Seeria üldindeks: Arvutivõrgud VKEdele: sissejuhatus
Tere sõbrad ja sõbrad!
Selle artikliga jätan kogukonnaga hüvasti DesdeLinux. Eriline hüvastijätt erilise kogukonna jaoks. Nüüdsest olen oma isiklikus projektis, mida näete aadressil http://www.gigainside.com.
Postituse peamine eesmärk on pakkuda «Suur pilt»Meie käsutuses oleva tasuta tarkvaraga autentimisteenuste kohta. Vähemalt on see meie kavatsus. Seetõttu on see pikk, hoolimata sellest, et teame, et see on artiklite kirjutamise üldreeglitega vastuolus. Loodame, et süsteemiadministraatorid hindavad seda.
Tahame märkida, et paljude kaasaegsete autentimissüsteemide ühine protokoll on LDAPja et pole mõttekas seda hoolikalt uurida, tuginedes õppematerjalile, mille leiame ametlikult saidilt http://www.openldap.org/.
Me ei anna üksikasjalikke määratlusi ega linke eelmistes artiklites käsitletud aspektide kohta ega nende kohta, mille kirjeldusele on Vikipeedias või muudel veebisaitidel või artiklites hõlpsasti juurdepääs, et mitte kaotada soovitud sõnumi objektiivsust andma. Kasutame ka kehtivat nimede segu inglise ja hispaania keeles, kuna arvame, et enamik süsteeme on sündinud ingliskeelsete nimedega ja Sysadminil on väga kasulik neid omastada originaalkeeles.
- PAM: Ühendatav autentimismoodul.
- NIS: Võrgu_teabe_teenus.
- LDAP: kerge kataloogidele juurdepääsu protokoll.
- Kerberos: Turbeprotokoll kasutajate, arvutite ja teenuste autentimiseks keskselt võrgus, kontrollides nende volitusi Kerberose andmebaasis olevate kirjete suhtes.
- DS: Kataloogiserver või kataloogiteenus
- AD-DC: Active Directory - domeenikontroller
PAM
Pühendame seda tüüpi kohalikule autentimisele väikese seeria, mida näete igapäevases praktikas, et seda kasutatakse laialdaselt, kui liitume näiteks tööjaamaga domeenikontrolleri või Active Directoryga; välistesse LDAP andmebaasidesse salvestatud kasutajate kaardistamiseks, nagu oleksid nad kohalikud kasutajad; Active Directory domeenikontrollerisse salvestatud kasutajate kaardistamiseks, nagu oleksid nad kohalikud kasutajad jne.
- Kalmaari + PAM-i autentimine CentOS 7-s.
- Kohalik kasutaja ja rühma haldamine
- Autoriteetne DNS-serveri NSD + Shorewall
- Prosody IM ja kohalikud kasutajad
- Postfix + Dovecot + Squirrelmail ja kohalikud kasutajad
NIS
De Wikipedia:
- Võrguinfosüsteem (tuntud akronüümiga NIS, mis hispaania keeles tähendab võrguinfosüsteemi) on Sun Microsystemsi välja töötatud kliendi-serveri kataloogiteenuste protokolli nimi konfiguratsiooniandmete saatmiseks hajutatud süsteemides nagu kasutajate ja hostide nimed võrgus olevate arvutite vahel.NIS põhineb ONC RPC-l ja koosneb serverist, kliendipoolsest teegist ja erinevatest haldustööriistadest.
NIS kandis algselt nime Yellow Pages ehk YP, mida kasutatakse siiani sellele viitamiseks. Kahjuks on see nimi British Telecomi kaubamärk, mis nõudis Sunilt selle nime langetamist. YP jääb siiski enamiku NIS-iga seotud käskude, näiteks ypserv ja ypbind, nimedeks.
DNS teenib piiratud teavet, kõige olulisem on sõlme nime ja IP-aadressi vastavus. Muud tüüpi teabe puhul sellist spetsialiseeritud teenust pole. Teiselt poolt, kui haldate ainult väikest Interneti-ühendusega LAN-i, ei tundu DNS-i seadistamist väärt. Seetõttu arendas Sun välja võrguinfosüsteemi (NIS). NIS pakub üldisi andmebaasidele juurdepääsu võimalusi, mida saab kasutada näiteks passwd-s sisalduva teabe levitamiseks ja failide rühmitamiseks teie võrgu kõikidesse sõlmedesse. See muudab võrgu välja nagu üks süsteem, kus kõigis sõlmedes on samad kontod. Samamoodi saab NIS-i kasutada jaotises / etc / hosts sisalduva sõlme nime teabe levitamiseks kõigile võrgu masinatele.
Täna on NIS saadaval praktiliselt kõigis Unixi distributsioonides ja seal on isegi tasuta rakendusi. BSD Net-2 avaldas ühe, mis on tuletatud Suni annetatud üldkasutatava viite rakendusest. Selle versiooni kliendiosa teegikood on GNU / Linuxi libc-s olnud pikka aega ja haldusprogrammid porditi GNU / Linuxi Swen Thümmler poolt. NIS-server puudub aga viite juurutamisel.
Peter Eriksson on välja töötanud uue rakenduse nimega NYS. See toetab nii põhilisi NIS-e kui ka Sun NIS + täiustatud versiooni. [1] NYS ei paku mitte ainult mitmeid NIS-i tööriistu ja serveri, vaid lisab ka täiesti uue teegifunktsioonide komplekti, mille peate kompileerima oma libc-i, kui soovite neid kasutada. See hõlmab sõlme nime eraldusvõime uut konfiguratsiooniskeemi, mis asendab praeguse skeemi, mida fail "host.conf" kasutab.
GNU libc, GNU / Linuxi kogukonnas tuntud kui libc6, sisaldab uuendatud versiooni traditsioonilisest NIS-toest, mille on välja töötanud Thorsten Kukuk. See toetab kõiki NYS-i pakutavaid raamatukogu funktsioone ja kasutab ka täiustatud NYS-i konfiguratsiooniskeemi. Tööriistu ja serverit on endiselt vaja, kuid GNU libc kasutamine säästab teegi lappimise ja uuesti kompileerimise tööd
.
Arvuti ja domeeninimi, võrguliides ja resolver
- Alustame Debiani 8 "Jessie" puhtast installimisest - ilma graafilise liideseta. Domeen swl.fan tähendab "vaba tarkvara fänne". Mis oleks parem nimi kui see?.
root @ master: ~ # hostinimi
meister
root @ master: ~ # hostinimi -f
master.swl.fan
root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state Tundmatu rühma vaikelink / tagasisidet 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 hatóala host lo valid_lft forever prefer_lft forever inet6 :: 1/128 ulatuse host valid_lft igavesti eelistatud_lft igavesti 2: eth0: mtu 1500 qdisc pfifo_fast olek UP grupi vaikimisi qlen 1000 link / eeter 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 ulatus globaalne eth0 valid_lft igavesti eelistatud_lft igavesti inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 ulatuse link valid_lft igavesti eelistatud_lft igavesti
root @ master: ~ # cat /etc/resolv.conf
Otsi swl.fan nimeserverit 127.0.0.1
Bind9, isc-dhcp-serveri ja ntp installimine
siduma9
root @ master: ~ # aptitude install bind9 BIND9-doc nmap juur @ master: ~ # systemctl olek root @ master: ~ # nano /etc/bind/named.conf lisada "/etc/bind/named.conf.options"; hulka kuuluvad "/etc/bind/named.conf.local"; hulka kuuluvad "/etc/bind/named.conf.default-zones"; root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original root @ master: ~ # nano /etc/bind/named.conf.options valikud {kataloog "/ var / cache / bind"; // Kui teie ja nimeserverite vahel, kellega soovite // rääkida, on tulemüür, peate võib-olla parandama tulemüüri lubamaks mitmel // pordil rääkida. Vaata http://www.kb.cert.org/vuls/id/800113 // Kui teie Interneti-teenuse pakkuja andis stabiilsele // nimeserverile ühe või mitu IP-aadressi, soovite tõenäoliselt neid kasutada ekspediitoritena. // Tühjendage järgmine plokk ja lisage aadressid, asendades // kõik-0 kohahoidja. // ekspedeerijad {// 0.0.0.0; //}; // ================================================= = ==================== $ // Kui BIND logib veateateid juurvõtme aegumise kohta, // peate oma võtmeid värskendama. Vaata https://www.isc.org/bind-keys // ================================================= = ===================== $ // Me ei soovi DNSSEC-i dnssec-enable ei; // dnssec-valideerimine auto; auth-nxdomain nr; # vastama RFC1035 kuulamisele-v6-le {ükskõik; }; // localhosti ja sysadmini kontrollimiseks // dig swl.fan axfr kaudu // Meil pole orja DNS-i ... siiani lubada-edastada {localhost; 192.168.10.1; }; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD // Jagatud aadressiruum (RFC 6598) zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; // Link-local / APIPA (RFC-d 3927, 5735 ja 6303) tsoon "254.169.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // IETF-protokolli määramised (RFC-d 5735 ja 5736) tsoon "0.0.192.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // TEST-NET- [1-3] dokumentatsiooni jaoks (RFC-d 5735, 5737 ja 6303) tsoon "2.0.192.in-addr.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "100.51.198.in-addr.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "113.0.203.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // IPv6 dokumentatsiooni näidisvahemik (RFC-d 3849 ja 6303) tsoon "8.bd0.1.0.0.2.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; // Domeeninimed dokumenteerimiseks ja testimiseks (BCP 32) zone "test" {type master; fail "/etc/bind/db.empty"; }; zone "example" {type master; fail "/etc/bind/db.empty"; }; tsoon "kehtetu" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "example.com" {type master; fail "/etc/bind/db.empty"; }; tsoon "example.net" {tüüp master; fail "/etc/bind/db.empty"; }; zone "example.org" {type master; fail "/etc/bind/db.empty"; }; // Ruuteri võrdlusuuringute testimine (RFC-d 2544 ja 5735) tsoon "18.198.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "19.198.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // IANA reserveeritud - vana klassi E ruum (RFC 5735) tsoon "240.in-addr.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "241.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "242.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "243.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "244.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "245.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "246.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "247.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "248.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "249.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "250.in-addr.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "251.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "252.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "253.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; tsoon "254.in-addr.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // IPv6 määramata aadressid (RFC 4291) tsoon "1.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "3.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "4.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "5.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "6.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "7.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "8.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "9.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "a.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "b.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "c.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "d.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "e.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "0.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "1.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "2.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "3.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "4.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "5.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "6.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "7.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "8.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "9.f.ip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "afip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "bfip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "0.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "1.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "2.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "3.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "4.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "5.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "6.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "7.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; // IPv6 ULA (RFC-d 4193 ja 6303) tsoon "cfip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "dfip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; // IPv6 lingi koht (RFC-d 4291 ja 6303) tsoon "8.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "9.efip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "aefip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "befip6.arpa" {tüüpi meister; fail "/etc/bind/db.empty"; }; // IPv6 katkestatud saidi-kohalikud aadressid (RFC-d 3879 ja 6303) tsoon "cefip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "defip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "eefip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; tsoon "fefip6.arpa" {tüüpi master; fail "/etc/bind/db.empty"; }; // IP6.INT on aegunud (RFC 4159) tsoon "ip6.int" {type master; fail "/etc/bind/db.empty"; }; root @ master: ~ # nano /etc/bind/named.conf.local // // Tehke siin mõni kohalik konfiguratsioon // // Kaaluge siia 1918 tsooni lisamist, kui teie // organisatsioonis neid ei kasutata, sisaldab järgmist: "/etc/bind/zones.rfc1918"; sisaldab "/etc/bind/zones.rfcFreeBSD"; // DNS-i kirjetsoonide nime, tüübi, asukoha ja värskendamisõiguse // deklaratsioon // Mõlemad tsoonid on MASTER-i tsoon "swl.fan" {tüüpi master; fail "/var/lib/bind/db.swl.fan"; }; tsoon "10.168.192.in-addr.arpa" {tüüpi master; fail "/var/lib/bind/db.10.168.192.in-addr.arpa"; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /var/lib/bind/db.swl.fan $ TTL 3H @ IN SOA-s master.swl.fan. root.master.swl.fan. (1; järjestikune 1D; värskenda 1H; proovige uuesti 1W; aegub 3H); minimaalselt või; Negatiivne vahemällu salvestamise aeg; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Vaba tarkvara austajatele"; sysadmin IN 192.168.10.1 failiserver IN 192.168.10.4 master IN 192.168.10.5 puhverserver IN 192.168.10.6 blogi A 192.168.10.7 ftpserver IN 192.168.10.8 mail IN A 192.168.10.9 root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa $ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; järjestikune 1D; värskenda 1H; proovige uuesti 1W; aegub 3H); minimaalselt või; Negatiivne vahemällu salvestamise aeg; @ IN NS master.swl.fan. ; 1 PTR-is sysadmin.swl.fan. 4 IN PTR-failiserver.swl.fan. 5 PTR-is master.swl.fan. 6 PTR-is proxyweb.swl.fan. 7 PTR-is blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 PTR-is mail.swl.fan. root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan tsoon swl.fan/IN: laaditud jada 1 OK root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa tsoon 10.168.192.in-addr.arpa/IN: laaditud jada 1 OK root @ master: ~ # named-checkconf -zp root @ master: ~ # systemctl taaskäivitage bind9.service root @ master: ~ # systemctl staatus bind9.service
Bind9 tšekid
root @ master: ~ # dig swl.fan axfr root @ master: ~ # dig 10.168.192.in-addr.arpa axfr root @ master: ~ # dig SOA swl.fan root @ master: ~ # dig IN NS swl.fan root @ master: ~ # dig IN MX swl.fan root @ master: ~ # puhverserveri hosti root @ master: ~ # nping --tcp -p 53 -c 3 localhost root @ master: ~ # nping --udp -p 53 -c 3 kohalik host root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan Npingi algus 0.6.47 ( http://nmap.org/nping ) kell 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: ei ole | Keskm. Rtt: pole saadetud toored paketid: 84 (0B) | Rcvd: 0 (3B) | Kaotatud: 100.00 (1%) Nping tehtud: 3.01 IP-aadress pingitud XNUMX sekundiga
isc-dhcp-server
root @ master: ~ # aptitude install isc-dhcp-server root @ master: ~ # nano / etc / default / isc-dhcp-server # Millistel liidestel peaks DHCP-server (dhcpd) teenima DHCP-päringuid? # Eraldage mitu liidest tühikutega, nt "eth0 eth1". LIIDESED = "eth0" root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KASUTAJA dhcp-võti root @ master: ~ # kass Kdhcp-võti. +157 + 51777.privaatne Privaatvõtme formaat: v1.3 algoritm: 157 (HMAC_MD5) Võti: Ba9GVadq4vOCixjPN94dCQ == Bitid: AAA = Loodud: 20170527133656 Avaldamine: 20170527133656 Aktiveeri: 20170527133656 root @ master: ~ # nano dhcp.key võti dhcp-võti { algoritm hmac-md5; saladus "Ba9GVadq4vOCixjPN94dCQ == "; }; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key juur @ master: ~ # nano /etc/bind/named.conf.local sisaldab "/etc/bind/dhcp.key"; tsoon "swl.fan" {tüüpi master; fail "/var/lib/bind/db.swl.fan"; luba-uuenda {võti dhcp-võti; }; }; tsoon "10.168.192.in-addr.arpa" {tüüpi master; fail "/var/lib/bind/db.10.168.192.in-addr.arpa"; luba-uuenda {võti dhcp-võti; }; }; root @ master: ~ # named-checkconf root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-stiilis ajutine; ddns-värskendused sisse; ddns-domeeninimi "swl.fan."; ddns-rev-domeeninimi "in-addr.arpa."; ignoreeri kliendi värskendusi; värskenduse optimeerimine on vale; # Võib nõuda Debiani autoriteetselt; ip-edastamise võimalus välja; valik domeeninimi "swl.fan"; sisaldab "/etc/dhcp/dhcp.key"; tsoon swl.fan. {esmane 127.0.0.1; võti dhcp-võti; } tsoon 10.168.192.in-addr.arpa. {esmane 127.0.0.1; võti dhcp-võti; } jagatud võrgu redlocal {alamvõrk 192.168.10.0 netmask 255.255.255.0 {valikute ruuterid 192.168.10.1; suvand alamvõrk-mask 255.255.255.0; optsiooni leviaadress 192.168.10.255; valik domeeninime-serverid 192.168.10.5; valik netbios-name-serverid 192.168.10.5; variant ntp-serverid 192.168.10.5; valikuajaserverid 192.168.10.5; vahemik 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t Internetisüsteemide konsortsium DHCP-server 4.3.1 Autoriõigus 2004-2014 Internetisüsteemide konsortsium. Kõik õigused kaitstud. Lisateabe saamiseks külastage palun https://www.isc.org/software/dhcp/ Config-fail: /etc/dhcp/dhcpd.conf Andmebaasifail: /var/lib/dhcp/dhcpd.leasing PID-fail: /var/run/dhcpd.pid root @ master: ~ # systemctl taaskäivitage bind9.service root @ master: ~ # systemctl staatus bind9.service root @ master: ~ # systemctl start isc-dhcp-server.service root @ master: ~ # systemctl olek isc-dhcp-server.service
ntp
root @ master: ~ # aptitude install ntp ntpdate root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 piirang -4 vaikimisi kood notrap nomodify nopeer noquery piirang -6 vaikimisi kood notrap nomodeerib nopeer noquery piirang 127.0.0.1 piirang :: 1 saade 192.168.10.255 root @ master: ~ # systemctl taaskäivitage ntp.teenus root @ master: ~ # systemctl olek ntp.teenus root @ master: ~ # ntpdate -u sysadmin.swl.fan 27. mai 10:04:01 ntpdate [18769]: ajaserveri korrigeerimine 192.168.10.1 nihe 0.369354 sek
Ntp, bind9 ja isc-dhcp-serveri üldine kontroll
Kontrollige, kas kellaaeg on õigesti sünkroonitud, Linuxi, BSD, Mac OSi või Windowsi klientidest. Et see omandab dünaamilise IP-aadressi ja selle hosti nimi lahendatakse otseste ja vastupidiste DNS-päringute abil. Muutke kliendi nimi ja tehke kõik tšekid uuesti. Ärge jätkake enne, kui olete kindel, et seni installitud teenused töötavad õigesti. Millegi jaoks kirjutasime kõik artiklid DNS ja DHCP kohta Arvutivõrgud VKEdele.
NIS-serveri installimine
root @ master: ~ # sobivusnäitus nis Vastuolus järgmisega: netstd (<= 1.26) Kirjeldus: võrguteenuse (NIS) kliendid ja deemonid See pakett pakub tööriistu NIS-i domeeni seadistamiseks ja hooldamiseks. NIS-i, algselt tuntud kui kollased lehed (YP), kasutatakse enamasti selleks, et lasta mitmel võrgus oleval masinal jagada sama kontoteavet, näiteks paroolifail. root @ master: ~ # aptitude install nis Paketi konfigureerimine ───────────┐ │ Valige selle süsteemi jaoks NIS-i „domeeninimi“. Kui soovite, et see masin oleks lihtsalt klient, peaksite sisestama selle NIS-i domeeni nime, millega soovite liituda. │ │ │ │ Teise võimalusena, kui see masin peab olema NIS-server, võite │ │ sisestada uue NIS-i "domeeninime" või olemasoleva NIS-i domeeni nime. IS │ │ │ NIS-i domeen: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └──────────---- ──────────────────────────────┘
See viivitab teie omadega, kuna teenuse konfiguratsiooni pole sellisena olemas. Oodake, kuni protsess lõpeb.
root @ master: ~ # nano / etc / default / nis
# Kas oleme NIS-server ja kui jah, siis millist (väärtused: false, slave, master)?
NISSERVER = meister
root @ master: ~ # nano /etc/ypserv.securenets # securenets See fail määratleb NIS-i klientide (ja orjaserverite - teie # faili ka ypxfrd) juurdepääsuõigused teie NIS-serverile #. See fail sisaldab võrgumask / võrgupaare. # Kliendi IP-aadress peab vastama vähemalt ühele neist. # # Võimalik on kasutada võrgumaski # 255.255.255.255 asemel sõna "host". Selles # failis on lubatud ainult IP-aadressid, mitte hostinimed. # # Luba alati juurdepääs kohalikule hostile 255.0.0.0 127.0.0.0 # See rida annab kõigile juurdepääsu. PALUN KORRIGEERIGE! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0
root @ master: ~ # nano / var / yp / Makefile # Kas peaksime paroolifaili varifailiga ühendama? # MERGE_PASSWD = tõene | vale
MERGE_PASSWD = tõene
# Kas peaksime grupifaili failiga gshadow ühendama? # MERGE_GROUP = tõsi | vale
MERGE_GROUP = tõene
Ehitame NIS-i andmebaasi
root @ master: ~ # / usr / lib / yp / ypinit -m Siinkohal peame koostama loendi hostidest, mis käitavad NIS-servereid. master.swl.fan on NIS-serverite loendis. Jätkake teiste hostide nimede lisamist, üks rea kohta. Kui olete loendiga valmis, tippige a . järgmine lisatav host: master.swl.fan järgmine lisatav host: NIS-serverite praegune loend näeb välja järgmine: master.swl.fan Kas see on õige? [y / n: y] Andmebaaside loomiseks vajame paar minutit ... tee [1]: Kataloogist "/var/yp/swl.fan" lahkumine on master.swl.fan seadistatud NIS-i põhiserveriks . Nüüd saate kogu orjaserveris käivitada ypinit -s master.swl.fan. root @ master: ~ # systemctl taaskäivitage nis root @ master: ~ # systemctl olek nis
Lisame kohalikud kasutajad
root @ master: ~ # adduser bilbo Kasutaja "bilbo" lisamine ... Uue rühma "bilbo" (1001) lisamine ... Uue kasutaja "bilbo" (1001) lisamine rühmaga "bilbo" ... Kodukataloogi "home / bilbo" loomine ... failide kopeerimine kataloogist "/ etc / skel" ... Sisestage uus UNIX-i parool: sisestage uuesti uus UNIX-i parool: parool: parool on õigesti uuendatud Bilbo kasutajainfo muutmine Sisestage uus väärtus või vaikeseade kasutamiseks vajutage ENTER Täisnimi []: Bilbo Baginsi toanumber []: Töötelefon []: Kodutelefon []: Muu []: kas teave on õige? [Jah / ei] root @ master: ~ # adduser sammub root @ master: ~ # adduser legolas
ja nii edasi.
root @ master: ~ # sõrme legolas Sisselogimine: legolas Nimi: Legolas Archer kataloog: / home / legolas Shell: / bin / bash Pole kunagi sisse loginud. Posti pole. Plaani pole.
Uuendame NIS-i andmebaasi
root @ master: / var / yp # make make [1]: kataloogi '/var/yp/swl.fan' sisestamine Värskendatakse parooldiagnime ... värskendatakse parooldybybyuid ... värskendatakse rühma.nimepilti ... värskendatakse rühma.bygidi ... ajakohastatakse võrgunime.nime nimi. .. shadow.byname'i värskendamine ... ignoreeritakse -> liidetud passwd make [1] -ga: kataloogist '/var/yp/swl.fan lahkumine
Lisame isc-dhcp-serverile NIS-i valikud
root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-stiilis ajutine; ddns-värskendused sisse; ddns-domeeninimi "swl.fan."; ddns-rev-domeeninimi "in-addr.arpa."; ignoreeri kliendi värskendusi; värskenduse optimeerimine on vale; autoriteetne; ip-edastamise võimalus välja; valik domeeninimi "swl.fan"; sisaldab "/etc/dhcp/dhcp.key"; tsoon swl.fan. {esmane 127.0.0.1; võti dhcp-võti; } tsoon 10.168.192.in-addr.arpa. {esmane 127.0.0.1; võti dhcp-võti; } jagatud võrgu redlocal {alamvõrk 192.168.10.0 netmask 255.255.255.0 {valikute ruuterid 192.168.10.1; suvand alamvõrk-mask 255.255.255.0; optsiooni leviaadress 192.168.10.255; valik domeeninime-serverid 192.168.10.5; valik netbios-name-serverid 192.168.10.5; variant ntp-serverid 192.168.10.5; valikuajaserverid 192.168.10.5; valik nis-domain "swl.fan"; valik nis-serverid 192.168.10.5; vahemik 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t root @ master: ~ # systemctl taaskäivitage isc-dhcp-server.service
NIS-i kliendi installimine
- Alustame Debiani 8 "Jessie" puhtast installimisest - ilma graafilise liideseta.
juur @ mail: ~ # hostinimi -f
mail.swl.fan
juur @ mail: ~ # ip aadress
2: eth0: mtu 1500 qdisc pfifo_fast olek UP grupi vaikimisi qlen 1000 link / eeter 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
inet 192.168.10.9/24 brd 192.168.10.255 ulatus globaalne eth0
juur @ mail: ~ # sobivus install nis
juur @ mail: ~ # nano /etc/yp.conf # # yp.conf ypbindi protsessi konfiguratsioonifail. Siin saate # NIS-serverit käsitsi määratleda, kui neid kohalikus võrgus levitades # ei leita (mis on vaikimisi). # # Vaadake selle faili süntaksit ypbindi käsiraamatust. # # TÄHTIS: "ypserveri" jaoks kasutage IP-aadresse või veenduge, et # host oleks / etc / hosts. Seda faili tõlgendatakse ainult # üks kord ja kui DNS-i pole veel võimalik saada, ei saa ypserverit # lahendada ja ypbind ei seo kunagi serveriga. # ypserver ypserver.network.com ypserver master.swl.fan domeen swl.fan
juur @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU nimeteenuse lüliti funktsionaalsuse konfiguratsiooninäide. # Kui teil on installitud paketid `glibc-doc-reference 'ja` info', proovige selle faili kohta lisateavet: # `info libc" Name Service Switch ". passwd: compat nis grupp: compat nis vari: compat nis gshadow: failihostid: failid dns nis võrgud: failiprotokollid: db failiteenused: db failide eetrid: db failid RPC: db failid võrgurühm: nis
juur @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) üksikasjade saamiseks.
seanss valikuline pam_mkhomedir.so skel = / etc / skel umask = 077
# siin on paketi kohta moodulid (plokk "Esmane")
juur @ mail: ~ # systemctl olek nis
root @ mail: ~ # systemctl taaskäivitage nis
Sulgeme seansi ja alustame seda uuesti, kuid kasutajaga, kes on registreeritud NIS-i andmebaasis aadressil master.swl.fan.
juur @ mail: ~ # exit väljalogimine Ühendus meiliga on suletud. buzz @ sysadmin: ~ $ ssh legolas @ mail legolas @ mail parool: kataloogi "/ home / legolas" loomine. Debiani GNU / Linuxi süsteemiga kaasnevad programmid on tasuta tarkvara; iga programmi täpsed levitamistingimused on kirjeldatud üksikfailides kataloogis / usr / share / doc / * / copyright. Debiani GNU / Linuxil pole absoluutselt mingit garantiid kehtivas seaduses lubatud ulatuses. legolas @ mail: ~ $ pwd / kodu / legolas legolas @ mail: ~ $
Muudame legolase kasutaja parooli ja kontrollime
legolas @ mail: ~ $ yppasswd Legolase NIS-i kontoteabe muutmine saidil master.swl.fan. Palun sisestage vana parool: legolas Legolise NIS-i parooli muutmine saidil master.swl.fan. Sisestage uus parool: archer Parool peab sisaldama nii suuri kui ka väikeseid tähti või tähti. Palun sisestage uus parool: Arquero2017 Palun sisestage uus parool uuesti: Arquero2017 NIS-i parool on saidil master.swl.fan muudetud. legolas @ mail: ~ $ exit väljalogimine Ühendus meiliga on suletud. buzz @ sysadmin: ~ $ ssh legolas @ mail legolas @ mail parool: Arquero2017 Debiani GNU / Linuxi süsteemiga kaasnevad programmid on tasuta tarkvara; iga programmi täpsed levitamistingimused on kirjeldatud üksikes failides kataloogis / usr / share / doc / * / copyright. Debiani GNU / Linuxil pole absoluutselt mingit garantiid, kui see on lubatud kehtivate seadustega. Viimane sisselogimine: laupäev, 27. mai 12:51:50 2017 saidilt sysadmin.swl.fan legolas @ mail: ~ $
Serveri ja kliendi tasandil rakendatud NIS-teenus töötab õigesti.
LDAP
Vikipeediast:
- LDAP on akenüüm Lightweight Directory Access Protocol (hispaania keeles Lightweight Directory Access Protocol), mis viitab rakendustaseme protokollile, mis võimaldab juurdepääsu tellitud ja hajutatud kataloogiteenusele keskkonnavõrgus mitmesuguse teabe otsimiseks. LDAP-d peetakse ka andmebaasiks (kuigi selle salvestussüsteem võib olla erinev), mida saab pärida.Kataloog on objektide kogum, mille atribuudid on korraldatud loogiliselt ja hierarhiliselt. Kõige tavalisem näide on telefonikataloog, mis koosneb tähestiku järjekorras olevast nimede (isikute või organisatsioonide) reast, kusjuures iga nime külge on lisatud aadress ja telefoninumber. Selle paremaks mõistmiseks on see raamat või kaust, kuhu on kirjutatud inimeste nimed, telefoninumbrid ja aadressid ning see on paigutatud tähestiku järgi.
LDAP kataloogipuu peegeldab mõnikord erinevaid poliitilisi, geograafilisi või organisatsioonilisi piire, olenevalt valitud mudelist. Praegused LDAP-juurutused kasutavad hierarhia kõrgemate tasandite struktureerimiseks domeeninimede süsteemi (DNS) nimesid. Kataloogi alla kerides võivad ilmuda kirjed, mis esindavad inimesi, organisatsiooniüksusi, printereid, dokumente, inimrühmi või kõike muud, mis tähistab puul antud kirjet (või mitut kirjet).
Tavaliselt salvestab see autentimisteabe (kasutajanime ja parooli) ning seda kasutatakse autentimiseks, kuigi on võimalik salvestada ka muud teavet (kasutaja kontaktandmed, erinevate võrguressursside asukoht, load, sertifikaadid jne). Kokkuvõtteks võib öelda, et LDAP on ühtne juurdepääsuprotokoll võrgus oleva teabe komplektile.
Praegune versioon on LDAPv3 ja see on määratletud RFC-des RFC 2251 ja RFC 2256 (LDAP-alusdokument), RFC 2829 (LDAP-i autentimismeetod), RFC 2830 (TLS-i laiendus) ja RFC 3377 (tehniline spetsifikatsioon)
.
KauaksLDAP-protokolli - ja selle andmebaase, mis ühilduvad OpenLDAP-iga või mitte - kasutatakse tänapäeval enamikus autentimissüsteemides kõige enam. Eelmise avalduse näitena toome allpool välja mõned süsteemide nimed - Free või Private -, mis kasutavad LDAP-andmebaase kõigi objektide salvestamiseks taustaprogrammina:
- OpenLDAP
- Apache kataloogiserver
- Red Hati kataloogiserver - 389 DS
- Novelli kataloogiteenused - e-kataloog
- SUN Microsystem avatud DS
- Red Hat'i identiteedihaldur
- FreeIPA
- Samba NT4 klassikaline domeenikontroller.
Tahame selgitada, et see süsteem oli Team Samba arendus koos Samba 3.xxx + OpenLDAP as-ga backend. Microsoft pole kunagi midagi sellist rakendanud. Hüppas NT 4 domeenikontrolleritelt oma aktiivsetesse kataloogidesse - Samba 4 Active Directory - domeenikontroller
- Tühjenda OS
- zentyal
- UCS Uninvention ettevõtte server
- Microsofti Active Directory
Igal rakendusel on oma omadused ja kõige tavalisem ning ühilduvam on OpenLDAP.
Active Directory, olgu see Microsofti originaal või Samba 4 oma, koosneb mitmest põhikomponendist, mis on järgmised:
- Kohandatud LDAP nii Microsofti kui ka Samba poolt.
- Microsofti Windowsi domeen o Windowsi domeen. Põhimõtteliselt on see Microsofti võrk.
- Microsofti domeenikontroller o Domeenikontroller.
- Nii Microsofti kui ka Samba kohandatud Kerberos.
Me ei tohi segi ajada a Kataloogiteenus o kataloogiteenus koos a Active Directory o Active Directory. Esimesed võivad hostida Kerberose autentimist või mitte, kuid nad ei paku Windowsi domeeni pakutavat Microsofti võrguteenust ega ka Windowsi domeenikontrollerit kui sellist.
Kataloogiteenust või kataloogiteenust saab kasutada UNIX / Linuxi ja Windowsi klientidega segavõrgus olevate kasutajate autentimiseks. Viimase jaoks tuleb igale kliendile installida programm, mis toimib kataloogiteenuse ja Windowsi kliendi enda vahendajana, näiteks vaba tarkvara. lehele.
Kataloogiteenus OpenLDAP-iga
- Alustame Debiani 8 "Jessie" puhtast installimisest - ilma graafilise liideseta, sama NIS-i installimisel kasutatava "peamise" masinanimega, samuti selle võrguliidese ja faili /etc/resolv.conf konfiguratsiooniga. Sellesse uude serverisse installime ntp, bind9 ja isc-dhcp-serveri, unustamata kolme eelmise teenuse õige toimimise globaalseid kontrolle.
root @ master: ~ # aptitude install slapd ldap-utils Pakendi konfiguratsioon ┌─────────────────────┤ Slapdi konfiguratsioon ├───────────────────────┐┐ │ Sisestage oma LDAP │ │ kataloogi administraatori sisestuse parool. │ │ │ │ Administraatori parool: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ──────────────────────┘
Kontrollime esialgset konfiguratsiooni
root @ master: ~ # slapcat dn: dc = swl, dc = ventilaator objectClass: top objectClass: dcObject objectClass: organisatsiooni o: swl.fan dc: swl StructuralObjectClass: organisatsiooni sisestusUUID: c8510708-da8e-1036-8fe1-71d022a16904 loojadNimi: cn = admin, dc = swl, dc = fännikirje createTimestamp20170531205219: : 20170531205219.833955ZN000000 kanne Z # 000 # 000000 # 20170531205219 modifikaatorid Nimi: cn = admin, dc = swl, dc = ventilaatori muutmineAtimärk: XNUMXZ dn: cn = admin, dc = swl, dc = ventilaator objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin kirjeldus: LDAP administraator userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e-da8fe1036e-entrySw8d-2-dm71c-022-entrySw16904e-da20170531205219fe-20170531205219.834422-entry-000000-fancimes-c000emp000000a20170531205219-entrySwXNUMX -cXNUMXempXNUMXeXNUMXpmTmlYOVhKSUXNUMX-entry-XNUMXc-XNUMX-f-XNUMX-entry-XNUMX-c-XNUMX-fcf-XNUMX-entry-XNUMX-cXNUMX-daXNUMXfe-XNUMX-entry-XNUMX-fancimes-entry-XNUMX-entry-ufr-ole -kirje: XNUMXZ # XNUMX # XNUMX # XNUMX modifikaatorid Nimi: cn = admin, dc = swl, dc = ventilaatori muutmineAtimärk: XNUMXZ
Muudame faili /etc/ldap/ldap.conf
root @ master: ~ # nano /etc/ldap/ldap.conf ALUS dc = swl, dc = ventilaatori URI ldap: // kohalik host
Organisatsiooniüksused ja üldgrupi «kasutajad»
Lisame minimaalselt vajalikud organisatsioonilised üksused, samuti Posixi grupi «kasutajad», kuhu teeme kõik kasutajad, järgides paljude süsteemide eeskuju, millel on rühm «Kasutajad«. Me nimetame seda nimega «kasutajad», et mitte tekkida võimalikke konflikte rühmaga «kasutaja"süsteemi.
root @ master: ~ # nano base.ldif dn: ou = inimesed, dc = swl, dc = ventilaatori objektKlass: organisatsioonilineUnit ou: inimesed dn: ou = rühmad, dc = swl, dc = ventilaatori klassKlass: organisatsioonilineUnit ou: rühmad dn: cn = kasutajad, ou = rühmad, dc = swl, dc = ventilaatori objektClass: posixGroup cn: users gidNumber: 10000 root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventilaator -W -f base.ldif Sisestage LDAP parool: uue kirje lisamine "ou = inimesed, dc = swl, dc = ventilaator" uue kirje lisamine "ou = rühmad, dc = swl, dc = ventilaator"
Kontrollime lisatud kandeid
root @ master: ~ # ldapsearch -x ou = inimesed # inimest, swl.fan dn: ou = inimesed, dc = swl, dc = ventilaatori klassKlass: organisatsioonilineUnit ou: inimesed root @ master: ~ # ldapsearch -x ou = rühmad # rühmad, swl.fan dn: ou = rühmad, dc = swl, dc = ventilaatori klassKlass: organisatsiooniUnit ou: rühmad root @ master: ~ # ldapsearch -x cn = kasutajad # kasutajat, rühma, swl.fan dn: cn = kasutajad, ou = rühmad, dc = swl, dc = ventilaatori objektClass: posixGroup cn: users gidNumber: 10000
Lisame mitu kasutajat
Parool, mille peame LDAP-is deklareerima, tuleb hankida käsu kaudu slappasswd, mis tagastab krüptitud SSHA parooli.
Kasutaja sammude parool:
root @ master: ~ # slappasswd Uus parool: sisestage uus parool uuesti: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
Kasutaja legolas parool
root @ master: ~ # slappasswd Uus parool: sisestage uus parool uuesti: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
Kasutaja Gandalf parool
root @ master: ~ # slappasswd Uus parool: sisestage uus parool uuesti: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u root @ master: ~ # nano kasutajad.ldif dn: uid = sammud, ou = inimesed, dc = swl, dc = ventilaatori klassKlass: inetOrgPerson objectClass: posixAccount objectClass: variAccount uid: strides cn: strides givenName: Strides sn: El Rey kasutajaParool: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp uidNumber: 10000 gidNumber: 10000 post: striders@swl.fan gecos: Strider El Rey loginShell: / bin / bash homeKataloog: / home / strider dn: uid = legolas, ou = inimesed, dc = swl, dc = ventilaatori objektClass: inetOrgPerson objectClass: posixAccount objectClass: variAccount uid: legolas cn: legolas antudNimi : Legolas sn: Archeri kasutaja parool: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD uidNumber: 10001 gidNumber: 10000 post: legolas@swl.fan gecos: Legolas Archeri sisselogimineKoor: / bin / bash homeKataloog: / home / legolas dn: uid = gandalf, ou = inimesed, dc = swl, dc = ventilaatori objektClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf antudNimi: Gandalf sn: viisardi kasutaja parool: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u uidNumber: 10002 gidNumber: 10000 post: gandalf@swl.fan gecos: Gandalf Wizardi sisselogimineKoor: / bin / bash homeKataloog: / home / gandalf root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventilaator -W -f kasutajad.ldif Sisestage LDAP parool: uue kirje lisamine "uid = sammub, ou = inimesed, dc = swl, dc = ventilaator" uue kirje lisamine "uid = legolas, ou = inimesed, dc = swl, dc = ventilaator" uue kirje lisamine "uid = gandalf, ou = inimesed, dc = swl, dc = ventilaator "
Kontrollime lisatud kandeid
root @ master: ~ # ldapsearch -x cn = sammud root @ master: ~ # ldapsearch -x uid = sammud
Haldame slpadi andmebaasi konsooli utiliitidega
Valime paketi ldapscripts sellise ülesande jaoks. Installimise ja konfigureerimise protseduur on järgmine:
root @ master: ~ # aptitude install ldapscripts root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \ /etc/ldapscripts/ldapscripts.conf.original root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf SERVER = kohalik host BINDDN = 'cn = admin, dc = swl, dc = ventilaator' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = ventilaator' GSUFFIX = 'ou = rühmad' USUFFIX = 'ou = inimesed' # MSUFFIX = 'ou = arvutid' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP kliendi käsud LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEB = / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UT jne . /ldapadduser.template "PASSWORDGEN =" kaja% u "
Pange tähele, et skriptid kasutavad paketi käske ldap-utils. Jookse dpkg -L ldap-utils | grep / bin teada, mis need on.
root @ master: ~ # sh -c "echo -n 'admin-parool'> \ /etc/ldapscripts/ldapscripts.passwd " root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \ /etc/ldapscripts/ldapdduser.template root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: antud nimi: sn: displayName: uidNumber: gidNumber: 10000 homeKataloog: loginShell: post: @ swl.fan geckos: kirjeldus: Kasutajakonto root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf ## eemaldame kommentaari UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"
Lisame kasutaja "bilbo" ja muudame ta grupi "kasutajad" liikmeks
root @ master: ~ # ldapadduser bilbo kasutajad [dn: uid = bilbo, ou = inimesed, dc = swl, dc = ventilaator] Sisestage väärtuse väärtusele "antudNimi": Bilbo [dn: uid = bilbo, ou = inimesed, dc = swl, dc = ventilaator] Sisestage väärtus väärtusele " sn ": Bagins [dn: uid = bilbo, ou = inimesed, dc = swl, dc = ventilaator] Sisestage väärtuse väärtusele" displayName ": Bilbo Bagins kasutaja bilbo edukalt lisamine LDAP-le Kasutaja bilbo parooli määramine õnnestus root @ master: ~ # ldapsearch -x uid = bilbo # bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeKataloog: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan gecos: bilbo description: Kasutajakonto
Bilbo kasutaja parooli räsi nägemiseks on vaja päring täita autentimisega:
root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = ventilaator -W uid = bilbo
Meie käivitatava bilbo kasutaja kustutamiseks toimige järgmiselt.
root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = ventilaator -W uid = bilbo, ou = inimesed, dc = swl, dc = ventilaator Sisestage LDAP parool: root @ master: ~ # ldapsearch -x uid = bilbo
Haldame slapd andmebaasi veebiliidese kaudu
Meil on funktsionaalne kataloogiteenus ja me tahame seda hõlpsamini hallata. Selle ülesande jaoks on loodud palju programme, näiteks phpldapadmin, ldap-kontohaldurjne, mis on kättesaadavad otse hoidlatest. Kataloogiteenust saame hallata ka Apache kataloogistuudio, mille peame Internetist alla laadima.
Lisateabe saamiseks külastage palun https://blog.desdelinux.net/ldap-introduccion/ja järgmised 6 artiklit.
LDAP klient
Etapp:
Ütle, et meil on meeskond mail.swl.fan postiserverina rakendatud, nagu me artiklis nägime Postfix + Dovecot + Squirrelmail ja kohalikud kasutajad, mis on välja töötatud CentOS-is, võib siiski olla juhend Debiani ja paljude teiste Linuxi distrode jaoks. Me tahame, et lisaks kohalikele kasutajatele, kelle oleme juba deklareerinud, salvestatakse kasutajad OpenLDAP-i andmebaasi master.swl.fan. Eeltoodu saavutamiseks peame «kaardistada»LDAP-i kasutajatele kui serveri kohalikele kasutajatele mail.swl.fan. See lahendus kehtib ka kõigi PAM-i autentimisel põhinevate teenuste puhul. Üldine menetlus Debianon järgmine:
juur @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils ┌──────────────────────┤ Konfigureerimine libnss-ldap ├───────────────────---- See string on sarnane │ │ «-gaLDAP: //: / ». Võite kasutada ka │ │ldaps: // » või "ldapi: //". Pordi number on valikuline. Failure │ │ failure Tõrke vältimiseks on soovitatav kasutada IP-aadressi, kui domeeninime teenused │ │ pole saadaval. LDAP-serveri URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ───────────────────────────┘┘┘┌──────┌┌┌┌ ┤ seadistamine libnss-ldap ├───────────────────────┐┐ Sisestage LDAP otsingubaasi eristatav nimi (DN). Paljud saidid kasutavad selleks the │ domeeninime komponente. Näiteks kasutaks domeen "example.net" otsingubaasi eristava nimena │ │ "dc = example, dc = net". │ │ │ │ Otsingubaasi eristatav nimi (DN): │ │ │ │ dc = swl, dc = ventilaator ____________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌┌───────── ──┤ libnss-ldap ├───────────────────────┐┐ Sisestage LDAP-protokolli versioon, mida ldapns peaks kasutama. │ │ on soovitatav kasutada suurimat saadaolevat versiooninumbrit. Kasutatav LDAP-versioon: │ │ │ │ 3 2 │ │ │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌────────── ──┤ libnss-ldap ├────────────────────────┐ │ Valige, millist kontot kasutatakse ss │ juurõigustega nss-päringute jaoks. │ │ │ │ Märkus. Selle suvandi toimimiseks on kontol vaja lube, et access │ pääseda juurde LDAP-atribuutidele, mis on seotud kasutaja shadow │ "varjude" kirjetega, samuti kasutaja ja rühma paroolidega. AP │ │ │ Juurte LDAP-konto: │ │ │ │ cn = admin, dc = swl, dc = ventilaator ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌────────── ──┤ libnss-ldap ├──────────────────────┐│ Sisestage parool, mida kasutatakse juhul, kui libnss-ldap üritab LDAP-kataloogi autentida juur-LDAP-kontoga. │ │ │ │ Parool salvestatakse eraldi faili │ │ ("/etc/libnss-ldap.secret"), millele pääseb juurde ainult juur. │ │ │ │ Kui sisestate tühja parooli, kasutatakse vana parooli uuesti. │ │ │ │ LDAP-juurkonto parool: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ────────────────────────────┘┘┌┌┌──────┌┌┌ ─┤ libnss-ldap ├────────────────────── file │ │ │ nsswitch.conf-i ei hallata automaatselt │ │ │ │ Peate muutma oma faili "/etc/nsswitch.conf" kasutada LDAP-andmeallikat, kui soovite, et pakett libnss-ldap töötaks. │ │ Näidisfaili │ │ saate kasutada jaotises "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" nsswitchi konfiguratsiooni näitena või │ │ saate selle oma praeguse konfiguratsiooni üle kopeerida. │ that │ this Pange tähele, et enne selle paketi eemaldamist võib olla mugav │ │ eemaldada failist nsswitch.conf kirjed "ldap", et põhiteenused │ │ jätkaksid tööd. │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌┌───────── ──┤ libpam-ldap ├──────────────────────┐ │ │ │ See valik võimaldab PAM-i kasutavatel paroolitööriistadel muuta kohalikke paroole. │ │ │ │ LDAP-i administraatori konto parool salvestatakse eraldi │ │-faili, mida saab lugeda ainult administraator. Option │ │ │ Kui suvand "/ etc" paigaldatakse NFS-i kaudu, tuleb see valik keelata. │ │ │ │ Kas soovite lubada LDAP-i administraatorikontol käituda kohaliku administraatorina? │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌┌───────── ──┤ libpam-ldap ├──────────────────────┐ │ │ │ Valige, kas LDAP-server sunnib identifitseerima enne sissepääsude │ kirjete hankimist. Setting │ │ │ See seade on harva vajalik. │ │ database │ Kas kasutajal on vaja juurdepääsu LDAP-i andmebaasile? │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌┌───────── ──┤ libpam-ldap ├───────────────────---- │ │ │ │ Seda kontot kasutatakse automaatselt andmebaasi haldamiseks, seega peavad teil olema asjakohased administraatoriõigused. │ │ │ │ LDAP-i administraatori konto: │ │ │ │ cn = admin, dc = swl, dc = ventilaator ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ─────────────────────────────┘┘┘┌┌────────── ──┤ libpam-ldap ├───────────────────────┐┐ Sisestage administraatori konto parool. │ │ │ │ Parool salvestatakse faili "/etc/pam_ldap.secret". Ainus, kes seda faili lugeda saab, on administraator │ │, mis võimaldab │ │ libpam-ldap'il automaatselt kontrollida ühenduste haldamist andmebaasis │ │. │ │ │ │ Kui jätate selle välja tühjaks, kasutatakse uuesti eelmist salvestatud parooli │ │. │ │ │ │ LDAP-i administraatori parool: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ──────────────────────────────┘ juur @ mail: ~ # nano /etc/nsswitch.conf # /etc/nsswitch.conf # # GNU nimeteenuse lüliti funktsionaalsuse konfiguratsiooninäide. # Kui teil on installitud paketid `glibc-doc-reference 'ja` info', proovige selle faili kohta lisateavet: # `info libc" Name Service Switch ". passwd: kaaslane ldap rühm: kaaslane ldap vari: kaaslane ldap gshadow: failihostid: failid dns-võrgud: failiprotokollid: db-failiteenused: db-failide eetrid: db-failid rpc: db-failid netirühm: nis
Redigeerime faili /etc/pam.d/common-password, läheme reale 26 ja kõrvaldame väärtuse «use_authtok":
juur @ mail: ~ # nano /etc/pam.d/common-password # # /etc/pam.d/common-password - paroolidega seotud moodulid, mis on ühised kõigile teenustele # # See fail on lisatud teistest teenuspõhistest PAM-i konfiguratsioonifailidest, # ja peaks sisaldama loendit moodulitest, mis määratlevad teenused # kasutatakse kasutaja paroolide muutmiseks. Vaikimisi on pam_unix. # Pam_unixi valikute selgitus: # # Valik "sha512" võimaldab soolatud SHA512 paroole. Selle suvandita on # vaikimisi Unixi krüpt. Varasemates väljaannetes kasutati valikut "md5". # # Valik "Hämar" asendab # login.defs vana valikut "OBSCURE_CHECKS_ENAB". # # Muude võimaluste saamiseks vaadake pam_unixi manuaalilehte. # Alates versioonist 1.0.1-6 haldab seda faili vaikimisi pam-auth-update. # Selle kasutamiseks on soovitatav konfigureerida # kohalikku moodulit kas enne või pärast vaikeplokki ja kasutada teiste pamoodide valiku haldamiseks # pam-auth-update. Vaadake üksikasju # pam-auth-update (8). # siin on paketipõhised moodulid (plokk "Esmane") [edu = 2 vaikimisi = ignoreeri] pam_unix.so varjatud sha512 parool [edu = 1 user_unknown = ignoreeri default = die] pam_ldap.so try_first_pass # siin on varuvariant, kui ükski moodul ei õnnestu parooliga nõuda pam_deny.so # kruntige virn positiivse tagastusväärtusega, kui seda veel pole; # see väldib vea tagastamist lihtsalt sellepärast, et miski ei määra edukoodi # kuna ülaltoodud moodulid hüppavad kumbki lihtsalt parooli vaja pam_permit.so # ümber ja siin on veel paketimooduleid (plokk "Täiendav") autentimise värskendamise konfiguratsioon
Juhul kui meil on vaja LDAP-sse salvestatud kasutajate kohalik sisselogimine ja soovime, et nende kaustad luuakse automaatselt kodus, peame faili muutma /etc/pam.d/common-session ja lisage faili lõppu järgmine rida:
seanss valikuline pam_mkhomedir.so skel = / etc / skel umask = 077
Varem väljatöötatud OpenLDAP kataloogiteenuse näites oli ainus loodud kohalik kasutaja kasutaja põrin, samas kui LDAP-is loome kasutajad sammud, legolas, Gandalf, Ja Bilbo. Kui seni tehtud konfiguratsioonid on õiged, peaksime suutma loetleda kohalikud kasutajad ja need, kes on kaardistatud kohalikena, kuid on salvestatud LDAP-kaugserverisse:
juur @ mail: ~ # getent passwd buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash Sammud: x: 10000: 10000: Sammud El Rey: / home / strides: / bin / bash legolas: x: 10001: 10000: Legolas Archer: / kodu / legolas: / bin / bash gandalf: x: 10002: 10000: võlur Gandalf: / home / gandalf: / bin / bash bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash
Pärast süsteemi autentimise muudatusi on serveri taaskäivitamine kehtiv, vastasel juhul seisame silmitsi kriitilise teenusega:
juur @ mail: ~ # taaskäivitage
Hiljem alustame kohalikku seanssi serveris mail.swl.fan kasutaja LDAP andmebaasi salvestatud kasutaja mandaatidega master.swl.fan. Võime proovida sisse logida ka SSH kaudu.
buzz @ sysadmin: ~ $ ssh gandalf @ mail gandalf @ mail parool: kataloogi "/ home / gandalf" loomine. Debiani GNU / Linuxi süsteemiga kaasnevad programmid on tasuta tarkvara; iga programmi täpsed levitamistingimused on kirjeldatud üksikfailides kataloogis / usr / share / doc / * / copyright. Debiani GNU / Linuxil pole absoluutselt mingit garantiid kehtivas seaduses lubatud ulatuses. gandalf @ mail: ~ $ su Parool: root @ mail: / home / gandalf # getent group buzz: x: 1001: kasutajad: *: 10000: juur @ mail: / home / gandalf # exit väljumiseks gandalf @ mail: ~ $ ls -l / kodu / kokku 8 drwxr-xr-x 2 sumin sumin 4096 17. juuni 12:25 buzz drwx ------ 2 gandalfi kasutajad 4096 17. juuni 13:05 gandalf
Serveri ja kliendi tasandil rakendatud kataloogiteenus töötab õigesti.
Kerberos
Vikipeediast:
- Kerberos on arvutivõrgu autentimisprotokoll, mille on loonud MIT mis võimaldab kahel ebaturvalises võrgus oleval arvutil üksteisele oma identiteeti turvaliselt tõestada. Selle disainerid keskendusid kõigepealt kliendi-serveri mudelile ja see pakub vastastikust autentimist: nii klient kui server kontrollivad üksteise identiteeti. Autentimissõnumid on selle vältimiseks kaitstud pealtkuulamine y kordusrünnakud.
Kerberos põhineb sümmeetrilisel võtmekrüptograafial ja selleks on vaja usaldusväärset kolmandat osapoolt. Lisaks on protokolli laiendused, et oleks võimalik asümmeetrilist võtmekrüptograafiat kasutada.
Kerberos põhineb Needham-Schroederi protokoll. See kasutab usaldusväärset kolmandat osapoolt, mida nimetatakse "võtmete levituskeskuseks" (KDC) ja mis koosneb kahest eraldi loogilisest osast: "Autentimisserver" (AS või Autentimisserver) ja "Piletite väljastamise server" (TGS või Piletite andmise server) ). Kerberos töötab "piletite" alusel, mis tõendavad kasutajate identiteeti.
Kerberos peab salajaste võtmete andmebaasi; Kõik võrgus olevad üksused - olgu see siis klient või server - jagavad ainult enda ja Kerberose teada olevat salajast võtit. Selle võtme tundmine tõendab üksuse identiteeti. Kahe üksuse vaheliseks suhtlemiseks genereerib Kerberos seansivõtme, mida nad saavad kasutada oma probleemide kindlustamiseks.
Kerberose puudused
De Tervendatud:
kuigi Kerberos eemaldab levinud turvaohu, võib seda olla keeruline rakendada mitmel põhjusel:
- Kasutajate paroolide üleviimine standardsest paroolide andmebaasist UNIX, näiteks / etc / passwd või / etc / shadow, Kerberose paroolide andmebaasi, võib olla tüütu ja selle ülesande täitmiseks pole kiiret mehhanismi.
- Kerberos eeldab, et iga kasutaja on usaldusväärne, kuid kasutab ebausaldusväärset masinat ebausaldusväärses võrgus. Selle peamine eesmärk on takistada krüptimata paroolide saatmist võrgu kaudu. Kui aga kellelgi teisel kasutajal, välja arvatud sobiv kasutaja, on autentimiseks juurdepääs piletimüügimasinale (KDC), oleks Kerberos ohus.
- Rakenduse kasutamiseks Kerberose kasutamiseks tuleb koodi muuta, et teha Kerberose teekidele vastavad kõned. Sel viisil muudetud rakendusi peetakse kerberiseeritud. Mõne rakenduse jaoks võib see olla liiga suur programmeerimisvajadus, mis tuleneb rakenduse suurusest või selle ülesehitusest. Muude ühildumatute rakenduste puhul tuleb muuta võrguserveri ja selle klientide suhtlusviisi; jällegi võib selleks vaja minna üsna palju programmeerimist. Üldiselt on kõige problemaatilisemad suletud lähtekoodiga rakendused, mis Kerberost ei toeta.
- Lõpuks, kui otsustate Kerberost oma võrgus kasutada, peate mõistma, et see on valik kõik või mitte midagi. Kui otsustate oma võrgus kasutada Kerberost, peate meeles pidama, et kui mõni parool edastatakse teenusele, mis ei kasuta autentimiseks Kerberost, on oht, et paketti võidakse pealt kuulata. Seega ei saa teie võrk Kerberose kasutamisest mingit kasu. Oma võrgu turvamiseks Kerberosega peaksite kasutama ainult kõigi klientide / serverite rakenduste kerberiseeritud versioone, mis saadavad krüptimata paroole või ei kasuta ühtegi neist rakendustest võrgus.
OpenLDAP-i käsitsi juurutamine ja konfigureerimine Kerberose back-endina pole lihtne ülesanne. Kuid hiljem näeme, et Samba 4 Active Directory - domeenikontroller integreerub läbipaistval viisil Sysadmini, DNS-serveri, Microsofti võrgu ja selle domeenikontrolleri, LDAP-serveri jaoks peaaegu kõigi oma objektide tagaküljeks ja Kerberose põhine autentimisteenus kui Microsofti stiilis Active Directory põhikomponent.
Siiani pole meil olnud vajadust rakendada "kerberiseeritud võrku". Seetõttu ei kirjutanud me Kerberose rakendamise kohta.
Samba 4 Active Directory - domeenikontroller
NB!
Pole paremat dokumentatsiooni kui sait wiki.samba.org. Enesest lugupidav Sysadmin peaks seda saiti külastama - inglise keeles - ja sirvima suurt hulka täielikult Samba 4-le pühendatud lehti, mille on kirjutanud Team Samba ise. Ma ei usu, et selle asendamiseks on Internetis saadaval dokumente. Muide, jälgige külastuste arvu, mis kajastub iga lehe allosas. Selle näiteks on see, et külastati teie avalehte või põhilehte 276,183 korda alates tänasest 20. juunist 2017 kell 10:10 Ida-Eesti aja järgi. Lisaks sellele on dokumentatsioon väga ajakohane, kuna seda lehte muudeti 6. juunil.
Vikipeediast:
Samba on Microsofti Windowsi failijagamisprotokolli (endise nimega SMB, hiljuti ümber nimetatud CIFS) tasuta juurutamine UNIX-laadsetele süsteemidele. Nii on võimalik, et arvutid, millel on GNU / Linux, Mac OS X või Unix üldiselt, näevad välja nagu serverid või toimivad Windowsi võrkudes klientidena. Samba võimaldab kasutajatel valideerida ka esmase domeenikontrollerina (PDC), domeeniliikmena ja isegi Windows-põhiste võrkude jaoks Active Directory domeenina; peale selle, et on võimalik serveerida prindijärjekordi, jagada katalooge ja autentida oma kasutajaarhiiviga.
Unixi-laadsete süsteemide hulgas, millel Sambat saab käitada, on GNU / Linuxi distributsioonid, Solaris ja erinevad BSD variandid et leiame Apple'i Mac OS X Serveri.
Samba 4 AD-DC koos sisemise DNS-iga
- Alustame Debiani 8 "Jessie" puhtast installimisest - ilma graafilise liideseta.
Esmane kontroll
root @ master: ~ # hostinimi meister root @ master: ~ # hostinimi --fqdn master.swl.fan root @ master: ~ # ip aadress 1: mida: mtu 65536 qdisc noqueue state Tundmatu rühma vaikelink / tagasisidet 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 hatóala host lo valid_lft forever prefer_lft forever inet6 :: 1/128 ulatuse host valid_lft igavesti eelistatud_lft igavesti 2: eth0: mtu 1500 qdisc pfifo_fast state Tundmatu grupi vaikimisi qlen 1000 link / eeter 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 ulatus globaalne eth0 valid_lft igavesti eelistatud_lft igavesti inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 ulatuse link valid_lft igavesti eelistatud_lft igavesti root @ master: ~ # cat /etc/resolv.conf Otsi swl.fan nimeserverit 127.0.0.1
- Millega me haru deklareerime põhiline ainult, see on enam kui piisav meie eesmärkidel.
root @ master: ~ # cat /etc/apt/sources.list deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie põhiline deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / uuendused põhiline
Postfix by Exim ja utiliidid
root @ master: ~ # aptitude install postfix htop mc deborphan ┌────────────────────────┤ Postfixi konfiguratsioon ├────────────────────── ────┐ │ Valige postiserveri konfiguratsiooni tüüp, mis sobib kõige paremini teie │ │ vajadustega. Configuration │ │ │ Konfiguratsiooni pole: │ │ Hoiab praeguse konfiguratsiooni puutumatuna. │ │ Interneti-sait: │ │ E-post saadetakse ja võetakse vastu otse SMTP abil. │ │ Internet "smarthostiga": │ │ E-kirjad võetakse vastu otse SMTP-ga või käivitades tööriista │ │ nagu "fetchmail". Väljuv kiri saadetakse smart │ abil "smarthost". │ │ Ainult kohalikud kirjad: │ delivered Ainult kohaletoimetatud kirjad on mõeldud kohalikele kasutajatele. Ei, võrku pole. │ │ │ │ E-posti konfiguratsiooni üldine tüüp: │ │ │ │ Konfiguratsiooni pole │ │ Interneti-sait │ │ Internet „smarthostiga“ │ │ Satelliitsüsteem │ │ Ainult kohalik post │ │ │ │ │ │ │ │ │ └─────────────────────────────────────── ────────────────────────────┘┘┌┌┌──────┌┌┌ ─────┤ Postfixi seadistamine ├─────────────────────────┐ ┐ "Postisüsteemi nimi" on selle domeeni nimi, mis │ │ kasutatakse _ALL_ e-posti aadresside "kvalifitseerimiseks" ilma domeeninimeta. See hõlmab ka kirju juurest ja juurelt: palun ärge laske máquinal │ teie masinast e-kirju saata root@example.org kuni │ │ alla root@example.org küsis. │ │ │ │ Teised programmid kasutavad seda nime. See peab olema kordumatu │ │ kvalifitseeritud domeeninimi (FQDN). │ │ │ │ Seega, kui kohaliku masina e-posti aadress on │ │ midagi@näide.org, selle valiku õige väärtus on example.org. │ │ │ │ Meilisüsteemi nimi: │ │ │ │ master.swl.fan ___________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ──────────────────────────────┘
Koristame
root @ master: ~ # sobivuse puhastamine ~ c root @ master: ~ # aptitude install -f root @ master: ~ # sobivus puhas root @ master: ~ # sobivuse automaatne puhastamine
Paigaldame nõuded Samba 4 ja muud vajalikud pakendid
root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-kasutaja libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moodulid pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config
┌───────────────┤ Kerberose autentimise seadistamine ├─────────────────┐ │ Kui kasutajad üritavad Kerberost kasutada ja nime määrata │ │ printsipaal või kasutaja selgitamata, millisesse administratiivsesse Kerberose domeeni kuulub printsipaal │,, võtab süsteem vaikevaldkonna │ │. Vaikeriiki saab kasutada ka kohalikus masinas töötava Kerberose teenuse │ │ valdkonnana. │ │ Tavaliselt on vaikevaldkond kohaliku DNS-i domeeni case │ suurtäht. Ber │ │ default Kerberose versiooni 5 vaikevaldkond: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ──────────────────────────────┘┘┌┌┌── authent authent authent authent authent Kerberos ├─────────────---- Real │ │ │ Teie valdkonna Kerberose serverid: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────── ──────────────────────────────┘ ┌──────────────── authent Autentimise seadistamine Kerberos ├───────────────┐ │ Sisestage haldusserveri nimi (parooli muutmine) ber │ Kerberose SWL.FAN-i jaoks.
Ülaltoodud protsess võttis natuke aega, kuna meil pole veel ühtegi DNS-teenust installitud. Domeeni valisite siiski failisätete järgi õigesti / Etc / hosts. Pidage seda failis meeles / Etc / resolv.conf oleme deklareerinud IP 127.0.0.1 domeeninimeserverina.
Nüüd konfigureerime faili / etc / ldap / ldap / conf
root @ master: ~ # nano /etc/ldap/ldap.conf
ALUS dc = swl, dc = ventilaatori URI LDAP: //meister.swl.fan
Päringute jaoks, mis kasutavad käsku ldapsearch juurkasutaja tehtud tüübid on ldapsearch -x -W cn = xxxx, peame faili looma /juur/.ldapsearc järgmise sisuga:
root @ master: ~ # nano .ldaprc BINDDN CN = administraator, CN = kasutajad, DC = swl, DC = ventilaator
Failisüsteem peab toetama ACL-i - pääsukontrolli loendit
root @ master: ~ # nano / etc / fstab # / etc / fstab: staatilise failisüsteemi teave. # # Kasutage seadet # blkid printimiseks # kordumatu identifikaator; seda võib kasutada koos UUID = abil kindlamaks viisiks seadmete # nimetamiseks, mis töötab ka siis, kui kettad on lisatud ja eemaldatud. Vt fstab (5). # # # / oli installimise ajal / dev / sda1 sees UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, tõke = 1, noatime, tõrked = remount-ro 0 1 # swap oli installimise ajal / dev / sda5 sees UUID = cb73228a-615d-4804-9877-3ec225e3ae32 ükski pole swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 kasutaja, noauto 0 0 root @ master: ~ # mount -a root @ master: ~ # puudutage testimist_acl.txt root @ master: ~ # setfattr -n user.test -v test testing_acl.txt root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt root @ master: ~ # getfattr -d testing_acl.txt # file: testing_acl.txt user.test = "test" root @ master: ~ # getfattr -n security.test -d testing_acl.txt # file: testing_acl.txt security.test = "test2" root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt root @ master: ~ # getfacl testing_acl.txt # fail: testing_acl.txt # omanik: juur # rühm: juurkasutaja :: rw- rühm :: r-- rühm: adm: rwx mask :: rwx muu :: r--
Hankime allika Samba 4, kompileerime ja installime
On väga soovitatav alla laadida versiooni lähtefail Stabiilne saidilt https://www.samba.org/. Meie näites laadime versiooni alla samba-4.5.1.tar.gz kausta poole / opt.
root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /
Konfiguratsiooni valikud
Kui soovime kohandada konfiguratsioonivõimalusi, käivitame:
root @ master: /opt/samba-4.5.1# ./configure --abi
ja valige väga hoolikalt välja vajalikud. Soovitatav on kontrollida, kas allalaaditud paketti saab installida meie kasutatavasse Linuxi jaotusse, mis meie puhul on Debian 8.6 Jessie:
root @ master: /opt/samba-4.5.1# . / Configure kontrollima
Konfigureerime, kompileerime ja installime samba-4.5.1
- Varem installitud nõuetest ja 8604 failist (mis moodustavad kompaktse samba-4.5.1.tar.gz), mis kaaluvad umbes 101.7 megabaiti, sealhulgas kausta source3 ja source4 kaustad, mis kaaluvad umbes 61.1 megabaiti, saame asendaja Microsofti stiilis Active Directory, mille kvaliteet ja stabiilsus on mis tahes tootmiskeskkonna jaoks enam kui vastuvõetav. Peame esile tõstma Team Samba tööd vaba tarkvara Samba 4 tarnimisel.
Allpool olevad käsud on klassikalised pakettide koostamiseks ja nende allikatest installimiseks. Peame olema kannatlikud, kuni kogu protsess kestab. See on ainus viis kehtivate ja õigete tulemuste saamiseks.
root @ master: /opt/samba-4.5.1# ./configure-koos süsteemiga --disable-tassid root @ master: /opt/samba-4.5.1# tegema root @ master: /opt/samba-4.5.1# make install
Käskluse ajal tegema, näeme, et Samba 3 ja Samba 4 allikad on kompileeritud. Seetõttu kinnitab Team Samba, et selle versioon 4 on versiooni 3 loomulik värskendus nii domeenikontrollerite puhul, mis põhinevad Samba 3 + OpenLDAP-l, kui ka failiserveritel või vanemad Samba 4 versioonid.
Samba varustamine
Kasutame DNS-iga SAMBA_INTERNAL. Sisse https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End leiame rohkem teavet. Kui nad küsivad meilt administraatori parooli, peame sisestama ühe minimaalselt 8 tähemärgist koos tähtede - suurte ja väikeste tähtedega - ja numbritega.
Enne teenuse pakkumise jätkamist ja elu lihtsustamiseks lisame tee meie faili Samba käivitatavatest failidest .bashrcSiis sulgeme ja logime uuesti sisse.
root @ master: ~ # nano .bashrc # ~ / .bashrc: käivitab bash (1) sisselogimata kestade jaoks. # Märkus: PS1 ja umask on juba seadistatud kataloogis / etc / profile. Te ei peaks seda # vajama, kui te ei soovi root jaoks erinevaid vaikesätteid. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Kui soovite 'ls' i värvida, võite kommenteerida järgmisi ridu: # export LS_OPTIONS = '- color = auto '# eval "" dircolors "" # alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Veel mõned varjunimed vigade vältimiseks: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i' deklareeri -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin " root @ master: ~ # exit logout Ühendus masteriga suletud. xeon @ sysadmin: ~ $ ssh juur @ master root @ master: ~ # samba-tööriista domeeni säte --use-rfc2307 - interaktiivne Valdkond [SWL.FAN]: SWL.FAN Domeen [SWL]: SWL Serveri roll (dc, liige, eraldiseisev) [dc]: dc DNS-i taustaprogramm (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, Puudub) [SAMBA_INTERNAL]: SAMBA_INTERNAL DNS-ekspediitori IP-aadress (edastamise keelamiseks kirjutage „pole”) [192.168.10.5]: 8.8.8.8 Administraatori parool: Teie parool 2017 Sisestage parool uuesti: Teie parool 2017 IPv4-aadresside otsimine IPv6-aadresside otsimine IPv6-aadressi ei määrata share.ldb seadistamine secrets.ldb registri seadistamine privileegide andmebaasi seadistamine idmapi seadistamine db SAM seadistamine db sam.ldb partitsioonide ja sätete seadistamine üles sam.ldb rootDSE Samba 4 ja AD skeemi eellaadimine DomainDN lisamine: DC = swl, DC = ventilaator Konfiguratsioonikonteineri lisamine sam.ldb skeemi seadistamine sam.ldb skeemi seadistamine Kuvaspetsifikaatorite seadistamine Kuvaspetsifikaatorite seadistamine Kuvaspetsifikaatorite seadistamine Kasutajate konteineri lisamine Kasutajate konteineri muutmine Arvutite konteineri lisamine Arvutite konteineri muutmine sam.ldb andmete seadistamine Tuntud turbepõhimõtete seadistamine sam.ldb kasutajate ja rühmade seadistamine Eneseliitumise seadistamine DNS-kontode lisamine CN = MicrosoftDNS, CN = System, DC = swl, DC = fänn DomainDnsZones ja ForestDnsZones partitsioonide loomineSamba 4 jaoks sobiv Kerberose konfiguratsioon on loodud aadressil /usr/local/samba/private/krb5.conf võltsitud yp-serveri sätete seadistamine Kui ülaltoodud failid on installitud, on teie Samba4 server valmis kasutamiseks Server Role: aktiivne kataloogidomeen kontrolleri hostinimi: NetBIOS-i põhidomeen: SWL DNS-i domeen: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556
Ärgem unustagem kopeerida Kerberose konfiguratsioonifail, nagu näitab väljund Catering:
root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
Käsku tippimata samba-tööriist teie täisnimega loome sümboolse lingi lühinimega tööriist:
root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool
Installime NTP
Active Directory põhitükk on võrgu ajateenus. Kuna autentimine toimub Kerberose ja selle piletite kaudu, on aja sünkroniseerimine Samba 4 AD-DC-ga ülitähtis.
root @ master: ~ # aptitude install ntp root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd statistika loopstats peerstats clockstats filegen loopstats fail loopstats type day lubama filegen peerstats fail peerstats type päev lubama filegenstats fail kellastats kell tüüp päev lubama server 192.168.10.1 piirang -4 vaikimisi kood notrap nomodeerima nopeer noquery piirama -6 vaikimisi kood notrap nomodeerima kiirem noquery piirama vaikimisi mssntp piirama 127.0.0.1 piirama :: 1 saade root @ master: ~ # teenuse ntp taaskäivitamine root @ master: ~ # teenuse ntp olek root @ master: ~ # tail -f / var / log / syslog
Kui uurides syslog kasutades ülaltoodud käsku või kasutades Journalctl -f saame teate:
19. juuni 12:13:21 meister ntpd_intres [1498]: vanem suri enne meie lõpetamist, lahkudes
peame teenuse taaskäivitama ja proovima uuesti. Nüüd loome kausta ntp_signd:
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
Ls: / usr / local / samba / var / lib / ntp_signd ei pääse juurde: faili või kataloogi pole olemas
root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /
# Nagu on taotletud saidil samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. juuni 12:21 / usr / local / samba / var / lib / ntp_signd
Konfigureerime Samba hakake systemd kasutama
root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service [Teenus] Tüüp = hargnev PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Install] WantedBy = mitme kasutaja.target root @ master: ~ # systemctl lubab samba-ad-dc root @ master: ~ # taaskäivitage root @ master: ~ # systemctl olek samba-ad-dc root @ master: ~ # systemctl olek ntp
Samba 4 AD-DC failide asukohad
KÕIK -miinus vastloodud samba-ad-dc.teenus- failid on:
root @ master: ~ # ls -l / usr / local / samba / kokku 32 drwxr-sr-x 2 juuretöötajad 4096 19. juuni 11:55 konteiner drwxr-sr-x 2 juurpersonal 4096 19. juuni 11:50 jms drwxr-sr-x 7 juurpersonal 4096 19. juuni 11:30 sisaldama drwxr-sr-x 15 juurepersonal 4096 19. juuni 11:33 lib drwxr-sr-x 7 juurpersonal 4096 19. juuni 12:40 era- drwxr-sr-x 2 juurpersonal 4096 19. juuni 11:33 sbin drwxr-sr-x 5 juurpersonal 4096 19. juuni 11:33 osa drwxr-sr-x 8 juurpersonal 4096 19. juuni 12:28 oli
parimas UNIX-stiilis. Alati on soovitatav sirvida erinevaid kaustu ja uurida nende sisu.
/Usr/local/samba/etc/smb.conf fail
root @ master: ~ # nano /usr/local/samba/etc/smb.conf # Üldised parameetrid [globaalne] netbiosi nimi = MASTER realm = SWL.FAN-i töörühm = SWL dns-ekspediitor = 8.8.8.8 serveriteenused = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , DNS-serveri roll = aktiivne kataloogidomeenikontroller lubab DNS-i värskendusi = ainult turvaline idmap_ldb: kasutage rfc2307 = jah idmap config *: backend = tdb idmap config *: vahemik = 1000000-1999999 ldap-server nõuab tugevat auth = no printcap name = / dev / null [netlogon] tee = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Ei [sysvol] path = / usr / local / samba / var / locks / sysvol read only = Ei root @ master: ~ # testparm Laadige smb-konfiguratsioonifailid kaustast /usr/local/samba/etc/smb.conf Töötlussektsioon "[netlogon]" Töötlussektsioon "[sysvol]" Laaditud teenuste fail OK. Serveri roll: ROLE_ACTIVE_DIRECTORY_DC Vajutage sisestusklahvi, et näha teenuse määratluste väljavõtet domeenikontroller rpc_server: tcpip = ei rpc_daemon: spoolssd = manustatud rpc_server: spoolss = manustatud rpc_server: winreg = manustatud rpc_server: ntsvcs = manustatud rpc_server: eventlog = embedded rpc_verver = rpc_server : välised torud = true idmap config *: range = 192.168.10.1-1000000 idmap_ldb: use rfc1999999 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = yes vfs objects = dfs_samba2307 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = Ei [sysvol] tee = / usr / local / samba / var / locks / sysvol kirjutuskaitstud = Ei
Minimaalne kontroll
root @ master: ~ # tööriista domeenitaseme näitus Domeeni ja metsafunktsioonide tase 'DC = swl, DC = ventilaator' Metsafunktsioonide tase: (Windows) 2008 R2 domeenifunktsioonide tase: (Windows) 2008 R2 DC-de madalaim funktsioonitasem: (Windows) 2008 R2 root @ master: ~ # ldapsearch -x -W root @ master: ~ # tööriista dbcheck 262 objekti kontrollimine Kontrollitud 262 objekti (0 viga) root @ master: ~ # kinit administraator Parool on Administrator@SWL.FAN: root @ master: ~ # klist -f Pileti vahemälu: FAIL: / tmp / krb5cc_0 Peamine vaikimisi: Administrator@SWL.FAN Kehtib alates Aegub Teenuse peamine 19/06/17 12:53:24 19/06/17 22:53:24 krbtgt/SWL.FAN@SWL.FAN uuendada kuni 20 06:17:12, Lipud: RIA root @ master: ~ # kdestroy root @ master: ~ # klist -f klist: Mandaatide vahemälufaili '/ tmp / krb5cc_0' ei leitud root @ master: ~ # smbclient -L kohalik host -U% Domeen = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Jagamisnime tüübi kommentaar --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Teenus (Samba 4.5.1) Domeen = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Serveri kommentaar --------- ------- Töörühma juht ---- ----- ------- root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls' Sisestage administraatori parool: domeen = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 E 19. juuni 11:50:52 2017 .. D 0 E 19. juuni 11:51:07 2017 19091584 plokid suurusega 1024. Saadaval on 16198044 plokki root @ master: ~ # tool dns serverinfo master -U administraator root @ master: ~ # host -t SRV _ldap._tcp.swl.fan _ldap._tcp.swl.fanil on SRV rekord 0 100 389 master.swl.fan. root @ master: ~ # host -t SRV _kerberos._udp.swl.fan _kerberos._udp.swl.fanil on SRV rekord 0 100 88 master.swl.fan. root @ master: ~ # host -t A master.swl.fan master.swl.fan aadress on 192.168.10.5 root @ master: ~ # host -t SOA swl.fan swl.fanil on SOA rekord master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600 root @ master: ~ # host -t NS swl.fan swl.fan nimeserver master.swl.fan. root @ master: ~ # host -t MX swl.fan swl.fanil pole MX-kirjet root @ master: ~ # samba_dnsupdate --verbose root @ master: ~ # tööriista kasutajate loend Administraator krbtgt Külaline root @ master: ~ # tööriistarühmade loend # Väljundiks on hulk gruppe. ;-)
Haldame äsja installitud Samba 4 AD-DC-d
Kui soovime muuta administraatori parooli aegumist päevadega; paroolide keerukus; parooli minimaalne pikkus; parooli minimaalne ja maksimaalne kestus päevades; ja muutke administraatori parooli, mis on deklareeritud Catering, peame rakendusega. täitma järgmised käsud teie vajadustele vastavaid väärtusi:
root @ master: ~ # tööriist
Kasutamine: samba-tööriist Peamine samba haldamise tööriist. Valikud: -h, --help näitavad seda abisõnumit ja väljuvad versioonivalikutest: -V, --version Kuva versiooninumber Saadaolevad alamkäsud: dbcheck - Kontrollige kohalikus AD-andmebaasis vigade olemasolu. delegeerimine - delegatsiooni juhtimine. dns - domeeninimede teenuse (DNS) haldamine. domeen - domeenihaldus. drs - kataloogi replikatsiooniteenuste (DRS) haldus. dsacl - DS-i ACL-ide manipuleerimine. fsmo - paindlike üksikute põhitoimingute (FSMO) rollide haldamine. gpo - rühmapoliitika objekti (GPO) haldamine. grupp - Grupi juhtimine. ldapcmp - võrrelge kahte ldap-andmebaasi. ntacl - NT ACL-ide manipuleerimine. protsessid - loetlege protsessid (hõlbustamaks silumist süsteemides, kus puudub seadistusprotokoll). rodc - kirjutuskaitstud domeenikontrolleri (RODC) haldus. saidid - saitide haldamine. spn - teenuse põhinime (SPN) haldamine. testparm - süntaks kontrollib konfiguratsioonifaili. aeg - kellaaja hankimine serverist. kasutaja - kasutajate haldus. Konkreetse alamkäsu kohta lisateabe saamiseks sisestage palun: samba-tool (-h | --abi)
root @ master: ~ # tööriista kasutaja setexpiry administraator --noexpiry
root @ master: ~ # tööriista domeeni parooliseadete komplekt --min-pwd-length = 7
root @ master: ~ # tööriista domeeni parooliseadete komplekt --min-pwd-age = 0
root @ master: ~ # tööriista domeeni parooliseadete komplekt --max-pwd-age = 60
root @ master: ~ # tööriista kasutaja määratud parool --filter = samakonto nimi = administraator - uus parool = parool0rD
Lisame mitu DNS-kirjet
root @ master: ~ # tööriist dns
Kasutamine: samba-tool dns Domeeninime teenuse (DNS) haldamine. Valikud: -h, --help näitavad seda abisõnumit ja väljuvad saadaolevatest alamkäsudest: add - lisage DNS-kirje kustutamine - DNS-kirje päringu kustutamine - nime päring. roothints - päringu juur vihjed. serverinfo - serveriteabe päring. update - värskendage DNS-i kirje zonecreate - tsooni loomine zonedelete - tsooni kustutamine. zoneinfo - tsooniteabe päring. zonelist - tsoonide päring. Konkreetse alamkäsu kohta lisateabe saamiseks sisestage palun: samba-tool dns (-h | --abi)
Meiliserver
root @ master: ~ # tool dns lisa master swl.fan mail A 192.168.10.9 -U administraator root @ master: ~ # tool dns lisa master swl.fan swl.fan MX "mail.swl.fan 10" -U administraator
Muude serverite fikseeritud IP
root @ master: ~ # tool dns lisa master swl.fan sysadmin A 192.168.10.1 -U administraator root @ master: ~ # tool dns add master swl.fan failiserver A 192.168.10.10 -U administraator root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U administraator root @ master: ~ # tool dns lisa master swl.fan chat A 192.168.10.12 -U administraator
Tagurpidi tsoon
root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U administraator [SWL \ administraatori] parool: tsooni 10.168.192.in-addr.arpa loomine õnnestus root @ master: ~ # tool dns lisa master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Administraator root @ master: ~ # tool dns lisa master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Administraator root @ master: ~ # tool dns lisa master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Administraator root @ master: ~ # tool dns lisab master 10.168.192.in-addr.arpa 10 PTR-failiserveri.swl.fan. -Administraator root @ master: ~ # tool dns lisa master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Administraator root @ master: ~ # tool dns lisa master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Administraator
Kontrollid
root @ master: ~ # tool dns query master swl.fan mail ALL -U administraator [SWL \ administraatori] parool: nimi =, kirjed = 1, lapsed = 0 A: 192.168.10.9 (lipud = f0, jada = 2, ttl = 900) root @ master: ~ # host master master.swl.fan aadress on 192.168.10.5 root @ master: ~ # host sysadmin sysadmin.swl.fanil on aadress 192.168.10.1 root @ master: ~ # host mail mail.swl.fan aadress on 192.168.10.9 root @ master: ~ # host chat chat.swl.fan aadress on 192.168.10.12 root @ master: ~ # puhverserver proxy.swl.fan aadress on 192.168.10.11 root @ master: ~ # hosti failiserver fileserver.swl.fan on aadressiga 192.168.10.10 root @ master: ~ # host 192.168.10.1 1.10.168.192.in-addr.arpa domeeninime kursor sysadmin.swl.fan. root @ master: ~ # host 192.168.10.5 5.10.168.192.in-addr.arpa domeeninime osutaja master.swl.fan. root @ master: ~ # host 192.168.10.9 9.10.168.192.in-addr.arpa domeeninime kursor mail.swl.fan. root @ master: ~ # host 192.168.10.10 10.10.168.192.in-addr.arpa domeeninime osuti fileserver.swl.fan. root @ master: ~ # host 192.168.10.11 11.10.168.192.in-addr.arpa domeeninime osuti proxy.swl.fan. root @ master: ~ # host 192.168.10.12 12.10.168.192.in-addr.arpa domeeninime kursor chat.swl.fan.
Uudishimulike jaoks
root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \ DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:
Lisame kasutajaid
root @ master: ~ # tööriista kasutaja
Kasutamine: samba-tööriista kasutaja Kasutajahaldus. Valikud: -h, --help näitavad seda abisõnumit ja väljuvad saadaolevatest alamkäsudest: add - uue kasutaja loomine. loo - uue kasutaja loomine. kustuta - kasutaja kustutamine. keelata - kasutaja keelamine. enable - kasutaja lubamine. getpassword - kasutaja / arvuti konto parooliväljade hankimine. nimekiri - loetlege kõik kasutajad. parool - muutke kasutajakonto parooli (autentimisel pakutavat). setexpiry - määrake kasutajakonto aegumine. setpassword - kasutajakonto parooli määramine või lähtestamine. syncpasswords - kasutajakontode parooli sünkroonimine. Konkreetse alamkäsu kohta lisateabe saamiseks sisestage: samba-tool user (-h | --abi)
root @ master: ~ # tööriista kasutaja loob sammud Trancos01
Kasutaja 'trancos' loomine õnnestus
root @ master: ~ # tööriista kasutaja loob gandalf Gandalf01
Kasutaja 'gandalf' loomine õnnestus
root @ master: ~ # tööriista kasutaja luua legolas Legolas01
Kasutaja 'legolas' loomine õnnestus
root @ master: ~ # tööriista kasutajate loend
Administraator gandalf legolas sammub krbtgt Külaline
Haldus graafilise liidese või veebikliendi kaudu
Aadressilt wiki.samba.org leiate üksikasjalikku teavet selle installimise kohta Microsofti RSAT o serveri kaughalduse tööriistad. Kui te ei vaja Microsoft Active Directory pakutavaid klassikalisi reegleid, saate paketi installida ldap-kontohaldur mis pakub lihtsat liidest haldamiseks veebibrauseri kaudu.
Microsofti kaugserveri haldustööriistade (RSAT) programmipakett on Windows Serveri opsüsteemides.
Ühendame domeeni Windows 7 kliendiga nimega "seitse"
Kuna meil pole võrgus DHCP-serverit, peame kõigepealt konfigureerima kliendi võrgukaardi fikseeritud IP-ga, deklareerima, et esmane DNS on samba-ad-dcja kontrollige, kas valik "Registreeri selle ühenduse aadress DNS-is" on aktiveeritud. Pole jõude kontrollida, kas nimi «seitse»Ei ole veel registreeritud Samba sisemises DNS-is.
Pärast arvuti ühendamist domeeniga ja taaskäivitamist proovime kasutajaga sisse logida «sammud«. Kontrollime, kas kõik töötab korras. Samuti on soovitatav kontrollida Windowsi klientide logisid ja kontrollida, kuidas aeg on õigesti sünkroonitud.
Windowsi mõningase kogemusega administraatorid leiavad, et kõik kliendi kontrollid annavad rahuldavaid tulemusi.
Kokkuvõte
Loodan, et artikkel on kogukonna lugejatele kasulik. DesdeLinux.
Hüvasti!
Pikk, kuid üksikasjalik artikkel, väga hea samm-sammult, kuidas kõike teha.
Ma rõhutan NIS-i, tõde on see, et kuigi ma tean selle olemasolust, ei teadnud ma kunagi, kuidas see töötab, sest ausalt öeldes jättis see mulle alati mulje, et see oli LDAP ja Samba 4 kõrval praktiliselt surnud.
PS: Õnnitleme teid uue isikliku projekti puhul! Kahju, et te ei hakka siin edasi kirjutama, kuid vähemalt on koht, kus teid jälgida.
Tohutu õpetus nagu alati minu lemmikutele, Greetings Fico.
Palju õnne projekti puhul.
NIS-i sektsioon on suurepärane, tunnen kaasa Gonzalo Martinezele, teadsin seda lühidalt, kuid mul polnud aimugi, kuidas seda rakendada ja millistes olukordades seda kasutatakse.
Tänan teid ühe korra teoreetilise ja praktilise artikli tohutu "pagasiruumi" eest.
Lõpuks uued õnnestumised teie uues projektis «gigainside».
Suur aitäh kõigile kommentaari eest !!!.
seoses
teie näidataval smb.conf-l pole mingit seost LDAP-iga, kas see on tahtlikult selline või jätsin midagi?
mussol: See on Samba 4 Active Directory domeenikontroller, millel on juba sisseehitatud LDAP-server.
Kas saaksite kommenteerida, kuidas ühendada Mac (Apple) samba 4 AD-DC-ga?
Gracias.
Kuidas sul läheb;
Täname kasutusjuhendi eest, see on suurepärane. Mul on küsimus sõnumi kohta, mis mulle ilmub.
juur @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
Antud hostinime / IP-d ei õnnestunud lahendada: ad.rjsolucionessac.com. Pange tähele, et te ei saa kasutada IP-vahemikke '/ mask' JA '1-4,7,100-'
Kehtivat sihtmärki ei õnnestu leida. Veenduge, et määratud hostid on kas IP-aadressid standardsetes tähistustes või hostinimed, mida saab DNS-iga lahendada
juur @ AD: ~ #