Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto
Hei ystävät ja ystävät!
Tällä artikkelilla sanon hyvästit yhteisölle DesdeLinux. Erityinen jäähyväiset erityiselle yhteisölle. Tästä eteenpäin olen henkilökohtaisessa projektissani, jonka näet osoitteessa http://www.gigainside.com.
Postin päätavoitteena on tarjota «Suuri kuva»Tietoja käytössämme olevista ilmaisohjelmistojen todennuspalveluista. Ainakin se on tarkoituksemme. Siksi se on pitkä, vaikka tiedämme, että se on artikkeleiden kirjoittamisen yleisten sääntöjen vastaista. Toivomme, että järjestelmänvalvojat arvostavat sitä.
Haluamme huomauttaa, että yhteinen protokolla monille nykyaikaisille todennusjärjestelmille on LDAPja että ei ole käyttämätöntä tutkia sitä huolellisesti oppimateriaalista, jonka löydämme viralliselta sivustolta http://www.openldap.org/.
Emme anna yksityiskohtaisia määritelmiä tai linkkejä edellisissä artikkeleissa käsiteltyihin näkökohtiin tai niihin, joiden kuvaus on helposti saatavissa Wikipediassa tai muilla Internet-sivustoilla tai artikkeleissa, jotta haluamamme viesti ei menettäisi objektiivisuutta antaa. Käytämme myös kelvollista nimien sekoitusta englanniksi ja espanjaksi, koska katsomme, että useimmat järjestelmät ovat syntyneet englanninkielisillä nimillä, ja Sysadminille on erittäin hyödyllistä omaksua ne alkuperäiskielellään.
- PAM: Liitettävä todennusmoduuli.
- NIS: Verkko_tietopalvelu.
- LDAP: Kevyt hakemistoprotokolla.
- Kerberos: Suojausprotokolla käyttäjien, tietokoneiden ja palveluiden todentamiseen keskitetysti verkossa, tarkistamalla heidän tunnistetietonsa Kerberos-tietokannan olemassa olevien merkintöjen perusteella.
- DS: Hakemistopalvelin tai hakemistopalvelu
- AD-DC: Active Directory - Verkkotunnuksen hallinta
PAM
Omistamme pienen sarjan tämäntyyppiselle paikalliselle todennukselle, jonka huomaat päivittäisessä käytännössä, että sitä käytetään laajasti, kun esimerkiksi liitämme työaseman toimialueen ohjaimeen tai Active Directoryyn; kartoittaa ulkoisiin LDAP-tietokantoihin tallennettuja käyttäjiä ikään kuin he olisivat paikallisia käyttäjiä; kartoittaa Active Directoryn toimialueen ohjaimeen tallennettuja käyttäjiä ikään kuin he olisivat paikallisia käyttäjiä, ja niin edelleen.
- Squid + PAM -todennus CentOS 7: ssä.
- Paikallinen käyttäjien ja ryhmien hallinta
- NSD: n autoritaarinen DNS-palvelin + Shorewall
- Prosody IM ja paikalliset käyttäjät
- Postfix + Dovecot + Squirrelmail ja paikalliset käyttäjät
NIS
De wikipedia:
- Verkkotietojärjestelmä (tunnetaan lyhenteellä NIS, joka espanjaksi tarkoittaa verkkotietojärjestelmää) on Sun Microsystemsin kehittämä asiakas-palvelin-hakemistopalveluprotokolla, joka lähettää kokoonpanotietoja hajautetuissa järjestelmissä, kuten käyttäjien ja tietokoneiden nimet tietokoneiden välillä. verkossa.NIS perustuu ONC RPC: hen ja koostuu palvelimesta, asiakaspuolen kirjastosta ja erilaisista hallintatyökaluista.
NIS: ää kutsuttiin alun perin keltaisiksi sivuiksi tai YP: ksi, jota käytetään edelleen viittaamaan siihen. Valitettavasti tämä nimi on British Telecomin tavaramerkki, joka vaati Sunia pudottamaan kyseisen nimen. YP on kuitenkin etuliite useimpien NIS-järjestelmään liittyvien komentojen, kuten ypserv ja ypbind, nimissä.
DNS tarjoaa rajallisen valikoiman tietoja, joista tärkein on solmun nimen ja IP-osoitteen välinen vastaavuus. Muuntyyppisille tiedoille ei ole tällaista erikoistunutta palvelua. Toisaalta, jos hallinnoit vain pientä lähiverkkoa, jossa ei ole Internet-yhteyttä, ei näytä olevan syytä asettaa DNS: ää. Siksi Sun kehitti verkkotietojärjestelmän (NIS). NIS tarjoaa yleisiä tietokannan käyttöominaisuuksia, joita voidaan käyttää esimerkiksi jakamaan passwd-tiedostoja ja ryhmittelemään tiedostoja kaikkiin verkon solmuihin. Tämä tekee verkosta näyttävän yhtenäiseltä järjestelmältä, jolla on samat tilit kaikissa solmuissa. Vastaavasti NIS: ää voidaan käyttää jakamaan / etc / hosts -solmujen nimitiedot kaikille verkon koneille.
Nykyään NIS on saatavilla käytännöllisesti katsoen kaikissa Unix-jakeluissa, ja siellä on jopa ilmaisia toteutuksia. BSD Net-2 julkaisi sellaisen, joka on johdettu Sunin lahjoittamasta julkisesta viitetoteutuksesta. Tämän version asiakasosan kirjastokoodi on ollut olemassa GNU / Linux libc: ssä jo pitkään, ja hallinto-ohjelmat siirrettiin GNU / Linuxiin Swen Thümmlerin toimesta. NIS-palvelin puuttuu kuitenkin viitetoteutuksesta lähtien.
Peter Eriksson on kehittänyt uuden toteutuksen nimeltä NYS. Se tukee sekä perusverkkoa että Sun NIS +: n parannettua versiota. [1] NYS tarjoaa paitsi useita NIS-työkaluja ja palvelimen, mutta lisää myös uuden sarjan kirjastotoimintoja, jotka sinun on käännettävä libc: hen, jos haluat käyttää niitä. Tämä sisältää uuden kokoonpanomallin solmunimen tarkkuudelle, joka korvaa nykyisen mallin, jota "host.conf" -tiedosto käyttää.
GNU libc, joka tunnetaan nimellä libc6 GNU / Linux-yhteisössä, sisältää päivitetyn version perinteisestä NIS-tuesta, jonka on kehittänyt Thorsten Kukuk. Se tukee kaikkia NYS: n tarjoamia kirjastotoimintoja ja käyttää myös edistynyttä NYS-kokoonpanomallia. Työkaluja ja palvelinta tarvitaan edelleen, mutta GNU libc: n käyttö säästää kirjaston korjaamisen ja uudelleen kääntämisen vaivaa
.
Tietokone ja verkkotunnus, verkkoliitäntä ja resolveri
- Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää.. Verkkotunnus swl.fan tarkoittaa "ilmaisten ohjelmistojen faneja". Mikä on parempi nimi kuin tämä?.
root @ master: ~ # isäntänimi
mestari
root @ master: ~ # isäntänimi -f
master.swl.fan
root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue -tila Tuntematon ryhmä oletuslinkki / silmukka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 -alue isäntä lo valid_lft forever prefer_lft forever inet6 :: 1/128 laajuus isäntä kelvollinen_lft ikuisesti prefer_lft ikuisesti 2: eth0: mtu 1500 qdisc pfifo_fast state UP-ryhmän oletusarvo qlen 1000 linkki / eetteri 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 -alue globaali eth0 valid_lft ikuisesti prefered_lft ikuisesti inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 -alueen linkki valid_lft forever prefer_lft forever
root @ master: ~ # cat /etc/resolv.conf
etsi swl.fan-nimipalvelin 127.0.0.1
Bid9: n, isc-dhcp-palvelimen ja ntp: n asennus
sidonta9
root @ master: ~ # aptitude asenna bind9 bind9-doc Nmap root @ master: ~ # systemctl -tilan sidonta9 root @ master: ~ # nano /etc/bind/named.conf sisältää "/etc/bind/named.conf.options"; sisältää "/etc/bind/named.conf.local"; sisältää "/etc/bind/named.conf.default-zones"; root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original root @ master: ~ # nano /etc/bind/named.conf.options vaihtoehdot {hakemisto "/ var / cache / bind"; // Jos sinun ja nimipalvelinten välillä, joiden kanssa haluat // puhua, on palomuuri, sinun on ehkä korjattava palomuuri sallimaan useiden // porttien puhua. Katso http://www.kb.cert.org/vuls/id/800113 // Jos Internet-palveluntarjoajasi antoi yhden tai useamman IP-osoitteen vakaille // nimipalvelimille, haluat todennäköisesti käyttää niitä edelleenlähettäjinä. // Poista seuraavan lohkon kommentti ja lisää osoitteet, jotka korvaavat // all-0: n paikkamerkin. // kuormatraktorit {// 0.0.0.0; //}; // ================================================= = ==================== $ // Jos BIND kirjaa virheviestit pääavaimen vanhentumisesta, // sinun on päivitettävä avaimesi. Katso https://www.isc.org/bind-keys // ================================================= = ===================== $ // Emme halua DNSSEC: ää dnssec-enable ei; // dnssec-validointi auto; auth-nxdomain no; # noudattaa RFC1035 listen-on-v6 -standardia {mikä tahansa; }; // Tarkistuksia localhostilta ja sysadminilta // dig swl.fan axfr: n kautta // Meillä ei ole Slave DNS: ää ... toistaiseksi allow-transfer {paikallinen isäntä; 192.168.10.1; }; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD // Jaettu osoiteavaruus (RFC 6598) zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; // Link-local / APIPA (RFC: t 3927, 5735 ja 6303) vyöhyke "254.169.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IETF-protokollan määritykset (RFC: t 5735 ja 5736) vyöhyke "0.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // TEST-NET- [1-3] dokumentaatiota varten (RFC: t 5735, 5737 ja 6303) vyöhyke "2.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "100.51.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "113.0.203.in-addr.arpa" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; }; // IPv6-esimerkkialue dokumentaatiota varten (RFC: t 3849 ja 6303) vyöhyke "8.bd0.1.0.0.2.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // Verkkotunnukset dokumentointia ja testausta varten (BCP 32) vyöhyke "testi" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki" {type master; tiedosto "/etc/bind/db.empty"; }; zone "virheellinen" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.com" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.net" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki.org" {type master; tiedosto "/etc/bind/db.empty"; }; // Reitittimen vertailutestaus (RFC: t 2544 ja 5735) vyöhyke "18.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "19.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IANA varattu - vanhan luokan E tila (RFC 5735) vyöhyke "240.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "241.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "242.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "243.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "244.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "245.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "246.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "247.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "248.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "249.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "250.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "251.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "252.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "253.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "254.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6: n määrittelemättömät osoitteet (RFC 4291) vyöhyke "1.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "a.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "b.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "c.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "d.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "e.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "afip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "bfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6 ULA (RFC: t 4193 ja 6303) vyöhyke "cfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "dfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6-linkin paikallinen (RFC: t 4291 ja 6303) vyöhyke "8.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "aefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "befip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6: n käytöstä poistetut sivusto-paikalliset osoitteet (RFC: t 3879 ja 6303) vyöhyke "cefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "defip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "eefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "fefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IP6.INT on poistettu käytöstä (RFC 4159) vyöhyke "ip6.int" {type master; tiedosto "/etc/bind/db.empty"; }; root @ master: ~ # nano /etc/bind/named.conf.local // // Tee täällä kaikki paikalliset määritykset // // Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // organisaatiossasi, sisällytä "/etc/bind/zones.rfc1918"; sisältää "/etc/bind/zones.rfcFreeBSD"; // Ilmoitus DNS-tietuevyöhykkeiden nimestä, tyypistä, sijainnista ja päivitysoikeudesta // Molemmat vyöhykkeet ovat MASTER-vyöhykkeen "swl.fan" {type master; tiedosto "/var/lib/bind/db.swl.fan"; }; vyöhyke "10.168.192.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa"; }; root @ master: ~ # named-checkconf root @ master: ~ # nano /var/lib/bind/db.swl.fan $ TTL 3H @ IN SOA: ssa master.swl.fan. root.master.swl.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Vapaiden ohjelmistojen ystäville"; sysadmin IN 192.168.10.1-tiedostopalvelin IN 192.168.10.4-isäntä IN 192.168.10.5-välityspalvelin IN 192.168.10.6-blogi A 192.168.10.7 -palvelin IN 192.168.10.8-posti 192.168.10.9-viesti root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa $ TTL 3H @ IN SOA: ssa master.swl.fan. root.master.swl.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR-tiedostopalvelin.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR: ssä proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan. root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan zone swl.fan/IN: ladattu sarja 1 OK root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa vyöhyke 10.168.192.in-addr.arpa/IN: ladattu sarja 1 OK root @ master: ~ # named-checkconf -zp root @ master: ~ # systemctl käynnistä bind9.service uudelleen root @ master: ~ # systemctl-tila bind9.service
Bind9-tarkastukset
root @ master: ~ # dig swl.fan axfr root @ master: ~ # dig 10.168.192.in-addr.arpa axfr root @ master: ~ # dig IN SOA swl.fan root @ master: ~ # dig IN NS swl.fan root @ master: ~ # dig IN MX swl.fan root @ master: ~ # välityspalvelimen isäntä root @ master: ~ # nping --tcp -p 53 -c 3 paikallinen isäntä root @ master: ~ # nping --udp -p 53 -c 3 paikallinen isäntä root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan Alkaen Nping 0.6.47 ( http://nmap.org/nping ) klo 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 LÄHETETTY (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Maks. Rtt: N / A | Pienin aika: N / A | Keskim. Rtt: Ei tietoja Lähetetyt raakapaketit: 84 (0B) | Rcvd: 0 (3B) | Kadonnut: 100.00 (1%) Nping valmis: 3.01 IP-osoite pingattu XNUMX sekunnissa
ISC-dhcp-palvelin
root @ master: ~ # aptitude asenna isc-dhcp-palvelin root @ master: ~ # nano / etc / default / isc-dhcp-palvelin # Millä liitännöillä DHCP-palvelimen (dhcpd) tulisi palvella DHCP-pyyntöjä? # Erota useita rajapintoja välilyönneillä, esim. "Eth0 eth1". LIITÄNNÄT = "eth0" root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KÄYTTÄJÄ dhcp-avain root @ master: ~ # cat Kdhcp-avain. +157 + 51777. yksityinen Yksityisen avaimen muoto: v1.3-algoritmi: 157 (HMAC_MD5) Avain: Ba9GVadq4vOCixjPN94dCQ == Bittiä: AAA = Luotu: 20170527133656 Julkaise: 20170527133656 Aktivoi: 20170527133656 root @ master: ~ # nano dhcp.key avain dhcp-avain { algoritmi hmac-md5; salainen "Ba9GVadq4vOCixjPN94dCQ == "; }; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local sisältää "/etc/bind/dhcp.key"; vyöhyke "swl.fan" {type master; tiedosto "/var/lib/bind/db.swl.fan"; salli-päivitä {avain dhcp-avain; }; }; vyöhyke "10.168.192.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa"; salli-päivitä {avain dhcp-avain; }; }; root @ master: ~ # named-checkconf root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; päivitysoptimointi väärä; # Voi olla pakollinen Debianin aitoissa; vaihtoehto ip-edelleenlähetys pois päältä; vaihtoehto verkkotunnus "swl.fan"; sisältää "/etc/dhcp/dhcp.key"; alue swl. tuuletin. {ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.168.192.in-addr.arpa. {ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal {aliverkko 192.168.10.0 netmask 255.255.255.0 {vaihtoehtoiset reitittimet 192.168.10.1; option subnet-mask 255.255.255.0; vaihtoehtoinen lähetysosoite 192.168.10.255; vaihtoehto verkkotunnus-palvelimet 192.168.10.5; vaihtoehto netbios-nimi-palvelimet 192.168.10.5; vaihtoehto ntp-palvelimet 192.168.10.5; vaihtoehtoiset aikapalvelimet 192.168.10.5; alue 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Kaikki oikeudet pidätetään. Lisätietoja on osoitteessa https://www.isc.org/software/dhcp/ Config-tiedosto: /etc/dhcp/dhcpd.conf Tietokantatiedosto: /var/lib/dhcp/dhcpd.leasing PID-tiedosto: /var/run/dhcpd.pid root @ master: ~ # systemctl käynnistä bind9.service uudelleen root @ master: ~ # systemctl-tila bind9.service root @ master: ~ # systemctl start isc-dhcp-server.service root @ master: ~ # systemctl-tila isc-dhcp-server.service
ntp
root @ master: ~ # aptitude install ntp ntpdate root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 limit -4 default kod notrap nomodify nopeer noquery limit -6 oletuskoodi notrap nomodify nopeer noquery -rajoitus 127.0.0.1-rajoitus :: 1 lähetys 192.168.10.255 root @ master: ~ # systemctl käynnistä ntp.service uudelleen root @ master: ~ # systemctl-tila ntp.service root @ master: ~ # ntpdate -u sysadmin.swl.fan 27. toukokuuta 10:04:01 ntpdate [18769]: säädä aikapalvelinta 192.168.10.1 offset 0.369354 sec
Ntp-, bind9- ja isc-dhcp-palvelinten yleiset tarkistukset
Tarkista Linux-, BSD-, Mac OS- tai Windows-asiakasohjelmasta, että aika on synkronoitu oikein. Että se saa dynaamisen IP-osoitteen ja että isännän nimi ratkaistaan suorilla ja käänteisillä DNS-kyselyillä. Vaihda asiakkaan nimi ja tee kaikki sekit uudelleen. Älä jatka, ennen kuin olet varma, että tähän mennessä asennetut palvelut toimivat oikein. Jotain me kirjoitimme kaikki artikkelit DNS: stä ja DHCP: stä Tietokoneverkot pk-yrityksille.
NIS-palvelimen asennus
root @ master: ~ # aptitude show nis Ristiriidassa seuraavien kanssa: netstd (<= 1.26) Kuvaus: asiakkaat ja demonit verkkotietopalvelulle (NIS) Tämä paketti tarjoaa työkalut NIS-toimialueen määrittämiseen ja ylläpitoon. NIS: ää, alun perin nimellä Keltaiset sivut (YP), käytetään useimmiten verkon useiden koneiden jakamiseen samojen tilitietojen, kuten salasanatiedoston, kanssa. root @ master: ~ # aptitude asenna nis Paketin kokoonpano ┌──────────────────────────┤ Nis-kokoonpano ├───────────────── ── ────────┐ │ Valitse tälle järjestelmälle NIS-verkkotunnus. Jos haluat, että machine │ tämä kone on vain asiakas, kirjoita sen NIS-toimialueen nimi, johon haluat liittyä. │ │ │ │ Vaihtoehtoisesti, jos tämän koneen on oltava NIS-palvelin, voit │ │ kirjoittaa uuden NIS-toimialueen nimen tai olemassa olevan NIS-toimialueen nimen │ │. IS │ │ │ NIS-toimialue: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘
Se viivästyttää sinun, koska palvelukokoonpanoa ei ole olemassa sellaisenaan. Odota prosessin päättymistä.
root @ master: ~ # nano / etc / default / nis
# Olemmeko NIS-palvelin ja jos on, millaista (arvot: false, slave, master)?
NISSERVER = päällikkö
root @ master: ~ # nano /etc/ypserv.securenets # securenets Tämä tiedosto määrittelee NIS-palvelimen # käyttöoikeudet NIS-asiakkaille (ja orjapalvelimille - ypxfrd käyttää myös tätä # tiedostoa). Tämä tiedosto sisältää verkkomaski- / verkkopareja. # Asiakkaan IP-osoitteen on vastattava vähintään yhtä näistä. # # Voidaan käyttää sanaa "isäntä" verkon peitteen # 255.255.255.255 sijaan. Ainoastaan IP-osoitteet ovat sallittuja tässä # tiedostossa, ei isäntänimiä. # # Salli aina pääsy paikalliselle palvelimelle 255.0.0.0 127.0.0.0 # Tämä rivi antaa kaikille pääsyn. SÄÄTÖ! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0
root @ master: ~ # nano / var / yp / Makefile # Pitäisikö meidän yhdistää passwd-tiedosto varjotiedostoon? # MERGE_PASSWD = tosi | väärä
MERGE_PASSWD = tosi
# Pitäisikö meidän yhdistää ryhmätiedosto gshadow-tiedostoon? # MERGE_GROUP = tosi | väärä
MERGE_GROUP = tosi
Rakennamme NIS-tietokannan
root @ master: ~ # / usr / lib / yp / ypinit -m Tässä vaiheessa meidän on rakennettava luettelo isännistä, jotka suorittavat NIS-palvelimia. master.swl.fan on NIS-palvelinpalvelinten luettelossa. Jatka muiden isäntien lisäämistä, yksi kutakin riviä kohden. Kun olet valmis luetteloon, kirjoita a . seuraava lisättävä isäntä: master.swl.fan seuraava lisättävä isäntä: Nykyinen NIS-palvelinten luettelo näyttää tältä: master.swl.fan Onko tämä oikein? [y / n: y] Tarvitsemme muutaman minuutin tietokantojen rakentamiseen ... tee [1]: Poistuminen hakemistosta '/var/yp/swl.fan' master.swl.fan on määritetty NIS-pääpalvelimeksi . Nyt voit suorittaa ypinit -s master.swl.fanin kaikilla orjapalvelimilla. root @ master: ~ # systemctl käynnistä nis uudelleen root @ master: ~ # systemctl tila nis
Lisäämme paikallisia käyttäjiä
root @ master: ~ # adduser bilbo Käyttäjän `` bilbo '' lisääminen ... Uuden ryhmän `` bilbo '' (1001) lisääminen ... Uuden käyttäjän `` bilbo '' (1001) lisääminen ryhmään `` bilbo '' ... Kotihakemiston `` home / bilbo '' luominen ... Kopioidaan tiedostot hakemistosta `/ etc / skel '... Syötä uusi UNIX-salasana: Kirjoita uusi UNIX-salasana uudelleen: passwd: salasana päivitetty oikein Bilbon käyttäjätietojen muuttaminen Syötä uusi arvo tai paina ENTER käyttääksesi oletusnimi Koko nimi []: Bilbo Bagins -huonenumero []: Työpuhelin []: Kotipuhelin []: Muu []: Ovatko tiedot oikein? [Kyllä / ei] root @ master: ~ # adduser kulkee root @ master: ~ # adduser legolas
ja niin edelleen.
root @ master: ~ # sormi legolas Kirjaudu: legolas Nimi: Legolas Archer Directory: / home / legolas Shell: / bin / bash Ei koskaan kirjautunut sisään. Ei postia. Ei suunnitelmaa.
Päivitämme NIS-tietokantaa
root @ master: / var / yp # make make [1]: Hakemiston '/var/yp/swl.fan' kirjoittaminen Päivitetään passwd.byname ... Päivitetään passwd.byuid ... Päivitetään group.byname ... Päivitetään group.bygid ... Päivitetään netid.byname. .. Päivitetään shadow.byname ... Ohitettu -> yhdistetty passwd make [1]: Hakemistosta '/var/yp/swl.fan' poistuminen
Lisätään NIS-asetukset isc-dhcp-palvelimeen
root @ master: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; päivitysoptimointi väärä; arvovaltainen; vaihtoehto ip-edelleenlähetys pois päältä; vaihtoehto verkkotunnus "swl.fan"; sisältää "/etc/dhcp/dhcp.key"; alue swl. tuuletin. {ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.168.192.in-addr.arpa. {ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal {aliverkko 192.168.10.0 netmask 255.255.255.0 {vaihtoehtoiset reitittimet 192.168.10.1; option subnet-mask 255.255.255.0; vaihtoehtoinen lähetysosoite 192.168.10.255; vaihtoehto verkkotunnus-palvelimet 192.168.10.5; vaihtoehto netbios-nimi-palvelimet 192.168.10.5; vaihtoehto ntp-palvelimet 192.168.10.5; vaihtoehtoiset aikapalvelimet 192.168.10.5; vaihtoehto nis-domain "swl.fan"; vaihtoehto nis-palvelimet 192.168.10.5; alue 192.168.10.30 192.168.10.250; }} root @ master: ~ # dhcpd -t root @ master: ~ # systemctl käynnistä isc-dhcp-server.service uudelleen
NIS-asiakkaan asennus
- Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää..
root @ mail: ~ # isäntänimi -f
mail.swl.fan
root @ mail: ~ # ip osoite
2: eth0: mtu 1500 qdisc pfifo_fast state UP-ryhmän oletusarvo qlen 1000 linkki / eetteri 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
inet 192.168.10.9/24 brd 192.168.10.255 -alue globaali eth0
root @ mail: ~ # aptitude asentaa nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf määritystiedosto ypbind-prosessille. Voit määrittää täällä # NIS-palvelinta manuaalisesti, jos niitä ei löydy lähettämällä paikallisverkossa (mikä on oletusarvo). # # Katso tämän tiedoston syntaksia ypbindin ohjesivulta. # # TÄRKEÄÄ: Käytä "ypserver": ssä IP-osoitteita tai varmista, että # isäntä on / etc / hosts. Tätä tiedostoa tulkitaan vain # kerran, ja jos DNS: ää ei ole vielä saavutettavissa, ypserveriä ei voida ratkaista # eikä ypbind koskaan sitoutu palvelimeen. # ypserver ypserver.network.com ypserver master.swl.fan -verkkotunnus swl.fan
root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', kokeile: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd: compat nis -ryhmä: compat nis -varjo: compat nis gshadow: tiedostojen isännät: tiedostot dns nis verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot verkkoryhmä: nis
root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) saadaksesi lisätietoja.
istunto valinnainen pam_mkhomedir.so skel = / etc / skel umask = 077
# tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko)
root @ mail: ~ # systemctl tila nis
root @ mail: ~ # systemctl käynnistä nis uudelleen
Lopetamme istunnon ja aloitamme sen uudelleen, mutta käyttäjän, joka on rekisteröity NIS-tietokantaan osoitteessa master.swl.fan.
root @ mail: ~ # exit uloskirjautuminen Yhteys postiin on suljettu. buzz @ sysadmin: ~ $ ssh legolas @ mail legolas @ mailin salasana: Hakemiston 'home / legolas' luominen. Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa. legolas @ mail: ~ $ pwd / koti / legolas legolas @ mail: ~ $
Vaihdamme legolas-käyttäjän salasanan ja tarkistamme
legolas @ mail: ~ $ yppasswd Legolan NIS-tilitietojen muuttaminen master.swl.fanissa. Anna vanha salasana: legolas Legolien NIS-salasanan vaihtaminen master.swl.fanissa. Anna uusi salasana: archer Salasanassa on oltava sekä isoja että pieniä kirjaimia tai ei-kirjaimia. Anna uusi salasana: Arquero2017 Kirjoita uusi salasana uudelleen: Arquero2017 NIS-salasana on vaihdettu osoitteessa master.swl.fan. legolas @ mail: ~ $ exit uloskirjautuminen Yhteys postiin on suljettu. buzz @ sysadmin: ~ $ ssh legolas @ mail legolas @ mailin salasana: Arquero2017 Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa. Viimeisin kirjautuminen: lauantai 27. toukokuuta 12:51:50 2017 osoitteesta sysadmin.swl.fan legolas @ mail: ~ $
Palvelimen ja asiakkaan tasolla toteutettu NIS-palvelu toimii oikein.
LDAP
Wikipediasta:
- LDAP on lyhenne sanoista Lightweight Directory Access Protocol (espanjaksi Lightweight / Simplified Directory Access Protocol), joka viittaa sovellustason protokollaan, joka sallii pääsyn tilattuun ja hajautettuun hakemistopalveluun etsimään erilaisia tietoja ympäristöverkosta. LDAP: tä pidetään myös tietokantana (vaikka sen tallennusjärjestelmä voi olla erilainen), josta voidaan kysyä.Hakemisto on joukko objekteja, joiden määritteet on järjestetty loogisesti ja hierarkkisesti. Yleisin esimerkki on puhelinluettelo, joka koostuu sarjasta nimiä (henkilöitä tai organisaatioita), jotka on järjestetty aakkosjärjestyksessä, ja jokaisella nimellä on osoite ja puhelinnumero. Parempaa ymmärtämistä varten se on kirja tai kansio, johon kirjoitetaan ihmisten nimet, puhelinnumerot ja osoitteet, ja se on järjestetty aakkosjärjestykseen.
LDAP-hakemistopuu heijastaa joskus erilaisia poliittisia, maantieteellisiä tai organisatorisia rajoja valitusta mallista riippuen. LDAP: n nykyiset asennukset käyttävät yleensä DNS (Domain Name System) -nimiä hierarkian ylempien tasojen rakentamiseen. Kun vierität hakemistoa alas, näkyviin voi tulla merkintöjä, jotka edustavat ihmisiä, organisaatioyksiköitä, tulostimia, asiakirjoja, ihmisryhmiä tai mitä tahansa, joka edustaa tiettyä merkintää puussa (tai useita merkintöjä).
Yleensä se tallentaa todennustiedot (käyttäjä ja salasana) ja sitä käytetään todennukseen, vaikka on mahdollista tallentaa muita tietoja (käyttäjän yhteystiedot, erilaisten verkkoresurssien sijainti, käyttöoikeudet, varmenteet jne.). Yhteenvetona voidaan todeta, että LDAP on yhtenäinen pääsyprotokolla verkon tietojoukolle.
Nykyinen versio on LDAPv3, ja se on määritelty RFC: ssä RFC 2251 ja RFC 2256 (LDAP-perusasiakirja), RFC 2829 (todennustapa LDAP: lle), RFC 2830 (laajennus TLS: lle) ja RFC 3377 (tekninen erittely)
.
Kauan, LDAP-protokolla - ja sen tietokannat, jotka ovat yhteensopivia tai eivät OpenLDAP: n kanssa - ovat nykyään eniten käytetty useimmissa todennusjärjestelmissä. Esimerkkinä edellisestä lausunnosta annamme alla joitain järjestelmien nimiä - Free tai Private - jotka käyttävät LDAP-tietokantoja taustana kaikkien objektiensa tallentamiseen:
- OpenLDAP
- Apache-hakemistopalvelin
- Red Hat Directory Server - 389 DS
- Novell Directory Services - eDirectory
- SUN Microsystems Open DS
- Red Hat Identity Manager
- FreeIPA
- Samba NT4 Classic Domain Controller.
Haluamme selventää, että tämä järjestelmä oli Team Samban kehitys Samba 3.xxx + OpenLDAP as: lla backend. Microsoft ei koskaan toteuttanut mitään vastaavaa. Siirtyi NT 4 -toimialueohjaimista aktiivisiin hakemistoihinsa - Samba 4 Active Directory - toimialueen ohjain
- ClearOS
- zentyal
- UCS Uninvention -yrityspalvelin
- Microsoft Active Directory
Jokaisella toteutuksella on omat ominaisuutensa, ja kaikkein vakio ja yhteensopiva on OpenLDAP.
Active Directory, olipa kyseessä sitten alkuperäinen Microsoft tai Samba 4, muodostaa yhdistelmän useista pääkomponenteista, jotka ovat:
- Mukautettu LDAP sekä Microsoftilta että Sambalta.
- Microsoft Windows -verkkotunnus o Windows-toimialue. Se on pohjimmiltaan Microsoft-verkko.
- Microsoftin verkkotunnuksen ohjain o Verkkotunnuksen ohjain.
- Sekä Microsoft että Samba ovat räätälöineet Kerberoksen.
Emme saa sekoittaa a Hakemistopalvelu o Hakemistopalvelu a. kanssa Active Directory o Active Directory. Ensimmäiset saattavat isännöidä Kerberos-todennusta, mutta ne eivät tarjoa Windows-verkkotunnuksen tarjoamaa Microsoft-verkkopalvelua, eikä heillä ole sellaisenaan Windows Domain Controlleria.
Hakemistopalvelua tai hakemistopalvelua voidaan käyttää käyttäjien todentamiseen sekaverkossa UNIX / Linux- ja Windows-asiakkaiden kanssa. Jälkimmäisen osalta jokaiselle asiakkaalle on asennettava ohjelma, joka toimii välittäjänä Hakemistopalvelun ja itse Windows-asiakkaan välillä, kuten ilmainen ohjelmisto. pGina.
Hakemistopalvelu OpenLDAP: lla
- Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää., samalla "pääkäyttäjän" konenimellä, jota käytetään NIS-asennuksessa, sekä sen verkkoliitännän ja /etc/resolv.conf -tiedoston kokoonpanolla. Tähän uuteen palvelimeen asennamme ntp, bind9 ja isc-dhcp-server, unohtamatta kolmen edellisen palvelun oikean toiminnan yleisiä tarkistuksia..
root @ master: ~ # aptitude asenna slapd ldap-utils Paketin kokoonpano ┌─────────────────────┤ Slapd-kokoonpano ├───────────────────────┐ │ Syötä salasana LDAP-hakemistosi järjestelmänvalvojan merkinnälle. │ │ │ │ Järjestelmänvalvojan salasana: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────┘
Tarkistamme alkuasetukset
root @ master: ~ # slapcat dn: dc = swl, dc = tuuletin objectClass: top objectClass: dcObject objectClass: organisaatio o: swl.fan dc: swl StructuralObjectClass: organisaation merkintäUUID: c8510708-da8e-1036-8fe1-71d022a16904 luojatNimi: cn = admin, dc = swl, dc = tuuletinmerkintä createTimestamp20170531205219: 20170531205219.833955Timestamp000000: : 000ZN000000 merkintä Z # 20170531205219 # XNUMX # XNUMX muokkaajat Nimi: cn = admin, dc = swl, dc = tuulettimen muokkaus Aikaleima: XNUMXZ dn: cn = admin, dc = swl, dc = tuuletin objectClass: simpleSecurityObject objectClass: organizationalRole CN: admin Kuvaus: LDAP ylläpitäjä userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-entry = cXNUMXe +XNUMX Z # XNUMX # XNUMX # XNUMX muokkaajat Nimi: cn = admin, dc = swl, dc = tuulettimen muokkaus Aikaleima: XNUMXZ
Muutamme tiedostoa /etc/ldap/ldap.conf
root @ master: ~ # nano /etc/ldap/ldap.conf PERUS dc = swl, dc = tuulettimen URI ldap: // paikallinen isäntä
Organisaatioyksiköt ja yleisen ryhmän «käyttäjät»
Lisätään vähimmäisvaatimukset organisaatioyksiköistä sekä Posix-ryhmän «käyttäjät», joihin kaikki jäsenet tehdään, noudattamalla esimerkkiä monista järjestelmistä, joilla on ryhmä «Käyttäjät«. Määritämme sen nimellä "käyttäjät", jotta emme pääse mahdollisiin ristiriitoihin ryhmän kanssa "lähettämä"järjestelmän".
root @ master: ~ # nano base.ldif dn: ou = ihmiset, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ihmiset dn: ou = ryhmät, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ryhmät dn: cn = käyttäjät, ou = ryhmät, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = tuuletin -W -f base.ldif Anna LDAP-salasana: uuden merkinnän lisääminen "ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "ou = ryhmät, dc = swl, dc = tuuletin"
Tarkistamme lisätyt merkinnät
root @ master: ~ # ldapsearch -x ou = ihmiset # ihmiset, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organisaatioUnit ou: people root @ master: ~ # ldapsearch -x ou = ryhmät # ryhmät, swl.fan dn: ou = ryhmät, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ryhmät root @ master: ~ # ldapsearch -x cn = käyttäjät # käyttäjät, ryhmät, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000
Lisäämme useita käyttäjiä
Salasana, joka meidän on ilmoitettava LDAP: ssä, on hankittava komennolla slappasswd, joka palauttaa SSHA: n salatun salasanan.
Salasana käyttäjän askeleille:
root @ master: ~ # slappasswd Uusi salasana: Anna uusi salasana uudelleen: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
Salasana käyttäjän legolasille
root @ master: ~ # slappasswd Uusi salasana: Anna uusi salasana uudelleen: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
Salasana käyttäjän gandalfille
root @ master: ~ # slappasswd Uusi salasana: Anna uusi salasana uudelleen: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u root @ master: ~ # nano users.ldif dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp uidNumber: 10000 gidNumber: 10000 posti: striders@swl.fan gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer-käyttäjä Salasana: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD uidNumber: 10001 gidNumber: 10000 posti: legolas@swl.fan gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Ohjatun toiminnon käyttäjä {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u uidNumber: 10002 gidNumber: 10000 posti: gandalf@swl.fan gecos: Gandalf The Wizard loginShell: / bin / bash homeHakemisto: / home / gandalf root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = tuuletin -W -f users.ldif Syötä LDAP-salasana: uuden merkinnän lisääminen "uid = askeleita, ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "uid = legolas, ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "uid = gandalf, ou = ihmiset, dc = swl, dc = tuuletin "
Tarkistamme lisätyt merkinnät
root @ master: ~ # ldapsearch -x cn = askeleet root @ master: ~ # ldapsearch -x uid = askeleita
Hallinnoimme slpad-tietokantaa konsoliohjelmilla
Valitsemme paketin käsikirjoitukset tällaiseen tehtävään. Asennus- ja konfigurointimenettely on seuraava:
root @ master: ~ # aptitude asenna ldapscripts root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \ /etc/ldapscripts/ldapscripts.conf.original root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf PALVELIN = paikallinen isäntä BINDDN = 'cn = admin, dc = swl, dc = tuuletin' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = tuuletin' GSUFFIX = 'ou = ryhmät' USUFFIX = 'ou = ihmiset' # MSUFFIX = 'ou = Tietokoneet' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP-asiakaskomennot LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UT jne. . /ldapadduser.template "PASSWORDGEN =" kaiku% u "
Huomaa, että komentosarjat käyttävät pakettikomentoja ldap-utils. Juosta dpkg -L ldap-utils | grep / bin tietää mitä he ovat.
root @ master: ~ # sh -c "echo -n 'järjestelmänvalvojan salasana'> \ /etc/ldapscripts/ldapscripts.passwd " root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \ /etc/ldapscripts/ldapdduser.template root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: etunimi: sn: näyttönimi: uidNumber: gidNumber: 10000 homeHakemisto: loginShell: posti: @ swl.fan geckos: kuvaus: Käyttäjätili root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf ## poistamme kommentin UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"
Lisätään käyttäjä "bilbo" ja tehdään hänestä "käyttäjät" -ryhmän jäsen
root @ master: ~ # ldapadduser bilbo -käyttäjät [dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Syötä arvo "megadottNimi": Bilbo [dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Anna arvo arvolle " sn ": Bagins [dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Syötä" displayName "-arvo: Bilbo Bagins Lisätty käyttäjän bilbo onnistuneesti LDAP: hen Määritä käyttäjän bilbo salasana root @ master: ~ # ldapsearch -x uid = bilbo # bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeHakemisto: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan gecos: bilbo description: Käyttäjätili
Bilbo-käyttäjän salasanan hajautusarvon tarkastamiseksi kysely on suoritettava todennuksella:
root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = tuuletin -W uid = bilbo
Suoritettavan bilbo-käyttäjän poistaminen:
root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = tuuletin -W uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin Anna LDAP-salasana: root @ master: ~ # ldapsearch -x uid = bilbo
Hallinnoimme slapd-tietokantaa verkkoliittymän kautta
Meillä on toimiva hakemistopalvelu ja haluamme hallita sitä helpommin. Tähän tehtävään on suunniteltu monia ohjelmia, kuten phpldapadmin, ldap-tilinhoitajajne., jotka ovat saatavilla suoraan arkistoista. Voimme myös hallita hakemistopalvelua Apache Directory Studio, joka meidän on ladattava Internetistä.
Lisätietoja on osoitteessa https://blog.desdelinux.net/ldap-introduccion/ja seuraavat 6 artikkelia.
LDAP-asiakas
Vaihe:
Sano että meillä on joukkue mail.swl.fan postipalvelimena, joka on toteutettu, kuten näimme artikkelissa Postfix + Dovecot + Squirrelmail ja paikalliset käyttäjät, joka on kehitetty CentOS: lla, mutta se voi hyvin toimia oppaana Debianille ja monille muille Linux-distroille. Haluamme, että jo ilmoittamiemme paikallisten käyttäjien lisäksi OpenLDAP-tietokantaan tallennetut käyttäjät ovat olemassa master.swl.fan. Edellä mainitun saavuttamiseksi meidän onkartoittaa»LDAP-käyttäjille paikallisina käyttäjinä palvelimella mail.swl.fan. Tämä ratkaisu soveltuu myös kaikkiin PAM-todennukseen perustuviin palveluihin. Yleinen menettelytapa Debian, on seuraava:
root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils ┌─────────────────────┤ Konfigurointi libnss-ldap ├───────────────────---- Tämä merkkijono on samanlainen kuin │ │ «ldap: //: / ». Voit myös │ │ käyttää «ldaps: // » tai "ldapi: //". Porttinumero on valinnainen. │ │ │ │ On suositeltavaa käyttää IP-osoitetta vikojen välttämiseksi, kun verkkotunnuspalveluja estén │ ei ole käytettävissä. │ │ │ │ LDAP-palvelimen URI: │ │ │ │ ldap: //master.swl.fan ___________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ───────────────────────------ ┤ Määritys libnss-ldap ├───────────────────────┐┐ │ Syötä LDAP-hakupohjan erottuva nimi (DN). Monet sivustot käyttävät verkkotunnuskomponentteja tähän tarkoitukseen. Esimerkiksi verkkotunnus "esimerkki.net" käyttäisi hakupohjan erottavana nimellä │ │ "dc = esimerkki, dc = net". │ │ │ │ Hakukannan erottuva nimi (DN): │ │ │ │ dc = swl, dc = tuuletin ____________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap ├───────────────────────┐┐│ Syötä LDAP-protokollan versio, jota ldapnsin tulisi käyttää. On suositeltavaa käyttää korkeinta saatavilla olevaa versionumeroa. │ │ │ │ Käytettävä LDAP-versio: │ │ │ │ 3 │ │ 2 │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap ├────────────────────────┐ │ Valitse, mitä tiliä käytetään nss-kyselyihin, joilla on │ │ juurioikeudet. │ │ │ │ Huomaa: Jotta tämä vaihtoehto toimisi, tilillä on oltava käyttöoikeudet, jotta hän voi käyttää LDAP-määritteitä, jotka liittyvät käyttäjän shadow │ "varjo" -merkintöihin, sekä käyttäjän ja ryhmän salasanoihin. │ │ │ │ LDAP-tili juurille: │ │ │ │ cn = admin, dc = swl, dc = tuuletin ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap Kirjoita salasana, jota käytetään, kun libnss-ldap yrittää todentaa LDAP-hakemistoon LDAP-pääkäyttäjätilillä. │───────────────────────┐ │ │ │ │ Salasana tallennetaan erilliseen tiedostoon │ │ ("/etc/libnss-ldap.secret"), johon vain pääkäyttäjä pääsee. You │ │ │ Jos annat tyhjän salasanan, vanhaa salasanaa käytetään uudelleen. │ │ │ │ LDAP-juuritilin salasana: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─┤ Määritys libnss-ldap Nsswitch.conf-tiedostoa ei hallinnoida automaattisesti │ │ │ │ Sinun on muokattava tiedostoa "/etc/nsswitch.conf" s───────────────────────┐ │ │ │ "käyttää LDAP - tietolähdettä, jos haluat libnss - ldap - paketin toimivan. │ │ Voit käyttää esimerkkitiedostoa │ │ hakemistossa "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" esimerkkinä nsswitch-kokoonpanosta tai │ │ voit kopioida sen nykyisen kokoonpanosi päälle. │ │ │ │ Huomaa, että ennen tämän paketin poistamista voi olla hyödyllistä │ │ poistaa "ldap" -merkinnät nsswitch.conf-tiedostosta, jotta peruspalvelut │ │ jatkavat toimintaansa. │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├────────────────────---- │ │ │ │ LDAP-järjestelmänvalvojan tilin salasana tallennetaan erilliseen │ │ -tiedostoon, jonka vain järjestelmänvalvoja voi lukea. │ │ │ │ Tämä vaihtoehto on poistettava käytöstä, jos asennetaan "/ etc" NFS: n kautta. │ │ │ │ Haluatko antaa LDAP-järjestelmänvalvojan tilin toimia paikallisena järjestelmänvalvojana? │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├──────────────────────┐ │ │ │ Valitse, pakottaako LDAP-palvelin tunnistamisen ennen sisäänkäyntien hakemista. Setting │ │ │ Tätä asetusta tarvitaan harvoin. │ │ │ │ Pitääkö käyttäjän käyttää LDAP-tietokantaa? │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├───────────────────────┐┐│ Syötä LDAP-järjestelmänvalvojan tilin nimi. Account │ │ │ Tätä tiliä käytetään automaattisesti tietokannan hallintaan, joten sillä on oltava tarvittavat järjestelmänvalvojan oikeudet. │ │ │ │ LDAP-järjestelmänvalvojan tili: │ │ │ │ cn = admin, dc = swl, dc = tuuletin ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├────────────────────────┐ │ Syötä järjestelmänvalvojan tilin salasana. │ │ │ │ Salasana tallennetaan tiedostoon "/etc/pam_ldap.secret". │ │ -järjestelmänvalvoja on ainoa, joka voi lukea tämän tiedoston ja antaa │ │ libpam-ldap -palvelun hallita automaattisesti yhteyksien hallintaa │ │ -tietokannassa. │ │ │ │ Jos jätät tämän kentän tyhjäksi, edellistä tallennettua salasanaa │ │ käytetään uudelleen. │ │ │ │ LDAP-järjestelmänvalvojan salasana: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────────────┘ root @ mail: ~ # nano /etc/nsswitch.conf # /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', kokeile: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd: vastaava ldap ryhmä: vastaava ldap varjo: vastainen ldap gshadow: files hosts: tiedostot dns-verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot netgroup: nis
Muokkaamme tiedostoa /etc/pam.d/common-password, siirrymme riville 26 ja eliminoimme arvon «use_authtok":
root @ mail: ~ # nano /etc/pam.d/common-password # # /etc/pam.d/common-password - salasanaan liittyvät moduulit, jotka ovat yhteisiä kaikille palveluille # # Tämä tiedosto sisältyy muihin palvelukohtaisiin PAM-määritystiedostoihin, # ja sen tulisi sisältää luettelo moduuleista, jotka määrittävät tarvittavat palvelut # käytetään käyttäjän salasanojen vaihtamiseen. Oletusarvo on pam_unix. # Selitys pam_unix-asetuksille: # # "sha512" -vaihtoehto sallii suolatut SHA512-salasanat. Ilman tätä vaihtoehtoa # oletusarvo on Unix-salaus. Aikaisemmissa julkaisuissa käytettiin vaihtoehtoa "md5". # # "Hämärä" -vaihtoehto korvaa vanhan OBSCURE_CHECKS_ENAB-vaihtoehdon kohdassa # login.defs. # # Katso pam_unix-sivulta muita vaihtoehtoja. # Vuodesta pam 1.0.1-6 tätä tiedostoa hallinnoi oletusarvoisesti pam-auth-update. # Tämän hyödyntämiseksi on suositeltavaa määrittää kaikki # paikallismoduulia joko ennen oletuslohkoa tai sen jälkeen ja käyttää # pam-auth-update muiden moduulien valinnan hallintaan. Katso lisätietoja kohdasta # pam-auth-update (8). # tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko) salasana [menestys = 2 oletus = ohita] pam_unix.so epäselvä sha512 salasana [menestys = 1 käyttäjän tuntematon = ohita oletus = kuolla] pam_ldap.so try_first_pass # tässä on varavara, jos mikään moduuli ei onnistu vaatimalla vaadittavaa salasanaa pam_deny.so # syötä pino positiivisella palautusarvolla, jos sellaista ei vielä ole; # tämä estää meitä palauttamasta virhettä vain siksi, että mikään ei aseta onnistumiskoodia # koska yllä olevat moduulit kumpikin vain hyppäävät vaaditun salasanan läpi pam_permit.so # ja tässä on lisää pakettikohtaisia moduuleja ("Lisä" - lohko) # pam- todennuksen päivitys
Jos tarvitsemme LDAP: lle tallennettujen käyttäjien paikallinen kirjautuminen ja haluamme, että heidän kansiot luodaan automaattisesti koti, meidän on muokattava tiedostoa /etc/pam.d/common-session ja lisää seuraava rivi tiedoston loppuun:
istunto valinnainen pam_mkhomedir.so skel = / etc / skel umask = 077
Aikaisemmin kehitetyssä OpenLDAP Directory Service -esimerkissä ainoa luotu paikallinen käyttäjä oli käyttäjä sirinä, kun taas LDAP: ssä luomme käyttäjät harppauksia, Legolas, GandalfJa Bilbo. Jos tähän mennessä tehdyt kokoonpanot ovat oikein, meidän pitäisi pystyä luetteloimaan paikalliset käyttäjät ja paikallisesti määritetyt, mutta LDAP-etäpalvelimelle tallennetut käyttäjät:
root @ mail: ~ # getent passwd buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash Askeleet: x: 10000: 10000: Askeleet El Rey: / home / strides: / bin / bash legolas: x: 10001: 10000: Legolas Archer: / koti / legolas: / bin / bash gandalf: x: 10002: 10000: Ohjattu Gandalf: / home / gandalf: / bin / bash bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash
Muutosten jälkeen järjestelmän todennuksessa on kelvollinen käynnistämään palvelin uudelleen, muuten kohtaamme kriittisen palvelun:
root @ mail: ~ # Käynnistä uudelleen
Myöhemmin aloitamme paikallisen istunnon palvelimella mail.swl.fan käyttäjän LDAP - tietokantaan tallennettujen käyttäjien tunnistetiedoilla master.swl.fan. Voimme myös yrittää kirjautua sisään SSH: n kautta.
buzz @ sysadmin: ~ $ ssh gandalf @ mail gandalf @ mailin salasana: Luodaan hakemisto '/ home / gandalf'. Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa. gandalf @ mail: ~ $ su salasana: root @ mail: / home / gandalf # getent-ryhmä buzz: x: 1001: käyttäjät: *: 10000: root @ mail: / home / gandalf # exit poistua gandalf @ mail: ~ $ ls -l / koti / yhteensä 8 drwxr-xr-x 2 buzz buzz 4096 17. kesäkuuta 12:25 buzz drwx ------ 2 gandalf-käyttäjät 4096 kesäkuu 17 13:05 gandalf
Palvelin- ja asiakastasolla toteutettu hakemistopalvelu toimii oikein.
Kerberos
Wikipediasta:
- Kerberos on tietoverkon todennusprotokolla, jonka on luonut MIT jonka avulla kaksi turvattomassa verkossa olevaa tietokonetta voivat todistaa henkilöllisyytensä turvallisesti toisilleen. Sen suunnittelijat keskittyivät ensin asiakas-palvelin-malliin, ja se tarjoaa keskinäisen todennuksen: sekä asiakas että palvelin varmistavat toistensa identiteetin. Todennusviestit on suojattu estämään salakuuntelu y uusintahyökkäykset.
Kerberos perustuu symmetriseen avainkoodaukseen ja vaatii luotettavan kolmannen osapuolen. Lisäksi protokollalle on olemassa laajennuksia, jotta kyetään käyttämään epäsymmetristä avaimen salausta.
Kerberos perustuu Needham-Schroeder -protokolla. Se käyttää luotettua kolmatta osapuolta, nimeltään "Key Distribution Center" (KDC), joka koostuu kahdesta erillisestä loogisesta osasta: "Authentication Server" (AS tai Authentication Server) ja "lippujen myöntäjäpalvelin" (TGS tai Ticket Granting Server ). Kerberos toimii "lippujen" perusteella, jotka todistavat käyttäjien henkilöllisyyden.
Kerberos ylläpitää salaisia avaimia koskevaa tietokantaa; Jokainen verkon entiteetti - olipa asiakas tai palvelin - jakaa salaisen avaimen, jonka vain hän itse ja Kerberos tuntevat. Tämän avaimen tuntemus palvelee yksikön henkilöllisyyden todistamista. Kahden yksikön välistä viestintää varten Kerberos luo istuntoavaimen, jota he voivat käyttää ongelmiensa turvaamiseen.
Kerberosin haitat
De Parannettu:
Siitä huolimatta Kerberos poistaa yhteisen turvallisuusuhan, sitä voi olla vaikea toteuttaa useista syistä:
- Käyttäjäsalasanojen siirtäminen tavallisesta salasanatietokannasta UNIX, kuten / etc / passwd tai / etc / shadow, Kerberos-salasanatietokantaan, voi olla tylsää, eikä tämän tehtävän suorittamiseen ole nopeaa mekanismia.
- Kerberos olettaa, että jokainen käyttäjä luotetaan, mutta käyttää epäluotettavaa konetta epäluotettavassa verkossa. Sen päätavoitteena on estää salaamattomien salasanojen lähettäminen verkon kautta. Kuitenkin, jos jollakin muulla käyttäjällä, lukuun ottamatta asianmukaista käyttäjää, on pääsy lippukoneeseen (KDC) todennusta varten, Kerberos olisi vaarassa.
- Jotta sovellus voi käyttää Kerberosia, koodia on muutettava, jotta soitetaan asianmukaiset puhelut Kerberos-kirjastoihin. Tällä tavalla muokatut sovellukset katsotaan kerberisoiduiksi. Joissakin sovelluksissa tämä voi olla liiallinen ohjelmointiponnistus sovelluksen koon tai rakenteen vuoksi. Muiden yhteensopimattomien sovellusten osalta verkkopalvelimen ja sen asiakkaiden viestintätapaan on tehtävä muutoksia. taas tämä voi viedä melko vähän ohjelmointia. Yleensä ongelmat ovat suljetun lähdekoodin sovellukset, joilla ei ole Kerberos-tukea.
- Lopuksi, jos päätät käyttää Kerberosia verkossasi, sinun on ymmärrettävä, että se on kaikki tai ei mitään -valinta. Jos päätät käyttää Kerberosia verkossa, muista, että jos salasanoja välitetään palvelulle, joka ei käytä Kerberosia todentamiseen, sinulla on riski, että paketti voidaan siepata. Verkkosi ei siis saa mitään hyötyä Kerberoksen käytöstä. Verkon suojaamiseksi Kerberosilla tulee käyttää vain kaikkien asiakas / palvelinsovellusten kerberisoituja versioita, jotka lähettävät salaamattomia salasanoja tai eivät käytä mitään näistä sovelluksista verkossa.
OpenLDAP: n manuaalinen käyttöönotto ja määrittäminen Kerberos Back-Endinä ei ole helppo tehtävä. Myöhemmin kuitenkin näemme, että Samba 4 Active Directory - toimialueen ohjain integroituu läpinäkyvällä tavalla Sysadminille, DNS-palvelimelle, Microsoft-verkolle ja sen toimialueen ohjaimelle, LDAP-palvelimelle melkein kaikkien sen objektien takana ja Kerberos-pohjainen todennuspalvelu Microsoft-tyylisen Active Directoryn peruskomponenteina.
Tähän päivään mennessä meillä ei ole ollut tarvetta toteuttaa "kerberisoitua verkkoa". Siksi emme kirjoittaneet Kerberoksen käyttöönotosta.
Samba 4 Active Directory - toimialueen ohjain
Tärkeää:
Sivustoa parempia asiakirjoja ei ole wiki.samba.org. Sysadminin, jonka suolaa kannattaa, tulisi käydä kyseisellä sivustolla - englanniksi - ja selata suurta joukkoa Samba 4: lle omistettuja sivuja, jotka Team Samba on itse kirjoittanut. En usko, että Internetissä on saatavilla asiakirjoja sen korvaamiseksi. Muuten, tarkkaile käyntien määrää kunkin sivun alaosassa. Esimerkki tästä on, että pääsivulla tai «Pääsivulla» käytiin 276,183 kertaa tänään tänään 20. kesäkuuta 2017 klo 10 Itäinen normaaliaika. Lisäksi dokumentaatio pidetään hyvin ajan tasalla, koska sivua muutettiin 10. kesäkuuta.
Wikipediasta:
Samba on ilmainen Microsoft Windows File Sharing Protocol (aiemmin nimeltään SMB, hiljattain nimetty uudelleen CIFS) -toteutus UNIX-tyyppisille järjestelmille. Tällä tavalla on mahdollista, että tietokoneet, joissa on GNU / Linux, Mac OS X tai Unix, näyttävät yleensä palvelimilta tai toimivat asiakkaina Windows-verkoissa. Samba antaa käyttäjien myös validoida PDC (Primary Domain Controller), toimialueen jäsenenä ja jopa Active Directory -toimialueena Windows-pohjaisiin verkkoihin; lukuun ottamatta mahdollisuutta palvella tulostusjonoja, jaettuja hakemistoja ja todentaa omalla käyttäjäarkistoillaan.
Unixin kaltaisista järjestelmistä, joilla Samba voidaan ajaa, ovat GNU / Linux-jakelut, Solaris ja erilaiset BSD-muunnokset. että voimme löytää Applen Mac OS X -palvelimen.
Samba 4 AD-DC sisäisellä DNS: llä
- Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää..
Alustavat tarkastukset
root @ master: ~ # isäntänimi mestari root @ master: ~ # isäntänimi --fqdn master.swl.fan root @ master: ~ # ip osoite 1: mitä: mtu 65536 qdisc noqueue -tila Tuntematon ryhmä oletuslinkki / silmukka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 -alue isäntä lo valid_lft forever prefer_lft forever inet6 :: 1/128 laajuus isäntä valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state Tuntematon ryhmä oletus qlen 1000 link / eetteri 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 -alue globaali eth0 kelvollinen_lft ikuisesti ensisijainen_lft ikuisesti inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 -laajennuslinkki valid_lft ikuisesti ensisijainen_lft ikuisesti root @ master: ~ # cat /etc/resolv.conf etsi swl.fan-nimipalvelin 127.0.0.1
- Millä julistamme haaran tärkein vain, se on enemmän kuin tarpeeksi tarkoituksiimme.
root @ master: ~ # kissa /etc/apt/sources.list debytantti http://192.168.10.1/repos/jessie-8.6/debian/ Jessie tärkein debytantti http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / päivitykset tärkein
Exfin ja apuohjelmien Postfix-tiedosto
root @ master: ~ # aptitude install postfix htop mc deborphan ┌────────────────────────┤ Postfix Configuration ├────────────────────── ────┐ │ Valitse postipalvelimen kokoonpanotyyppi, joka parhaiten vastaa │ │ tarpeitasi. Configuration │ │ │ Ei määritystä: │ │ Pitää nykyisen kokoonpanon ennallaan. │ │ Internet-sivusto: │ │ Posti lähetetään ja vastaanotetaan suoraan SMTP: n kautta. │ │ Internet, jossa on "smarthost": │ │ Posti vastaanotetaan suoraan SMTP: n avulla tai suorittamalla │ │ -työkalu, kuten "fetchmail". Lähtevät viestit lähetetään käyttämällä "smarthost" -palvelua. │ │ Vain paikallinen posti: │ │ Ainoa toimitettu posti on tarkoitettu paikallisille käyttäjille. Ei │ │ verkkoa on. │ │ │ │ Yleinen sähköpostin määritystyyppi: │ │ │ configuration Ei määrityksiä │ │ Internet-sivusto │ │ Internet älypuhelimella │ │ Satelliittijärjestelmä │ │ Vain paikallinen posti │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─────┤ Postfix-määritykset ├─────────────────────────┐ │ "Postijärjestelmän nimi" on sen verkkotunnuksen nimi, joka │ │ käytetään "kelpuuttamaan" _ALL_ sähköpostiosoitteita ilman verkkotunnusta. Tämä sisältää postin "root" -palvelusta ja juuresta: älä pakota máquina │ koneesi lähettämään sähköpostia root@example.org │ │ alle root@example.org kysyi. │ will this │ Muut ohjelmat käyttävät tätä nimeä. Sen on oltava yksilöllinen │ │ pätevä verkkotunnus (FQDN). │ │ │ │ Jos siis paikallisen koneen sähköpostiosoite on │ │ jotain@esimerkki.org, tämän arvon oikea arvo on esimerkki.org. │ │ │ │ Postijärjestelmän nimi: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────────────┘
Siivoamme
root @ master: ~ # kykyjen puhdistus ~ c root @ master: ~ # aptitude install -f root @ master: ~ # aptitude puhdas root @ master: ~ # aptitude autoclean
Asennamme vaatimukset Samba 4: n ja muut tarvittavat paketit
root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-käyttäjä libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduulit pkg-config \
python-all-dev python-dev python-dnspython python-salaus \
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config
┌───────────────┤ Kerberos-todennuksen määrittäminen pääkäyttäjä tai käyttäjä selvittämättä, mihin hallinnolliseen Kerberos-toimialueeseen päämies │ │ kuuluu, järjestelmä ottaa oletusalueen │ │. Oletusaluetta voidaan käyttää myös paikallisella koneella toimivan Kerberos-palvelun m │ -alueena. │ │ Oletusalue on yleensä paikallisen DNS │ │ -toimialueen isot kirjaimet. Ber │ │ │ Kerberos-version 5 oletusalue: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌───────────────── authent Authentikoinnin konfigurointi Kerberos ├───────────────┐ │ Syötä Kerberos-palvelinten nimet spaces separated Kerberoksen SWL.FAN-alueeseen välilyönneillä. │ │ │ │ Kerberos-palvelimet omalle alueellesi: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌───────────────── authent Authentikoinnin konfigurointi Kerberos ├───────────────┐ │ Syötä järjestelmänvalvojan palvelimen nimi (salasanan vaihto) │ │ Kerberos SWL.FAN -alueelle.
Yllä oleva prosessi kesti vähän aikaa, koska meillä ei ole vielä DNS-palveluita asennettuna. Valitsit kuitenkin verkkotunnuksen oikein tiedoston asetuksista / Etc / hosts. Muista se tiedostossa / Etc / resolv.conf olemme ilmoittaneet verkkotunnuspalvelimeksi IP 127.0.0.1: lle.
Määritämme nyt / etc / ldap / ldap / conf-tiedoston
root @ master: ~ # nano /etc/ldap/ldap.conf
PERUS dc = swl, dc = tuulettimen URI ldap: //master.swl.fan
Kyselyille, jotka käyttävät komentoa ldapsearch pääkäyttäjältä tehdyt tyypit ovat ldapsearch -x -W cn = xxxx, meidän on luotava tiedosto /root/.ldapsearch jonka sisältö on seuraava:
root @ master: ~ # nano .ldaprc BINDDN CN = Järjestelmänvalvoja, CN = Käyttäjät, DC = swl, DC = tuuletin
Tiedostojärjestelmän on tuettava ACL - Access Control List
root @ master: ~ # nano / etc / fstab # / etc / fstab: staattisen tiedostojärjestelmän tiedot. # # Käytä 'blkid' tulosta # laitteen yleisesti yksilöllinen tunniste; tätä voidaan käyttää UUID =: n kanssa vankempana tapana nimetä laitteet #, jotka toimivat, vaikka levyjä lisätään ja poistetaan. Katso fstab (5). # # # / oli päällä / dev / sda1 asennuksen aikana UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, este = 1, noatime, virheet = remount-ro 0 1 # swap oli päällä / dev / sda5 asennuksen aikana UUID = cb73228a-615d-4804-9877-3ec225e3ae32 none swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 user, noauto 0 0 root @ master: ~ # mount -a root @ master: ~ # kosketa testaus_acl.txt root @ master: ~ # setfattr -n user.test -v testi testing_acl.txt root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt root @ master: ~ # getfattr -d testing_acl.txt # tiedosto: testing_acl.txt user.test = "testi" root @ master: ~ # getfattr -n security.test -d testing_acl.txt # tiedosto: testing_acl.txt security.test = "test2" root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt root @ master: ~ # getfacl testing_acl.txt # tiedosto: testing_acl.txt # omistaja: root # ryhmä: pääkäyttäjä :: rw- ryhmä :: r-- ryhmä: adm: rwx-peite :: rwx muu :: r--
Hankimme Samba 4 -lähteen, käännämme sen ja asennamme sen
On erittäin suositeltavaa ladata version lähdetiedosto Vakaa sivustolta https://www.samba.org/. Esimerkissämme lataamme version samba-4.5.1.tar.gz kohti kansiota /valita.
root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /
Määritysvaihtoehdot
Jos haluamme mukauttaa kokoonpanovaihtoehtoja, suoritamme:
root @ master: /opt/samba-4.5.1# ./configure --help
ja valitse erittäin huolellisesti tarvitsemamme. On suositeltavaa tarkistaa, voidaanko ladattu paketti asentaa käyttämäämme Linux-jakeluun, joka on meidän tapauksessamme Debian 8.6 Jessie:
root @ master: /opt/samba-4.5.1# . / Määritä tarkista
Konfiguroimme, käännämme ja asennamme samba-4.5.1
- Alkaen aiemmin asennetuista vaatimuksista ja 8604 tiedostosta (jotka muodostavat kompaktin samba-4.5.1.tar.gz), jotka painavat noin 101.7 megatavua, mukaan lukien noin 3 megatavua painavat source4- ja source61.1-kansiot, saamme korvaavan Microsoft-tyylinen Active Directory, jonka laatu ja vakaus ovat enemmän kuin hyväksyttäviä missä tahansa tuotantoympäristössä. Meidän on korostettava Team Samban työtä Free Software Samba 4: n toimittamisessa.
Alla olevat komennot ovat klassisia komentoja pakettien kääntämiseen ja asentamiseen lähteistään. Meidän on oltava kärsivällisiä koko prosessin ajan. Se on ainoa tapa saada päteviä ja oikeita tuloksia.
root @ master: /opt/samba-4.5.1# ./configure --with-systemd --poistokupit root @ master: /opt/samba-4.5.1# tehdä root @ master: /opt/samba-4.5.1# make install
Komentoprosessin aikana tehdä, voimme nähdä, että Samba 3: n ja Samba 4: n lähteet on koottu.Siksi Team Samba vahvistaa, että sen versio 4 on version 3 luonnollinen päivitys, sekä Samba 3 + OpenLDAP-pohjaisille toimialueen ohjaimille että tiedostopalvelimille tai vanhemmille. Samba 4 -versiot.
Samban tarjoaminen
Käytämme DNS: nä SAMBA_INTERNAL. sisään https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End löydämme lisätietoja. Kun he pyytävät meiltä järjestelmänvalvojan käyttäjän salasanaa, meidän on kirjoitettava yksi vähintään 8 merkin pituisista sekä kirjaimilla - isoilla ja pienillä kirjaimilla - ja numeroilla.
Ennen kuin jatkat varausten tekoon ja elämän helpottamiseksi, lisäämme polku tiedostostamme olevista Samba-suoritettavista tiedostoista Bashrc, Sitten suljemme ja kirjaudumme uudelleen sisään.
root @ master: ~ # nano .bashrc # ~ / .bashrc: bash (1) suorittaa muille kuin sisäänkirjautumattomille kuoreille. # Huomaa: PS1 ja umask on jo asetettu tiedostoon / etc / profile. Sinun ei pitäisi # tarvita tätä, ellet halua eri oletusasetuksia juurelle. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Voit perua seuraavat rivit, jos haluat `` ls '': n värjätä: # export LS_OPTIONS = '- color = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Jotkut muut aliakset virheiden välttämiseksi: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i' julista -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin " root @ master: ~ # exit logout Yhteys masteriin on suljettu. xeon @ sysadmin: ~ $ ssh root @ master root @ master: ~ # samba-työkalun toimialueiden käyttö --use-rfc2307 --interaktiivinen Valtakunta [SWL.FAN]: SWL.FAN Verkkotunnus [SWL]: SWL Palvelimen rooli (dc, jäsen, itsenäinen) [dc]: dc DNS-taustajärjestelmä (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL DNS-huolitsijan IP-osoite (kirjoita "ei" edelleenlähetyksen poistamiseksi käytöstä) [192.168.10.5]: 8.8.8.8 Järjestelmänvalvojan salasana: Salasanasi 2017 Kirjoita salasana uudelleen: Salasanasi 2017 IPv4-osoitteiden etsiminen IPv6-osoitteiden etsiminen IPv6-osoitteita ei määritetä. Share.ldb: n asettaminen secrets.ldb: n määrittäminen rekisterin määrittäminen käyttöoikeustietokannan määrittäminen idmap: n määrittäminen db: n asettaminen SAM db: n määrittäminen sam.ldb-osioiden ja asetusten määrittäminen ylös sam.ldb rootDSE Samba 4- ja AD-skeeman esilataus DomainDN: n lisääminen: DC = swl, DC = tuuletin Konfigurointisäiliön lisääminen Sam.ldb-skeeman asettaminen sam.ldb-määritystietojen asettaminen Näytön määrittelijöiden asettaminen Näytön määrittelijöiden muokkaaminen Näytön määrittelijöiden muokkaaminen Käyttäjien kontti Käyttäjäsäilön muokkaaminen Tietokonesäiliön lisääminen Tietokonesäiliön muokkaaminen Sam.ldb-tietojen määrittäminen Tunnettujen tietoturvaperiaatteiden määrittäminen Sam.ldb-käyttäjien ja -ryhmien määrittäminen Itseliittymisen määrittäminen DNS-tilien lisääminen CN = MicrosoftDNS, CN = System, DC = swl, DC = tuuletin DomainDnsZones- ja ForestDnsZones-osioiden luominen DomainDnsZones- ja ForestDnsZones-osioiden täyttäminen Sam.ldb rootDSE -merkintöjen asettaminen synkronoituna Korjaussäännön GUID: tSamba 4: lle sopiva Kerberos-kokoonpano on luotu osoitteessa /usr/local/samba/private/krb5.conf Väärennettyjen yp-palvelinasetusten määrittäminen Kun yllä olevat tiedostot on asennettu, Samba4-palvelimesi on valmis käyttämään Palvelinrooli: aktiivinen hakemistotunnus ohjaimen isäntänimi: master NetBIOS -toimialue: SWL DNS -toimialue: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556
Älkäämme unohtako kopioida Kerberos-määritystiedostoa provisioinnin:
root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
Komennon kirjoittamatta jättäminen samba-työkalu koko nimesi kanssa luomme symbolisen linkin lyhyeen nimeen työkalu:
root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool
Asennamme NTP: n
Olennainen osa Active Directory -ohjelmaa on Network Time Service. Koska todennus tapahtuu Kerberosin ja sen lippujen kautta, ajan synkronointi Samba 4 AD-DC: n kanssa on elintärkeää.
root @ master: ~ # aptitude asenna ntp root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original root @ master: ~ # nano /etc/ntp.conf driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd Statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegenstats file clockstats clock type day enable server 192.168.10.1 rajoitus -4 oletuskoodin notrap-nomodifiointi nopeus noquery-rajoitus -6 oletusarvoinen kood notrap-nomodifiointi nopeus noquery-rajoitus oletusarvoinen mssntp-rajoitus 127.0.0.1-rajoitus :: 1 lähetys 192.168.10.255 root @ master: ~ # service ntp käynnistyy uudelleen root @ master: ~ # palvelun ntp-tila root @ master: ~ # tail -f / var / log / syslog
Jos tutkittaessa syslog käyttämällä yllä olevaa komentoa tai käyttämällä journalctl -f saamme viestin:
19. kesäkuuta 12:13:21 mestari ntpd_intres [1498]: vanhempi kuoli ennen kuin me lopetimme, poistumme
palvelu on käynnistettävä uudelleen ja yritettävä uudelleen. Nyt luomme kansion ntp_signd:
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
Ls: / usr / local / samba / var / lib / ntp_signd ei ole käytettävissä: Tiedostoa tai hakemistoa ei ole olemassa
root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /
# Kuten samba.wiki.org -palvelussa pyydettiin
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. kesäkuuta 12:21 / usr / local / samba / var / lib / ntp_signd
Määritämme Samba-aloituksen käyttämällä systemd: tä
root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service [Palvelu] Tyyppi = haarautuva PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Asenna] WantedBy = multi-user.target root @ master: ~ # systemctl ota käyttöön samba-ad-dc root @ master: ~ # uudelleenkäynnistys root @ master: ~ # systemctl tila samba-ad-dc root @ master: ~ # systemctl-tila ntp
Samba 4 AD-DC-tiedostojen sijainnit
KAIKKI -miinus vasta luotu samba-ad-dc.service- tiedostot ovat:
root @ master: ~ # ls -l / usr / local / samba / yhteensä 32 drwxr-sr-x 2 päähenkilöstöä 4096 19. kesäkuuta 11:55 astia drwxr-sr-x 2 päähenkilöstö 4096 19. kesäkuuta 11:50 jne. drwxr-sr-x 7 päähenkilöstö 4096 19. kesäkuuta 11:30 sisältää drwxr-sr-x 15 juurihenkilöstö 4096 19. kesäkuuta 11:33 lib drwxr-sr-x 7 päähenkilöstö 4096 19. kesäkuuta 12:40 yksityinen drwxr-sr-x 2 päähenkilöstö 4096 19. kesäkuuta 11:33 sbin drwxr-sr-x 5 päähenkilöstö 4096 19. kesäkuuta 11:33 osake drwxr-sr-x 8 päähenkilöstö 4096 19. kesäkuuta 12:28 oli
parhaalla UNIX-tyylillä. On aina suositeltavaa selata eri kansioita ja tutkia niiden sisältöä.
/Usr/local/samba/etc/smb.conf -tiedosto
root @ master: ~ # nano /usr/local/samba/etc/smb.conf # Globaalit parametrit [globaali] netbios-nimi = MASTER-alue = SWL.FAN-työryhmä = SWL-dns-huolitsija = 8.8.8.8-palvelinpalvelut = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns-palvelimen rooli = aktiivinen hakemistotunnusohjain sallii dns-päivitykset = suojaa vain idmap_ldb: käytä rfc2307 = kyllä idmap config *: backend = tdb idmap config *: alue = 1000000-1999999 ldap-palvelin vaatii vahvan todennuksen = ei tulostusnimeä = / dev / null [netlogon] polku = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Ei [sysvol] polku = / usr / local / samba / var / lukot / sysvol vain luku = ei root @ master: ~ # testparm Lataa smb-määritystiedostot tiedostosta /usr/local/samba/etc/smb.conf Käsittely-osio "[netlogon]" Käsittely-osio "[sysvol]" Ladatut palvelutiedostot OK. Palvelinrooli: ROLE_ACTIVE_DIRECTORY_DC Paina Enter-näppäintä nähdäksesi palvelumääritelmien kaatopaikan. toimialueen ohjain rpc_server: tcpip = ei rpc_daemon: spoolssd = upotettu rpc_server: spoolss = upotettu rpc_server: winreg = upotettu rpc_server: ntsvcs = upotettu rpc_server: eventlog = upotettu palvelin ulkoinen: käytä ulkoisia putkia = true idmap config *: range = 192.168.10.1-1000000 idmap_ldb: use rfc1999999 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = yes vfs objects = dfs_samba2307 acl_xattr [netlogon] polku = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = Ei [sysvol] polku = / usr / local / samba / var / locks / sysvol vain luku = ei
Pienet tarkastukset
root @ master: ~ # työkalun verkkotunnustaso Toimialue- ja metsätoimintataso verkkotunnukselle 'DC = swl, DC = tuuletin' Metsätoimintotaso: (Windows) 2008 R2 Toimialue-toiminnon taso: (Windows) 2008 R2 Tasavirran alin toimintotaso: (Windows) 2008 R2 root @ master: ~ # ldapsearch -x -W root @ master: ~ # työkalu dbcheck Tarkastetaan 262 objektia Tarkastetaan 262 objektia (0 virhettä) root @ master: ~ # kinit järjestelmänvalvoja Salasana Järjestelmänvalvoja@SWL.FAN: root @ master: ~ # klist -f Lippujen välimuisti: TIEDOSTO: / tmp / krb5cc_0 Ensisijainen oletus: Järjestelmänvalvoja@SWL.FAN Voimassa aloitus päättyy Palvelun pää 19/06/17 12:53:24 19/06/17 22:53:24 krbtgt/SWL.FAN@SWL.FAN uusitaan 20 klo 06 asti, liput: RIA root @ master: ~ # kdestroy root @ master: ~ # klist -f klist: Tunnistetietojen välimuistitiedostoa '/ tmp / krb5cc_0' ei löydy root @ master: ~ # smbclient -L paikallinen isäntä -U% Verkkotunnus = [SWL] OS = [Windows 6.1] Palvelin = [Samba 4.5.1] Jakonimen tyypin kommentti --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Palvelu (Samba 4.5.1) Verkkotunnus = [SWL] OS = [Windows 6.1] Palvelin = [Samba 4.5.1] Palvelinkommentti --------- ------- Workgroup Master ---- ----- ------- root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls' Anna järjestelmänvalvojan salasana: Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 ma 19. kesäkuuta 11:50:52 2017 .. D 0 ma 19. kesäkuuta 11:51:07 2017 19091584 lohkoa koko 1024. 16198044 lohkoa saatavilla root @ master: ~ # tool dns serverinfo master -U järjestelmänvalvoja root @ master: ~ # isäntä -t SRV _ldap._tcp.swl.fan _ldap._tcp.swl.fanilla on SRV-tietue 0 100 master.swl.fan. root @ master: ~ # host -t SRV _kerberos._udp.swl.fan _kerberos._udp.swl.fanilla on SRV-ennätys 0 100 88 master.swl.fan. root @ master: ~ # host -t - master.swl.fan master.swl.fanilla on osoite 192.168.10.5 root @ master: ~ # isäntä -t SOA swl.fan swl.fanilla on SOA-tietueen master.swl.fan. hostmaster.swl.fan. 1 900 600 root @ master: ~ # host -t NS swl.fan swl.fan-nimipalvelin master.swl.fan. root @ master: ~ # isäntä -t MX swl.fan swl.fanilla ei ole MX-tietuetta root @ master: ~ # samba_dnsupdate --verbose root @ master: ~ # työkalun käyttäjäluettelo Järjestelmänvalvoja krbtgt Guest root @ master: ~ # työkaluryhmäluettelo # Tulos on joukko ryhmiä. ;-)
Hallinnoimme äskettäin asennettu Samba 4 AD-DC
Jos haluamme muuttaa järjestelmänvalvojan salasanan vanhentumista päivissä; salasanojen monimutkaisuus; salasanan vähimmäispituus; salasanan vähimmäis- ja enimmäiskesto päivinä; ja vaihda järjestelmänvalvojan salasana, joka on ilmoitettu provisioinnin, meidän on suoritettava seuraavat komennot tarpeidesi mukaiset arvot:
root @ master: ~ # työkalu
Käyttö: samba-työkalu Tärkein samba-hallintatyökalu. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu versiovaihtoehdoista: -V, --version Näytä versionumero Saatavat alikomennot: dbcheck - Tarkista paikallinen AD-tietokanta virheiden varalta. valtuuskunta - edustuston hallinta. dns - Domain Name Service (DNS) -hallinta. domain - toimialueen hallinta. drs - Hakemistoreplikointipalvelujen (DRS) hallinta. dsacl - DS-ACL-manipulointi. fsmo - Joustavat Single Master Operations (FSMO) -roolien hallinta. gpo - ryhmäkäytäntöobjektien (GPO) hallinta. ryhmä - ryhmän johto. ldapcmp - Vertaa kahta ldap-tietokantaa. ntacl - NT ACL-manipulointi. prosessit - Luettele prosessit (helpottamaan virheenkorjausta järjestelmissä, joissa ei ole setproctitlea). rodc - vain luku -toimialueohjaimen (RODC) hallinta. sivustot - Sivustojen hallinta. spn - Palvelun päämiehen (SPN) hallinta. testparm - Syntaksi tarkista määritystiedosto. aika - Hae aika palvelimelta. käyttäjä - käyttäjien hallinta. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool (-h | --apu)
root @ master: ~ # työkalun käyttäjän setexpiry-järjestelmänvalvoja --noexpiry
root @ master: ~ # työkalun toimialueen salasanan asetukset - min-pwd-length = 7
root @ master: ~ # työkalun toimialueen salasanan asetukset - min-pwd-age = 0
root @ master: ~ # työkalun verkkotunnuksen salasanan asetukset --max-pwd-age = 60
root @ master: ~ # työkalun käyttäjän asetussalasana --suodatin = samakirjan nimi = Järjestelmänvalvoja - uusi salasana = Salasana0rD
Lisätään useita DNS-tietueita
root @ master: ~ # työkalu dns
Käyttö: samba-tool dns Verkkotunnuspalvelun (DNS) hallinta. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu käytettävissä olevista alikomennoista: lisää - Lisää DNS-tietueen poisto - Poista DNS-tietokysely - Kysy nimeä. roothints - Kyselyn juurivihjeet. serverinfo - Palvelintietojen kysely. päivitys - Päivitä DNS-tietueiden luomisalue - Luo vyöhyke. zonedelete - Poista vyöhyke. zoneinfo - Kysely vyöhyketiedoista. zonelist - Kysely alueille. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool dns (-h | --apu)
Postipalvelin
root @ master: ~ # tool dns lisää master swl.fan mail A 192.168.10.9 -U -järjestelmänvalvoja root @ master: ~ # tool dns lisää master swl.fan swl.fan MX "mail.swl.fan 10" -U järjestelmänvalvoja
Kiinteä muiden palvelinten IP-osoite
root @ master: ~ # tool dns lisää master swl.fan sysadmin A 192.168.10.1 -U järjestelmänvalvoja root @ master: ~ # tool dns lisää master swl.fan -tiedostopalvelin 192.168.10.10 -U järjestelmänvalvoja root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U -järjestelmänvalvoja root @ master: ~ # tool dns lisää master swl.fan chat A 192.168.10.12 -U -järjestelmänvalvoja
Käänteinen vyöhyke
root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U järjestelmänvalvoja Salasana [SWL \ järjestelmänvalvojalle]: Vyöhyke 10.168.192.in-addr.arpa luotu root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 5 PTR master.swl.fan. - Ylläpitäjä root @ master: ~ # tool dns lisää master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. - Ylläpitäjä root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. - Ylläpitäjä root @ master: ~ # tool dns lisää päällikkö 10.168.192.in-addr.arpa 10 PTR-tiedostopalvelin.swl.fan. - Ylläpitäjä root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. - Ylläpitäjä root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. - Ylläpitäjä
Tarkastukset
root @ master: ~ # tool dns query master swl.fan mail ALL -U järjestelmänvalvoja Salasana [SWL \ järjestelmänvalvojalle]: Nimi =, Tietueet = 1, Lapset = 0 A: 192.168.10.9 (liput = f0, sarja = 2, ttl = 900) root @ master: ~ # isäntämestari master.swl.fanilla on osoite 192.168.10.5 root @ master: ~ # isäntä sysadmin sysadmin.swl.fanilla on osoite 192.168.10.1 root @ master: ~ # isäntäposti mail.swl.fanilla on osoite 192.168.10.9 root @ master: ~ # isäntäkeskustelu chat.swl.fanilla on osoite 192.168.10.12 root @ master: ~ # välityspalvelin proxy.swl.fanilla on osoite 192.168.10.11 root @ master: ~ # isäntätiedostopalvelin fileserver.swl.fanilla on osoite 192.168.10.10 root @ master: ~ # isäntä 192.168.10.1 1.10.168.192.in-addr.arpa -verkkotunnuksen osoitin sysadmin.swl.fan. root @ master: ~ # isäntä 192.168.10.5 5.10.168.192.in-addr.arpa -verkkotunnusosoitin master.swl.fan. root @ master: ~ # isäntä 192.168.10.9 9.10.168.192.in-addr.arpa -verkkotunnuksen osoitin mail.swl.fan. root @ master: ~ # isäntä 192.168.10.10 10.10.168.192.in-addr.arpa -verkkotunnuksen osoitin fileserver.swl.fan. root @ master: ~ # isäntä 192.168.10.11 11.10.168.192.in-addr.arpa -verkkotunnuksen osoitin proxy.swl.fan. root @ master: ~ # isäntä 192.168.10.12 12.10.168.192.in-addr.arpa -verkkotunnuksen osoitin chat.swl.fan.
Uteliaille
root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \ DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:
Lisäämme käyttäjiä
root @ master: ~ # työkalun käyttäjä
Käyttö: samba-työkalun käyttäjä Käyttäjien hallinta. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu käytettävissä olevista alikomennoista: lisää - Luo uusi käyttäjä. luo - Luo uusi käyttäjä. poista - Poista käyttäjä. poista käytöstä - Poista käyttäjä käytöstä. Ota käyttöön - Ota käyttäjä käyttöön. getpassword - Hae käyttäjän / tietokoneen tilin salasanakentät. luettelo - Luettele kaikki käyttäjät. salasana - Vaihda käyttäjätilin salasana (todentamisessa annettu). setexpiry - Aseta käyttäjätilin vanhentuminen. setpassword - Aseta tai nollaa käyttäjätilin salasana. syncpasswords - Synkronoi käyttäjätilien salasana. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool user (-h | --apu)
root @ master: ~ # työkalun käyttäjä luo harppauksia Trancos01
Käyttäjän 'trancos' luominen onnistui
root @ master: ~ # työkalun käyttäjä luo gandalf Gandalf01
Käyttäjän 'gandalf' luominen onnistui
root @ master: ~ # työkalun käyttäjä luo Legolas Legolas01
Käyttäjän 'legolas' luominen onnistui
root @ master: ~ # työkalun käyttäjäluettelo
Ylläpitäjä gandalf legolas harppuu krbtgt Guest
Hallinto graafisen käyttöliittymän tai web-asiakkaan kautta
Vieraile osoitteessa wiki.samba.org saadaksesi tarkempia tietoja Microsoft RSAT o Etäpalvelimen hallintatyökalut. Jos et vaadi Microsoft Active Directoryn perinteisiä käytäntöjä, voit asentaa paketin ldap-tilinhoitaja joka tarjoaa yksinkertaisen käyttöliittymän hallintaan verkkoselaimen kautta.
Microsoft Remote Server Administration Tools (RSAT) -ohjelmapaketti sisältyy Windows Server -käyttöjärjestelmiin.
Yhdistämme verkkotunnuksen Windows 7 -asiakasohjelmaan nimeltä "seven"
Koska meillä ei ole DHCP-palvelinta verkossa, on ensin määritettävä asiakkaan verkkokortti kiinteällä IP: llä, ilmoitettava, että ensisijainen DNS on samba-ad-dcja tarkista, että vaihtoehto "Rekisteröi tämän yhteyden osoite DNS: ään" on aktivoitu. Ei ole käyttämätöntä tarkistaa, että nimi «seitsemän»Ei ole vielä rekisteröity Samban sisäiseen DNS: ään.
Kun olemme liittäneet tietokoneen verkkotunnukseen ja käynnistäneet sen uudelleen, yritetään kirjautua sisään käyttäjän kanssa «harppauksia«. Tarkistamme, että kaikki toimii kunnolla. On myös suositeltavaa tarkistaa Windows-asiakkaan lokit ja tarkistaa, kuinka aika on oikein synkronoitu.
Järjestelmänvalvojat, joilla on jonkin verran Windows-kokemusta, huomaavat, että kaikki asiakkaan tekemät tarkastukset tuottavat tyydyttäviä tuloksia.
Yhteenveto
Toivon, että artikkeli on hyödyllinen yhteisön lukijoille. DesdeLinux.
Hyvästi!
Pitkä mutta yksityiskohtainen artikkeli, erittäin hyvä askel askeleelta kuinka tehdä kaikki.
Korostan NIS: ää, totuus on, että vaikka tiedän sen olemassaolosta, en koskaan tiennyt kuinka se toimii, koska rehellisesti sanottuna se antoi minulle aina vaikutelman, että se oli käytännössä kuollut LDAP: n ja Samba 4: n vieressä.
PS: Onnittelut uudesta henkilökohtaisesta projektistasi! Sääli, ettet jatka kirjoittamista täällä, mutta ainakin on paikka seurata sinua.
Valtava opetusohjelma, kuten aina suosikkini, Greetings Fico.
Onnittelut projektista.
NIS-osio on hieno, tunnen myötätuntoa Gonzalo Martinezille, tiesin sen lyhyesti, mutta minulla ei ollut aavistustakaan kuinka se toteutetaan ja missä tilanteissa sitä käytetään.
Kiitos kerran valtavasta teoreettisen ja käytännön artikkelin "rungosta".
Viimeinkin uudet menestykset uudessa projektissasi «gigainside».
Paljon kiitoksia kaikille kommenteista !!!.
terveiset
osoittamallasi smb.conf-tiedostolla ei ole yhteyttä LDAP: hen, onko se tarkoituksella vai jätinkö jotain?
mussol: Tämä on Samba 4 Active Directory -toimialueen ohjain, jolla on jo sisäänrakennettu LDAP-palvelin.
Voisitko kommentoida, kuinka Mac (Apple) yhdistetään samba 4 AD-DC: hen?
Kiitos.
Mitä kuuluu;
Kiitos käyttöoppaasta, se on hieno. Minulla on kysymys minulle ilmestyvästä viestistä.
root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
Annetun isäntänimen / IP: n ratkaiseminen epäonnistui: ad.rjsolucionessac.com. Huomaa, että et voi käyttää '/ mask' JA '1-4,7,100-' -tyyppisiä IP-alueita
Kelvollista kohdetta ei löydy. Varmista, että määritetyt isännät ovat joko IP-osoitteita vakiomerkinnöissä tai isäntänimiä, jotka voidaan ratkaista DNS: llä
juuri @ AD: ~ #