Agordi servilon Active Directory kun Debian kaj Samba. Unua parto

Saluton al ĉiuj. En ĉi tiu serio de kursoj mi instruos vin kiel starigi servilon Aktiva Dosierujo por retoj kun komputiloj fenestroj malalta Debian (Se ni starigos servilon, ni faros ĝin ĝuste, brulligno). En ĉi tiu unua transdono mi klarigos la instaladon kaj agordon de la servilo kaj en la dua mi instruos kiel uzi la ilaj administraj iloj de fenestroj 7 kaj kiel kunigi la komputilojn al la domajno (Vindozo 7 mem kaj a Windows XP). Poste mi faros trian transdonon krom kiel aliĝi al teamoj kun GNU / Linukso, ĉar ĝi estas io, kion mi ankoraŭ ne provis.

Ĉi tiu ideo venis al mi dum mi (aŭ estis, dependas de kiam vi legis ĉi tiun enskribon) kurson pri la striko de Teknikisto pri Riparado de Mikrokomputilaj Ekipaĵoj, en kiu ni starigis retan servilon kun fenestroj 2008 (ne RC2) kaj mi komencis serĉi ĉu mi povus efektivigi la samon sub GNU/Linukso kaj la rezulto estas vere bona, eĉ mia instruisto surpriziĝis pri la rapideco de la servilo.

Antaŭ ol daŭrigi, kaj certe multaj el vi demandas vin, Kio estas Aktiva Adresaro? Nu, ĝi estas la termino, kiun uzas Microsoft por aludi sian aron da iloj por retadministrado kiel la servilo DNS, la administrado de retuzantoj, ktp.

Ni bezonos jenon:

  • Debian en ĝia stabila branĉo (en mia kazo Wheezy 7.5 kun XFCE kiel labortabla medio)
  • Sambo 4
  • Kliento kun Vindozo 7 / 8 / 8.1 kun la pakaĵo por instali kontrolajn funkciojn de fora servilo (bezonata por administri la servilon, kiel ekzemple dividi dosierujon kun uzantoj). Ĉi tio estos klarigita en la sekva lernilo.

Agordi la servilon

Antaŭ ol daŭrigi, ni devas redakti iujn dosierojn por ke ĉio funkciu, precipe por ke la komputiloj en la reto trovu la domajnan servilon.

La unua afero estas doni adreson al nia servilo Fiksita IP. En la kazo de mia Debiana testado en Virtualabulo uzi retoj, kio devenas de la bazo, sed en la vera servilo mi agordas ĝin Retadministranto, do mi klarigos kiel ĝi estas farita en ambaŭ.

interkonektanta

La unua dosiero, kiun ni redaktos, estas / etc / network / interfaces.
# This file describes the network interfaces available on your system

kaj kiel aktivigi ilin. Por pliaj informoj, vidu interfacojn (5).

La bukla reta interfaco

aŭti ĝin
iface lo inet loopback

La ĉefa retinterfaco

aŭtomata eth0
iface eth0 inet statika
adreso 192.168.0.67
retmasko 255.255.255.0
enirejo 172.26.0.1
dns-nomserviloj 192.168.0.67
dns-search class.org
dns-domain class.org
Esti:

  • adreso: la IP de nia teamo.
  • retmasko: la retmasko. En malgranda reto aŭ hejmo kutime estas ĉi tio.
  • enirejo: la enirejo. Normale estas la IP de la enkursigilo, kiu donas al ni la eliron al la interreto.
  • dns-nomserviloj: Servila ip DNS. Ĉi-kaze la servilo, sed vi povas aldoni duan, ekzemple la publikojn de google.
  • La lastaj 2 indikas la domajnan serĉnomon kaj la domajnan nomon mem.

Nun ni devas aldoni la jenajn liniojn al / etc / hosts:
127.0.0.1 Matrix.clase.org Matrix
192.168.0.67 Matrix.clase.org Matrix

Per tio, la domajna nomo estos solvita tiel ke ĝi troveblas en la reto. matrix estas la nomo, kiun mi donis al la servilo.

Fine ni redaktas /etc/resolv.conf:

nameserver 192.168.0.13

En iuj lerniloj, kiujn mi trovis, ili aldonis alian nomservilan linion kaj kelkajn pliajn variablojn, sed en mia kazo sufiĉis nur unu linio.
Nun ni rekomencas la retan servon kaj jen:

/etc/init.d/networking restart

Retadministranto

Dekstre alklaku la retan ikonon kaj elektu Redaktu ligojn. Ni ricevos la retojn, kiujn ni agordis, sed nin interesas nur la alvoko Kabligita reto 1 aŭ kiel ajn vi nomis ĝin. Ni duoble alklakas ĝin kaj nova fenestro aperos kaj ni iros al Agordoj de IPv4. en metodo ni elektas manlibro. Nun alklaku Aldoni kaj plenigu ĉiujn kampojn:
AC DC Debian - Reta Administranto
Nun ni iras al la langeto Ĝenerala kaj ni certigas, ke ĝi estas markita Ĉiuj uzantoj devas konektiĝi al ĉi tiu reto. Alklaku Konservi kaj ni foriris.

Instalante Samba 4

En nia kazo ni elŝutos kaj kompilos Samba 4 de ĝia paĝo, ĉar en Debian ĝi haveblas nur per la deponejo. Malantaŭaj havenoj kaj ĝi donis al mi dependajn problemojn.

Ni iros al http://samba.org elŝuti la plej novan stabilan version kaj malzipigi la pakaĵon en dosierujo.

La plej nova stabila versio dum la verkado de ĉi tiu artikolo estas 4.1.8 do ĝi estos tiu kun kiu ni laboras.

Por kompili ĝin ni bezonos instali la jenajn pakojn:

apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl

Unufoje elŝutita kaj malŝarĝita, ni malfermas terminalon kaj moviĝas al la dosierujo kaj plenumas la jenajn komandojn:
./configure --enable-debug
make
make install

La defaŭlta instalado estas en  / usr / loka / sambo. Dum ĝi subtenas la parametron –prefikso = / usr NO instalas ĝin en la respondajn dosierujojn (ekzemple la duumaĵoj ne enmetas ilin / usr / bin)

Nun ni aldonas la novajn itinerojn en la VOJ. En mia kazo en /etc/bash.bashrc apliki al ĉiuj uzantoj, inkluzive al radiko.

export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin

Kaj ni ankaŭ kreas ligon ene / ktp por Samba trovi la agordan dosieron:

ln -s /usr/local/samba/etc/ /etc/samba

Ni agordos la Samba-servilon. Por ĉi tio ni ekzekutas:

samba-tool domain provision --realm=clase.org --domain=CLASE --adminpass=Contraseña --use-rfc2307

kie:

  • –Realm: estas la plena domajna nomo.
  • –Dominio: estas la domajno. Devas esti en majuskloj
  • –Adminspass: estas la pasvorto de la retadministranto.
  • –Uzu-rfc2307: aktivigi AC.

Se ĉio iros bone post iom da tempo, Samba finos agordi sin. Se vi volas scii ĉiujn eblajn eblojn, simple rulu:

samba-tool domain provision -h

Nun ni redaktos la dosieron /etc/samba/smb.conf. Nuntempe kio interesas nin estas la sekva linio:
dns forwarder = 192.168.0.1

Ĉi tiu linio devas indiki la DNS-servilon, kiu donas al ni aliron al la interreto (ĉi-kaze la enkursigilo). Samba prenas la defaŭltan agordon de la reto sed rekomendas kontroli ĝin.

Nun ni komencas la servon:

samba

kaj ni kontrolas la konekton per ekzekuto:

smbclient -L localhost -U%

Kaj se ĉio ĝustas, ni vidos ion similan al ĉi tio:
kontrolante, ke sambo funkcias
Se ĝi donis al ni eraran konekton, ni kontrolas la paŝojn de la antaŭa punkto. La Samba protokolo estas en /usr/local/samba/var/log.samba

Nun ni kopios la dosieron /usr/local/samba/private/krb5.conf a / ktp. Nun ni kontrolos, ke ni povas konekti:

kinit administrator@CLASE.ORG

Oĵo, la domajno devas esti majuskla.

Tiam ĝi petos al ni la pasvorton de la uzanto (ĉi-kaze la administranto) kaj se ni ricevos mesaĝon similan al «Averto: Via pasvorto eksvalidiĝos post 40 tagoj je Mon Jul 14 13:57:10 2014» estas ke ĝi aperis ĝuste.

Kaj ĝis nun la unua parto de la lernilo. Ni legis en la sekva.

Mi jam komentis ĝin plurfoje en la komentoj, sed mi metis ĝin ĉi tien. Pro la fakto, ke mi nuntempe ne havas la necesajn rimedojn (mi havas komputilon nur hejme kaj muntas ĉi tion dum kurso) kaj ke fari ĝin en virtualaj maŝinoj estas maloportune, estas neeble por mi daŭrigi. Se iu kun scio kaj la teamo volas daŭrigi ĉi tion, ili rajtas fari tion)

La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

44 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Lolo diris

    Tre interesa, mi ĉiam volis scii, kiel tio estis farita.

    Ĉu eblas fari ĝin per SSH anstataŭ Samba?

    Mi komprenas, ke ĝi estas multe pli rapida kaj pli sekura.

    1.    Claudio Concepcion lokokupilo diris

      Kara Lolo, tio estas neebla, ĉar SSH permesas kunsidon (kaj aliajn aferojn, kiel transdono de dosieroj kaj programoj) tra la terminalo inter komputiloj kun GNU Linukso. Samba kio konsistigas alternativon por GNU Linukso de la aktiva dosierujo de Mikrosofto.

      Son Link, kion li kreis, estas domajna regilo en GNU Linukso.

  2.   Antonio diris

    Tre bona tuto. Ĝi bonegas por homoj kiel mi, kiuj iom verdas sur ĝi. Multaj dankoj

  3.   Claudio Concepcion lokokupilo diris

    Dankon! Bonega gvidilo. Aprobo ...

  4.   adiazc87 diris

    Dankon amiko, tre bona via gvidisto.Mi esperas la duan parton, cetere ĉu vi igis ĝin funkcii per ldap?

    Salutojn.

  5.   sebastian diris

    Tre interesa, mi atendas la daŭrigon. Dankon. ^ _ ^

    PS: Mi pensas, ke estas iom da transskriba eraro en la agordo / etc / network / interfaces, ĝi diras dns-domian kiam ŝajnas al mi, ke ĝi devas iri dns-domain.

  6.   Wilson Ruiz diris

    Mi trovis ĉi tiun artikolon tre interesa. Ĉar mi ĵus lernas kaj mi ne havas multan scion pri ĉi tiu afero kaj mi volas lerni pli pri administrado kaj administrado de operaciumoj.

  7.   eliotime3000 diris

    Ĉu tio utilas por krei komunajn dosierujojn en Debian aŭ ĉu ĝi celas alian lernilon pri tiu aspekto?

  8.   Gonzalo diris

    Estas Linuksa distribuo nomata Resara Server bazita sur Ubuntu, kiu estas uzata ekskluzive por konstrui domajnan regilon, mi provis ĝin kaj ĝi estas tre facile uzebla, mi povis kunigi komputilojn al la domajno kun tiu servilo, mi lasas ĉi tie la howto, eble iu uzos ĝin - http://ostechnix.wordpress.com/2012/12/31/resara-server-an-alternative-opensource-linux-domain-controller-for-windows-active-directory-controller/

    1.    elav diris

      Ho !!! Bonege, la kontribuo de la tago .. Dankon 😉

      1.    Gonzalo diris

        Nedankinde! 😀

    2.    La_Mastersok diris

      Dankon pro dividado !!!
      salutoj

  9.   oscar diris

    Bonega lernilo, mi atendos la reston. Mi memoras, kiam mi instalis PDF en Debian 6 kun sambo 3 kaj ldap. Ĝi funkciis, sed mi devis uzi la ŝablonojn .pol por redakti la direktivojn. En ĉi tiu kazo, kiel administras ĉi tiujn politikojn?

  10.   Mario Vilhelmo Zavala Silva diris

    Bonega informo ... Dankon pro ĉi tio ...

    KURAJ !!!

  11.   ĉesu diris

    Bonega .... Mi tre interesiĝas pri ĉi tio ... por kiam la dua parto ??? aŭ se vi havas ian manlibron pri ĉi tio, sendu ĝin al mi per retpoŝto ... bonvolu !! Dankon

  12.   La_Mastersok diris

    Bonega lernilo ....
    Mi esperas, ke iam mi praktikos ĝin ..
    Salutojn kaj atendis la duan parton !!!!

  13.   Leandro diris

    La vero estas, ke mi faris tion unufoje, sed mi eniris preskaŭ nenion ... Mi volas rekomendi / al vi ilon, mi ne scias, ĉu vi scias ĝin aŭ ne, mi ne scias ĝiajn limojn, sed por konekti al Active Directory-servilo mi ne havis problemon, mi provis ĝin en kolegio kaj ĝi funkciis tre bone. La programo nomiĝas Simile, ĝi faras same kiel ĉio, kion vi faris kun Samba, nenion pli ol vi ne tiom agordas, ĝi estas io pli resumita, kompreneble vi povas modifi tion, kion vi bezonas laŭ via plaĉo 🙂

    Mi esperas, ke ĉi tio povas helpi vin! Saluton

  14.   César diris

    Tre interesa artikolo, mi antaŭĝojos pri la dua transdono. Estis granda surprizo ekscii, ke eblas pritrakti "modernan" aktivan dosierujon per Gnu / Linukso, mi memoras, ke mi faris ĝin antaŭ longa tempo kun aktiva dosierujo de tipo NT 4 kaj estis granda seniluziiĝo ne povi kopiu ĝin kiam Microsoft ŝanĝis la "strukturon" de via LDAP en Windows 2000 Server.

    Salutojn el Ekvadoro =]

  15.   mmm diris

    Saluton. Multaj dankoj!
    Mi havas du dubojn ... por kio precize servas la aktiva dosierujo?
    Kaj aliflanke, ĉu vi povus instrui, se vi povas, kiel fari por kontroli, kion faras uzantoj?
    Saluton kaj dankon.

    Mi por aŭtoro efektivigis ĉi tion: http://chicheblog.wordpress.com/2011/01/21/como-auditar-la-actividad-de-los-usuarios-en-samba/
    Sed se vi povas pligrandigi ĝin, aŭ aldoni ion, kion vi scias, ĝi dankas!
    salutojn

  16.   RaulBaca diris

    Bonan Nokton, Salutojn el Peruo.
    Mi havas demandon iomete diferencan de ĉio publikigita, vidu iom klarigi, vidu Mi havas ĉi tiun dosierujon agordita en dosiero /etc/samba/smb.conf

    [Privata]
    komento = Privata Dosierujo
    vojo = / hejmo / privata
    nurlega = jes
    foliumebla = yes
    gasto bone = ne
    publika = ne
    skribu liston = @komerca, @ sugesto
    validaj uzantoj = @comercial, @gestion
    krei maskon = 0777
    adresara masko = 0777

    Nun mia konsulto iras, ĉio funkcias bone, sed kiam de komputilo mi ensalutas kun la uzanto «pepe» apartenanta al la grupo «komerca» kaj de alia komputilo mi ensalutas kun la uzanto «coco» apartenanta al la grupo «gestion», la sekvaĵo okazas kiam mi kreas dosieron aŭ dosierujon de la uzanto "pepe" kaj mi volas forigi ĉi tiun dosierujon aŭ dosieron kreitan de la alia komputilo kun la uzanto "coco" ĝi diras al mi ke mi ne povas ĉar mi ne havas privilegioj, sed la aŭtoro mem povas forigi ĉi tiun dosieron aŭ dosierujon, vi atingas.

    La privata dosierujo estis kreita laŭ la sekva maniero:
    chmod -R 777 / hejmo / privata
    Ili funkcias sub la sama reto LAN.
    Mi uzas Distro Ubuntu Server 14.xx
    Notindas, ke mi volas, ke ĉi tiu PRIVATA dosierujo estu administrita de 2 aŭ pli da uzantoj tie la ideo labori kun Grupoj, sed ŝajnas, ke mankas aŭ preterlasas ion, mi esperas vian atenton kaj mi restu atenta al viaj komentoj.

    1.    La sanktulo diris

      Amiko, kiun vi povas atingi forigante la komojn
      tiel.

      skribu liston = @komerca @ sugesto
      validaj uzantoj = @komerca @ sugesto

  17.   Raúl Baca Centeno diris

    Saluton kara,

    Mi ŝatus scii ĉu la dua parto de la kurso ankoraŭ estas pritraktata, mi antaŭĝojas pri viaj komentoj kaj dankon.

  18.   Mikaelo diris

    Bonan posttagmezon, nur hodiaŭ mi legis ĉiujn komentojn kaj mi havas duonkonfiguritan maŝinon, tial mi ekscias, ke vi ne publikigos la duan parton kaj mi volas scii ĉu vi povas havi plenumeblan en dosierujo kaj pluraj dbf tabloj, por aliri de pluraj komputiloj.
    Bonvolu respondi kiel eble plej baldaŭ.

  19.   Raul baca diris

    Kara,
    Mi ŝatus scii ĉu la dua parto de ĉi tiu interesa lernilo ankoraŭ atendas, mi anticipe dankas vin pro via atento.
    Dankon.

  20.   jaraneda diris

    Bonega lernilo, mi esperas, ke vi kuraĝigas la duan parton, ĉu vi povus diri al mi, kiuj estas la teleregilaj kontroliloj por elŝuti kaj testi ilin.

    Salutojn.

  21.   BETO diris

    Mi gratulas vin, kaj la duan parton?

  22.   Daniel Bernal diris

    Interesa artikolo, ĉu vi publikigis la sekvan version?

  23.   levita diris

    Tre bona lernilo, nur unu demando pri la dua parto, kiel ĝi estus aŭ kun ĉi tiu lernilo finiĝas?

  24.   SARA diris

    MI ŜATAS LA IDEON LERNI NOVAJN A ,TOJN, DANKON DAVID POR KONUNIGO DE VIA SCIO,
    KURACOJ

    POSTSKRIBTO: SUR LA TEMO DE LERNADO, MI PROVOS FARI ĜIN SUR MIA VIRTUA MASXINO, ILI DEVAS KIEL SERVANTO KAJ GRUPOJ DE VIRTUALAJ KLIENTOJ, KUN KUN VINTO 7 KAJ ALIA KUN VINCO.

  25.   edgar diris

    Ĉi tiu gvidilo estas nekompleta, vi ne specifas dosierujojn, vi lasas aferojn hazarde, se mi estus vi, mi ripetus ĝin

    1.    elav diris

      Aŭ vi povus kompletigi ĝin kaj skribi ĝin mem, ni volonte publikigos ĝin por vi.

  26.   ada muro diris

    kiel agordi servilon en debian 5 por povi konekti malproksime al xp

  27.   franco diris

    saluton, kiam mi faras:
    root @ pdc: ~ # apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev \ libgnutls-dev libreadline-dev python-dev libpam0g-dev \ python-dnspyth gdb pkg-config libpopt-dev libldap2-dev \ dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2 ac1
    diras al mi:
    Leganta pakaĵaj listoj ... Farita
    Konstrui dependa arbo
    Legado de ŝtata informo ... Farita
    Paka konstru-esenca ne disponeblas, sed estas menciita de alia pako.
    Ĉi tio povas signifi, ke la pakaĵo mankas, malnoviĝis aŭ
    estas havebla nur de alia fonto
    E: Paka konstru-esenca ne havas instalan kandidaton

    iu helpo? dankon

  28.   anonima diris

     

    1.    anonima diris

      la deponejoj ne estas agorditaj

  29.   Carlos diris

    Mi scias, ke vi ne publikigos mian komenton. La artikolo estas sufiĉe malbona, kompreneble kiel kerberos estas agordita, ĉar vi aplikas ĝin en la postuloj. Kial kompili Samba? Versio 4 nun haveblas. Kun la agordo, kiun vi starigis, la Kinit donas al vi fiksan eraron NT_STATUS_DENIED!. Por ĉiuj, kiuj interesiĝas pri komencado: https://help.ubuntu.com/lts/serverguide/samba-dc.html