychom sloučit skupinový soubor se souborem gshadow? # MERGE_GROUP = true | false
MERGE_GROUP = true

Budujeme databázi NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
V tomto okamžiku musíme vytvořit seznam hostitelů, na kterých budou spuštěny servery NIS. master.swl.fan je v seznamu hostitelů serveru NIS. Pokračujte v přidávání jmen ostatních hostitelů, jeden na řádek. Po dokončení seznamu zadejte a . next host to add: master.swl.fan next host to add: Aktuální seznam serverů NIS vypadá takto: master.swl.fan Je to správné? [y / n: y] Potřebujeme několik minut na sestavení databází ... make [1]: Opuštění adresáře '/var/yp/swl.fan' master.swl.fan byl nastaven jako hlavní server NIS . Nyní můžete spustit ypinit -s master.swl.fan na všech podřízených serverech.

root @ master: ~ # systemctl restart nis
root @ master: ~ # systemctl status nis

Přidáváme místní uživatele

root @ master: ~ # adduser bilbo
Přidání uživatele `bilbo '... Přidání nové skupiny` bilbo' (1001) ... Přidání nového uživatele` bilbo '(1001) se skupinou` bilbo' ... Vytvoření domovského adresáře `/ home / bilbo ' ... Kopírování souborů z `/ etc / skel '... Zadejte nové heslo pro UNIX: Zadejte nové heslo pro UNIX: heslo: heslo bylo správně aktualizováno Změna informací o uživateli pro bilbo Zadejte novou hodnotu nebo stiskněte ENTER pro použití výchozího celého jména []: Bilbo Bagins Číslo pokoje []: Pracovní telefon []: Domácí telefon []: Jiné []: Jsou informace správné? [Y / n]

root @ master: ~ # adduser kráčí root @ master: ~ # adduser legolas

a tak dále.

root @ master: ~ # prstové legoly
Přihlášení: legolas Jméno: Legolas Archer Adresář: / home / legolas Shell: / bin / bash Nikdy nepřihlášen. Žádná pošta. Žádný plán.

Aktualizujeme databázi NIS

root @ master: / var / yp # make
make [1]: Zadání adresáře '/var/yp/swl.fan' Aktualizace passwd.byname ... Aktualizace passwd.byuid ... Aktualizace group.byname ... Aktualizace group.bygid ... Aktualizace netid.byname. .. Aktualizace shadow.byname ... Ignorováno -> sloučeno s passwd make [1]: Opuštění adresáře '/var/yp/swl.fan'

Na server isc-dhcp přidáváme možnosti NIS

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style prozatímní; ddns-aktualizace na; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovat aktualizace klienta; update-optimization false; autoritativní; možnost přesměrování IP vypnuto; volba název-domény "swl.fan"; zahrnout "/etc/dhcp/dhcp.key"; zóna swl.fan. {primární 127.0.0.1; klíč dhcp-key; } zóna 10.168.192.in-addr.arpa. {primární 127.0.0.1; klíč dhcp-key; } redlocal sdílené sítě {podsíť 192.168.10.0 maska ​​sítě 255.255.255.0 {volitelné směrovače 192.168.10.1; volitelná maska ​​podsítě 255.255.255.0; možnost broadcast-address 192.168.10.255; volba domain-name-servery 192.168.10.5; volba netbios-name-servery 192.168.10.5; volba ntp-servery 192.168.10.5; možnost časové servery 192.168.10.5;
                volba nis-doména "swl.fan";
                volba nis-servery 192.168.10.5;
                rozsah 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl restart isc-dhcp-server.service

Instalace klienta NIS

• Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“.

root @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip adresa
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 rozsah globální eth0

root @ mail: ~ # aptitude install není
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Konfigurační soubor pro proces ypbind. Zde můžete definovat # servery NIS ručně, pokud je nelze najít pomocí # broadcastingu v místní síti (což je výchozí nastavení). # # Syntaxe tohoto souboru najdete na manuální stránce ypbind. # # DŮLEŽITÉ: Pro „ypserver“ použijte IP adresy nebo se ujistěte, že # je hostitel v / etc / hosts. Tento soubor je interpretován pouze # jednou, a pokud DNS není dosažitelný, ypserver nelze # vyřešit a ypbind se nikdy neváže na server. # ypserver ypserver.network.com ypserver master.swl.fan doména swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. passwd: kompatibilita nis skupina: kompatibilita nis stín: kompatibilita nis gshadow: soubory hostitelé: soubory dns nis sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) pro podrobnosti.
relace volitelná pam_mkhomedir.so skel = / etc / skel umask = 077
# zde jsou moduly na balíček (blok „Primární“)

root @ mail: ~ # systemctl status nis
root @ mail: ~ # systemctl restart nis

Ukončíme relaci a zahájíme ji znovu, ale s uživatelem registrovaným v databázi NIS na adrese mistr.swl.fan.

root @ mail: ~ # exit
odhlášení Připojení k poště uzavřeno.

buzz @ sysadmin: ~ $ ssh legolas @ mail
heslo legolas @ mail: Vytváření adresáře '/ home / legolas'. Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU, v rozsahu povoleném platnými zákony.
legolas @ mail: ~ $ pwd
/ home / legolas
legolas @ mail: ~ $ 

Změníme heslo uživatele legolas a zkontrolujeme

legolas @ mail: ~ $ yppasswd 
Změna informací o účtu NIS pro legolas na master.swl.fan. Zadejte staré heslo: legolas Změna hesla NIS pro legolas na master.swl.fan. Zadejte prosím nové heslo: archer Heslo musí obsahovat malá i velká písmena nebo jiná písmena. Zadejte prosím nové heslo: Arquero2017 Zadejte znovu nové heslo: Arquero2017 Heslo NIS bylo změněno na master.swl.fan.

legolas @ mail: ~ $ exit
odhlášení Připojení k poště uzavřeno.

buzz @ sysadmin: ~ $ ssh legolas @ mail
heslo legolas @ mail: Arquero2017

Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU v rozsahu povoleném platnými zákony. Poslední přihlášení: So 27. května 12:51:50 2017 od sysadmin.swl.fan
legolas @ mail: ~ $

Služba NIS implementovaná na úrovni serveru a klienta funguje správně.

LDAP

Z Wikipedie:

• LDAP je zkratka pro Lightweight Directory Access Protocol (ve španělštině Lightweight / Simplified Directory Access Protocol), který odkazuje na protokol na úrovni aplikace, který umožňuje přístup k objednané a distribuované adresářové službě k vyhledávání různých informací v prostředí síť. LDAP je také považován za databázi (i když se její úložný systém může lišit), na kterou lze dotazovat.Adresář je sada objektů s atributy organizovanými logickým a hierarchickým způsobem. Nejběžnějším příkladem je telefonní seznam, který se skládá z řady jmen (osob nebo organizací) seřazených podle abecedy, přičemž každé jméno má adresu a je k němu připojeno telefonní číslo. Abychom tomu lépe porozuměli, jedná se o knihu nebo složku, ve které jsou zapsána jména lidí, telefonní čísla a adresy a jsou řazeny abecedně.

  Strom adresářů LDAP někdy odráží různé politické, geografické nebo organizační hranice, v závislosti na zvoleném modelu. Aktuální nasazení LDAP mají tendenci používat názvy DNS (Domain Name System) ke strukturování vyšších úrovní hierarchie. Při procházení adresáře se mohou zobrazit položky představující lidi, organizační jednotky, tiskárny, dokumenty, skupiny osob nebo cokoli, co představuje danou položku ve stromu (nebo více položek).

  Obvykle ukládá ověřovací informace (uživatelské jméno a heslo) a slouží k ověření, i když je možné ukládat další informace (kontaktní údaje uživatele, umístění různých síťových zdrojů, oprávnění, certifikáty atd.). Stručně řečeno, LDAP je protokol jednotného přístupu k souboru informací v síti.

  Aktuální verze je LDAPv3 a je definována v RFC RFC 2251 a RFC 2256 (základní dokument LDAP), RFC 2829 (metoda ověřování pro LDAP), RFC 2830 (rozšíření pro TLS) a RFC 3377 (technická specifikace)

  .

Na dlouhoProtokol LDAP - a jeho databáze kompatibilní nebo ne s OpenLDAP - je dnes nejpoužívanější ve většině ověřovacích systémů. Jako příklad předchozího prohlášení uvedeme níže několik názvů systémů -Free nebo Private-, které používají databáze LDAP jako back-end k ukládání všech svých objektů:

• OpenLDAP
• Adresářový server Apache
• Red Hat Directory Server - 389 DS
• Novell Directory Services - eDirectory
• SUN Microsystems Open DS
• Red Hat Identity Manager
• FreeIPA
• Řadič domény Samba NT4 Classic.
  Chceme objasnit, že tento systém byl vývojem týmu Samba se Sambou 3.xxx + OpenLDAP as backend. Microsoft nikdy nic podobného neimplementoval. Přechod z řadičů domény NT 4 do jejich aktivních adresářů
• Samba 4 Active Directory - Domain Controler
• ClearOS
• zentyal
• Firemní server Uninvention UCS
• Microsoft Active Directory

Každá implementace má své vlastní charakteristiky a nejstandardnější a nejkompatibilnější je OpenLDAP.

Active Directory, ať už původní Microsoft nebo Samba 4, je sjednocení několika hlavních komponent, které jsou:

• Vlastní LDAP společností Microsoft i Samba.
• Doména Microsoft Windows o doména Windows. Je to v zásadě síť Microsoft.
• Řadič domény Microsoft o Řadič domény.
• Kerberos přizpůsobený společností Microsoft i Samba.

Nesmíme zaměňovat a Adresářová služba o Adresářová služba s a Active Directory o Active Directory. První z nich může nebo nemusí hostovat ověřování pomocí protokolu Kerberos, ale nenabízejí síťovou službu Microsoft, kterou poskytuje doména Windows, ani nemají řadič domény Windows jako takový.

Adresářovou službu nebo adresářovou službu lze použít k ověření uživatelů ve smíšené síti s klienty UNIX / Linux a Windows. U posledně jmenovaného musí být na každém klientovi nainstalován program, který funguje jako prostředník mezi adresářovou službou a samotným klientem Windows, například svobodný software. strana.

Adresářová služba s OpenLDAP

• Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“, se stejným „hlavním“ názvem počítače, jaký se používá pro instalaci NIS, stejně jako konfigurace jeho síťového rozhraní a souboru /etc/resolv.conf. Nainstalovali jsme pro tento nový server server ntp, bind9 a isc-dhcp, aniž bychom zapomněli na globální kontroly správného fungování tří předchozích služeb.

root @ master: ~ # aptitude install slapd ldap-utils

Konfigurace balíčku

┌───────────────────────┤ Slapd konfigurace ├────────────────────────┐ │ Zadejte heslo pro vstup správce do vašeho adresáře LDAP │ │. │ │ │ │ Heslo správce: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │││ ───────────────────────—┘

Zkontrolujeme počáteční konfiguraci

root @ master: ~ # slapcat
dn: dc = swl, dc = ventilátor
objectClass: top objectClass: dcObject objectClass: organization o: swl.fan dc: swl StructureObjectClass: organization entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = položka vstupu createTimestamp20170531205219: 20170531205219.833955Z Z # 000000 # 000 # 000000 modifikátory Název: cn = admin, dc = swl, dc = ventilátor upravit Časové razítko: 20170531205219Z

dn: cn = admin, dc = swl, dc = ventilátor
objectClass: simpleSecurityObject objectClass: organizationalRole CN: Popis admin: administrátor LDAP userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-entry = cXNUMXe XNUMXZ # XNUMX # XNUMX # XNUMX modifikátory Název: cn = admin, dc = swl, dc = ventilátor upravit Časové razítko: XNUMXZ

Upravujeme soubor /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = URI ventilátoru    ldap: // localhost

Organizační jednotky a obecná skupina «uživatelé»

Přidali jsme minimální nezbytné organizační jednotky a skupinu Posix «uživatelé», do které uděláme všechny uživatele členy, podle příkladu mnoha systémů, které mají skupinu «uživatelé«. Pojmenujeme jej jménem «uživatelů», abychom se nedostali do možných konfliktů se skupinou «uživatel"systému.

root @ master: ~ # nano base.ldif
dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 XNUMX

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Zadejte heslo LDAP: přidání nového záznamu „ou = people, dc = swl, dc = fan“ přidání nového záznamu „ou = groups, dc = swl, dc = fan“

Zkontrolujeme přidané položky

root @ master: ~ # ldapsearch -x ou = lidé
# people, swl.fan dn: ou = people, dc = swl, dc = fan object Třída: organizationUnit ou: people

root @ master: ~ # ldapsearch -x ou = skupiny
# groups, swl.fan dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups

root @ master: ~ # ldapsearch -x cn = uživatelé
# users, groups, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 XNUMX

Přidáme několik uživatelů

Heslo, které musíme deklarovat v LDAP, je třeba získat pomocí příkazu slappasswd, která vrací zašifrované heslo SSHA.

Heslo pro kroky uživatele:

root @ master: ~ # slappasswd 
Nové heslo: Znovu zadejte nové heslo: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Heslo pro uživatele legolas

root @ master: ~ # slappasswd 
Nové heslo: Znovu zadejte nové heslo: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Heslo pro uživatele gandalf

root @ master: ~ # slappasswd 
Nové heslo: Znovu zadejte nové heslo: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 10000 gidNumber: XNUMX XNUMX mail: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Uživatel Archer Heslo: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 10000 gidNumber: XNUMX XNUMX mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: The Wizard user Heslo: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 10000 gidNumber: XNUMX XNUMX mail: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash home Adresář: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
Zadejte heslo LDAP: přidání nového záznamu "uid = strides, ou = people, dc = swl, dc = fan" přidání nového záznamu "uid = legolas, ou = people, dc = swl, dc = fan" přidání nového záznamu "uid = gandalf, ou = people, dc = swl, dc = fan "

Zkontrolujeme přidané položky

root @ master: ~ # ldapsearch -x cn = kroky
root @ master: ~ # ldapsearch -x uid = kroky

Spravujeme databázi slpad pomocí obslužných programů konzoly

Vybereme balíček ldapscripty pro takový úkol. Postup instalace a konfigurace je následující:

root @ master: ~ # aptitude nainstaluje ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = skupiny' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 XNUMX # příkazy klienta OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UTEMPLATE =" /ldapadduser.template "PASSWORDGEN =" echo% u "

Všimněte si, že skripty používají příkazy balíčku ldap-utils. Běh dpkg -L ldap-utils | grep / bin vědět, co jsou zač.

root @ master: ~ # sh -c "echo -n 'admin-heslo'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: křestní jméno: sn: displayName: uidNumber: gidNumber: 10000 XNUMX domů Adresář: loginShell: pošta: @ swl.fan geckos: popis: Uživatelský účet
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## odstraníme komentář UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Přidáme uživatele „bilbo“ a uděláme z něj člena skupiny „uživatelé“

root @ master: ~ # ldapadduser uživatelé bilbo
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro „givenName“: Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro „ sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro" displayName ": Bilbo Bagins Úspěšně přidáno uživatelské bilbo na LDAP Úspěšně nastaveno heslo pro uživatele bilbo

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 XNUMX homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: popis bilbo: Uživatelský účet

Chcete-li zobrazit hodnotu hash hesla uživatele bilbo, je nutné provést dotaz s ověřením:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Chcete-li odstranit uživatele bilbo, provedeme:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
Zadejte heslo LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

Spravujeme slapd databázi přes webové rozhraní

Máme funkční adresářovou službu a chceme ji snadněji spravovat. Existuje mnoho programů určených pro tento úkol, například phpldapadmin, ldap-správce účtuatd., které jsou k dispozici přímo z úložišť. Můžeme také spravovat adresářovou službu prostřednictvím Apache Directory Studio, které si musíme stáhnout z internetu.

Pro více informací navštivte https://blog.desdelinux.net/ldap-introduccion/a následujících 6 článků.

Klient LDAP

Etapa:

Řekněme, že máme tým mail.swl.fan jako poštovní server implementovaný, jak jsme viděli v článku Postfix + Dovecot + Squirrelmail a místní uživatelé, který, i když byl vyvinut na CentOS, může dobře sloužit jako průvodce pro Debian a mnoho dalších linuxových distribucí. Chceme, aby kromě místních uživatelů, které jsme již deklarovali, byli uživatelé uloženi v databázi OpenLDAP existující v mistr.swl.fan. K dosažení výše uvedeného musíme «zmapovat»Pro uživatele LDAP jako místní uživatelé na serveru mail.swl.fan. Toto řešení je také platné pro jakoukoli službu založenou na ověřování PAM. Obecný postup pro Debian, je následující:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌───────────────────────┤ Konfigurace libnss-ldap ├───────────────────────┐┐ │ Zadejte URI („Uniform Resource Identifier“ nebo │ │ Uniform Resource Identifier) ​​serveru LDAP. Tento řetězec je podobný │ │ «ldap: //: / ». Můžete také │ │ použít «ldaps: // » nebo „ldapi: //“. Číslo portu je volitelné. │ │ │ │ Doporučuje se používat IP adresu, aby nedošlo k selhání, když nejsou služby názvu domény estén available k dispozici. │ │ │ │ URI serveru LDAP: │ │ │ │ ldap: //master.swl.fan__________________________________________________________ │ │ │ │ │ │││ ────────────────τ ┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ Zadejte rozlišující název (DN) vyhledávací základny LDAP. │ │ Mnoho webů používá pro tento účel komponenty doménových jmen. Například doména „example.net“ použije jako rozlišující název základny vyhledávání │ │ „dc = example, dc = net“. │ │ │ │ Rozlišující název (DN) základny vyhledávání: │ │ │ │ dc = swl, dc = ventilátor ____________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurace libnss-ldap ├────────────────────────┐ │ Zadejte verzi protokolu LDAP, kterou by ldapns měl používat. Doporučuje se používat nejvyšší dostupné číslo verze. │ │ │ │ Verze LDAP, která se má použít: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ Vyberte, který účet bude použit pro dotazy nss s oprávněními root │ │. │ │ │ │ Poznámka: Aby tato možnost fungovala, účet potřebuje oprávnění, aby mohl attributes │ mít přístup k atributům LDAP, které jsou přidruženy k „stínovým“ položkám uživatele a také k heslům uživatelů a skupin . │ │ │ │ Účet LDAP pro root: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libnss-ldap ├───────────────────────┐┐ │ Zadejte heslo, které se použije, když se libnss-ldap pokusí │ │ autentizovat do adresáře LDAP pomocí kořenového účtu LDAP. │ │ │ │ Heslo bude uloženo do samostatného souboru │ │ („/etc/libnss-ldap.secret“), ke kterému má přístup pouze root. You │ │ │ Pokud zadáte prázdné heslo, staré heslo bude znovu použito. │ │ │ │ Heslo pro kořenový účet LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ──────────────────────────────┘ ┘ ┌ ─ ─ ─ ─ ─ ─┌ ─ ─┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ │ │ nsswitch.conf není spravován automaticky │ │ │ │ Musíte upravit svůj soubor „/etc/nsswitch.conf“ použít zdroj dat LDAP, pokud chcete, aby balíček libnss-ldap fungoval. │ │ Ukázkový soubor │ │ můžete použít v souboru „/usr/share/doc/libnss-ldap/examples/nsswitch.ldap“ jako příklad konfigurace nsswitch nebo jej můžete zkopírovat do aktuální konfigurace. │ │ │ │ Všimněte si, že před odebráním tohoto balíčku může být vhodné │ │ odebrat položky „ldap“ ze souboru nsswitch.conf, aby základní služby │ │ nadále fungovaly. │ │ │ │ │ │ │ └────────────────────τ ─────────────────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ │ option Tato možnost umožňuje nástrojům pro hesla používat PAM ke změně místních hesel. For │ │ │ Heslo pro účet správce LDAP bude uloženo v samostatném souboru │ │, který může číst pouze správce. │ │ │ │ Tato možnost by měla být deaktivována, pokud připojujete „/ etc“ přes NFS. │ │ │ │ Chcete povolit, aby se účet správce LDAP choval jako místní správce? │ │ │ │                                            │ │ │ └────────────────────τ ─────────────────────────────τ ──┤ Konfigurace libpam-ldap ├────────────────────────┐ ┐ │ │ Zvolte, zda si server LDAP vynutí identifikaci před získáním záznamů entradas │. │ │ │ │ Toto nastavení je zřídka nutné. │ │ │ │ Je od uživatele vyžadován přístup do databáze LDAP? │ │ │ │                                               │ │││ ────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ Zadejte název účtu správce LDAP. Account │ │ │ Tento účet bude automaticky použit pro správu databáze, │ │ musí mít příslušná oprávnění správce. Administrator │ │ │ Účet správce LDAP: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ Zadejte heslo pro účet správce. │ │ │ │ Heslo bude uloženo do souboru „/etc/pam_ldap.secret“. Správce │ │ bude jediný, kdo může tento soubor číst, a umožní aplikaci p │ libpam-ldap automaticky řídit správu připojení v databázi │ │. │ │ │ │ Necháte-li toto pole prázdné, bude znovu použito předchozí uložené heslo │ │. Administrator │ │ │ Heslo správce LDAP: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. heslo: kompatibilní LDAP
skupina: kompatibilní LDAP
stín: kompatibilní LDAP
gshadow: hostitelé souborů: soubory dns sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis

Pojďme upravit soubor /etc/pam.d/common-password, přejdeme na řádek 26 a odstraníme hodnotu «use_authtok„:

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - moduly související s heslem společné pro všechny služby # # Tento soubor je zahrnut z jiných konfiguračních souborů PAM pro konkrétní službu, # a měl by obsahovat seznam modulů, které definují služby, které mají být # slouží ke změně uživatelských hesel. Výchozí hodnota je pam_unix. # Vysvětlení možností pam_unix: # # Možnost „sha512“ umožňuje solená hesla SHA512. Bez této možnosti je # výchozí hodnota Unixová krypta. Předchozí vydání používala možnost „md5“. # # Možnost „temný“ nahrazuje starou možnost „OBSCURE_CHECKS_ENAB“ v # login.defs. # # Další informace najdete na stránce pam_unix. # Od verze pam 1.0.1-6 je tento soubor ve výchozím nastavení spravován pam-auth-update. # Abyste toho využili, doporučujeme nakonfigurovat jakékoli # místní moduly před nebo po výchozím bloku a použít # pam-auth-update ke správě výběru dalších modulů. Podrobnosti viz # pam-auth-update (8). # zde jsou hesla pro jednotlivé balíčky (blok „Primární“) heslo [úspěch = 2 výchozí = ignorovat] pam_unix.so temný sha512
heslo [úspěch = 1 uživatel_unknown = ignorovat výchozí = zemřít] pam_ldap.so try_first_pass
# zde je záložní řešení, pokud žádný modul nenasleduje heslo vyžadované pam_deny. takže # připravte zásobník s kladnou návratovou hodnotou, pokud již žádný není; # toto nám zabrání vrácení chyby jen proto, že nic nenastaví úspěšný kód # protože výše uvedené moduly budou jen skákat kolem hesla požadovaného pam_permit.so # a zde je více modulů na balíček (blok „Další“) # konec pam- konfigurace konfigurace aktualizace

V případě potřeby Místní přihlášení uživatelů uložených v LDAP a chceme, aby se jejich složky vytvářely automaticky domov, musíme soubor upravit /etc/pam.d/common-session a přidejte následující řádek na konec souboru:

relace volitelná pam_mkhomedir.so skel = / etc / skel umask = 077

V příkladu OpenLDAP Directory Service vyvinutém dříve byl jediným vytvořeným lokálním uživatelem uživatel bzučetzatímco v LDAP vytváříme uživatele kroky, Legolas, GandalfA bilbo. Pokud jsou dosud provedené konfigurace správné, měli bychom být schopni vypsat místní uživatele a ty, kteří jsou namapovaní jako místní, ale uloženi na vzdáleném serveru LDAP:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian První OS ,,,: / home / buzz: / bin / bash
Kroky: x: 10000 10000: XNUMX XNUMX: Kroky El Rey: / home / kroky: / bin / bash
legolas: x: 10001: 10000 XNUMX: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000 XNUMX: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000 XNUMX: bilbo: / home / bilbo: / bin / bash

Po změnách v ověřování systému je platné restartovat server, jinak čelíme kritické službě:

root @ mail: ~ # restart

Později zahájíme místní relaci na serveru mail.swl.fan s přihlašovacími údaji uživatele uloženými v databázi LDAP serveru mistr.swl.fan. Můžeme se také pokusit přihlásit přes SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
heslo gandalf @ mail: Vytváření adresáře '/ home / gandalf'. Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU, v rozsahu povoleném platnými zákony.
gandalf @ mail: ~ $ su
Heslo:

root @ mail: / home / gandalf # getent skupina
buzz: x: 1001: users: *: 10000 XNUMX:

root @ mail: / home / gandalf # exit
výstup

gandalf @ mail: ~ $ ls -l / domů /
celkem 8 drwxr-xr-x 2 buzz buzz     4096 17. června 12:25 buzz drwx ------ 2 gandalf uživatelé 4096 17. června 13:05 gandalf

Adresářová služba implementovaná na úrovni serveru a klienta funguje správně.

Kerberos

Z Wikipedie:

• Kerberos je počítačový síťový ověřovací protokol vytvořený serverem MIT který umožňuje dvěma počítačům v nezabezpečené síti navzájem si bezpečně prokázat svou totožnost. Jeho návrháři se nejprve zaměřili na model klient-server a poskytuje vzájemné ověřování: klient i server si navzájem ověřují identitu. Ověřovací zprávy jsou chráněny, aby se zabránilo odposlouchávání y opakujte útoky.
  
  Kerberos je založen na kryptografii symetrických klíčů a vyžaduje důvěryhodnou třetí stranu. Kromě toho existují rozšíření protokolu, aby bylo možné používat kryptografii asymetrického klíče.
  
  Kerberos je založen na Needham-Schroederův protokol. Používá důvěryhodnou třetí stranu, která se nazývá „Centrum distribuce klíčů“ (KDC), které se skládá ze dvou samostatných logických částí: „Ověřovací server“ (AS nebo Ověřovací server) a «server vydávající vstupenky» (TGS nebo server poskytující vstupenky). Kerberos funguje na základě „lístků“, které slouží k prokázání totožnosti uživatelů.
  
  Kerberos udržuje databázi tajných klíčů; Každá entita v síti - ať už je to klient nebo server - sdílí tajný klíč známý pouze sobě a Kerberosu. Znalost tohoto klíče slouží k prokázání totožnosti subjektu. Pro komunikaci mezi dvěma entitami generuje Kerberos klíč relace, který mohou použít k zabezpečení svých problémů.

Nevýhody protokolu Kerberos

De Vyléčil:

Ačkoli Kerberos odstraňuje běžnou bezpečnostní hrozbu, může být obtížné jej implementovat z různých důvodů:

• Migrace uživatelských hesel ze standardní databáze hesel UNIX, jako je / etc / passwd nebo / etc / shadow, do databáze hesel Kerberos, může být zdlouhavé a neexistuje žádný rychlý mechanismus k provedení tohoto úkolu.
• Kerberos předpokládá, že každý uživatel je důvěryhodný, ale používá nedůvěryhodný počítač v nedůvěryhodné síti. Jeho hlavním cílem je zabránit odesílání nezašifrovaných hesel po síti. Pokud má však k ověřovacímu lístku přístup k jinému uživateli, než je příslušný uživatel, byla by Kerberos ohrožena.
• Aby aplikace mohla používat Kerberos, musí být kód upraven, aby bylo možné provádět příslušná volání knihoven Kerberos. Takto upravené aplikace jsou považovány za kerberizované. U některých aplikací to může být nadměrné programovací úsilí kvůli velikosti aplikace nebo jejímu designu. U jiných nekompatibilních aplikací je třeba provést změny ve způsobu komunikace síťového serveru a jeho klientů; opět to může trvat docela dost programování. Obecně platí, že nejproblematičtější jsou obvykle aplikace s uzavřeným zdrojovým kódem, které nemají podporu Kerberos.
• Nakonec, pokud se rozhodnete používat Kerberos ve vaší síti, musíte si uvědomit, že je to volba vše nebo nic. Pokud se rozhodnete pro použití sítě Kerberos v síti, musíte si uvědomit, že pokud budou některá hesla předána službě, která k ověřování nepoužívá protokol Kerberos, riskujete, že paket může být zachycen. Vaše síť tedy nebude mít z používání protokolu Kerberos žádnou výhodu. Chcete-li zabezpečit svou síť pomocí protokolu Kerberos, měli byste používat pouze verzované verze všech aplikací klient / server, které odesílají nezašifrovaná hesla nebo nepoužívají žádnou z těchto aplikací v síti..

Ruční implementace a konfigurace OpenLDAP jako back-endu Kerberos není snadný úkol. Později však uvidíme, že Samba 4 Active Directory - řadič domény se transparentním způsobem integruje pro Sysadmin, server DNS, síť Microsoft a její řadič domény, server LDAP jako back-end téměř všech jeho objektů, a ověřovací služba založená na protokolu Kerberos jako základní součásti služby Active Directory ve stylu Microsoftu.

Doposud jsme neměli potřebu implementovat „Kerberized Network“. Proto jsme nepísali o tom, jak implementovat Kerberos.

Samba 4 Active Directory - řadič domény

Důležité:

Neexistuje lepší dokumentace než web wiki.samba.org. Self-respektující Sysadmin by měl navštívit tento web - v angličtině - a procházet velké množství stránek věnovaných výhradně Sambě 4, napsaných samotným Teamem Sambou. Nevěřím, že na internetu je k dispozici dokumentace, která by ji nahradila. Mimochodem, sledujte počet návštěv, který se odráží ve spodní části každé stránky. Příkladem toho je, že byla navštívena vaše hlavní stránka nebo «Hlavní stránka» 276,183 krát do dne 20. června 2017 v 10:10 východního standardního času. Dokumentace je navíc udržována velmi aktuální, protože tato stránka byla upravena 6. června.

Z Wikipedie:

Samba je bezplatná implementace protokolu Microsoft Windows File Sharing Protocol (dříve nazývaného SMB, nedávno přejmenovaného na CIFS) pro systémy podobné systému UNIX. Tímto způsobem je možné, že počítače se systémy GNU / Linux, Mac OS X nebo Unix obecně vypadají jako servery nebo fungují jako klienti v sítích Windows. Samba také umožňuje ověřovat uživatele jako primární řadič domény (PDC), jako člena domény a dokonce jako doménu služby Active Directory pro sítě založené na systému Windows; kromě toho, že je schopen obsluhovat tiskové fronty, sdílené adresáře a ověřování pomocí vlastního uživatelského archivu.

Mezi unixové systémy, na kterých lze Sambu provozovat, patří distribuce GNU / Linux, Solaris a různé varianty BSD mezi že najdeme Apple Mac OS X Server.

Samba 4 AD-DC s interním DNS

• Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“.

Počáteční kontroly

root @ master: ~ # název hostitele
mistr
root @ master: ~ # název hostitele --fqdn
mistr.swl.fan
root @ master: ~ # ip addr
1: co: mtu 65536 qdisc stav fronty NEZNÁMÁ skupina výchozí odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo valid_lft navždy upřednostňovaný_lft navždy inet6 :: Hostitel oboru 1/128 valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state NEZNÁMÉ výchozí nastavení skupiny qlen 1000 link / ether 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 rozsah globální eth0
       valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe80: odkaz na obor 3b3f / 64 valid_lft navždy preferovaný_lft navždy
root @ master: ~ # cat /etc/resolv.conf
prohledat swl.fan nameserver 127.0.0.1

• S čím deklarujeme pobočku hlavní pouze je to pro naše účely víc než dost.

root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie hlavní
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / aktualizace hlavní

Postfix od Exim a obslužné programy

root @ master: ~ # aptitude nainstalovat postfix htop mc deborphan

  Konfigurace Postfixu ────┐ │ Vyberte typ konfigurace poštovního serveru, který nejlépe vyhovuje vašim potřebám. │ │ │ │ Žádná konfigurace: │ │ Zachová aktuální konfiguraci beze změny. │ │ Internetové stránky: │ │ Pošta se odesílá a přijímá přímo pomocí protokolu SMTP. │ │ Internet s «smarthost»: │ │ Pošta je přijímána přímo pomocí SMTP nebo spuštěním como │ nástroje jako «fetchmail». Odchozí pošta se odesílá pomocí │ host „smarthost“. │ │ Pouze místní pošta: │ │ Jediný doručený e-mail je pro místní uživatele. Ne, neexistuje síť. │ │ │ │ Obecný typ konfigurace pošty: │ │ │ │ Žádná konfigurace │ │ Internetové stránky │ │ Internet s „smarthost“ │ │ Satelitní systém │ │                         Pouze místní pošta                                │ │ │ │ │ │                                     │ │ │ └────────────────────τ ────────────────τ ─────┤ Postfix Configuration ├─────────────────────────────┐ ┐ „Název poštovního systému“ je název domény, která │ │ se používá k „kvalifikaci“ _ALL_ e-mailových adres bez názvu domény. To zahrnuje poštu do a z „root“: prosím nedovolte, aby vaše zařízení odesílalo e-maily root@example.org na │ │ méně než root@example.org zeptal se. Programs │ │ │ Ostatní programy budou tento název používat. Musí to být jedinečný kvalifikovaný název domény (FQDN). │ │ │ │ Proto je-li e-mailová adresa na místním počítači │ │ něco@example.org, správná hodnota pro tuto možnost bude example.org. │ │ │ │ Název poštovního systému: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │││ ─────────────────────────────────┘┘  

Čistíme

root @ master: ~ # aptitude purge ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # aptitude clean
root @ master: ~ # aptitude autoclean

Nainstalujeme požadavky na kompilaci Samba 4 a další potřebné balíčky

root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
uživatel krb5 libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduly pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌────────────────┤┤ Konfigurace autentizace Kerberos ├─────────────────┐ ┐ Když se uživatelé pokusí použít Kerberos a zadat jméno │ │ instanční objekt nebo uživatel, aniž by objasnil, do které administrativní domény Kerberos hlavní objekt patří, systém přebírá výchozí │ │ sféru.  Výchozí sféru lze také použít jako sféru │ │ služby Kerberos spuštěnou na místním počítači.  │ │ Výchozí sféra je obvykle velký název místní domény DNS │ │.  Default │ │ │ Výchozí sféra Kerberos verze 5: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘ ┘─────────────────┤ Kerberos ├─────────────────┐ ┐ Zadejte názvy serverů Kerberos v oblasti SWL.FAN oblasti │ │ Kerberos, oddělené mezerami.  Servers │ │ │ Servery Kerberos pro vaši oblast: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘┘ Kerberos ├─────────────────┐ ┐ Zadejte název administrativního serveru (změna hesla) │ │ pro oblast Kerberos SWL.FAN.   

Výše uvedený proces trval trochu času, protože ještě nemáme nainstalované žádné služby DNS. Doménu jste však vybrali správně podle nastavení souboru / Etc / hosts. Pamatujte na to v souboru / Etc / resolv.conf deklarovali jsme jako server doménových jmen na IP 127.0.0.1.

Nyní nakonfigurujeme soubor / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = URI ventilátoru ldap: //master.swl.fan

Pro dotazy pomocí příkazu ldapsearch vytvořené uživatelem root jsou typu ldapsearch -x -W cn = xxxx, musíme vytvořit soubor /kořen/.ldapsarc s následujícím obsahem:

root @ master: ~ # nano .ldaprc
BINDDN CN = správce, CN = uživatelé, DC = swl, DC = ventilátor

Souborový systém musí podporovat ACL - Access Control List

root @ master: ~ # nano / etc / fstab
# / etc / fstab: statické informace o systému souborů. # # Použijte 'blkid' k vytištění univerzálně jedinečného identifikátoru pro # zařízení; toto lze použít s UUID = jako robustnější způsob pojmenování zařízení #, který funguje, i když jsou disky přidávány a odebírány. Viz fstab (5). # # # / byl během instalace / dev / sda1 UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, bariéra = 1, noatime, chyby = remount-ro 0 1
# swap byl zapnut / dev / sda5 během instalace UUID = cb73228a-615d-4804-9877-3ec225e3ae32 žádný swap sw 0 0 / dev / sr0 / media / cdrom0 udf, uživatel iso9660, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n uživatel.test -v test testování_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# file: testing_acl.txt user.test = "test"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# file: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Získáme zdroj Samba 4, zkompilujeme jej a nainstalujeme

Důrazně doporučujeme stáhnout zdrojový soubor verze Stabilní z webu https://www.samba.org/. V našem příkladu si stáhneme verzi samba-4.5.1.tar.gz směrem ke složce / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Možnosti konfigurace

Pokud chceme přizpůsobit možnosti konfigurace, provedeme:

root @ master: /opt/samba-4.5.1# ./configure --help

a velmi pečlivě vyberte ty, které potřebujeme. Doporučujeme zkontrolovat, zda lze stažený balíček nainstalovat na distribuci Linuxu, kterou používáme, což je v našem případě Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / Configure vzdálená kontrola

Konfigurujeme, kompilujeme a instalujeme samba-4.5.1

• Z dříve nainstalovaných požadavků a souborů 8604 (které tvoří kompaktní samba-4.5.1.tar.gz) o hmotnosti přibližně 101.7 megabajtů - včetně složek source3 a source4 o hmotnosti přibližně 61.1 megabajtů - získáme náhradu za služba Active Directory ve stylu Microsoftu, s kvalitou a stabilitou více než přijatelnou pro jakékoli produkční prostředí. Musíme zdůraznit práci týmu Samba při poskytování svobodného softwaru Samba 4.

Níže uvedené příkazy jsou klasické pro kompilaci a instalaci balíčků z jejich zdrojů. Dokud celý proces trvá, musíme být trpěliví. Je to jediný způsob, jak získat platné a správné výsledky.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd - zakázatelné šálky
root @ master: /opt/samba-4.5.1# činit
root @ master: /opt/samba-4.5.1# make install

Během procesu příkazu činit, vidíme, že jsou kompilovány zdroje Samba 3 a Samba 4. Proto Team Samba potvrzuje, že jeho verze 4 je přirozenou aktualizací verze 3, a to jak pro řadiče domény založené na Samba 3 + OpenLDAP, tak souborové servery nebo starší verze Samba 4.

Zajišťování Samby

Jako DNS použijeme SAMBA_INTERNÁL, v https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End najdeme více informací. Když nás požádají o heslo uživatele správce, musíme zadat jeden v délce minimálně 8 znaků a také s písmeny - velkými a malými písmeny - a čísly.

Před pokračováním v zajišťování a pro usnadnění života přidáváme cesta spustitelných souborů Samba v našem souboru .bashrcPak zavřeme a znovu se přihlásíme.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: provedeno programem bash (1) pro nepřihlašovací skořápky. # Poznámka: PS1 a umask jsou již nastaveny v / etc / profile. Toto byste # neměli potřebovat, pokud pro root nechcete jiné výchozí hodnoty. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Následující řádky můžete odkomentovat, pokud chcete, aby byl „ls“ vybarven: # export LS_OPTIONS = '- color = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Některé další aliasy, aby nedocházelo k chybám : # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
deklarovat -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # odhlášení odhlášení Připojení k hlavnímu počítači uzavřeno. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # poskytnutí domény nástroje samba --use-rfc2307 --interactive
Říše [SWL.FAN]: SWL.FAN
 Doména [SWL]: SWL
 Role serveru (dc, člen, samostatný) [dc]: dc
 Backend DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNÁL
 IP adresa DNS serveru pro předávání (pro zakázání přeposílání zadejte „žádný“) [192.168.10.5]: 8.8.8.8
Heslo správce: Vaše heslo 2017
Zadejte heslo znovu: Vaše heslo 2017
Vyhledávání adres IPv4 Vyhledávání adres IPv6 Žádná adresa IPv6 nebude přiřazena Nastavení share.ldb Nastavení secrets.ldb Nastavení registru Nastavení databáze oprávnění Nastavení idmap db Nastavení SAM db Nastavení oddílů a nastavení sam.ldb Nastavení up sam.ldb rootDSE Předběžné načítání schématu Samba 4 a AD Přidání DomainDN: DC = swl, DC = ventilátor Přidání konfiguračního kontejneru Nastavení schématu sam.ldb Nastavení konfiguračních dat sam.ldb Nastavení specifikátorů zobrazení Úprava specifikátorů zobrazení Přidání kontejneru uživatelů Úprava kontejneru uživatelů Přidání kontejneru počítačů Úprava kontejnerů počítačů Nastavení dat sam.ldb Nastavení dobře známých principů zabezpečení Nastavení uživatelů a skupin sam.ldb Nastavení vlastního připojení Přidání účtů DNS Vytváření CN = MicrosoftDNS, CN = Systém, DC = swl, DC = fan Vytváření oddílů DomainDnsZones a ForestDnsZones Naplnění oddílů DomainDnsZones a ForestDnsZones Nastavení synchronizovaného označení kořenového adresáře sam.ldb Oprava GUID zabezpečeníKonfigurace Kerberos vhodná pro Samba 4 byla vygenerována na /usr/local/samba/private/krb5.conf Nastavení falešného nastavení serveru yp Po instalaci výše uvedených souborů bude váš server Samba4 připraven k použití Role serveru: doména aktivního adresáře řadič Hostname: master NetBIOS doména: SWL DNS doména: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Nezapomeňme zkopírovat konfigurační soubor Kerberos, jak ukazuje výstup souboru Provisioning:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Chcete-li nezadat příkaz nástroj samba s vaším plným jménem vytvoříme symbolický odkaz s krátkým jménem nástroj:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Nainstalujeme NTP

Zásadním prvkem ve službě Active Directory je služba Network Time Service. Protože se ověřování provádí pomocí protokolu Kerberos a jeho lístků, je nezbytná synchronizace času se serverem Samba 4 AD-DC.

root @ master: ~ # aptitude install ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd statistika loopstats peerstats clockstats filegen loopstats soubor loopstats typ den povolit filegen peerstats soubor peerstats typ den povolit filegenstats soubor clockstats hodiny typ den povolit server 192.168.10.1 omezit -4 výchozí kod notrap nomodify nopeer noquery omezit -6 výchozí kod notrap nomodify nopeer noquery omezit výchozí mssntp omezit 127.0.0.1 omezit :: 1 vysílání 192.168.10.255

root @ master: ~ # restart služby ntp
root @ master: ~ # stav ntp služby

root @ master: ~ # tail -f / var / log / syslog

Pokud při zkoumání syslog pomocí výše uvedeného příkazu nebo pomocí journalctl -f dostaneme zprávu:

19. června 12:13:21 master ntpd_intres [1498]: rodič zemřel, než jsme skončili, opuštění

musíme restartovat službu a zkusit to znovu. Nyní vytvoříme složku ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd nelze získat přístup: Soubor nebo adresář neexistuje

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Jak je požadováno na samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. června 12:21 / usr / local / samba / var / lib / ntp_signd

Nakonfigurujeme začátek Samby pomocí systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Service] Type = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [instalace] WantedBy = multi-user.target

root @ master: ~ # systemctl povolit samba-ad-dc
root @ master: ~ # restart

root @ master: ~ # systemctl status samba-ad-dc
root @ master: ~ # systemctl status ntp

Umístění souborů AD-DC Samba 4

VŠECHNY -minus nově vytvořená služba samba-ad-dc.service- soubory jsou v:

root @ master: ~ # ls -l / usr / local / samba /
celkem 32 drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:55 popelnice
drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:50 atd.
drwxr-sr-x 7 root zaměstnanci 4096 19. června 11:30 obsahovat
drwxr-sr-x 15 root zaměstnanci 4096 19. června 11:33 lib
drwxr-sr-x 7 root zaměstnanci 4096 19. června 12:40 soukromý
drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:33 sbin
drwxr-sr-x 5 root zaměstnanci 4096 19. června 11:33 podíl
drwxr-sr-x 8 root zaměstnanci 4096 19. června 12:28 byl

v nejlepším stylu UNIX. Vždy je vhodné procházet různé složky a zkoumat jejich obsah.

Soubor /Usr/local/samba/etc/smb.conf

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Globální parametry [global] netbios name = MASTER realm = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , role serveru dns = řadič domény v aktivním adresáři povolit aktualizace dns = zabezpečit pouze idmap_ldb: použít rfc2307 = ano idmap config *: backend = tdb idmap config *: range = 1000000-1999999 server ldap vyžaduje silné ověření = žádné jméno printcap = / dev / null [netlogon] cesta = /usr/local/samba/var/locks/sysvol/swl.fan/scripts pouze pro čtení = ne [sysvol] cesta = / usr / local / samba / var / locks / sysvol pouze pro čtení = ne

root @ master: ~ # testparm
Načíst konfigurační soubory SMB z /usr/local/samba/etc/smb.conf Sekce zpracování "[netlogon]" Sekce zpracování "[sysvol]" Načtený soubor služeb OK. Role serveru: ROLE_ACTIVE_DIRECTORY_DC Stisknutím klávesy Enter zobrazíte výpis definic vašich služeb # Globální parametry [globální] realm = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 ldap server vyžaduje silné ověření = Žádný passdb backend = role serveru samba_dsdb = aktivní adresář řadič domény rpc_server: tcpip = no rpc_daemon: spoolssd = vložený rpc_server: spoolss = vložený rpc_server: winreg = vložený rpc_server: ntsvcs = vložený rpc_server: eventlog = vložený rpc_server: srvs_vnější použití: rvc_server: použití rvc = použití externí roury = true idmap config *: range = 1000000-1999999 idmap_ldb: use rfc2307 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = Yes vfs objects = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / skripty pouze pro čtení = ne [sysvol] cesta = / usr / local / samba / var / locks / sysvol pouze pro čtení = ne

Minimální kontroly

root @ master: ~ # zobrazit úroveň domény nástroje
Úroveň funkce domény a doménové struktury pro doménu 'DC = swl, DC = ventilátor' Úroveň funkce doménové struktury: (Windows) 2008 R2 Úroveň funkce domény: (Windows) 2008 R2 Nejnižší úroveň funkce doménové struktury: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # nástroj dbcheck
Kontrola 262 objektů Zkontrolováno 262 objektů (0 chyb)

root @ master: ~ # správce kinit
Heslo pro Administrátor@SWL.FAN: 
root @ master: ~ # klist -f
Mezipaměť lístků: SOUBOR: / tmp / krb5cc_0
Primární výchozí: Administrátor@SWL.FAN

Platné spuštění Vyprší platnost hlavní 19. 06. 17 12:53:24 19 06:17:22  krbtgt/SWL.FAN@SWL.FAN
    obnovit do 20. 06. 17 12:53:18, Vlajky: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Soubor mezipaměti pověření '/ tmp / krb5cc_0' nebyl nalezen

root @ master: ~ # smbclient -L localhost -U%
Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Typ sdílení Název Komentář --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Služba (Samba 4.5.1) Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komentář serveru --------- ------- Hlavní skupina ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Zadejte heslo správce: Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 Po 19. června 11:50:52 2017 .. D 0 Po 19. června 11:51:07 2017 19091584 bloků o velikosti 1024. K dispozici je 16198044 bloků

root @ master: ~ # nástroj dns serverinfo master -U správce

root @ master: ~ # hostitel -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan má záznam SRV 0 100 389 master.swl.fan.

root @ master: ~ # hostitel -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan má záznam SRV 0 100 88 master.swl.fan.

root @ master: ~ # host -t Master.swl.fan
master.swl.fan má adresu 192.168.10.5

root @ master: ~ # hostitel -t SOA swl.fan
swl.fan má záznam SOA master.swl.fan. hostmaster.swl.fan. 1 900 600 86400

root @ master: ~ # hostitel -t NS swl.fan
swl.fan název serveru master.swl.fan.

root @ master: ~ # host -t MX swl.fan
swl.fan nemá žádný MX záznam

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # seznam uživatelů nástroje
Správce krbtgt Host

root @ master: ~ # seznam skupin nástrojů
# Výstupem je skupina skupin. ;-)

Spravujeme nově nainstalovanou Sambu 4 AD-DC

Pokud chceme upravit dobu platnosti hesla administrátora ve dnech; složitost hesel; minimální délka hesla; minimální a maximální doba platnosti hesla - ve dnech -; a změnit heslo správce deklarované během Provisioning, musíme provést následující příkazy pomocí hodnoty přizpůsobené vašim potřebám:

root @ master: ~ # nástroj
Použití: nástroj samba Hlavní nástroj pro správu samby. Možnosti: -h, --help zobrazit tuto nápovědu a ukončit Možnosti verze: -V, --version Zobrazit číslo verze Dostupné dílčí příkazy: dbcheck - Zkontrolovat chyby v místní databázi AD. delegace - správa delegace. dns - správa služby DNS (Domain Name Service). doména - správa domény. drs - správa adresářových replikačních služeb (DRS). dsacl - manipulace DS ACL. fsmo - Flexibilní správa rolí Single Master Operations (FSMO). gpo - správa objektů zásad skupiny (GPO). skupina - Správa skupiny. ldapcmp - Porovnejte dvě databáze ldap. ntacl - manipulace s NT ACL. procesy - Seznam procesů (na podporu ladění v systémech bez setproctitle). rodc - správa řadiče domény jen pro čtení (RODC). weby - Správa webů. spn - správa hlavního názvu služby (SPN). testparm - Kontrola syntaxe konfiguračního souboru. čas - Načte čas na serveru. uživatel - správa uživatelů. Další nápovědu ke konkrétnímu dílčímu příkazu zadejte: samba-tool (-h | --help)

root @ master: ~ # uživatel nástroje správce setexpiry --noexpiry
root @ master: ~ # sada nastavení hesla domény domény --min-pwd-length = 7
root @ master: ~ # sada nastavení hesla domény domény --min-pwd-age = 0
root @ master: ~ # sada nastavení hesla domény domény --max-pwd-age = 60
root @ master: ~ # uživatel nástroje setpassword --filter = samaccountname = správce --newpassword = Passw0rD

Přidáme několik záznamů DNS

root @ master: ~ # nástroj dns
Použití: samba-tool dns Správa služby DNS (Domain Name Service). Možnosti: -h, --help zobrazit tuto nápovědu a ukončit Dostupné dílčí příkazy: přidat - Přidat smazat záznam DNS - Smazat dotaz na záznam DNS - Dotaz na jméno. roothints - Dotaz na kořenové dotazy. serverinfo - Dotaz na informace o serveru. aktualizovat - Aktualizovat zónu záznamu DNS vytvořit - Vytvořit zónu. zonedelete - Odstranění zóny. zoneinfo - Dotaz na informace o zóně. zonelist - Dotaz na zóny. Další nápovědu ke konkrétnímu dílčímu příkazu zadejte: samba-tool dns (-h | --help)

Poštovní server

root @ master: ~ # nástroj dns přidat hlavní swl.fan mail Správce 192.168.10.9 -U
root @ master: ~ # nástroj dns přidat hlavní swl.fan swl.fan MX "mail.swl.fan 10" -U správce

Opravená IP ostatních serverů

root @ master: ~ # nástroj dns přidat master swl.fan sysadmin administrátor 192.168.10.1 -U
root @ master: ~ # nástroj dns přidat hlavní souborový server swl.fan Správce 192.168.10.10 -U
root @ master: ~ # nástroj dns přidat hlavní swl.fan proxy Správce 192.168.10.11 -U
root @ master: ~ # nástroj dns přidat hlavní swl.fan chat Správce 192.168.10.12 -U

Reverzní zóna

root @ master: ~ # nástroj dns zonecreate master 10.168.192.in-addr.arpa -U správce
Heslo pro [SWL \ administrator]: Zóna 10.168.192.in-addr.arpa byla úspěšně vytvořena

root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. - Správce
root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. - Správce
root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. - Správce
root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. - Správce
root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. - Správce
root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. - Správce

Kontroly

root @ master: ~ # nástroj dns dotaz master swl.fan mail ALL -U administrátor
Heslo pro [SWL \ administrator]: Jméno =, Záznamy = 1, Děti = 0 A: 192.168.10.9 (příznaky = f0, sériové = 2, ttl = 900)

root @ master: ~ # hostitel master
master.swl.fan má adresu 192.168.10.5
root @ master: ~ # hostitelský sysadmin
sysadmin.swl.fan má adresu 192.168.10.1
root @ master: ~ # hostitelská pošta
mail.swl.fan má adresu 192.168.10.9
root @ master: ~ # hostitelský chat
chat.swl.fan má adresu 192.168.10.12
root @ master: ~ # hostitel proxy
proxy.swl.fan má adresu 192.168.10.11
root @ master: ~ # hostitelský souborový server
fileserver.swl.fan má adresu 192.168.10.10
root @ master: ~ # hostitel 192.168.10.1
1.10.168.192.in-addr.arpa ukazatel názvu domény sysadmin.swl.fan.
root @ master: ~ # hostitel 192.168.10.5
5.10.168.192.in-addr.arpa ukazatel doménového jména master.swl.fan.
root @ master: ~ # hostitel 192.168.10.9
9.10.168.192.in-addr.arpa ukazatel názvu domény mail.swl.fan.
root @ master: ~ # hostitel 192.168.10.10
10.10.168.192.in-addr.arpa ukazatel názvu domény fileserver.swl.fan.
root @ master: ~ # hostitel 192.168.10.11
11.10.168.192.in-addr.arpa ukazatel názvu domény proxy.swl.fan.
root @ master: ~ # hostitel 192.168.10.12
12.10.168.192.in-addr.arpa ukazatel doménového jména chat.swl.fan.

Pro zvědavce

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Přidáváme uživatele

root @ master: ~ # uživatel nástroje
Použití: uživatel nástroje samba Správa uživatelů. Možnosti: -h, --help zobrazit tuto zprávu nápovědy a ukončit Dostupné dílčí příkazy: přidat - Vytvořit nového uživatele. vytvořit - Vytvořit nového uživatele. odstranit - Odstranit uživatele. disable - Zakáže uživatele. enable - Povolit uživatele. getpassword - Získejte pole hesla účtu uživatele / počítače. seznam - Seznam všech uživatelů. heslo - Změna hesla pro uživatelský účet (ten, který je uveden v ověřování). setexpiry - Nastavit dobu platnosti uživatelského účtu. setpassword - Nastavení nebo resetování hesla uživatelského účtu. syncpasswords - Synchronizace hesla uživatelských účtů. Pokud potřebujete další pomoc s konkrétním dílčím příkazem, zadejte: uživatel nástroje samba (-h | --help)

root @ master: ~ # uživatel nástroje vytvoří trancos Trancos01
Uživatel 'trancos' byl úspěšně vytvořen
root @ master: ~ # uživatel nástroje vytvořit gandalf Gandalf01
Uživatel „gandalf“ byl úspěšně vytvořen
root @ master: ~ # uživatel nástroje vytvoří legolas Legolas01
Uživatel „legolas“ byl úspěšně vytvořen
root @ master: ~ # seznam uživatelů nástroje
Správce gandalf legolas kráčí krbtgt Host

Správa přes grafické rozhraní nebo přes webového klienta

Navštivte wiki.samba.org, kde najdete podrobné informace o instalaci Microsoft RSAT o Nástroje pro vzdálenou správu serveru. Pokud nepožadujete klasické zásady poskytované službou Microsoft Active Directory, můžete balíček nainstalovat ldap-správce účtu který nabízí jednoduché rozhraní pro správu prostřednictvím webového prohlížeče.

• Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

• Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

• Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

• Windows Vista: http://www.microsoft.com/en-us/download/details.aspx?id=21090

Programový balíček Microsoft Remote Server Administration Tools (RSAT) je součástí operačních systémů Windows Server.

Připojili jsme doménu k klientovi Windows 7 s názvem „seven“

Jelikož nemáme v síti server DHCP, první věcí, kterou musíme udělat, je nakonfigurovat síťovou kartu klienta s pevnou IP adresou, deklarovat, že primární DNS bude IP samba-ad-dc, a zkontrolujte, zda je aktivována možnost „Zaregistrovat adresu tohoto připojení v DNS“. Není nečinné kontrolovat, zda jméno «sedm»Ještě není zaregistrován v interním DNS Samby.

Poté, co se připojíme k doméně a restartujeme ji, zkusme se přihlásit pomocí uživatele «kroky«. Zkontrolujeme, zda vše funguje dobře. Doporučuje se také zkontrolovat protokoly klienta Windows a zkontrolovat, jak je čas správně synchronizován.

Správci s určitými zkušenostmi se systémem Windows zjistí, že jakékoli kontroly provedené u klienta přinesou uspokojivé výsledky.

Shrnutí

Doufám, že článek bude užitečný pro čtenáře komunity. DesdeLinux.

Ahoj!