Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod
Ahoj přátelé a přátelé!
Tímto článkem se loučím s komunitou DesdeLinux. Zvláštní rozloučení pro zvláštní komunitu. Od této chvíle budu ve svém osobním projektu, který můžete vidět na http://www.gigainside.com.
Hlavním cílem příspěvku je nabídnout «Velký obraz»O ověřovacích službách se svobodným softwarem, které máme k dispozici. Alespoň to je náš záměr. Bude to tedy dlouho, navzdory skutečnosti, že víme, že je to proti obecným pravidlům psaní článků. Doufáme, že to správci systému ocení.
Chceme zdůraznit, že společným protokolem pro mnoho moderních autentizačních systémů je LDAP, a že není zbytečné studovat to pečlivě, ze studijního materiálu, který najdeme na oficiálních stránkách http://www.openldap.org/.
Nebudeme poskytovat podrobné definice - ani odkazy - na aspekty, kterými se zabývají předchozí články, ani na ty, jejichž popis může být snadno přístupný na Wikipedii nebo na jiných webech či v článcích na internetu, aby nedošlo ke ztrátě objektivity zprávy, kterou chceme dát. Použijeme také platnou kombinaci jmen v angličtině a španělštině, protože si myslíme, že většina systémů se narodila se jmény v angličtině a pro Sysadmina je velmi výhodné je asimilovat v původním jazyce.
- PAM: Zásuvný ověřovací modul.
- NIS: Network_Information_Service.
- LDAP: Lightweight Directory Access Protocol.
- Kerberos: Bezpečnostní protokol k autentizaci uživatelů, počítačů a služeb centrálně v síti, ověřování jejich pověření proti existujícím položkám v databázi Kerberos.
- DS: Adresářový server nebo adresářová služba
- AD–DC: Active Directory - Domain Controler
PAM
Tomuto typu místního ověřování věnujeme malou sérii, o které v každodenní praxi uvidíte, že je široce používána, když například připojíme pracovní stanici k řadiči domény nebo službě Active Directory; mapovat uživatele uložené v externích databázích LDAP, jako by to byli místní uživatelé; mapovat uživatele uložené v řadiči domény ve službě Active Directory, jako by to byli místní uživatelé atd.
- Ověření Squid + PAM na CentOS 7.
- Místní správa uživatelů a skupin
- NSD autoritářský server DNS + Shorewall
- Prosody IM a místní uživatelé
- Postfix + Dovecot + Squirrelmail a místní uživatelé
NIS
De Wikipedia:
- Network Information System (známý pod zkratkou NIS, což ve španělštině znamená Network Information System) je název protokolu adresářových služeb klient-server vyvinutý společností Sun Microsystems pro odesílání konfiguračních dat v distribuovaných systémech, jako jsou jména uživatelů a hostitelů mezi počítači v síti.NIS je založen na ONC RPC a skládá se ze serveru, knihovny na straně klienta a různých nástrojů pro správu.
Původně se NIS nazýval Zlaté stránky neboli YP, což se k němu dodnes používá. Toto jméno je bohužel ochrannou známkou společnosti British Telecom, která požadovala, aby Sun toto jméno upustila. YP však zůstává předponou ve jménech většiny příkazů souvisejících s NIS, jako jsou ypserv a ypbind.
DNS poskytuje omezený rozsah informací, nejdůležitější je korespondence mezi názvem uzlu a IP adresou. Pro ostatní typy informací neexistuje žádná taková specializovaná služba. Na druhou stranu, pokud spravujete pouze malou LAN bez připojení k internetu, nezdá se, že by bylo dobré nastavit DNS. Proto Sun vyvinul Network Information System (NIS). NIS poskytuje funkce obecného přístupu k databázi, které lze použít k distribuci například informací obsažených v passwd a seskupení souborů do všech uzlů v síti. Díky tomu vypadá síť jako jediný systém se stejnými účty ve všech uzlech. Podobně lze NIS použít k distribuci informací o názvu uzlu obsažených v / etc / hosts na všechny počítače v síti.
Dnes je NIS k dispozici prakticky ve všech unixových distribucích a existují dokonce i bezplatné implementace. BSD Net-2 zveřejnil jeden, který byl odvozen z implementace veřejné domény reference darované společností Sun. Kód knihovny pro klientskou část této verze existuje v libc GNU / Linux již dlouhou dobu a administrační programy byly do GNU / Linux přeneseny Swen Thümmler. Od implementace reference však chybí server NIS.
Peter Eriksson vyvinul novou implementaci nazvanou NYS. Podporuje základní NIS i vylepšenou verzi Sun NIS +. [1] NYS poskytuje nejen řadu nástrojů NIS a server, ale také přidává zcela novou sadu knihovních funkcí, které musíte zkompilovat do svého libc, pokud je chcete použít. To zahrnuje nové konfigurační schéma pro překlad názvů uzlů, které nahrazuje aktuální schéma používané souborem "host.conf".
GNU libc, známý jako libc6 v komunitě GNU / Linux, obsahuje aktualizovanou verzi tradiční podpory NIS vyvinuté Thorstenem Kukukem. Podporuje všechny funkce knihovny poskytované NYS a také využívá pokročilé konfigurační schéma NYS. Nástroje a server jsou stále potřeba, ale použití GNU libc ušetří problémy s opravou a překompilováním knihovny
.
Název počítače a domény, síťové rozhraní a překladač
- Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“. Doména swl.fan znamená „Fanoušci svobodného softwaru“. Jaké lepší jméno než toto?.
root @ master: ~ # název hostitele
mistr
root @ master: ~ # název hostitele -f
mistr.swl.fan
root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc stav fronty NEZNÁMÁ skupina výchozí odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo valid_lft navždy upřednostňovaný_lft navždy inet6 :: Hostitel 1/128 oboru valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 rozsah globální eth0 valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe4c: odkaz na obor 76d9 / 64 valid_lft navždy preferovaný_lft navždy
root @ master: ~ # cat /etc/resolv.conf
prohledat swl.fan nameserver 127.0.0.1
Instalace bind9, isc-dhcp-server a ntp
svázat9
root @ master: ~ # aptitude install bind9 bind9-doc nmap root @ master: ~ # systemctl status bind9 root @ master: ~ # nano /etc/bind/named.conf zahrnout "/etc/bind/named.conf.options"; zahrnout "/etc/bind/named.conf.local"; zahrnout "/etc/bind/named.conf.default-zones"; root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original root @ master: ~ # nano /etc/bind/named.conf.options volby {adresář "/ var / cache / bind"; // Pokud mezi vámi a jmennými servery, se kterými chcete // mluvit, je brána firewall, možná budete muset bránu firewall opravit a umožnit tak komunikaci více portů //. Vidět http://www.kb.cert.org/vuls/id/800113 // Pokud váš ISP poskytl jednu nebo více adres IP pro stabilní // jmenné servery, pravděpodobně je budete chtít použít jako servery pro předávání. // Odkomentujte následující blok a vložte adresy, které nahradí // zástupný symbol všech 0. // vyvážecí vozy {// 0.0.0.0; //}; // ================================================ ====================== $ // Pokud BIND zaznamená chybové zprávy o vypršení platnosti kořenového klíče, // budete muset aktualizovat své klíče. Vidět https://www.isc.org/bind-keys // =============================================== ======================= $ // Nechceme DNSSEC dnssec-povolit ne; // dnssec-validation auto; auth-nxdomain no; # odpovídá RFC1035 listen-on-v6 {any; }; // Pro kontroly od localhost a sysadmin // přes dig swl.fan axfr // Nemáme Slave DNS ... až dosud allow-transfer {localhost; 192.168.10.1; }; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD // Sdílený adresní prostor (RFC 6598) zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; // Link-local / APIPA (RFCs 3927, 5735 and 6303) zóna "254.169.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // Přiřazení protokolu IETF (RFC 5735 a 5736) zóna "0.0.192.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // TEST-NET- [1-3] pro dokumentaci (RFC 5735, 5737 a 6303) zóna "2.0.192.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "100.51.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "113.0.203.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // Příklad rozsahu IPv6 pro dokumentaci (RFC 3849 a 6303) zóna "8.bd0.1.0.0.2.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // Názvy domén pro dokumentaci a testování (BCP 32) zóna "test" {typ master; soubor "/etc/bind/db.empty"; }; zóna „příklad“ {typ master; soubor "/etc/bind/db.empty"; }; zóna "neplatná" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.com" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.net" {typ master; soubor "/etc/bind/db.empty"; }; zóna "example.org" {typ master; soubor "/etc/bind/db.empty"; }; // Testovací testy směrovače (RFC 2544 a 5735) zóna "18.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "19.198.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // IANA Reserved – Old Class E Space (RFC 5735) zóna "240.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "241.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "242.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "243.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "244.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "245.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "246.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "247.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "248.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "249.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "250.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "251.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "252.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "253.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "254.in-addr.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // Nepřiřazené adresy IPv6 (RFC 4291) zóna "1.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "8.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "a.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "b.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "c.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "d.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "e.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "0.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "1.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "2.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "8.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.f.ip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "afip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "bfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "0.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "1.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "2.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "3.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "4.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "5.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "6.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "7.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // IPv6 ULA (RFC 4193 a 6303) zóna "cfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "dfip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // Místní IPv6 odkaz (RFC 4291 a 6303) zóna "8.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "9.efip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "aefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "befip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // IPv6 zastaralé místní lokální adresy (RFC 3879 a 6303) zóna "cefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "defip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "eefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; zóna "fefip6.arpa" {typ master; soubor "/etc/bind/db.empty"; }; // IP6.INT je zastaralý (RFC 4159) zóna "ip6.int" {typ master; soubor "/etc/bind/db.empty"; }; root @ master: ~ # nano /etc/bind/named.conf.local // // Proveďte zde libovolnou místní konfiguraci // // // Zvažte přidání zón z roku 1918, pokud se ve vaší // organizaci nepoužívají, zahrňte "/etc/bind/zones.rfc1918"; zahrnout "/etc/bind/zones.rfcFreeBSD"; // Deklarace názvu, typu, umístění a oprávnění k aktualizaci // zón záznamu DNS // Obě zóny jsou zónou MASTER "swl.fan" {type master; soubor "/var/lib/bind/db.swl.fan"; }; zóna "10.168.192.in-addr.arpa" {typ master; soubor "/var/lib/bind/db.10.168.192.in-addr.arpa"; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /var/lib/bind/db.swl.fan $ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; aktualizace 1H; opakování 1W; platnost 3H); minimální nebo; Negativní doba ukládání do mezipaměti; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT „Pro fanoušky svobodného softwaru“; sysadmin IN A 192.168.10.1 souborový server IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9 root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa $ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; aktualizace 1H; opakování 1W; platnost 3H); minimální nebo; Negativní doba ukládání do mezipaměti; @ IN NS master.swl.fan. ; 1 V PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 V PTR master.swl.fan. 6 V PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 V PTR mail.swl.fan. root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan zóna swl.fan/IN: načten sériový 1 OK root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa zóna 10.168.192.in-addr.arpa/IN: načten sériový 1 OK root @ master: ~ # named-checkconf -zp root @ master: ~ # systemctl restart bind9.service root @ master: ~ # systemctl status bind9.service
Kontroly Bind9
root @ master: ~ # dig swl.fan axfr root @ master: ~ # dig 10.168.192.in-addr.arpa axfr root @ master: ~ # dig IN SOA swl.fan root @ master: ~ # dig IN NS swl.fan root @ master: ~ # dig IN MX swl.fan root @ master: ~ # proxyweb hostitel root @ master: ~ # nping --tcp -p 53 -c 3 localhost root @ master: ~ # nping --udp -p 53 -c 3 localhost root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan Počínaje Nping 0.6.47 ( http://nmap.org/nping ) v 2017-05-27 09:32 EDT SENT (0.0037 s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min. Rtt: N / A | Prům. Rtt: N / A Odeslané surové pakety: 84 (0B) | Rcvd: 0 (3B) | Ztraceno: 100.00 (1%) Nping hotový: 3.01 IP adresa ping za XNUMX sekundy
isc-dhcp-server
root @ master: ~ # aptitude install isc-dhcp-server root @ master: ~ # nano / etc / default / isc-dhcp-server # Na jakých rozhraních by měl server DHCP (dhcpd) obsluhovat požadavky DHCP? # Oddělte více rozhraní mezerami, např. „Eth0 eth1“. ROZHRANÍ = "eth0" root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n UŽIVATEL dhcp klíč root @ master: ~ # cat Kdhcp-key. +157 + 51777.private Formát soukromého klíče: v1.3 Algoritmus: 157 (HMAC_MD5) Klíč: Ba9GVadq4vOCixjPN94dCQ == Bity: AAA = Vytvořeno: 20170527133656 Publikovat: 20170527133656 Aktivovat: 20170527133656 root @ master: ~ # nano dhcp.key klíč dhcp-klíč { algoritmus hmac-md5; tajemství "Ba9GVadq4vOCixjPN94dCQ == "; }; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local zahrnout "/etc/bind/dhcp.key"; zóna "swl.fan" {typ master; soubor "/var/lib/bind/db.swl.fan"; allow-update {key dhcp-key; }; }; zóna "10.168.192.in-addr.arpa" {typ master; soubor "/var/lib/bind/db.10.168.192.in-addr.arpa"; allow-update {key dhcp-key; }; }; root @ master: ~ # named-checkconf root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-style prozatímní; ddns-aktualizace na; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovat aktualizace klienta; update-optimization false; # Může být požadováno na Debianu autoritativní; možnost přesměrování IP vypnuto; volba název-domény "swl.fan"; zahrnout "/etc/dhcp/dhcp.key"; zóna swl.fan. {primární 127.0.0.1; klíč dhcp-key; } zóna 10.168.192.in-addr.arpa. {primární 127.0.0.1; klíč dhcp-key; } redlocal sdílené sítě {podsíť 192.168.10.0 maska sítě 255.255.255.0 {volitelné směrovače 192.168.10.1; volitelná maska podsítě 255.255.255.0; možnost broadcast-address 192.168.10.255; volba domain-name-servery 192.168.10.5; volba netbios-name-servery 192.168.10.5; volba ntp-servery 192.168.10.5; možnost časové servery 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t Konsorcium internetových systémů DHCP Server 4.3.1 Copyright 2004-2014 Konsorcium internetových systémů. Všechna práva vyhrazena. Pro více informací navštivte https://www.isc.org/software/dhcp/ Konfigurační soubor: /etc/dhcp/dhcpd.conf Databázový soubor: /var/lib/dhcp/dhcpd.leases PID soubor: /var/run/dhcpd.pid root @ master: ~ # systemctl restart bind9.service root @ master: ~ # systemctl status bind9.service root @ master: ~ # systemctl start isc-dhcp-server.service root @ master: ~ # systemctl status isc-dhcp-server.service
ntp
root @ master: ~ # aptitude install ntp ntpdate root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift statistika loopstats peerstats clockstats filegen loopstats soubor loopstats typ den povolit filegen peerstats soubor peerstats typ den povolit filegen clockstats soubor clockstats typ den povolit server 192.168.10.1 omezit -4 výchozí kod notrap nomodify nopeer noquery omezit -6 výchozí kod notrap nomodify nopeer noquery omezit 127.0.0.1 omezit :: 1 vysílání 192.168.10.255 root @ master: ~ # systemctl restart ntp.service root @ master: ~ # systemctl status ntp.service root @ master: ~ # ntpdate -u sysadmin.swl.fan 27. května 10:04:01 ntpdate [18769]: upravit časový server 192.168.10.1 offset 0.369354 s
Globální kontrola serverů ntp, bind9 a isc-dhcp
Z klienta s Linuxem, BSD, Mac OS nebo Windows zkontrolujte, zda je čas správně synchronizován. Že získává dynamickou IP adresu a že jméno tohoto hostitele je řešeno přímými a reverzními dotazy DNS. Změňte jméno zákazníka a proveďte všechny kontroly znovu. Nepokračujte, dokud si nejste jisti, že dosud nainstalované služby fungují správně. K něčemu jsme napsali všechny články o DNS a DHCP Počítačové sítě pro malé a střední podniky.
Instalace serveru NIS
root @ master: ~ # aptitude show nis Konflikty s: netstd (<= 1.26) Popis: klienti a démoni pro Network Information Service (NIS) Tento balíček poskytuje nástroje pro nastavení a údržbu domény NIS. Služba NIS, původně známá jako Zlaté stránky (YP), se většinou používá k tomu, aby několik počítačů v síti sdílelo stejné informace o účtu, například soubor hesla. root @ master: ~ # aptitude install nis Konfigurace balíčku ┌─────────────────────────── ───────────┐ │ Vyberte „název domény“ NIS pro tento systém. Pokud chcete, aby byl tento počítač pouze klientem, měli byste zadat název domény NIS you │, ke které se chcete připojit. │ │ │ │ Alternativně, pokud má být tímto strojem server NIS, můžete │ │ zadat nový „název domény“ NIS nebo název existující domény NIS │ │. Domain │ │ │ NIS doména: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ───────────────────────────τ
Zpoždí to vaši, protože konfigurace služby jako taková neexistuje. Počkejte prosím na dokončení procesu.
root @ master: ~ # nano / etc / default / nis
# Jsme serverem NIS a pokud ano, jaký druh (hodnoty: false, slave, master)?
NISSERVER = pán
root @ master: ~ # nano /etc/ypserv.securenets # securenets Tento soubor definuje přístupová práva k vašemu serveru NIS # pro klienty NIS (a podřízené servery - ypxfrd používá i tento # soubor). Tento soubor obsahuje páry síťová maska / síť. # IP adresa klienta se musí shodovat s alespoň jedním # z nich. # # Jeden může použít slovo „hostitel“ namísto síťové masky # 255.255.255.255. V tomto # souboru jsou povoleny pouze adresy IP, nikoli názvy hostitelů. # # Vždy povolit přístup pro localhost 255.0.0.0 127.0.0.0 # Tento řádek poskytuje přístup všem. PROSÍM NASTAVTE! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0
root @ master: ~ # nano / var / yp / Makefile # Měli bychom sloučit soubor passwd se stínovým souborem? # MERGE_PASSWD = true | false
MERGE_PASSWD = true
# Měli bychom sloučit skupinový soubor se souborem gshadow? # MERGE_GROUP = true | false
MERGE_GROUP = true
Budujeme databázi NIS
root @ master: ~ # / usr / lib / yp / ypinit -m V tomto okamžiku musíme vytvořit seznam hostitelů, na kterých budou spuštěny servery NIS. master.swl.fan je v seznamu hostitelů serveru NIS. Pokračujte v přidávání jmen ostatních hostitelů, jeden na řádek. Po dokončení seznamu zadejte a . next host to add: master.swl.fan next host to add: Aktuální seznam serverů NIS vypadá takto: master.swl.fan Je to správné? [y / n: y] Potřebujeme několik minut na sestavení databází ... make [1]: Opuštění adresáře '/var/yp/swl.fan' master.swl.fan byl nastaven jako hlavní server NIS . Nyní můžete spustit ypinit -s master.swl.fan na všech podřízených serverech. root @ master: ~ # systemctl restart nis root @ master: ~ # systemctl status nis
Přidáváme místní uživatele
root @ master: ~ # adduser bilbo Přidání uživatele `bilbo '... Přidání nové skupiny` bilbo' (1001) ... Přidání nového uživatele` bilbo '(1001) se skupinou` bilbo' ... Vytvoření domovského adresáře `/ home / bilbo ' ... Kopírování souborů z `/ etc / skel '... Zadejte nové heslo pro UNIX: Zadejte nové heslo pro UNIX: heslo: heslo bylo správně aktualizováno Změna informací o uživateli pro bilbo Zadejte novou hodnotu nebo stiskněte ENTER pro použití výchozího celého jména []: Bilbo Bagins Číslo pokoje []: Pracovní telefon []: Domácí telefon []: Jiné []: Jsou informace správné? [Y / n] root @ master: ~ # adduser kráčí root @ master: ~ # adduser legolas
a tak dále.
root @ master: ~ # prstové legoly Přihlášení: legolas Jméno: Legolas Archer Adresář: / home / legolas Shell: / bin / bash Nikdy nepřihlášen. Žádná pošta. Žádný plán.
Aktualizujeme databázi NIS
root @ master: / var / yp # make make [1]: Zadání adresáře '/var/yp/swl.fan' Aktualizace passwd.byname ... Aktualizace passwd.byuid ... Aktualizace group.byname ... Aktualizace group.bygid ... Aktualizace netid.byname. .. Aktualizace shadow.byname ... Ignorováno -> sloučeno s passwd make [1]: Opuštění adresáře '/var/yp/swl.fan'
Na server isc-dhcp přidáváme možnosti NIS
root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-style prozatímní; ddns-aktualizace na; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovat aktualizace klienta; update-optimization false; autoritativní; možnost přesměrování IP vypnuto; volba název-domény "swl.fan"; zahrnout "/etc/dhcp/dhcp.key"; zóna swl.fan. {primární 127.0.0.1; klíč dhcp-key; } zóna 10.168.192.in-addr.arpa. {primární 127.0.0.1; klíč dhcp-key; } redlocal sdílené sítě {podsíť 192.168.10.0 maska sítě 255.255.255.0 {volitelné směrovače 192.168.10.1; volitelná maska podsítě 255.255.255.0; možnost broadcast-address 192.168.10.255; volba domain-name-servery 192.168.10.5; volba netbios-name-servery 192.168.10.5; volba ntp-servery 192.168.10.5; možnost časové servery 192.168.10.5; volba nis-doména "swl.fan"; volba nis-servery 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t root @ master: ~ # systemctl restart isc-dhcp-server.service
Instalace klienta NIS
- Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“.
root @ mail: ~ # hostname -f
mail.swl.fan
root @ mail: ~ # ip adresa
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
inet 192.168.10.9/24 brd 192.168.10.255 rozsah globální eth0
root @ mail: ~ # aptitude install není
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Konfigurační soubor pro proces ypbind. Zde můžete definovat # servery NIS ručně, pokud je nelze najít pomocí # broadcastingu v místní síti (což je výchozí nastavení). # # Syntaxe tohoto souboru najdete na manuální stránce ypbind. # # DŮLEŽITÉ: Pro „ypserver“ použijte IP adresy nebo se ujistěte, že # je hostitel v / etc / hosts. Tento soubor je interpretován pouze # jednou, a pokud DNS není dosažitelný, ypserver nelze # vyřešit a ypbind se nikdy neváže na server. # ypserver ypserver.network.com ypserver master.swl.fan doména swl.fan
root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. passwd: kompatibilita nis skupina: kompatibilita nis stín: kompatibilita nis gshadow: soubory hostitelé: soubory dns nis sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis
root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) pro podrobnosti.
relace volitelná pam_mkhomedir.so skel = / etc / skel umask = 077
# zde jsou moduly na balíček (blok „Primární“)
root @ mail: ~ # systemctl status nis
root @ mail: ~ # systemctl restart nis
Ukončíme relaci a zahájíme ji znovu, ale s uživatelem registrovaným v databázi NIS na adrese mistr.swl.fan.
root @ mail: ~ # exit odhlášení Připojení k poště uzavřeno. buzz @ sysadmin: ~ $ ssh legolas @ mail heslo legolas @ mail: Vytváření adresáře '/ home / legolas'. Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU, v rozsahu povoleném platnými zákony. legolas @ mail: ~ $ pwd / home / legolas legolas @ mail: ~ $
Změníme heslo uživatele legolas a zkontrolujeme
legolas @ mail: ~ $ yppasswd Změna informací o účtu NIS pro legolas na master.swl.fan. Zadejte staré heslo: legolas Změna hesla NIS pro legolas na master.swl.fan. Zadejte prosím nové heslo: archer Heslo musí obsahovat malá i velká písmena nebo jiná písmena. Zadejte prosím nové heslo: Arquero2017 Zadejte znovu nové heslo: Arquero2017 Heslo NIS bylo změněno na master.swl.fan. legolas @ mail: ~ $ exit odhlášení Připojení k poště uzavřeno. buzz @ sysadmin: ~ $ ssh legolas @ mail heslo legolas @ mail: Arquero2017 Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU v rozsahu povoleném platnými zákony. Poslední přihlášení: So 27. května 12:51:50 2017 od sysadmin.swl.fan legolas @ mail: ~ $
Služba NIS implementovaná na úrovni serveru a klienta funguje správně.
LDAP
Z Wikipedie:
- LDAP je zkratka pro Lightweight Directory Access Protocol (ve španělštině Lightweight / Simplified Directory Access Protocol), který odkazuje na protokol na úrovni aplikace, který umožňuje přístup k objednané a distribuované adresářové službě k vyhledávání různých informací v prostředí síť. LDAP je také považován za databázi (i když se její úložný systém může lišit), na kterou lze dotazovat.Adresář je sada objektů s atributy organizovanými logickým a hierarchickým způsobem. Nejběžnějším příkladem je telefonní seznam, který se skládá z řady jmen (osob nebo organizací) seřazených podle abecedy, přičemž každé jméno má adresu a je k němu připojeno telefonní číslo. Abychom tomu lépe porozuměli, jedná se o knihu nebo složku, ve které jsou zapsána jména lidí, telefonní čísla a adresy a jsou řazeny abecedně.
Strom adresářů LDAP někdy odráží různé politické, geografické nebo organizační hranice, v závislosti na zvoleném modelu. Aktuální nasazení LDAP mají tendenci používat názvy DNS (Domain Name System) ke strukturování vyšších úrovní hierarchie. Při procházení adresáře se mohou zobrazit položky představující lidi, organizační jednotky, tiskárny, dokumenty, skupiny osob nebo cokoli, co představuje danou položku ve stromu (nebo více položek).
Obvykle ukládá ověřovací informace (uživatelské jméno a heslo) a slouží k ověření, i když je možné ukládat další informace (kontaktní údaje uživatele, umístění různých síťových zdrojů, oprávnění, certifikáty atd.). Stručně řečeno, LDAP je protokol jednotného přístupu k souboru informací v síti.
Aktuální verze je LDAPv3 a je definována v RFC RFC 2251 a RFC 2256 (základní dokument LDAP), RFC 2829 (metoda ověřování pro LDAP), RFC 2830 (rozšíření pro TLS) a RFC 3377 (technická specifikace)
.
Na dlouhoProtokol LDAP - a jeho databáze kompatibilní nebo ne s OpenLDAP - je dnes nejpoužívanější ve většině ověřovacích systémů. Jako příklad předchozího prohlášení uvedeme níže několik názvů systémů -Free nebo Private-, které používají databáze LDAP jako back-end k ukládání všech svých objektů:
- OpenLDAP
- Adresářový server Apache
- Red Hat Directory Server - 389 DS
- Novell Directory Services - eDirectory
- SUN Microsystems Open DS
- Red Hat Identity Manager
- FreeIPA
- Řadič domény Samba NT4 Classic.
Chceme objasnit, že tento systém byl vývojem týmu Samba se Sambou 3.xxx + OpenLDAP as backend. Microsoft nikdy nic podobného neimplementoval. Přechod z řadičů domény NT 4 do jejich aktivních adresářů - Samba 4 Active Directory - Domain Controler
- ClearOS
- zentyal
- Firemní server Uninvention UCS
- Microsoft Active Directory
Každá implementace má své vlastní charakteristiky a nejstandardnější a nejkompatibilnější je OpenLDAP.
Active Directory, ať už původní Microsoft nebo Samba 4, je sjednocení několika hlavních komponent, které jsou:
- Vlastní LDAP společností Microsoft i Samba.
- Doména Microsoft Windows o doména Windows. Je to v zásadě síť Microsoft.
- Řadič domény Microsoft o Řadič domény.
- Kerberos přizpůsobený společností Microsoft i Samba.
Nesmíme zaměňovat a Adresářová služba o Adresářová služba s a Active Directory o Active Directory. První z nich může nebo nemusí hostovat ověřování pomocí protokolu Kerberos, ale nenabízejí síťovou službu Microsoft, kterou poskytuje doména Windows, ani nemají řadič domény Windows jako takový.
Adresářovou službu nebo adresářovou službu lze použít k ověření uživatelů ve smíšené síti s klienty UNIX / Linux a Windows. U posledně jmenovaného musí být na každém klientovi nainstalován program, který funguje jako prostředník mezi adresářovou službou a samotným klientem Windows, například svobodný software. strana.
Adresářová služba s OpenLDAP
- Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“, se stejným „hlavním“ názvem počítače, jaký se používá pro instalaci NIS, stejně jako konfigurace jeho síťového rozhraní a souboru /etc/resolv.conf. Nainstalovali jsme pro tento nový server server ntp, bind9 a isc-dhcp, aniž bychom zapomněli na globální kontroly správného fungování tří předchozích služeb.
root @ master: ~ # aptitude install slapd ldap-utils Konfigurace balíčku ┌───────────────────────┤ Slapd konfigurace ├────────────────────────┐ │ Zadejte heslo pro vstup správce do vašeho adresáře LDAP │ │. │ │ │ │ Heslo správce: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │││ ───────────────────────—┘
Zkontrolujeme počáteční konfiguraci
root @ master: ~ # slapcat dn: dc = swl, dc = ventilátor objectClass: top objectClass: dcObject objectClass: organization o: swl.fan dc: swl StructureObjectClass: organization entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = položka vstupu createTimestamp20170531205219: 20170531205219.833955Z Z # 000000 # 000 # 000000 modifikátory Název: cn = admin, dc = swl, dc = ventilátor upravit Časové razítko: 20170531205219Z dn: cn = admin, dc = swl, dc = ventilátor objectClass: simpleSecurityObject objectClass: organizationalRole CN: Popis admin: administrátor LDAP userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-entry = cXNUMXe XNUMXZ # XNUMX # XNUMX # XNUMX modifikátory Název: cn = admin, dc = swl, dc = ventilátor upravit Časové razítko: XNUMXZ
Upravujeme soubor /etc/ldap/ldap.conf
root @ master: ~ # nano /etc/ldap/ldap.conf BASE dc = swl, dc = URI ventilátoru ldap: // localhost
Organizační jednotky a obecná skupina «uživatelé»
Přidali jsme minimální nezbytné organizační jednotky a skupinu Posix «uživatelé», do které uděláme všechny uživatele členy, podle příkladu mnoha systémů, které mají skupinu «uživatelé«. Pojmenujeme jej jménem «uživatelů», abychom se nedostali do možných konfliktů se skupinou «uživatel"systému.
root @ master: ~ # nano base.ldif dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 XNUMX root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif Zadejte heslo LDAP: přidání nového záznamu „ou = people, dc = swl, dc = fan“ přidání nového záznamu „ou = groups, dc = swl, dc = fan“
Zkontrolujeme přidané položky
root @ master: ~ # ldapsearch -x ou = lidé # people, swl.fan dn: ou = people, dc = swl, dc = fan object Třída: organizationUnit ou: people root @ master: ~ # ldapsearch -x ou = skupiny # groups, swl.fan dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups root @ master: ~ # ldapsearch -x cn = uživatelé # users, groups, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 XNUMX
Přidáme několik uživatelů
Heslo, které musíme deklarovat v LDAP, je třeba získat pomocí příkazu slappasswd, která vrací zašifrované heslo SSHA.
Heslo pro kroky uživatele:
root @ master: ~ # slappasswd Nové heslo: Znovu zadejte nové heslo: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
Heslo pro uživatele legolas
root @ master: ~ # slappasswd Nové heslo: Znovu zadejte nové heslo: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
Heslo pro uživatele gandalf
root @ master: ~ # slappasswd Nové heslo: Znovu zadejte nové heslo: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u root @ master: ~ # nano users.ldif dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp uidNumber: 10000 10000 gidNumber: XNUMX XNUMX mail: striders@swl.fan gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Uživatel Archer Heslo: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD uidNumber: 10001 10000 gidNumber: XNUMX XNUMX mail: legolas@swl.fan gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: The Wizard user Heslo: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u uidNumber: 10002 10000 gidNumber: XNUMX XNUMX mail: gandalf@swl.fan gecos: Gandalf The Wizard loginShell: / bin / bash home Adresář: / home / gandalf root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif Zadejte heslo LDAP: přidání nového záznamu "uid = strides, ou = people, dc = swl, dc = fan" přidání nového záznamu "uid = legolas, ou = people, dc = swl, dc = fan" přidání nového záznamu "uid = gandalf, ou = people, dc = swl, dc = fan "
Zkontrolujeme přidané položky
root @ master: ~ # ldapsearch -x cn = kroky root @ master: ~ # ldapsearch -x uid = kroky
Spravujeme databázi slpad pomocí obslužných programů konzoly
Vybereme balíček ldapscripty pro takový úkol. Postup instalace a konfigurace je následující:
root @ master: ~ # aptitude nainstaluje ldapscripts root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \ /etc/ldapscripts/ldapscripts.conf.original root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = skupiny' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 XNUMX # příkazy klienta OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UTEMPLATE =" /ldapadduser.template "PASSWORDGEN =" echo% u "
Všimněte si, že skripty používají příkazy balíčku ldap-utils. Běh dpkg -L ldap-utils | grep / bin vědět, co jsou zač.
root @ master: ~ # sh -c "echo -n 'admin-heslo'> \ /etc/ldapscripts/ldapscripts.passwd " root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \ /etc/ldapscripts/ldapdduser.template root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: křestní jméno: sn: displayName: uidNumber: gidNumber: 10000 XNUMX domů Adresář: loginShell: pošta: @ swl.fan geckos: popis: Uživatelský účet root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf ## odstraníme komentář UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"
Přidáme uživatele „bilbo“ a uděláme z něj člena skupiny „uživatelé“
root @ master: ~ # ldapadduser uživatelé bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro „givenName“: Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro „ sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadejte hodnotu pro" displayName ": Bilbo Bagins Úspěšně přidáno uživatelské bilbo na LDAP Úspěšně nastaveno heslo pro uživatele bilbo root @ master: ~ # ldapsearch -x uid = bilbo # bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 XNUMX homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan gecos: popis bilbo: Uživatelský účet
Chcete-li zobrazit hodnotu hash hesla uživatele bilbo, je nutné provést dotaz s ověřením:
root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo
Chcete-li odstranit uživatele bilbo, provedeme:
root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan Zadejte heslo LDAP: root @ master: ~ # ldapsearch -x uid = bilbo
Spravujeme slapd databázi přes webové rozhraní
Máme funkční adresářovou službu a chceme ji snadněji spravovat. Existuje mnoho programů určených pro tento úkol, například phpldapadmin, ldap-správce účtuatd., které jsou k dispozici přímo z úložišť. Můžeme také spravovat adresářovou službu prostřednictvím Apache Directory Studio, které si musíme stáhnout z internetu.
Pro více informací navštivte https://blog.desdelinux.net/ldap-introduccion/a následujících 6 článků.
Klient LDAP
Etapa:
Řekněme, že máme tým mail.swl.fan jako poštovní server implementovaný, jak jsme viděli v článku Postfix + Dovecot + Squirrelmail a místní uživatelé, který, i když byl vyvinut na CentOS, může dobře sloužit jako průvodce pro Debian a mnoho dalších linuxových distribucí. Chceme, aby kromě místních uživatelů, které jsme již deklarovali, byli uživatelé uloženi v databázi OpenLDAP existující v mistr.swl.fan. K dosažení výše uvedeného musíme «zmapovat»Pro uživatele LDAP jako místní uživatelé na serveru mail.swl.fan. Toto řešení je také platné pro jakoukoli službu založenou na ověřování PAM. Obecný postup pro Debian, je následující:
root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils ┌───────────────────────┤ Konfigurace libnss-ldap ├───────────────────────┐┐ │ Zadejte URI („Uniform Resource Identifier“ nebo │ │ Uniform Resource Identifier) serveru LDAP. Tento řetězec je podobný │ │ «ldap: //: / ». Můžete také │ │ použít «ldaps: // » nebo „ldapi: //“. Číslo portu je volitelné. │ │ │ │ Doporučuje se používat IP adresu, aby nedošlo k selhání, když nejsou služby názvu domény estén available k dispozici. │ │ │ │ URI serveru LDAP: │ │ │ │ ldap: //master.swl.fan__________________________________________________________ │ │ │ │ │ │││ ────────────────τ ┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ Zadejte rozlišující název (DN) vyhledávací základny LDAP. │ │ Mnoho webů používá pro tento účel komponenty doménových jmen. Například doména „example.net“ použije jako rozlišující název základny vyhledávání │ │ „dc = example, dc = net“. │ │ │ │ Rozlišující název (DN) základny vyhledávání: │ │ │ │ dc = swl, dc = ventilátor ____________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurace libnss-ldap ├────────────────────────┐ │ Zadejte verzi protokolu LDAP, kterou by ldapns měl používat. Doporučuje se používat nejvyšší dostupné číslo verze. │ │ │ │ Verze LDAP, která se má použít: │ │ │ │ 3 │ │ 2 │ │ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ Vyberte, který účet bude použit pro dotazy nss s oprávněními root │ │. │ │ │ │ Poznámka: Aby tato možnost fungovala, účet potřebuje oprávnění, aby mohl attributes │ mít přístup k atributům LDAP, které jsou přidruženy k „stínovým“ položkám uživatele a také k heslům uživatelů a skupin . │ │ │ │ Účet LDAP pro root: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libnss-ldap ├───────────────────────┐┐ │ Zadejte heslo, které se použije, když se libnss-ldap pokusí │ │ autentizovat do adresáře LDAP pomocí kořenového účtu LDAP. │ │ │ │ Heslo bude uloženo do samostatného souboru │ │ („/etc/libnss-ldap.secret“), ke kterému má přístup pouze root. You │ │ │ Pokud zadáte prázdné heslo, staré heslo bude znovu použito. │ │ │ │ Heslo pro kořenový účet LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ──────────────────────────────┘ ┘ ┌ ─ ─ ─ ─ ─ ─┌ ─ ─┤ Konfigurace libnss-ldap ├─────────────────────────┐ │ │ │ nsswitch.conf není spravován automaticky │ │ │ │ Musíte upravit svůj soubor „/etc/nsswitch.conf“ použít zdroj dat LDAP, pokud chcete, aby balíček libnss-ldap fungoval. │ │ Ukázkový soubor │ │ můžete použít v souboru „/usr/share/doc/libnss-ldap/examples/nsswitch.ldap“ jako příklad konfigurace nsswitch nebo jej můžete zkopírovat do aktuální konfigurace. │ │ │ │ Všimněte si, že před odebráním tohoto balíčku může být vhodné │ │ odebrat položky „ldap“ ze souboru nsswitch.conf, aby základní služby │ │ nadále fungovaly. │ │ │ │ │ │ │ └────────────────────τ ─────────────────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ │ option Tato možnost umožňuje nástrojům pro hesla používat PAM ke změně místních hesel. For │ │ │ Heslo pro účet správce LDAP bude uloženo v samostatném souboru │ │, který může číst pouze správce. │ │ │ │ Tato možnost by měla být deaktivována, pokud připojujete „/ etc“ přes NFS. │ │ │ │ Chcete povolit, aby se účet správce LDAP choval jako místní správce? │ │ │ │ │ │ │ └────────────────────τ ─────────────────────────────τ ──┤ Konfigurace libpam-ldap ├────────────────────────┐ ┐ │ │ Zvolte, zda si server LDAP vynutí identifikaci před získáním záznamů entradas │. │ │ │ │ Toto nastavení je zřídka nutné. │ │ │ │ Je od uživatele vyžadován přístup do databáze LDAP? │ │ │ │ │ │││ ────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ Zadejte název účtu správce LDAP. Account │ │ │ Tento účet bude automaticky použit pro správu databáze, │ │ musí mít příslušná oprávnění správce. Administrator │ │ │ Účet správce LDAP: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ──┤ Konfigurace libpam-ldap ├─────────────────────────┐ │ Zadejte heslo pro účet správce. │ │ │ │ Heslo bude uloženo do souboru „/etc/pam_ldap.secret“. Správce │ │ bude jediný, kdo může tento soubor číst, a umožní aplikaci p │ libpam-ldap automaticky řídit správu připojení v databázi │ │. │ │ │ │ Necháte-li toto pole prázdné, bude znovu použito předchozí uložené heslo │ │. Administrator │ │ │ Heslo správce LDAP: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘ root @ mail: ~ # nano /etc/nsswitch.conf # /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. heslo: kompatibilní LDAP skupina: kompatibilní LDAP stín: kompatibilní LDAP gshadow: hostitelé souborů: soubory dns sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis
Pojďme upravit soubor /etc/pam.d/common-password, přejdeme na řádek 26 a odstraníme hodnotu «use_authtok„:
root @ mail: ~ # nano /etc/pam.d/common-password # # /etc/pam.d/common-password - moduly související s heslem společné pro všechny služby # # Tento soubor je zahrnut z jiných konfiguračních souborů PAM pro konkrétní službu, # a měl by obsahovat seznam modulů, které definují služby, které mají být # slouží ke změně uživatelských hesel. Výchozí hodnota je pam_unix. # Vysvětlení možností pam_unix: # # Možnost „sha512“ umožňuje solená hesla SHA512. Bez této možnosti je # výchozí hodnota Unixová krypta. Předchozí vydání používala možnost „md5“. # # Možnost „temný“ nahrazuje starou možnost „OBSCURE_CHECKS_ENAB“ v # login.defs. # # Další informace najdete na stránce pam_unix. # Od verze pam 1.0.1-6 je tento soubor ve výchozím nastavení spravován pam-auth-update. # Abyste toho využili, doporučujeme nakonfigurovat jakékoli # místní moduly před nebo po výchozím bloku a použít # pam-auth-update ke správě výběru dalších modulů. Podrobnosti viz # pam-auth-update (8). # zde jsou hesla pro jednotlivé balíčky (blok „Primární“) heslo [úspěch = 2 výchozí = ignorovat] pam_unix.so temný sha512 heslo [úspěch = 1 uživatel_unknown = ignorovat výchozí = zemřít] pam_ldap.so try_first_pass # zde je záložní řešení, pokud žádný modul nenasleduje heslo vyžadované pam_deny. takže # připravte zásobník s kladnou návratovou hodnotou, pokud již žádný není; # toto nám zabrání vrácení chyby jen proto, že nic nenastaví úspěšný kód # protože výše uvedené moduly budou jen skákat kolem hesla požadovaného pam_permit.so # a zde je více modulů na balíček (blok „Další“) # konec pam- konfigurace konfigurace aktualizace
V případě potřeby Místní přihlášení uživatelů uložených v LDAP a chceme, aby se jejich složky vytvářely automaticky domov, musíme soubor upravit /etc/pam.d/common-session a přidejte následující řádek na konec souboru:
relace volitelná pam_mkhomedir.so skel = / etc / skel umask = 077
V příkladu OpenLDAP Directory Service vyvinutém dříve byl jediným vytvořeným lokálním uživatelem uživatel bzučetzatímco v LDAP vytváříme uživatele kroky, Legolas, GandalfA bilbo. Pokud jsou dosud provedené konfigurace správné, měli bychom být schopni vypsat místní uživatele a ty, kteří jsou namapovaní jako místní, ale uloženi na vzdáleném serveru LDAP:
root @ mail: ~ # getent passwd buzz: x: 1001: 1001: Buzz Debian První OS ,,,: / home / buzz: / bin / bash Kroky: x: 10000 10000: XNUMX XNUMX: Kroky El Rey: / home / kroky: / bin / bash legolas: x: 10001: 10000 XNUMX: Legolas Archer: / home / legolas: / bin / bash gandalf: x: 10002: 10000 XNUMX: Gandalf The Wizard: / home / gandalf: / bin / bash bilbo: x: 10003: 10000 XNUMX: bilbo: / home / bilbo: / bin / bash
Po změnách v ověřování systému je platné restartovat server, jinak čelíme kritické službě:
root @ mail: ~ # restart
Později zahájíme místní relaci na serveru mail.swl.fan s přihlašovacími údaji uživatele uloženými v databázi LDAP serveru mistr.swl.fan. Můžeme se také pokusit přihlásit přes SSH.
buzz @ sysadmin: ~ $ ssh gandalf @ mail heslo gandalf @ mail: Vytváření adresáře '/ home / gandalf'. Programy obsažené v systému Debian GNU / Linux jsou svobodný software; přesné podmínky distribuce pro každý program jsou popsány v jednotlivých souborech v adresáři / usr / share / doc / * / copyright. Debian GNU / Linux je dodáván s ABSOLUTNĚ ŽÁDNOU ZÁRUKOU, v rozsahu povoleném platnými zákony. gandalf @ mail: ~ $ su Heslo: root @ mail: / home / gandalf # getent skupina buzz: x: 1001: users: *: 10000 XNUMX: root @ mail: / home / gandalf # exit výstup gandalf @ mail: ~ $ ls -l / domů / celkem 8 drwxr-xr-x 2 buzz buzz 4096 17. června 12:25 buzz drwx ------ 2 gandalf uživatelé 4096 17. června 13:05 gandalf
Adresářová služba implementovaná na úrovni serveru a klienta funguje správně.
Kerberos
Z Wikipedie:
- Kerberos je počítačový síťový ověřovací protokol vytvořený serverem MIT který umožňuje dvěma počítačům v nezabezpečené síti navzájem si bezpečně prokázat svou totožnost. Jeho návrháři se nejprve zaměřili na model klient-server a poskytuje vzájemné ověřování: klient i server si navzájem ověřují identitu. Ověřovací zprávy jsou chráněny, aby se zabránilo odposlouchávání y opakujte útoky.
Kerberos je založen na kryptografii symetrických klíčů a vyžaduje důvěryhodnou třetí stranu. Kromě toho existují rozšíření protokolu, aby bylo možné používat kryptografii asymetrického klíče.
Kerberos je založen na Needham-Schroederův protokol. Používá důvěryhodnou třetí stranu, která se nazývá „Centrum distribuce klíčů“ (KDC), které se skládá ze dvou samostatných logických částí: „Ověřovací server“ (AS nebo Ověřovací server) a «server vydávající vstupenky» (TGS nebo server poskytující vstupenky). Kerberos funguje na základě „lístků“, které slouží k prokázání totožnosti uživatelů.
Kerberos udržuje databázi tajných klíčů; Každá entita v síti - ať už je to klient nebo server - sdílí tajný klíč známý pouze sobě a Kerberosu. Znalost tohoto klíče slouží k prokázání totožnosti subjektu. Pro komunikaci mezi dvěma entitami generuje Kerberos klíč relace, který mohou použít k zabezpečení svých problémů.
Nevýhody protokolu Kerberos
De Vyléčil:
Ačkoli Kerberos odstraňuje běžnou bezpečnostní hrozbu, může být obtížné jej implementovat z různých důvodů:
- Migrace uživatelských hesel ze standardní databáze hesel UNIX, jako je / etc / passwd nebo / etc / shadow, do databáze hesel Kerberos, může být zdlouhavé a neexistuje žádný rychlý mechanismus k provedení tohoto úkolu.
- Kerberos předpokládá, že každý uživatel je důvěryhodný, ale používá nedůvěryhodný počítač v nedůvěryhodné síti. Jeho hlavním cílem je zabránit odesílání nezašifrovaných hesel po síti. Pokud má však k ověřovacímu lístku přístup k jinému uživateli, než je příslušný uživatel, byla by Kerberos ohrožena.
- Aby aplikace mohla používat Kerberos, musí být kód upraven, aby bylo možné provádět příslušná volání knihoven Kerberos. Takto upravené aplikace jsou považovány za kerberizované. U některých aplikací to může být nadměrné programovací úsilí kvůli velikosti aplikace nebo jejímu designu. U jiných nekompatibilních aplikací je třeba provést změny ve způsobu komunikace síťového serveru a jeho klientů; opět to může trvat docela dost programování. Obecně platí, že nejproblematičtější jsou obvykle aplikace s uzavřeným zdrojovým kódem, které nemají podporu Kerberos.
- Nakonec, pokud se rozhodnete používat Kerberos ve vaší síti, musíte si uvědomit, že je to volba vše nebo nic. Pokud se rozhodnete pro použití sítě Kerberos v síti, musíte si uvědomit, že pokud budou některá hesla předána službě, která k ověřování nepoužívá protokol Kerberos, riskujete, že paket může být zachycen. Vaše síť tedy nebude mít z používání protokolu Kerberos žádnou výhodu. Chcete-li zabezpečit svou síť pomocí protokolu Kerberos, měli byste používat pouze verzované verze všech aplikací klient / server, které odesílají nezašifrovaná hesla nebo nepoužívají žádnou z těchto aplikací v síti..
Ruční implementace a konfigurace OpenLDAP jako back-endu Kerberos není snadný úkol. Později však uvidíme, že Samba 4 Active Directory - řadič domény se transparentním způsobem integruje pro Sysadmin, server DNS, síť Microsoft a její řadič domény, server LDAP jako back-end téměř všech jeho objektů, a ověřovací služba založená na protokolu Kerberos jako základní součásti služby Active Directory ve stylu Microsoftu.
Doposud jsme neměli potřebu implementovat „Kerberized Network“. Proto jsme nepísali o tom, jak implementovat Kerberos.
Samba 4 Active Directory - řadič domény
Důležité:
Neexistuje lepší dokumentace než web wiki.samba.org. Self-respektující Sysadmin by měl navštívit tento web - v angličtině - a procházet velké množství stránek věnovaných výhradně Sambě 4, napsaných samotným Teamem Sambou. Nevěřím, že na internetu je k dispozici dokumentace, která by ji nahradila. Mimochodem, sledujte počet návštěv, který se odráží ve spodní části každé stránky. Příkladem toho je, že byla navštívena vaše hlavní stránka nebo «Hlavní stránka» 276,183 krát do dne 20. června 2017 v 10:10 východního standardního času. Dokumentace je navíc udržována velmi aktuální, protože tato stránka byla upravena 6. června.
Z Wikipedie:
Samba je bezplatná implementace protokolu Microsoft Windows File Sharing Protocol (dříve nazývaného SMB, nedávno přejmenovaného na CIFS) pro systémy podobné systému UNIX. Tímto způsobem je možné, že počítače se systémy GNU / Linux, Mac OS X nebo Unix obecně vypadají jako servery nebo fungují jako klienti v sítích Windows. Samba také umožňuje ověřovat uživatele jako primární řadič domény (PDC), jako člena domény a dokonce jako doménu služby Active Directory pro sítě založené na systému Windows; kromě toho, že je schopen obsluhovat tiskové fronty, sdílené adresáře a ověřování pomocí vlastního uživatelského archivu.
Mezi unixové systémy, na kterých lze Sambu provozovat, patří distribuce GNU / Linux, Solaris a různé varianty BSD mezi že najdeme Apple Mac OS X Server.
Samba 4 AD-DC s interním DNS
- Začínáme od čisté instalace - bez grafického rozhraní - Debian 8 „Jessie“.
Počáteční kontroly
root @ master: ~ # název hostitele mistr root @ master: ~ # název hostitele --fqdn mistr.swl.fan root @ master: ~ # ip addr 1: co: mtu 65536 qdisc stav fronty NEZNÁMÁ skupina výchozí odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo valid_lft navždy upřednostňovaný_lft navždy inet6 :: Hostitel oboru 1/128 valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state NEZNÁMÉ výchozí nastavení skupiny qlen 1000 link / ether 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 rozsah globální eth0 valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe80: odkaz na obor 3b3f / 64 valid_lft navždy preferovaný_lft navždy root @ master: ~ # cat /etc/resolv.conf prohledat swl.fan nameserver 127.0.0.1
- S čím deklarujeme pobočku hlavní pouze je to pro naše účely víc než dost.
root @ master: ~ # cat /etc/apt/sources.list deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie hlavní deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / aktualizace hlavní
Postfix od Exim a obslužné programy
root @ master: ~ # aptitude nainstalovat postfix htop mc deborphan Konfigurace Postfixu ────┐ │ Vyberte typ konfigurace poštovního serveru, který nejlépe vyhovuje vašim potřebám. │ │ │ │ Žádná konfigurace: │ │ Zachová aktuální konfiguraci beze změny. │ │ Internetové stránky: │ │ Pošta se odesílá a přijímá přímo pomocí protokolu SMTP. │ │ Internet s «smarthost»: │ │ Pošta je přijímána přímo pomocí SMTP nebo spuštěním como │ nástroje jako «fetchmail». Odchozí pošta se odesílá pomocí │ host „smarthost“. │ │ Pouze místní pošta: │ │ Jediný doručený e-mail je pro místní uživatele. Ne, neexistuje síť. │ │ │ │ Obecný typ konfigurace pošty: │ │ │ │ Žádná konfigurace │ │ Internetové stránky │ │ Internet s „smarthost“ │ │ Satelitní systém │ │ Pouze místní pošta │ │ │ │ │ │ │ │ │ └────────────────────τ ────────────────τ ─────┤ Postfix Configuration ├─────────────────────────────┐ ┐ „Název poštovního systému“ je název domény, která │ │ se používá k „kvalifikaci“ _ALL_ e-mailových adres bez názvu domény. To zahrnuje poštu do a z „root“: prosím nedovolte, aby vaše zařízení odesílalo e-maily root@example.org na │ │ méně než root@example.org zeptal se. Programs │ │ │ Ostatní programy budou tento název používat. Musí to být jedinečný kvalifikovaný název domény (FQDN). │ │ │ │ Proto je-li e-mailová adresa na místním počítači │ │ něco@example.org, správná hodnota pro tuto možnost bude example.org. │ │ │ │ Název poštovního systému: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │││ ─────────────────────────────────┘┘
Čistíme
root @ master: ~ # aptitude purge ~ c root @ master: ~ # aptitude install -f root @ master: ~ # aptitude clean root @ master: ~ # aptitude autoclean
Nainstalujeme požadavky na kompilaci Samba 4 a další potřebné balíčky
root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
uživatel krb5 libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduly pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config
┌────────────────┤┤ Konfigurace autentizace Kerberos ├─────────────────┐ ┐ Když se uživatelé pokusí použít Kerberos a zadat jméno │ │ instanční objekt nebo uživatel, aniž by objasnil, do které administrativní domény Kerberos hlavní objekt patří, systém přebírá výchozí │ │ sféru. Výchozí sféru lze také použít jako sféru │ │ služby Kerberos spuštěnou na místním počítači. │ │ Výchozí sféra je obvykle velký název místní domény DNS │ │. Default │ │ │ Výchozí sféra Kerberos verze 5: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘ ┘─────────────────┤ Kerberos ├─────────────────┐ ┐ Zadejte názvy serverů Kerberos v oblasti SWL.FAN oblasti │ │ Kerberos, oddělené mezerami. Servers │ │ │ Servery Kerberos pro vaši oblast: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────τ ────────────────────────────────┘┘┘ Kerberos ├─────────────────┐ ┐ Zadejte název administrativního serveru (změna hesla) │ │ pro oblast Kerberos SWL.FAN.
Výše uvedený proces trval trochu času, protože ještě nemáme nainstalované žádné služby DNS. Doménu jste však vybrali správně podle nastavení souboru / Etc / hosts. Pamatujte na to v souboru / Etc / resolv.conf deklarovali jsme jako server doménových jmen na IP 127.0.0.1.
Nyní nakonfigurujeme soubor / etc / ldap / ldap / conf
root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = URI ventilátoru ldap: //master.swl.fan
Pro dotazy pomocí příkazu ldapsearch vytvořené uživatelem root jsou typu ldapsearch -x -W cn = xxxx, musíme vytvořit soubor /kořen/.ldapsarc s následujícím obsahem:
root @ master: ~ # nano .ldaprc BINDDN CN = správce, CN = uživatelé, DC = swl, DC = ventilátor
Souborový systém musí podporovat ACL - Access Control List
root @ master: ~ # nano / etc / fstab # / etc / fstab: statické informace o systému souborů. # # Použijte 'blkid' k vytištění univerzálně jedinečného identifikátoru pro # zařízení; toto lze použít s UUID = jako robustnější způsob pojmenování zařízení #, který funguje, i když jsou disky přidávány a odebírány. Viz fstab (5). # # # / byl během instalace / dev / sda1 UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, bariéra = 1, noatime, chyby = remount-ro 0 1 # swap byl zapnut / dev / sda5 během instalace UUID = cb73228a-615d-4804-9877-3ec225e3ae32 žádný swap sw 0 0 / dev / sr0 / media / cdrom0 udf, uživatel iso9660, noauto 0 0 root @ master: ~ # mount -a root @ master: ~ # touch testing_acl.txt root @ master: ~ # setfattr -n uživatel.test -v test testování_acl.txt root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt root @ master: ~ # getfattr -d testing_acl.txt # file: testing_acl.txt user.test = "test" root @ master: ~ # getfattr -n security.test -d testing_acl.txt # file: testing_acl.txt security.test = "test2" root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt root @ master: ~ # getfacl testing_acl.txt # file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--
Získáme zdroj Samba 4, zkompilujeme jej a nainstalujeme
Důrazně doporučujeme stáhnout zdrojový soubor verze Stabilní z webu https://www.samba.org/. V našem příkladu si stáhneme verzi samba-4.5.1.tar.gz směrem ke složce / opt.
root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /
Možnosti konfigurace
Pokud chceme přizpůsobit možnosti konfigurace, provedeme:
root @ master: /opt/samba-4.5.1# ./configure --help
a velmi pečlivě vyberte ty, které potřebujeme. Doporučujeme zkontrolovat, zda lze stažený balíček nainstalovat na distribuci Linuxu, kterou používáme, což je v našem případě Debian 8.6 Jessie:
root @ master: /opt/samba-4.5.1# . / Configure vzdálená kontrola
Konfigurujeme, kompilujeme a instalujeme samba-4.5.1
- Z dříve nainstalovaných požadavků a souborů 8604 (které tvoří kompaktní samba-4.5.1.tar.gz) o hmotnosti přibližně 101.7 megabajtů - včetně složek source3 a source4 o hmotnosti přibližně 61.1 megabajtů - získáme náhradu za služba Active Directory ve stylu Microsoftu, s kvalitou a stabilitou více než přijatelnou pro jakékoli produkční prostředí. Musíme zdůraznit práci týmu Samba při poskytování svobodného softwaru Samba 4.
Níže uvedené příkazy jsou klasické pro kompilaci a instalaci balíčků z jejich zdrojů. Dokud celý proces trvá, musíme být trpěliví. Je to jediný způsob, jak získat platné a správné výsledky.
root @ master: /opt/samba-4.5.1# ./configure --with-systemd - zakázatelné šálky root @ master: /opt/samba-4.5.1# činit root @ master: /opt/samba-4.5.1# make install
Během procesu příkazu činit, vidíme, že jsou kompilovány zdroje Samba 3 a Samba 4. Proto Team Samba potvrzuje, že jeho verze 4 je přirozenou aktualizací verze 3, a to jak pro řadiče domény založené na Samba 3 + OpenLDAP, tak souborové servery nebo starší verze Samba 4.
Zajišťování Samby
Jako DNS použijeme SAMBA_INTERNÁL, v https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End najdeme více informací. Když nás požádají o heslo uživatele správce, musíme zadat jeden v délce minimálně 8 znaků a také s písmeny - velkými a malými písmeny - a čísly.
Před pokračováním v zajišťování a pro usnadnění života přidáváme cesta spustitelných souborů Samba v našem souboru .bashrcPak zavřeme a znovu se přihlásíme.
root @ master: ~ # nano .bashrc # ~ / .bashrc: provedeno programem bash (1) pro nepřihlašovací skořápky. # Poznámka: PS1 a umask jsou již nastaveny v / etc / profile. Toto byste # neměli potřebovat, pokud pro root nechcete jiné výchozí hodnoty. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Následující řádky můžete odkomentovat, pokud chcete, aby byl „ls“ vybarven: # export LS_OPTIONS = '- color = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Některé další aliasy, aby nedocházelo k chybám : # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i' deklarovat -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin " root @ master: ~ # odhlášení odhlášení Připojení k hlavnímu počítači uzavřeno. xeon @ sysadmin: ~ $ ssh root @ master root @ master: ~ # poskytnutí domény nástroje samba --use-rfc2307 --interactive Říše [SWL.FAN]: SWL.FAN Doména [SWL]: SWL Role serveru (dc, člen, samostatný) [dc]: dc Backend DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNÁL IP adresa DNS serveru pro předávání (pro zakázání přeposílání zadejte „žádný“) [192.168.10.5]: 8.8.8.8 Heslo správce: Vaše heslo 2017 Zadejte heslo znovu: Vaše heslo 2017 Vyhledávání adres IPv4 Vyhledávání adres IPv6 Žádná adresa IPv6 nebude přiřazena Nastavení share.ldb Nastavení secrets.ldb Nastavení registru Nastavení databáze oprávnění Nastavení idmap db Nastavení SAM db Nastavení oddílů a nastavení sam.ldb Nastavení up sam.ldb rootDSE Předběžné načítání schématu Samba 4 a AD Přidání DomainDN: DC = swl, DC = ventilátor Přidání konfiguračního kontejneru Nastavení schématu sam.ldb Nastavení konfiguračních dat sam.ldb Nastavení specifikátorů zobrazení Úprava specifikátorů zobrazení Přidání kontejneru uživatelů Úprava kontejneru uživatelů Přidání kontejneru počítačů Úprava kontejnerů počítačů Nastavení dat sam.ldb Nastavení dobře známých principů zabezpečení Nastavení uživatelů a skupin sam.ldb Nastavení vlastního připojení Přidání účtů DNS Vytváření CN = MicrosoftDNS, CN = Systém, DC = swl, DC = fan Vytváření oddílů DomainDnsZones a ForestDnsZones Naplnění oddílů DomainDnsZones a ForestDnsZones Nastavení synchronizovaného označení kořenového adresáře sam.ldb Oprava GUID zabezpečeníKonfigurace Kerberos vhodná pro Samba 4 byla vygenerována na /usr/local/samba/private/krb5.conf Nastavení falešného nastavení serveru yp Po instalaci výše uvedených souborů bude váš server Samba4 připraven k použití Role serveru: doména aktivního adresáře řadič Hostname: master NetBIOS doména: SWL DNS doména: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556
Nezapomeňme zkopírovat konfigurační soubor Kerberos, jak ukazuje výstup souboru Provisioning:
root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
Chcete-li nezadat příkaz nástroj samba s vaším plným jménem vytvoříme symbolický odkaz s krátkým jménem nástroj:
root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool
Nainstalujeme NTP
Zásadním prvkem ve službě Active Directory je služba Network Time Service. Protože se ověřování provádí pomocí protokolu Kerberos a jeho lístků, je nezbytná synchronizace času se serverem Samba 4 AD-DC.
root @ master: ~ # aptitude install ntp root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd statistika loopstats peerstats clockstats filegen loopstats soubor loopstats typ den povolit filegen peerstats soubor peerstats typ den povolit filegenstats soubor clockstats hodiny typ den povolit server 192.168.10.1 omezit -4 výchozí kod notrap nomodify nopeer noquery omezit -6 výchozí kod notrap nomodify nopeer noquery omezit výchozí mssntp omezit 127.0.0.1 omezit :: 1 vysílání 192.168.10.255 root @ master: ~ # restart služby ntp root @ master: ~ # stav ntp služby root @ master: ~ # tail -f / var / log / syslog
Pokud při zkoumání syslog pomocí výše uvedeného příkazu nebo pomocí journalctl -f dostaneme zprávu:
19. června 12:13:21 master ntpd_intres [1498]: rodič zemřel, než jsme skončili, opuštění
musíme restartovat službu a zkusit to znovu. Nyní vytvoříme složku ntp_signd:
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd nelze získat přístup: Soubor nebo adresář neexistuje
root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /
# Jak je požadováno na samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. června 12:21 / usr / local / samba / var / lib / ntp_signd
Nakonfigurujeme začátek Samby pomocí systemd
root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service [Service] Type = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [instalace] WantedBy = multi-user.target root @ master: ~ # systemctl povolit samba-ad-dc root @ master: ~ # restart root @ master: ~ # systemctl status samba-ad-dc root @ master: ~ # systemctl status ntp
Umístění souborů AD-DC Samba 4
VŠECHNY -minus nově vytvořená služba samba-ad-dc.service- soubory jsou v:
root @ master: ~ # ls -l / usr / local / samba / celkem 32 drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:55 popelnice drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:50 atd. drwxr-sr-x 7 root zaměstnanci 4096 19. června 11:30 obsahovat drwxr-sr-x 15 root zaměstnanci 4096 19. června 11:33 lib drwxr-sr-x 7 root zaměstnanci 4096 19. června 12:40 soukromý drwxr-sr-x 2 root zaměstnanci 4096 19. června 11:33 sbin drwxr-sr-x 5 root zaměstnanci 4096 19. června 11:33 podíl drwxr-sr-x 8 root zaměstnanci 4096 19. června 12:28 byl
v nejlepším stylu UNIX. Vždy je vhodné procházet různé složky a zkoumat jejich obsah.
Soubor /Usr/local/samba/etc/smb.conf
root @ master: ~ # nano /usr/local/samba/etc/smb.conf # Globální parametry [global] netbios name = MASTER realm = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , role serveru dns = řadič domény v aktivním adresáři povolit aktualizace dns = zabezpečit pouze idmap_ldb: použít rfc2307 = ano idmap config *: backend = tdb idmap config *: range = 1000000-1999999 server ldap vyžaduje silné ověření = žádné jméno printcap = / dev / null [netlogon] cesta = /usr/local/samba/var/locks/sysvol/swl.fan/scripts pouze pro čtení = ne [sysvol] cesta = / usr / local / samba / var / locks / sysvol pouze pro čtení = ne root @ master: ~ # testparm Načíst konfigurační soubory SMB z /usr/local/samba/etc/smb.conf Sekce zpracování "[netlogon]" Sekce zpracování "[sysvol]" Načtený soubor služeb OK. Role serveru: ROLE_ACTIVE_DIRECTORY_DC Stisknutím klávesy Enter zobrazíte výpis definic vašich služeb # Globální parametry [globální] realm = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 ldap server vyžaduje silné ověření = Žádný passdb backend = role serveru samba_dsdb = aktivní adresář řadič domény rpc_server: tcpip = no rpc_daemon: spoolssd = vložený rpc_server: spoolss = vložený rpc_server: winreg = vložený rpc_server: ntsvcs = vložený rpc_server: eventlog = vložený rpc_server: srvs_vnější použití: rvc_server: použití rvc = použití externí roury = true idmap config *: range = 1000000-1999999 idmap_ldb: use rfc2307 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = Yes vfs objects = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / skripty pouze pro čtení = ne [sysvol] cesta = / usr / local / samba / var / locks / sysvol pouze pro čtení = ne
Minimální kontroly
root @ master: ~ # zobrazit úroveň domény nástroje Úroveň funkce domény a doménové struktury pro doménu 'DC = swl, DC = ventilátor' Úroveň funkce doménové struktury: (Windows) 2008 R2 Úroveň funkce domény: (Windows) 2008 R2 Nejnižší úroveň funkce doménové struktury: (Windows) 2008 R2 root @ master: ~ # ldapsearch -x -W root @ master: ~ # nástroj dbcheck Kontrola 262 objektů Zkontrolováno 262 objektů (0 chyb) root @ master: ~ # správce kinit Heslo pro Administrátor@SWL.FAN: root @ master: ~ # klist -f Mezipaměť lístků: SOUBOR: / tmp / krb5cc_0 Primární výchozí: Administrátor@SWL.FAN Platné spuštění Vyprší platnost hlavní 19. 06. 17 12:53:24 19 06:17:22 krbtgt/SWL.FAN@SWL.FAN obnovit do 20. 06. 17 12:53:18, Vlajky: RIA root @ master: ~ # kdestroy root @ master: ~ # klist -f klist: Soubor mezipaměti pověření '/ tmp / krb5cc_0' nebyl nalezen root @ master: ~ # smbclient -L localhost -U% Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Typ sdílení Název Komentář --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Služba (Samba 4.5.1) Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komentář serveru --------- ------- Hlavní skupina ---- ----- ------- root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls' Zadejte heslo správce: Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 Po 19. června 11:50:52 2017 .. D 0 Po 19. června 11:51:07 2017 19091584 bloků o velikosti 1024. K dispozici je 16198044 bloků root @ master: ~ # nástroj dns serverinfo master -U správce root @ master: ~ # hostitel -t SRV _ldap._tcp.swl.fan _ldap._tcp.swl.fan má záznam SRV 0 100 389 master.swl.fan. root @ master: ~ # hostitel -t SRV _kerberos._udp.swl.fan _kerberos._udp.swl.fan má záznam SRV 0 100 88 master.swl.fan. root @ master: ~ # host -t Master.swl.fan master.swl.fan má adresu 192.168.10.5 root @ master: ~ # hostitel -t SOA swl.fan swl.fan má záznam SOA master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 root @ master: ~ # hostitel -t NS swl.fan swl.fan název serveru master.swl.fan. root @ master: ~ # host -t MX swl.fan swl.fan nemá žádný MX záznam root @ master: ~ # samba_dnsupdate --verbose root @ master: ~ # seznam uživatelů nástroje Správce krbtgt Host root @ master: ~ # seznam skupin nástrojů # Výstupem je skupina skupin. ;-)
Spravujeme nově nainstalovanou Sambu 4 AD-DC
Pokud chceme upravit dobu platnosti hesla administrátora ve dnech; složitost hesel; minimální délka hesla; minimální a maximální doba platnosti hesla - ve dnech -; a změnit heslo správce deklarované během Provisioning, musíme provést následující příkazy pomocí hodnoty přizpůsobené vašim potřebám:
root @ master: ~ # nástroj
Použití: nástroj samba Hlavní nástroj pro správu samby. Možnosti: -h, --help zobrazit tuto nápovědu a ukončit Možnosti verze: -V, --version Zobrazit číslo verze Dostupné dílčí příkazy: dbcheck - Zkontrolovat chyby v místní databázi AD. delegace - správa delegace. dns - správa služby DNS (Domain Name Service). doména - správa domény. drs - správa adresářových replikačních služeb (DRS). dsacl - manipulace DS ACL. fsmo - Flexibilní správa rolí Single Master Operations (FSMO). gpo - správa objektů zásad skupiny (GPO). skupina - Správa skupiny. ldapcmp - Porovnejte dvě databáze ldap. ntacl - manipulace s NT ACL. procesy - Seznam procesů (na podporu ladění v systémech bez setproctitle). rodc - správa řadiče domény jen pro čtení (RODC). weby - Správa webů. spn - správa hlavního názvu služby (SPN). testparm - Kontrola syntaxe konfiguračního souboru. čas - Načte čas na serveru. uživatel - správa uživatelů. Další nápovědu ke konkrétnímu dílčímu příkazu zadejte: samba-tool (-h | --help)
root @ master: ~ # uživatel nástroje správce setexpiry --noexpiry
root @ master: ~ # sada nastavení hesla domény domény --min-pwd-length = 7
root @ master: ~ # sada nastavení hesla domény domény --min-pwd-age = 0
root @ master: ~ # sada nastavení hesla domény domény --max-pwd-age = 60
root @ master: ~ # uživatel nástroje setpassword --filter = samaccountname = správce --newpassword = Passw0rD
Přidáme několik záznamů DNS
root @ master: ~ # nástroj dns
Použití: samba-tool dns Správa služby DNS (Domain Name Service). Možnosti: -h, --help zobrazit tuto nápovědu a ukončit Dostupné dílčí příkazy: přidat - Přidat smazat záznam DNS - Smazat dotaz na záznam DNS - Dotaz na jméno. roothints - Dotaz na kořenové dotazy. serverinfo - Dotaz na informace o serveru. aktualizovat - Aktualizovat zónu záznamu DNS vytvořit - Vytvořit zónu. zonedelete - Odstranění zóny. zoneinfo - Dotaz na informace o zóně. zonelist - Dotaz na zóny. Další nápovědu ke konkrétnímu dílčímu příkazu zadejte: samba-tool dns (-h | --help)
Poštovní server
root @ master: ~ # nástroj dns přidat hlavní swl.fan mail Správce 192.168.10.9 -U root @ master: ~ # nástroj dns přidat hlavní swl.fan swl.fan MX "mail.swl.fan 10" -U správce
Opravená IP ostatních serverů
root @ master: ~ # nástroj dns přidat master swl.fan sysadmin administrátor 192.168.10.1 -U root @ master: ~ # nástroj dns přidat hlavní souborový server swl.fan Správce 192.168.10.10 -U root @ master: ~ # nástroj dns přidat hlavní swl.fan proxy Správce 192.168.10.11 -U root @ master: ~ # nástroj dns přidat hlavní swl.fan chat Správce 192.168.10.12 -U
Reverzní zóna
root @ master: ~ # nástroj dns zonecreate master 10.168.192.in-addr.arpa -U správce Heslo pro [SWL \ administrator]: Zóna 10.168.192.in-addr.arpa byla úspěšně vytvořena root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. - Správce root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. - Správce root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. - Správce root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. - Správce root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. - Správce root @ master: ~ # nástroj dns přidat master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. - Správce
Kontroly
root @ master: ~ # nástroj dns dotaz master swl.fan mail ALL -U administrátor Heslo pro [SWL \ administrator]: Jméno =, Záznamy = 1, Děti = 0 A: 192.168.10.9 (příznaky = f0, sériové = 2, ttl = 900) root @ master: ~ # hostitel master master.swl.fan má adresu 192.168.10.5 root @ master: ~ # hostitelský sysadmin sysadmin.swl.fan má adresu 192.168.10.1 root @ master: ~ # hostitelská pošta mail.swl.fan má adresu 192.168.10.9 root @ master: ~ # hostitelský chat chat.swl.fan má adresu 192.168.10.12 root @ master: ~ # hostitel proxy proxy.swl.fan má adresu 192.168.10.11 root @ master: ~ # hostitelský souborový server fileserver.swl.fan má adresu 192.168.10.10 root @ master: ~ # hostitel 192.168.10.1 1.10.168.192.in-addr.arpa ukazatel názvu domény sysadmin.swl.fan. root @ master: ~ # hostitel 192.168.10.5 5.10.168.192.in-addr.arpa ukazatel doménového jména master.swl.fan. root @ master: ~ # hostitel 192.168.10.9 9.10.168.192.in-addr.arpa ukazatel názvu domény mail.swl.fan. root @ master: ~ # hostitel 192.168.10.10 10.10.168.192.in-addr.arpa ukazatel názvu domény fileserver.swl.fan. root @ master: ~ # hostitel 192.168.10.11 11.10.168.192.in-addr.arpa ukazatel názvu domény proxy.swl.fan. root @ master: ~ # hostitel 192.168.10.12 12.10.168.192.in-addr.arpa ukazatel doménového jména chat.swl.fan.
Pro zvědavce
root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \ DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:
Přidáváme uživatele
root @ master: ~ # uživatel nástroje
Použití: uživatel nástroje samba Správa uživatelů. Možnosti: -h, --help zobrazit tuto zprávu nápovědy a ukončit Dostupné dílčí příkazy: přidat - Vytvořit nového uživatele. vytvořit - Vytvořit nového uživatele. odstranit - Odstranit uživatele. disable - Zakáže uživatele. enable - Povolit uživatele. getpassword - Získejte pole hesla účtu uživatele / počítače. seznam - Seznam všech uživatelů. heslo - Změna hesla pro uživatelský účet (ten, který je uveden v ověřování). setexpiry - Nastavit dobu platnosti uživatelského účtu. setpassword - Nastavení nebo resetování hesla uživatelského účtu. syncpasswords - Synchronizace hesla uživatelských účtů. Pokud potřebujete další pomoc s konkrétním dílčím příkazem, zadejte: uživatel nástroje samba (-h | --help)
root @ master: ~ # uživatel nástroje vytvoří trancos Trancos01
Uživatel 'trancos' byl úspěšně vytvořen
root @ master: ~ # uživatel nástroje vytvořit gandalf Gandalf01
Uživatel „gandalf“ byl úspěšně vytvořen
root @ master: ~ # uživatel nástroje vytvoří legolas Legolas01
Uživatel „legolas“ byl úspěšně vytvořen
root @ master: ~ # seznam uživatelů nástroje
Správce gandalf legolas kráčí krbtgt Host
Správa přes grafické rozhraní nebo přes webového klienta
Navštivte wiki.samba.org, kde najdete podrobné informace o instalaci Microsoft RSAT o Nástroje pro vzdálenou správu serveru. Pokud nepožadujete klasické zásady poskytované službou Microsoft Active Directory, můžete balíček nainstalovat ldap-správce účtu který nabízí jednoduché rozhraní pro správu prostřednictvím webového prohlížeče.
Programový balíček Microsoft Remote Server Administration Tools (RSAT) je součástí operačních systémů Windows Server.
Připojili jsme doménu k klientovi Windows 7 s názvem „seven“
Jelikož nemáme v síti server DHCP, první věcí, kterou musíme udělat, je nakonfigurovat síťovou kartu klienta s pevnou IP adresou, deklarovat, že primární DNS bude IP samba-ad-dc, a zkontrolujte, zda je aktivována možnost „Zaregistrovat adresu tohoto připojení v DNS“. Není nečinné kontrolovat, zda jméno «sedm»Ještě není zaregistrován v interním DNS Samby.
Poté, co se připojíme k doméně a restartujeme ji, zkusme se přihlásit pomocí uživatele «kroky«. Zkontrolujeme, zda vše funguje dobře. Doporučuje se také zkontrolovat protokoly klienta Windows a zkontrolovat, jak je čas správně synchronizován.
Správci s určitými zkušenostmi se systémem Windows zjistí, že jakékoli kontroly provedené u klienta přinesou uspokojivé výsledky.
Shrnutí
Doufám, že článek bude užitečný pro čtenáře komunity. DesdeLinux.
Ahoj!
Dlouhý, ale podrobný článek, velmi dobrý krok za krokem, jak dělat všechno.
Zdůrazňuji NIS, pravdou je, že i když vím o jeho existenci, nikdy jsem nevěděl, jak to funguje, protože abych byl upřímný, vždycky jsem měl dojem, že vedle LDAP a Samby 4 byl prakticky mrtvý.
PS: Gratulujeme k vašemu novému osobnímu projektu! Škoda, že zde nebudete pokračovat v psaní, ale alespoň je místo, kde vás můžeme sledovat.
Obrovský návod jako vždy k mým oblíbeným, Zdravím Fico.
Gratuluji k projektu.
Sekce NIS je skvělá, sympatizuji s Gonzaloem Martinezem, stručně jsem ji znal, ale neměl jsem ponětí, jak ji implementovat a v jakých situacích se používá.
Děkuji jednou za obrovský "kmen" teoretického a praktického článku.
Konečně nové úspěchy ve vašem novém projektu «gigainside».
Děkuji všem za komentář !!!.
pozdravy
smb.conf, který ukážete, nemá žádné spojení s LDAP, je to záměrně nebo jsem něco nechal?
mussol: Toto je ovladač domény Active Directory Samba 4, který již má integrovaný server LDAP.
Mohl byste se vyjádřit k tomu, jak propojit Mac (Apple) se sambou 4 AD-DC?
Děkuju.
Jak se máte;
Díky za manuál, je to skvělé. Mám dotaz ohledně zprávy, která se mi objeví.
root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
Nepodařilo se vyřešit daný název hostitele / IP: ad.rjsolucionessac.com. Všimněte si, že nemůžete použít rozsahy IP stylů '/ mask' AND '1-4,7,100-'
Nelze najít platný cíl. Ujistěte se, že zadanými hostiteli jsou buď adresy IP ve standardní notaci, nebo názvy hostitelů, které lze vyřešit pomocí DNS
root @ AD: ~ #