PAM, NIS, LDAP, Kerberos, DS ja Samba 4 AD-DC - SMB-verkot

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät ja ystävät!

Tällä artikkelilla sanon hyvästit yhteisölle DesdeLinux. Erityinen jäähyväiset erityiselle yhteisölle. Tästä eteenpäin olen henkilökohtaisessa projektissani, jonka näet osoitteessa http://www.gigainside.com.

Postin päätavoitteena on tarjota «Suuri kuva»Tietoja käytössämme olevista ilmaisohjelmistojen todennuspalveluista. Ainakin se on tarkoituksemme. Siksi se on pitkä, vaikka tiedämme, että se on artikkeleiden kirjoittamisen yleisten sääntöjen vastaista. Toivomme, että järjestelmänvalvojat arvostavat sitä.

Haluamme huomauttaa, että yhteinen protokolla monille nykyaikaisille todennusjärjestelmille on LDAPja että ei ole käyttämätöntä tutkia sitä huolellisesti oppimateriaalista, jonka löydämme viralliselta sivustolta http://www.openldap.org/.

Emme anna yksityiskohtaisia ​​määritelmiä tai linkkejä edellisissä artikkeleissa käsiteltyihin näkökohtiin tai niihin, joiden kuvaus on helposti saatavissa Wikipediassa tai muilla Internet-sivustoilla tai artikkeleissa, jotta haluamamme viesti ei menettäisi objektiivisuutta antaa. Käytämme myös kelvollista nimien sekoitusta englanniksi ja espanjaksi, koska katsomme, että useimmat järjestelmät ovat syntyneet englanninkielisillä nimillä, ja Sysadminille on erittäin hyödyllistä omaksua ne alkuperäiskielellään.

  • PAM: Liitettävä todennusmoduuli.
  • NIS: Verkko_tietopalvelu.
  • LDAP: Kevyt hakemistoprotokolla.
  • Kerberos: Suojausprotokolla käyttäjien, tietokoneiden ja palveluiden todentamiseen keskitetysti verkossa, tarkistamalla heidän tunnistetietonsa Kerberos-tietokannan olemassa olevien merkintöjen perusteella.
  • DS: Hakemistopalvelin tai hakemistopalvelu
  • AD-DC: Active Directory - Verkkotunnuksen hallinta

PAM

Omistamme pienen sarjan tämäntyyppiselle paikalliselle todennukselle, jonka huomaat päivittäisessä käytännössä, että sitä käytetään laajasti, kun esimerkiksi liitämme työaseman toimialueen ohjaimeen tai Active Directoryyn; kartoittaa ulkoisiin LDAP-tietokantoihin tallennettuja käyttäjiä ikään kuin he olisivat paikallisia käyttäjiä; kartoittaa Active Directoryn toimialueen ohjaimeen tallennettuja käyttäjiä ikään kuin he olisivat paikallisia käyttäjiä, ja niin edelleen.

NIS

De wikipedia:

  • Verkkotietojärjestelmä (tunnetaan lyhenteellä NIS, joka espanjaksi tarkoittaa verkkotietojärjestelmää) on Sun Microsystemsin kehittämä asiakas-palvelin-hakemistopalveluprotokolla, joka lähettää kokoonpanotietoja hajautetuissa järjestelmissä, kuten käyttäjien ja tietokoneiden nimet tietokoneiden välillä. verkossa.NIS perustuu ONC RPC: hen ja koostuu palvelimesta, asiakaspuolen kirjastosta ja erilaisista hallintatyökaluista.

    NIS: ää kutsuttiin alun perin keltaisiksi sivuiksi tai YP: ksi, jota käytetään edelleen viittaamaan siihen. Valitettavasti tämä nimi on British Telecomin tavaramerkki, joka vaati Sunia pudottamaan kyseisen nimen. YP on kuitenkin etuliite useimpien NIS-järjestelmään liittyvien komentojen, kuten ypserv ja ypbind, nimissä.

    DNS tarjoaa rajallisen valikoiman tietoja, joista tärkein on solmun nimen ja IP-osoitteen välinen vastaavuus. Muuntyyppisille tiedoille ei ole tällaista erikoistunutta palvelua. Toisaalta, jos hallinnoit vain pientä lähiverkkoa, jossa ei ole Internet-yhteyttä, ei näytä olevan syytä asettaa DNS: ää. Siksi Sun kehitti verkkotietojärjestelmän (NIS). NIS tarjoaa yleisiä tietokannan käyttöominaisuuksia, joita voidaan käyttää esimerkiksi jakamaan passwd-tiedostoja ja ryhmittelemään tiedostoja kaikkiin verkon solmuihin. Tämä tekee verkosta näyttävän yhtenäiseltä järjestelmältä, jolla on samat tilit kaikissa solmuissa. Vastaavasti NIS: ää voidaan käyttää jakamaan / etc / hosts -solmujen nimitiedot kaikille verkon koneille.

    Nykyään NIS on saatavilla käytännöllisesti katsoen kaikissa Unix-jakeluissa, ja siellä on jopa ilmaisia ​​toteutuksia. BSD Net-2 julkaisi sellaisen, joka on johdettu Sunin lahjoittamasta julkisesta viitetoteutuksesta. Tämän version asiakasosan kirjastokoodi on ollut olemassa GNU / Linux libc: ssä jo pitkään, ja hallinto-ohjelmat siirrettiin GNU / Linuxiin Swen Thümmlerin toimesta. NIS-palvelin puuttuu kuitenkin viitetoteutuksesta lähtien.

    Peter Eriksson on kehittänyt uuden toteutuksen nimeltä NYS. Se tukee sekä perusverkkoa että Sun NIS +: n parannettua versiota. [1] NYS tarjoaa paitsi useita NIS-työkaluja ja palvelimen, mutta lisää myös uuden sarjan kirjastotoimintoja, jotka sinun on käännettävä libc: hen, jos haluat käyttää niitä. Tämä sisältää uuden kokoonpanomallin solmunimen tarkkuudelle, joka korvaa nykyisen mallin, jota "host.conf" -tiedosto käyttää.

    GNU libc, joka tunnetaan nimellä libc6 GNU / Linux-yhteisössä, sisältää päivitetyn version perinteisestä NIS-tuesta, jonka on kehittänyt Thorsten Kukuk. Se tukee kaikkia NYS: n tarjoamia kirjastotoimintoja ja käyttää myös edistynyttä NYS-kokoonpanomallia. Työkaluja ja palvelinta tarvitaan edelleen, mutta GNU libc: n käyttö säästää kirjaston korjaamisen ja uudelleen kääntämisen vaivaa

    .

Tietokone ja verkkotunnus, verkkoliitäntä ja resolveri

  • Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää.. Verkkotunnus swl.fan tarkoittaa "ilmaisten ohjelmistojen faneja". Mikä on parempi nimi kuin tämä?.
root @ master: ~ # isäntänimi
mestari
root @ master: ~ # isäntänimi -f
master.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue -tila Tuntematon ryhmä oletuslinkki / silmukka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 -alue isäntä lo valid_lft forever prefer_lft forever inet6 :: 1/128 laajuus isäntä kelvollinen_lft ikuisesti prefer_lft ikuisesti 2: eth0: mtu 1500 qdisc pfifo_fast state UP-ryhmän oletusarvo qlen 1000 linkki / eetteri 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 -alue globaali eth0 valid_lft ikuisesti prefered_lft ikuisesti inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 -alueen linkki valid_lft forever prefer_lft forever

root @ master: ~ # cat /etc/resolv.conf 
etsi swl.fan-nimipalvelin 127.0.0.1

Bid9: n, isc-dhcp-palvelimen ja ntp: n asennus

sidonta9

root @ master: ~ # aptitude asenna bind9 bind9-doc Nmap
root @ master: ~ # systemctl -tilan sidonta9

root @ master: ~ # nano /etc/bind/named.conf
sisältää "/etc/bind/named.conf.options"; sisältää "/etc/bind/named.conf.local"; sisältää "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
vaihtoehdot {hakemisto "/ var / cache / bind"; // Jos sinun ja nimipalvelinten välillä, joiden kanssa haluat // puhua, on palomuuri, sinun on ehkä korjattava palomuuri sallimaan useiden // porttien puhua. Katso http://www.kb.cert.org/vuls/id/800113

        // Jos Internet-palveluntarjoajasi antoi yhden tai useamman IP-osoitteen vakaille // nimipalvelimille, haluat todennäköisesti käyttää niitä edelleenlähettäjinä. // Poista seuraavan lohkon kommentti ja lisää osoitteet, jotka korvaavat // all-0: n paikkamerkin. // kuormatraktorit {// 0.0.0.0; //}; // ================================================= = ==================== $ // Jos BIND kirjaa virheviestit pääavaimen vanhentumisesta, // sinun on päivitettävä avaimesi. Katso https://www.isc.org/bind-keys
        // ================================================= = ===================== $ // Emme halua DNSSEC: ää
        dnssec-enable ei;
        // dnssec-validointi auto; auth-nxdomain no; # noudattaa RFC1035 listen-on-v6 -standardia {mikä tahansa; }; // Tarkistuksia localhostilta ja sysadminilta // dig swl.fan axfr: n kautta // Meillä ei ole Slave DNS: ää ... toistaiseksi
        allow-transfer {paikallinen isäntä; 192.168.10.1; };
}; root @ master: ~ # named-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Jaettu osoiteavaruus (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFC: t 3927, 5735 ja 6303)
vyöhyke "254.169.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IETF-protokollan määritykset (RFC: t 5735 ja 5736)
vyöhyke "0.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// TEST-NET- [1-3] dokumentaatiota varten (RFC: t 5735, 5737 ja 6303)
vyöhyke "2.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "100.51.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "113.0.203.in-addr.arpa" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; };

// IPv6-esimerkkialue dokumentaatiota varten (RFC: t 3849 ja 6303)
vyöhyke "8.bd0.1.0.0.2.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// Verkkotunnukset dokumentointia ja testausta varten (BCP 32)
vyöhyke "testi" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki" {type master; tiedosto "/etc/bind/db.empty"; }; zone "virheellinen" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.com" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.net" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki.org" {type master; tiedosto "/etc/bind/db.empty"; };

// Reitittimen vertailutestaus (RFC: t 2544 ja 5735)
vyöhyke "18.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "19.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IANA varattu - vanhan luokan E tila (RFC 5735)
vyöhyke "240.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "241.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "242.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "243.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "244.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "245.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "246.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "247.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "248.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "249.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "250.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "251.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "252.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "253.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "254.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IPv6: n määrittelemättömät osoitteet (RFC 4291)
vyöhyke "1.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "a.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "b.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "c.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "d.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "e.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "afip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "bfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IPv6 ULA (RFC: t 4193 ja 6303)
vyöhyke "cfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "dfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IPv6-linkin paikallinen (RFC: t 4291 ja 6303)
vyöhyke "8.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "aefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "befip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IPv6: n käytöstä poistetut sivusto-paikalliset osoitteet (RFC: t 3879 ja 6303)
vyöhyke "cefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "defip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "eefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "fefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; };

// IP6.INT on poistettu käytöstä (RFC 4159)
vyöhyke "ip6.int" {type master; tiedosto "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Tee täällä kaikki paikalliset määritykset // // Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // organisaatiossasi, sisällytä "/etc/bind/zones.rfc1918";
sisältää "/etc/bind/zones.rfcFreeBSD";

// Ilmoitus DNS-tietuevyöhykkeiden nimestä, tyypistä, sijainnista ja päivitysoikeudesta // Molemmat vyöhykkeet ovat MASTER-vyöhykkeen "swl.fan" {type master; tiedosto "/var/lib/bind/db.swl.fan"; }; vyöhyke "10.168.192.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # named-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA: ssa master.swl.fan. root.master.swl.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Vapaiden ohjelmistojen ystäville"; sysadmin IN 192.168.10.1-tiedostopalvelin IN 192.168.10.4-isäntä IN 192.168.10.5-välityspalvelin IN 192.168.10.6-blogi A 192.168.10.7 -palvelin IN 192.168.10.8-posti 192.168.10.9-viesti

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA: ssa master.swl.fan. root.master.swl.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR-tiedostopalvelin.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR: ssä proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
zone swl.fan/IN: ladattu sarja 1 OK
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
vyöhyke 10.168.192.in-addr.arpa/IN: ladattu sarja 1 OK

root @ master: ~ # named-checkconf -zp
root @ master: ~ # systemctl käynnistä bind9.service uudelleen
root @ master: ~ # systemctl-tila bind9.service

Bind9-tarkastukset

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # välityspalvelimen isäntä root @ master: ~ # nping --tcp -p 53 -c 3 paikallinen isäntä
root @ master: ~ # nping --udp -p 53 -c 3 paikallinen isäntä
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Alkaen Nping 0.6.47 ( http://nmap.org/nping ) klo 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 LÄHETETTY (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Maks. Rtt: N / A | Pienin aika: N / A | Keskim. Rtt: Ei tietoja Lähetetyt raakapaketit: 84 (0B) | Rcvd: 0 (3B) | Kadonnut: 100.00 (1%) Nping valmis: 3.01 IP-osoite pingattu XNUMX sekunnissa 

ISC-dhcp-palvelin

root @ master: ~ # aptitude asenna isc-dhcp-palvelin
root @ master: ~ # nano / etc / default / isc-dhcp-palvelin
# Millä liitännöillä DHCP-palvelimen (dhcpd) tulisi palvella DHCP-pyyntöjä? # Erota useita rajapintoja välilyönneillä, esim. "Eth0 eth1".
LIITÄNNÄT = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KÄYTTÄJÄ dhcp-avain
root @ master: ~ # cat Kdhcp-avain. +157 + 51777. yksityinen 
Yksityisen avaimen muoto: v1.3-algoritmi: 157 (HMAC_MD5) Avain: Ba9GVadq4vOCixjPN94dCQ == Bittiä: AAA = Luotu: 20170527133656 Julkaise: 20170527133656 Aktivoi: 20170527133656

root @ master: ~ # nano dhcp.key
avain dhcp-avain {
        algoritmi hmac-md5;
        salainen "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
sisältää "/etc/bind/dhcp.key";

vyöhyke "swl.fan" {type master; tiedosto "/var/lib/bind/db.swl.fan";
        salli-päivitä {avain dhcp-avain; };
}; vyöhyke "10.168.192.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa";
        salli-päivitä {avain dhcp-avain; };
};

root @ master: ~ # named-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; päivitysoptimointi väärä; # Voi olla pakollinen Debianin aitoissa; vaihtoehto ip-edelleenlähetys pois päältä; vaihtoehto verkkotunnus "swl.fan"; sisältää "/etc/dhcp/dhcp.key"; alue swl. tuuletin. {ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.168.192.in-addr.arpa. {ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal {aliverkko 192.168.10.0 netmask 255.255.255.0 {vaihtoehtoiset reitittimet 192.168.10.1; option subnet-mask 255.255.255.0; vaihtoehtoinen lähetysosoite 192.168.10.255; vaihtoehto verkkotunnus-palvelimet 192.168.10.5; vaihtoehto netbios-nimi-palvelimet 192.168.10.5; vaihtoehto ntp-palvelimet 192.168.10.5; vaihtoehtoiset aikapalvelimet 192.168.10.5; alue 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Kaikki oikeudet pidätetään. Lisätietoja on osoitteessa https://www.isc.org/software/dhcp/
Config-tiedosto: /etc/dhcp/dhcpd.conf Tietokantatiedosto: /var/lib/dhcp/dhcpd.leasing PID-tiedosto: /var/run/dhcpd.pid

root @ master: ~ # systemctl käynnistä bind9.service uudelleen 
root @ master: ~ # systemctl-tila bind9.service 

root @ master: ~ # systemctl start isc-dhcp-server.service
root @ master: ~ # systemctl-tila isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 limit -4 default kod notrap nomodify nopeer noquery limit -6 oletuskoodi notrap nomodify nopeer noquery -rajoitus 127.0.0.1-rajoitus :: 1 lähetys 192.168.10.255

root @ master: ~ # systemctl käynnistä ntp.service uudelleen 
root @ master: ~ # systemctl-tila ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27. toukokuuta 10:04:01 ntpdate [18769]: säädä aikapalvelinta 192.168.10.1 offset 0.369354 sec

Ntp-, bind9- ja isc-dhcp-palvelinten yleiset tarkistukset

Tarkista Linux-, BSD-, Mac OS- tai Windows-asiakasohjelmasta, että aika on synkronoitu oikein. Että se saa dynaamisen IP-osoitteen ja että isännän nimi ratkaistaan ​​suorilla ja käänteisillä DNS-kyselyillä. Vaihda asiakkaan nimi ja tee kaikki sekit uudelleen. Älä jatka, ennen kuin olet varma, että tähän mennessä asennetut palvelut toimivat oikein. Jotain me kirjoitimme kaikki artikkelit DNS: stä ja DHCP: stä Tietokoneverkot pk-yrityksille.

NIS-palvelimen asennus

root @ master: ~ # aptitude show nis
Ristiriidassa seuraavien kanssa: netstd (<= 1.26) Kuvaus: asiakkaat ja demonit verkkotietopalvelulle (NIS) Tämä paketti tarjoaa työkalut NIS-toimialueen määrittämiseen ja ylläpitoon. NIS: ää, alun perin nimellä Keltaiset sivut (YP), käytetään useimmiten verkon useiden koneiden jakamiseen samojen tilitietojen, kuten salasanatiedoston, kanssa.

root @ master: ~ # aptitude asenna nis
Paketin kokoonpano ┌──────────────────────────┤ Nis-kokoonpano ├───────────────── ── ────────┐ │ Valitse tälle järjestelmälle NIS-verkkotunnus. Jos haluat, että machine │ tämä kone on vain asiakas, kirjoita sen NIS-toimialueen nimi, johon haluat liittyä. │ │ │ │ Vaihtoehtoisesti, jos tämän koneen on oltava NIS-palvelin, voit │ │ kirjoittaa uuden NIS-toimialueen nimen tai olemassa olevan NIS-toimialueen nimen │ │. IS │ │ │ NIS-toimialue: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘  

Se viivästyttää sinun, koska palvelukokoonpanoa ei ole olemassa sellaisenaan. Odota prosessin päättymistä.

root @ master: ~ # nano / etc / default / nis
# Olemmeko NIS-palvelin ja jos on, millaista (arvot: false, slave, master)?
NISSERVER = päällikkö

root @ master: ~ # nano /etc/ypserv.securenets # securenets Tämä tiedosto määrittelee NIS-palvelimen # käyttöoikeudet NIS-asiakkaille (ja orjapalvelimille - ypxfrd käyttää myös tätä # tiedostoa). Tämä tiedosto sisältää verkkomaski- / verkkopareja. # Asiakkaan IP-osoitteen on vastattava vähintään yhtä näistä. # # Voidaan käyttää sanaa "isäntä" verkon peitteen # 255.255.255.255 sijaan. Ainoastaan ​​IP-osoitteet ovat sallittuja tässä # tiedostossa, ei isäntänimiä. # # Salli aina pääsy paikalliselle palvelimelle 255.0.0.0 127.0.0.0 # Tämä rivi antaa kaikille pääsyn. SÄÄTÖ! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Pitäisikö meidän yhdistää passwd-tiedosto varjotiedostoon? # MERGE_PASSWD = tosi | väärä
MERGE_PASSWD = tosi

# Pitäisikö meidän yhdistää ryhmätiedosto gshadow-tiedostoon? # MERGE_GROUP = tosi | väärä
MERGE_GROUP = tosi

Rakennamme NIS-tietokannan

root @ master: ~ # / usr / lib / yp / ypinit -m
Tässä vaiheessa meidän on rakennettava luettelo isännistä, jotka suorittavat NIS-palvelimia. master.swl.fan on NIS-palvelinpalvelinten luettelossa. Jatka muiden isäntien lisäämistä, yksi kutakin riviä kohden. Kun olet valmis luetteloon, kirjoita a . seuraava lisättävä isäntä: master.swl.fan seuraava lisättävä isäntä: Nykyinen NIS-palvelinten luettelo näyttää tältä: master.swl.fan Onko tämä oikein? [y / n: y] Tarvitsemme muutaman minuutin tietokantojen rakentamiseen ... tee [1]: Poistuminen hakemistosta '/var/yp/swl.fan' master.swl.fan on määritetty NIS-pääpalvelimeksi . Nyt voit suorittaa ypinit -s master.swl.fanin kaikilla orjapalvelimilla.

root @ master: ~ # systemctl käynnistä nis uudelleen
root @ master: ~ # systemctl tila nis

Lisäämme paikallisia käyttäjiä

root @ master: ~ # adduser bilbo
Käyttäjän `` bilbo '' lisääminen ... Uuden ryhmän `` bilbo '' (1001) lisääminen ... Uuden käyttäjän `` bilbo '' (1001) lisääminen ryhmään `` bilbo '' ... Kotihakemiston `` home / bilbo '' luominen ... Kopioidaan tiedostot hakemistosta `/ etc / skel '... Syötä uusi UNIX-salasana: Kirjoita uusi UNIX-salasana uudelleen: passwd: salasana päivitetty oikein Bilbon käyttäjätietojen muuttaminen Syötä uusi arvo tai paina ENTER käyttääksesi oletusnimi Koko nimi []: Bilbo Bagins -huonenumero []: Työpuhelin []: Kotipuhelin []: Muu []: Ovatko tiedot oikein? [Kyllä / ei]

root @ master: ~ # adduser kulkee root @ master: ~ # adduser legolas

ja niin edelleen.

root @ master: ~ # sormi legolas
Kirjaudu: legolas Nimi: Legolas Archer Directory: / home / legolas Shell: / bin / bash Ei koskaan kirjautunut sisään. Ei postia. Ei suunnitelmaa.

Päivitämme NIS-tietokantaa

root @ master: / var / yp # make
make [1]: Hakemiston '/var/yp/swl.fan' kirjoittaminen Päivitetään passwd.byname ... Päivitetään passwd.byuid ... Päivitetään group.byname ... Päivitetään group.bygid ... Päivitetään netid.byname. .. Päivitetään shadow.byname ... Ohitettu -> yhdistetty passwd make [1]: Hakemistosta '/var/yp/swl.fan' poistuminen

Lisätään NIS-asetukset isc-dhcp-palvelimeen

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-tyylinen väliaikainen; ddns-päivitykset; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; päivitysoptimointi väärä; arvovaltainen; vaihtoehto ip-edelleenlähetys pois päältä; vaihtoehto verkkotunnus "swl.fan"; sisältää "/etc/dhcp/dhcp.key"; alue swl. tuuletin. {ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.168.192.in-addr.arpa. {ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal {aliverkko 192.168.10.0 netmask 255.255.255.0 {vaihtoehtoiset reitittimet 192.168.10.1; option subnet-mask 255.255.255.0; vaihtoehtoinen lähetysosoite 192.168.10.255; vaihtoehto verkkotunnus-palvelimet 192.168.10.5; vaihtoehto netbios-nimi-palvelimet 192.168.10.5; vaihtoehto ntp-palvelimet 192.168.10.5; vaihtoehtoiset aikapalvelimet 192.168.10.5;
                vaihtoehto nis-domain "swl.fan";
                vaihtoehto nis-palvelimet 192.168.10.5;
                alue 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl käynnistä isc-dhcp-server.service uudelleen

NIS-asiakkaan asennus

  • Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää..
root @ mail: ~ # isäntänimi -f
mail.swl.fan

root @ mail: ~ # ip osoite
2: eth0: mtu 1500 qdisc pfifo_fast state UP-ryhmän oletusarvo qlen 1000 linkki / eetteri 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 -alue globaali eth0

root @ mail: ~ # aptitude asentaa nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf määritystiedosto ypbind-prosessille. Voit määrittää täällä # NIS-palvelinta manuaalisesti, jos niitä ei löydy lähettämällä paikallisverkossa (mikä on oletusarvo). # # Katso tämän tiedoston syntaksia ypbindin ohjesivulta. # # TÄRKEÄÄ: Käytä "ypserver": ssä IP-osoitteita tai varmista, että # isäntä on / etc / hosts. Tätä tiedostoa tulkitaan vain # kerran, ja jos DNS: ää ei ole vielä saavutettavissa, ypserveriä ei voida ratkaista # eikä ypbind koskaan sitoutu palvelimeen. # ypserver ypserver.network.com ypserver master.swl.fan -verkkotunnus swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', kokeile: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd: compat nis -ryhmä: compat nis -varjo: compat nis gshadow: tiedostojen isännät: tiedostot dns nis verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot verkkoryhmä: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) saadaksesi lisätietoja.
istunto valinnainen pam_mkhomedir.so skel = / etc / skel umask = 077
# tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko)

root @ mail: ~ # systemctl tila nis
root @ mail: ~ # systemctl käynnistä nis uudelleen

Lopetamme istunnon ja aloitamme sen uudelleen, mutta käyttäjän, joka on rekisteröity NIS-tietokantaan osoitteessa master.swl.fan.

root @ mail: ~ # exit
uloskirjautuminen Yhteys postiin on suljettu.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mailin salasana: Hakemiston 'home / legolas' luominen. Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ​​ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa.
legolas @ mail: ~ $ pwd
/ koti / legolas
legolas @ mail: ~ $ 

Vaihdamme legolas-käyttäjän salasanan ja tarkistamme

legolas @ mail: ~ $ yppasswd 
Legolan NIS-tilitietojen muuttaminen master.swl.fanissa. Anna vanha salasana: legolas Legolien NIS-salasanan vaihtaminen master.swl.fanissa. Anna uusi salasana: archer Salasanassa on oltava sekä isoja että pieniä kirjaimia tai ei-kirjaimia. Anna uusi salasana: Arquero2017 Kirjoita uusi salasana uudelleen: Arquero2017 NIS-salasana on vaihdettu osoitteessa master.swl.fan.

legolas @ mail: ~ $ exit
uloskirjautuminen Yhteys postiin on suljettu.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mailin salasana: Arquero2017

Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ​​ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa. Viimeisin kirjautuminen: lauantai 27. toukokuuta 12:51:50 2017 osoitteesta sysadmin.swl.fan
legolas @ mail: ~ $

Palvelimen ja asiakkaan tasolla toteutettu NIS-palvelu toimii oikein.

LDAP

Wikipediasta:

  • LDAP on lyhenne sanoista Lightweight Directory Access Protocol (espanjaksi Lightweight / Simplified Directory Access Protocol), joka viittaa sovellustason protokollaan, joka sallii pääsyn tilattuun ja hajautettuun hakemistopalveluun etsimään erilaisia ​​tietoja ympäristöverkosta. LDAP: tä pidetään myös tietokantana (vaikka sen tallennusjärjestelmä voi olla erilainen), josta voidaan kysyä.Hakemisto on joukko objekteja, joiden määritteet on järjestetty loogisesti ja hierarkkisesti. Yleisin esimerkki on puhelinluettelo, joka koostuu sarjasta nimiä (henkilöitä tai organisaatioita), jotka on järjestetty aakkosjärjestyksessä, ja jokaisella nimellä on osoite ja puhelinnumero. Parempaa ymmärtämistä varten se on kirja tai kansio, johon kirjoitetaan ihmisten nimet, puhelinnumerot ja osoitteet, ja se on järjestetty aakkosjärjestykseen.

    LDAP-hakemistopuu heijastaa joskus erilaisia ​​poliittisia, maantieteellisiä tai organisatorisia rajoja valitusta mallista riippuen. LDAP: n nykyiset asennukset käyttävät yleensä DNS (Domain Name System) -nimiä hierarkian ylempien tasojen rakentamiseen. Kun vierität hakemistoa alas, näkyviin voi tulla merkintöjä, jotka edustavat ihmisiä, organisaatioyksiköitä, tulostimia, asiakirjoja, ihmisryhmiä tai mitä tahansa, joka edustaa tiettyä merkintää puussa (tai useita merkintöjä).

    Yleensä se tallentaa todennustiedot (käyttäjä ja salasana) ja sitä käytetään todennukseen, vaikka on mahdollista tallentaa muita tietoja (käyttäjän yhteystiedot, erilaisten verkkoresurssien sijainti, käyttöoikeudet, varmenteet jne.). Yhteenvetona voidaan todeta, että LDAP on yhtenäinen pääsyprotokolla verkon tietojoukolle.

    Nykyinen versio on LDAPv3, ja se on määritelty RFC: ssä RFC 2251 ja RFC 2256 (LDAP-perusasiakirja), RFC 2829 (todennustapa LDAP: lle), RFC 2830 (laajennus TLS: lle) ja RFC 3377 (tekninen erittely)

    .

Kauan, LDAP-protokolla - ja sen tietokannat, jotka ovat yhteensopivia tai eivät OpenLDAP: n kanssa - ovat nykyään eniten käytetty useimmissa todennusjärjestelmissä. Esimerkkinä edellisestä lausunnosta annamme alla joitain järjestelmien nimiä - Free tai Private - jotka käyttävät LDAP-tietokantoja taustana kaikkien objektiensa tallentamiseen:

  • OpenLDAP
  • Apache-hakemistopalvelin
  • Red Hat Directory Server - 389 DS
  • Novell Directory Services - eDirectory
  • SUN Microsystems Open DS
  • Red Hat Identity Manager
  • FreeIPA
  • Samba NT4 Classic Domain Controller.
    Haluamme selventää, että tämä järjestelmä oli Team Samban kehitys Samba 3.xxx + OpenLDAP as: lla backend. Microsoft ei koskaan toteuttanut mitään vastaavaa. Siirtyi NT 4 -toimialueohjaimista aktiivisiin hakemistoihinsa
  • Samba 4 Active Directory - toimialueen ohjain
  • ClearOS
  • zentyal
  • UCS Uninvention -yrityspalvelin
  • Microsoft Active Directory

Jokaisella toteutuksella on omat ominaisuutensa, ja kaikkein vakio ja yhteensopiva on OpenLDAP.

Active Directory, olipa kyseessä sitten alkuperäinen Microsoft tai Samba 4, muodostaa yhdistelmän useista pääkomponenteista, jotka ovat:

Emme saa sekoittaa a Hakemistopalvelu o Hakemistopalvelu a. kanssa Active Directory o Active Directory. Ensimmäiset saattavat isännöidä Kerberos-todennusta, mutta ne eivät tarjoa Windows-verkkotunnuksen tarjoamaa Microsoft-verkkopalvelua, eikä heillä ole sellaisenaan Windows Domain Controlleria.

Hakemistopalvelua tai hakemistopalvelua voidaan käyttää käyttäjien todentamiseen sekaverkossa UNIX / Linux- ja Windows-asiakkaiden kanssa. Jälkimmäisen osalta jokaiselle asiakkaalle on asennettava ohjelma, joka toimii välittäjänä Hakemistopalvelun ja itse Windows-asiakkaan välillä, kuten ilmainen ohjelmisto. pGina.

Hakemistopalvelu OpenLDAP: lla

  • Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää., samalla "pääkäyttäjän" konenimellä, jota käytetään NIS-asennuksessa, sekä sen verkkoliitännän ja /etc/resolv.conf -tiedoston kokoonpanolla. Tähän uuteen palvelimeen asennamme ntp, bind9 ja isc-dhcp-server, unohtamatta kolmen edellisen palvelun oikean toiminnan yleisiä tarkistuksia..
root @ master: ~ # aptitude asenna slapd ldap-utils

Paketin kokoonpano

┌─────────────────────┤ Slapd-kokoonpano ├───────────────────────┐ │ Syötä salasana LDAP-hakemistosi järjestelmänvalvojan merkinnälle. │ │ │ │ Järjestelmänvalvojan salasana: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────┘

Tarkistamme alkuasetukset

root @ master: ~ # slapcat
dn: dc = swl, dc = tuuletin
objectClass: top objectClass: dcObject objectClass: organisaatio o: swl.fan dc: swl StructuralObjectClass: organisaation merkintäUUID: c8510708-da8e-1036-8fe1-71d022a16904 luojatNimi: cn = admin, dc = swl, dc = tuuletinmerkintä createTimestamp20170531205219: 20170531205219.833955Timestamp000000: : 000ZN000000 merkintä Z # 20170531205219 # XNUMX # XNUMX muokkaajat Nimi: cn = admin, dc = swl, dc = tuulettimen muokkaus Aikaleima: XNUMXZ

dn: cn = admin, dc = swl, dc = tuuletin
objectClass: simpleSecurityObject objectClass: organizationalRole CN: admin Kuvaus: LDAP ylläpitäjä userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-entry = cXNUMXe +XNUMX Z # XNUMX # XNUMX # XNUMX muokkaajat Nimi: cn = admin, dc = swl, dc = tuulettimen muokkaus Aikaleima: XNUMXZ

Muutamme tiedostoa /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
PERUS dc = swl, dc = tuulettimen URI    ldap: // paikallinen isäntä

Organisaatioyksiköt ja yleisen ryhmän «käyttäjät»

Lisätään vähimmäisvaatimukset organisaatioyksiköistä sekä Posix-ryhmän «käyttäjät», joihin kaikki jäsenet tehdään, noudattamalla esimerkkiä monista järjestelmistä, joilla on ryhmä «Käyttäjät«. Määritämme sen nimellä "käyttäjät", jotta emme pääse mahdollisiin ristiriitoihin ryhmän kanssa "lähettämä"järjestelmän".

root @ master: ~ # nano base.ldif
dn: ou = ihmiset, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ihmiset dn: ou = ryhmät, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ryhmät dn: cn = käyttäjät, ou = ryhmät, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = tuuletin -W -f base.ldif
Anna LDAP-salasana: uuden merkinnän lisääminen "ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "ou = ryhmät, dc = swl, dc = tuuletin"

Tarkistamme lisätyt merkinnät

root @ master: ~ # ldapsearch -x ou = ihmiset
# ihmiset, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organisaatioUnit ou: people

root @ master: ~ # ldapsearch -x ou = ryhmät
# ryhmät, swl.fan dn: ou = ryhmät, dc = swl, dc = tuuletinobjektiLuokka: organisaatioYksikkö ou: ryhmät

root @ master: ~ # ldapsearch -x cn = käyttäjät
# käyttäjät, ryhmät, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

Lisäämme useita käyttäjiä

Salasana, joka meidän on ilmoitettava LDAP: ssä, on hankittava komennolla slappasswd, joka palauttaa SSHA: n salatun salasanan.

Salasana käyttäjän askeleille:

root @ master: ~ # slappasswd 
Uusi salasana: Anna uusi salasana uudelleen: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Salasana käyttäjän legolasille

root @ master: ~ # slappasswd 
Uusi salasana: Anna uusi salasana uudelleen: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Salasana käyttäjän gandalfille

root @ master: ~ # slappasswd 
Uusi salasana: Anna uusi salasana uudelleen: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 posti: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer-käyttäjä Salasana: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 posti: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Ohjatun toiminnon käyttäjä {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 posti: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash homeHakemisto: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = tuuletin -W -f users.ldif
Syötä LDAP-salasana: uuden merkinnän lisääminen "uid = askeleita, ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "uid = legolas, ou = ihmiset, dc = swl, dc = tuuletin" lisäämällä uusi merkintä "uid = gandalf, ou = ihmiset, dc = swl, dc = tuuletin "

Tarkistamme lisätyt merkinnät

root @ master: ~ # ldapsearch -x cn = askeleet
root @ master: ~ # ldapsearch -x uid = askeleita

Hallinnoimme slpad-tietokantaa konsoliohjelmilla

Valitsemme paketin käsikirjoitukset tällaiseen tehtävään. Asennus- ja konfigurointimenettely on seuraava:

root @ master: ~ # aptitude asenna ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
PALVELIN = paikallinen isäntä BINDDN = 'cn = admin, dc = swl, dc = tuuletin' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = tuuletin' GSUFFIX = 'ou = ryhmät' USUFFIX = 'ou = ihmiset' # MSUFFIX = 'ou = Tietokoneet' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP-asiakaskomennot LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UT jne. . /ldapadduser.template "PASSWORDGEN =" kaiku% u ​​"

Huomaa, että komentosarjat käyttävät pakettikomentoja ldap-utils. Juosta dpkg -L ldap-utils | grep / bin tietää mitä he ovat.

root @ master: ~ # sh -c "echo -n 'järjestelmänvalvojan salasana'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: etunimi: sn: näyttönimi: uidNumber: gidNumber: 10000 homeHakemisto: loginShell: posti: @ swl.fan geckos: kuvaus: Käyttäjätili
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## poistamme kommentin UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Lisätään käyttäjä "bilbo" ja tehdään hänestä "käyttäjät" -ryhmän jäsen

root @ master: ~ # ldapadduser bilbo -käyttäjät
[dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Syötä arvo "megadottNimi": Bilbo [dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Anna arvo arvolle " sn ": Bagins [dn: uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin] Syötä" displayName "-arvo: Bilbo Bagins Lisätty käyttäjän bilbo onnistuneesti LDAP: hen Määritä käyttäjän bilbo salasana

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeHakemisto: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: bilbo description: Käyttäjätili

Bilbo-käyttäjän salasanan hajautusarvon tarkastamiseksi kysely on suoritettava todennuksella:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = tuuletin -W uid = bilbo

Suoritettavan bilbo-käyttäjän poistaminen:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = tuuletin -W uid = bilbo, ou = ihmiset, dc = swl, dc = tuuletin
Anna LDAP-salasana:

root @ master: ~ # ldapsearch -x uid = bilbo

Hallinnoimme slapd-tietokantaa verkkoliittymän kautta

Meillä on toimiva hakemistopalvelu ja haluamme hallita sitä helpommin. Tähän tehtävään on suunniteltu monia ohjelmia, kuten phpldapadmin, ldap-tilinhoitajajne., jotka ovat saatavilla suoraan arkistoista. Voimme myös hallita hakemistopalvelua Apache Directory Studio, joka meidän on ladattava Internetistä.

Lisätietoja on osoitteessa https://blog.desdelinux.net/ldap-introduccion/ja seuraavat 6 artikkelia.

LDAP-asiakas

Vaihe:

Sano että meillä on joukkue mail.swl.fan postipalvelimena, joka on toteutettu, kuten näimme artikkelissa Postfix + Dovecot + Squirrelmail ja paikalliset käyttäjät, joka on kehitetty CentOS: lla, mutta se voi hyvin toimia oppaana Debianille ja monille muille Linux-distroille. Haluamme, että jo ilmoittamiemme paikallisten käyttäjien lisäksi OpenLDAP-tietokantaan tallennetut käyttäjät ovat olemassa master.swl.fan. Edellä mainitun saavuttamiseksi meidän onkartoittaa»LDAP-käyttäjille paikallisina käyttäjinä palvelimella mail.swl.fan. Tämä ratkaisu soveltuu myös kaikkiin PAM-todennukseen perustuviin palveluihin. Yleinen menettelytapa Debian, on seuraava:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌─────────────────────┤ Konfigurointi libnss-ldap ├───────────────────---- Tämä merkkijono on samanlainen kuin │ │ «ldap: //: / ». Voit myös │ │ käyttää «ldaps: // » tai "ldapi: //". Porttinumero on valinnainen. │ │ │ │ On suositeltavaa käyttää IP-osoitetta vikojen välttämiseksi, kun verkkotunnuspalveluja estén │ ei ole käytettävissä. │ │ │ │ LDAP-palvelimen URI: │ │ │ │ ldap: //master.swl.fan ___________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ───────────────────────------ ┤ Määritys libnss-ldap ├───────────────────────┐┐ │ Syötä LDAP-hakupohjan erottuva nimi (DN). Monet sivustot käyttävät verkkotunnuskomponentteja tähän tarkoitukseen. Esimerkiksi verkkotunnus "esimerkki.net" käyttäisi hakupohjan erottavana nimellä │ │ "dc = esimerkki, dc = net". │ │ │ │ Hakukannan erottuva nimi (DN): │ │ │ │ dc = swl, dc = tuuletin ____________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap ├───────────────────────┐┐│ Syötä LDAP-protokollan versio, jota ldapnsin tulisi käyttää. On suositeltavaa käyttää korkeinta saatavilla olevaa versionumeroa. │ │ │ │ Käytettävä LDAP-versio: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap ├────────────────────────┐ │ Valitse, mitä tiliä käytetään nss-kyselyihin, joilla on │ │ juurioikeudet. │ │ │ │ Huomaa: Jotta tämä vaihtoehto toimisi, tilillä on oltava käyttöoikeudet, jotta hän voi käyttää LDAP-määritteitä, jotka liittyvät käyttäjän shadow │ "varjo" -merkintöihin, sekä käyttäjän ja ryhmän salasanoihin. │ │ │ │ LDAP-tili juurille: │ │ │ │ cn = admin, dc = swl, dc = tuuletin ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libnss-ldap Kirjoita salasana, jota käytetään, kun libnss-ldap yrittää todentaa LDAP-hakemistoon LDAP-pääkäyttäjätilillä. │───────────────────────┐ │ │ │ │ Salasana tallennetaan erilliseen tiedostoon │ │ ("/etc/libnss-ldap.secret"), johon vain pääkäyttäjä pääsee. You │ │ │ Jos annat tyhjän salasanan, vanhaa salasanaa käytetään uudelleen. │ │ │ │ LDAP-juuritilin salasana: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─┤ Määritys libnss-ldap Nsswitch.conf-tiedostoa ei hallinnoida automaattisesti │ │ │ │ Sinun on muokattava tiedostoa "/etc/nsswitch.conf" s───────────────────────┐ │ │ │ "käyttää LDAP - tietolähdettä, jos haluat libnss - ldap - paketin toimivan. │ │ Voit käyttää esimerkkitiedostoa │ │ hakemistossa "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" esimerkkinä nsswitch-kokoonpanosta tai │ │ voit kopioida sen nykyisen kokoonpanosi päälle. │ │ │ │ Huomaa, että ennen tämän paketin poistamista voi olla hyödyllistä │ │ poistaa "ldap" -merkinnät nsswitch.conf-tiedostosta, jotta peruspalvelut │ │ jatkavat toimintaansa. │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├────────────────────---- │ │ │ │ LDAP-järjestelmänvalvojan tilin salasana tallennetaan erilliseen │ │ -tiedostoon, jonka vain järjestelmänvalvoja voi lukea. │ │ │ │ Tämä vaihtoehto on poistettava käytöstä, jos asennetaan "/ etc" NFS: n kautta. │ │ │ │ Haluatko antaa LDAP-järjestelmänvalvojan tilin toimia paikallisena järjestelmänvalvojana? │ │ │ │                                            │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├──────────────────────┐ │ │ │ Valitse, pakottaako LDAP-palvelin tunnistamisen ennen sisäänkäyntien hakemista. Setting │ │ │ Tätä asetusta tarvitaan harvoin. │ │ │ │ Pitääkö käyttäjän käyttää LDAP-tietokantaa? │ │ │ │                                               │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├───────────────────────┐┐│ Syötä LDAP-järjestelmänvalvojan tilin nimi. Account │ │ │ Tätä tiliä käytetään automaattisesti tietokannan hallintaan, joten sillä on oltava tarvittavat järjestelmänvalvojan oikeudet. │ │ │ │ LDAP-järjestelmänvalvojan tili: │ │ │ │ cn = admin, dc = swl, dc = tuuletin ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤ libpam-ldap ├────────────────────────┐ │ Syötä järjestelmänvalvojan tilin salasana. │ │ │ │ Salasana tallennetaan tiedostoon "/etc/pam_ldap.secret". │ │ -järjestelmänvalvoja on ainoa, joka voi lukea tämän tiedoston ja antaa │ │ libpam-ldap -palvelun hallita automaattisesti yhteyksien hallintaa │ │ -tietokannassa. │ │ │ │ Jos jätät tämän kentän tyhjäksi, edellistä tallennettua salasanaa │ │ käytetään uudelleen. │ │ │ │ LDAP-järjestelmänvalvojan salasana: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', kokeile: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd: vastaava ldap
ryhmä: vastaava ldap
varjo: vastainen ldap
gshadow: files hosts: tiedostot dns-verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot netgroup: nis

Muokkaamme tiedostoa /etc/pam.d/common-password, siirrymme riville 26 ja eliminoimme arvon «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - salasanaan liittyvät moduulit, jotka ovat yhteisiä kaikille palveluille # # Tämä tiedosto sisältyy muihin palvelukohtaisiin PAM-määritystiedostoihin, # ja sen tulisi sisältää luettelo moduuleista, jotka määrittävät tarvittavat palvelut # käytetään käyttäjän salasanojen vaihtamiseen. Oletusarvo on pam_unix. # Selitys pam_unix-asetuksille: # # "sha512" -vaihtoehto sallii suolatut SHA512-salasanat. Ilman tätä vaihtoehtoa # oletusarvo on Unix-salaus. Aikaisemmissa julkaisuissa käytettiin vaihtoehtoa "md5". # # "Hämärä" -vaihtoehto korvaa vanhan OBSCURE_CHECKS_ENAB-vaihtoehdon kohdassa # login.defs. # # Katso pam_unix-sivulta muita vaihtoehtoja. # Vuodesta pam 1.0.1-6 tätä tiedostoa hallinnoi oletusarvoisesti pam-auth-update. # Tämän hyödyntämiseksi on suositeltavaa määrittää kaikki # paikallismoduulia joko ennen oletuslohkoa tai sen jälkeen ja käyttää # pam-auth-update muiden moduulien valinnan hallintaan. Katso lisätietoja kohdasta # pam-auth-update (8). # tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko) salasana [menestys = 2 oletus = ohita] pam_unix.so epäselvä sha512
salasana [menestys = 1 käyttäjän tuntematon = ohita oletus = kuolla] pam_ldap.so try_first_pass
# tässä on varavara, jos mikään moduuli ei onnistu vaatimalla vaadittavaa salasanaa pam_deny.so # syötä pino positiivisella palautusarvolla, jos sellaista ei vielä ole; # tämä estää meitä palauttamasta virhettä vain siksi, että mikään ei aseta onnistumiskoodia # koska yllä olevat moduulit kumpikin vain hyppäävät vaaditun salasanan läpi pam_permit.so # ja tässä on lisää pakettikohtaisia ​​moduuleja ("Lisä" - lohko) # pam- todennuksen päivitys

Jos tarvitsemme LDAP: lle tallennettujen käyttäjien paikallinen kirjautuminen ja haluamme, että heidän kansiot luodaan automaattisesti koti, meidän on muokattava tiedostoa /etc/pam.d/common-session ja lisää seuraava rivi tiedoston loppuun:

istunto valinnainen pam_mkhomedir.so skel = / etc / skel umask = 077

Aikaisemmin kehitetyssä OpenLDAP Directory Service -esimerkissä ainoa luotu paikallinen käyttäjä oli käyttäjä sirinä, kun taas LDAP: ssä luomme käyttäjät harppauksia, Legolas, GandalfJa Bilbo. Jos tähän mennessä tehdyt kokoonpanot ovat oikein, meidän pitäisi pystyä luetteloimaan paikalliset käyttäjät ja paikallisesti määritetyt, mutta LDAP-etäpalvelimelle tallennetut käyttäjät:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Askeleet: x: 10000: 10000: Askeleet El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / koti / legolas: / bin / bash
gandalf: x: 10002: 10000: Ohjattu Gandalf: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Muutosten jälkeen järjestelmän todennuksessa on kelvollinen käynnistämään palvelin uudelleen, muuten kohtaamme kriittisen palvelun:

root @ mail: ~ # Käynnistä uudelleen

Myöhemmin aloitamme paikallisen istunnon palvelimella mail.swl.fan käyttäjän LDAP - tietokantaan tallennettujen käyttäjien tunnistetiedoilla master.swl.fan. Voimme myös yrittää kirjautua sisään SSH: n kautta.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
gandalf @ mailin salasana: Luodaan hakemisto '/ home / gandalf'. Debian GNU / Linux -järjestelmän mukana tulevat ohjelmat ovat ilmaisia ​​ohjelmistoja; kunkin ohjelman tarkat jakelusehdot on kuvattu yksittäisissä tiedostoissa hakemistossa / usr / share / doc / * / copyright. Debian GNU / Linux: lla ei ole TAKUUTA, sovellettavan lain sallimassa laajuudessa.
gandalf @ mail: ~ $ su
salasana:

root @ mail: / home / gandalf # getent-ryhmä
buzz: x: 1001: käyttäjät: *: 10000:

root @ mail: / home / gandalf # exit
poistua

gandalf @ mail: ~ $ ls -l / koti /
yhteensä 8 drwxr-xr-x 2 buzz buzz     4096 17. kesäkuuta 12:25 buzz drwx ------ 2 gandalf-käyttäjät 4096 kesäkuu 17 13:05 gandalf

Palvelin- ja asiakastasolla toteutettu hakemistopalvelu toimii oikein.

Kerberos

Wikipediasta:

  • Kerberos on tietoverkon todennusprotokolla, jonka on luonut MIT jonka avulla kaksi turvattomassa verkossa olevaa tietokonetta voivat todistaa henkilöllisyytensä turvallisesti toisilleen. Sen suunnittelijat keskittyivät ensin asiakas-palvelin-malliin, ja se tarjoaa keskinäisen todennuksen: sekä asiakas että palvelin varmistavat toistensa identiteetin. Todennusviestit on suojattu estämään salakuuntelu y uusintahyökkäykset.

    Kerberos perustuu symmetriseen avainkoodaukseen ja vaatii luotettavan kolmannen osapuolen. Lisäksi protokollalle on olemassa laajennuksia, jotta kyetään käyttämään epäsymmetristä avaimen salausta.

    Kerberos perustuu Needham-Schroeder -protokolla. Se käyttää luotettua kolmatta osapuolta, nimeltään "Key Distribution Center" (KDC), joka koostuu kahdesta erillisestä loogisesta osasta: "Authentication Server" (AS tai Authentication Server) ja "lippujen myöntäjäpalvelin" (TGS tai Ticket Granting Server ). Kerberos toimii "lippujen" perusteella, jotka todistavat käyttäjien henkilöllisyyden.

    Kerberos ylläpitää salaisia ​​avaimia koskevaa tietokantaa; Jokainen verkon entiteetti - olipa asiakas tai palvelin - jakaa salaisen avaimen, jonka vain hän itse ja Kerberos tuntevat. Tämän avaimen tuntemus palvelee yksikön henkilöllisyyden todistamista. Kahden yksikön välistä viestintää varten Kerberos luo istuntoavaimen, jota he voivat käyttää ongelmiensa turvaamiseen.

Kerberosin haitat

De Parannettu:

Siitä huolimatta Kerberos poistaa yhteisen turvallisuusuhan, sitä voi olla vaikea toteuttaa useista syistä:

  • Käyttäjäsalasanojen siirtäminen tavallisesta salasanatietokannasta UNIX, kuten / etc / passwd tai / etc / shadow, Kerberos-salasanatietokantaan, voi olla tylsää, eikä tämän tehtävän suorittamiseen ole nopeaa mekanismia.
  • Kerberos olettaa, että jokainen käyttäjä luotetaan, mutta käyttää epäluotettavaa konetta epäluotettavassa verkossa. Sen päätavoitteena on estää salaamattomien salasanojen lähettäminen verkon kautta. Kuitenkin, jos jollakin muulla käyttäjällä, lukuun ottamatta asianmukaista käyttäjää, on pääsy lippukoneeseen (KDC) todennusta varten, Kerberos olisi vaarassa.
  • Jotta sovellus voi käyttää Kerberosia, koodia on muutettava, jotta soitetaan asianmukaiset puhelut Kerberos-kirjastoihin. Tällä tavalla muokatut sovellukset katsotaan kerberisoiduiksi. Joissakin sovelluksissa tämä voi olla liiallinen ohjelmointiponnistus sovelluksen koon tai rakenteen vuoksi. Muiden yhteensopimattomien sovellusten osalta verkkopalvelimen ja sen asiakkaiden viestintätapaan on tehtävä muutoksia. taas tämä voi viedä melko vähän ohjelmointia. Yleensä ongelmat ovat suljetun lähdekoodin sovellukset, joilla ei ole Kerberos-tukea.
  • Lopuksi, jos päätät käyttää Kerberosia verkossasi, sinun on ymmärrettävä, että se on kaikki tai ei mitään -valinta. Jos päätät käyttää Kerberosia verkossa, muista, että jos salasanoja välitetään palvelulle, joka ei käytä Kerberosia todentamiseen, sinulla on riski, että paketti voidaan siepata. Verkkosi ei siis saa mitään hyötyä Kerberoksen käytöstä. Verkon suojaamiseksi Kerberosilla tulee käyttää vain kaikkien asiakas / palvelinsovellusten kerberisoituja versioita, jotka lähettävät salaamattomia salasanoja tai eivät käytä mitään näistä sovelluksista verkossa.

OpenLDAP: n manuaalinen käyttöönotto ja määrittäminen Kerberos Back-Endinä ei ole helppo tehtävä. Myöhemmin kuitenkin näemme, että Samba 4 Active Directory - toimialueen ohjain integroituu läpinäkyvällä tavalla Sysadminille, DNS-palvelimelle, Microsoft-verkolle ja sen toimialueen ohjaimelle, LDAP-palvelimelle melkein kaikkien sen objektien takana ja Kerberos-pohjainen todennuspalvelu Microsoft-tyylisen Active Directoryn peruskomponenteina.

Tähän päivään mennessä meillä ei ole ollut tarvetta toteuttaa "kerberisoitua verkkoa". Siksi emme kirjoittaneet Kerberoksen käyttöönotosta.

Samba 4 Active Directory - toimialueen ohjain

Tärkeää:

Sivustoa parempia asiakirjoja ei ole wiki.samba.org. Sysadminin, jonka suolaa kannattaa, tulisi käydä kyseisellä sivustolla - englanniksi - ja selata suurta joukkoa Samba 4: lle omistettuja sivuja, jotka Team Samba on itse kirjoittanut. En usko, että Internetissä on saatavilla asiakirjoja sen korvaamiseksi. Muuten, tarkkaile käyntien määrää kunkin sivun alaosassa. Esimerkki tästä on, että pääsivulla tai «Pääsivulla» käytiin 276,183 kertaa tänään tänään 20. kesäkuuta 2017 klo 10 Itäinen normaaliaika. Lisäksi dokumentaatio pidetään hyvin ajan tasalla, koska sivua muutettiin 10. kesäkuuta.

Wikipediasta:

Samba on ilmainen Microsoft Windows File Sharing Protocol (aiemmin nimeltään SMB, hiljattain nimetty uudelleen CIFS) -toteutus UNIX-tyyppisille järjestelmille. Tällä tavalla on mahdollista, että tietokoneet, joissa on GNU / Linux, Mac OS X tai Unix, näyttävät yleensä palvelimilta tai toimivat asiakkaina Windows-verkoissa. Samba antaa käyttäjien myös validoida PDC (Primary Domain Controller), toimialueen jäsenenä ja jopa Active Directory -toimialueena Windows-pohjaisiin verkkoihin; lukuun ottamatta mahdollisuutta palvella tulostusjonoja, jaettuja hakemistoja ja todentaa omalla käyttäjäarkistoillaan.

Unixin kaltaisista järjestelmistä, joilla Samba voidaan ajaa, ovat GNU / Linux-jakelut, Solaris ja erilaiset BSD-muunnokset. että voimme löytää Applen Mac OS X -palvelimen.

Samba 4 AD-DC sisäisellä DNS: llä

  • Aloitamme Debian 8 "Jessie" -ohjelman puhtaasta asennuksesta - ilman graafista käyttöliittymää..

Alustavat tarkastukset

root @ master: ~ # isäntänimi
mestari
root @ master: ~ # isäntänimi --fqdn
master.swl.fan
root @ master: ~ # ip osoite
1: mitä: mtu 65536 qdisc noqueue -tila Tuntematon ryhmä oletuslinkki / silmukka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 -alue isäntä lo valid_lft forever prefer_lft forever inet6 :: 1/128 laajuus isäntä valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state Tuntematon ryhmä oletus qlen 1000 link / eetteri 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 -alue globaali eth0
       kelvollinen_lft ikuisesti ensisijainen_lft ikuisesti inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 -laajennuslinkki valid_lft ikuisesti ensisijainen_lft ikuisesti
root @ master: ~ # cat /etc/resolv.conf
etsi swl.fan-nimipalvelin 127.0.0.1
  • Millä julistamme haaran tärkein vain, se on enemmän kuin tarpeeksi tarkoituksiimme.
root @ master: ~ # kissa /etc/apt/sources.list
debytantti http://192.168.10.1/repos/jessie-8.6/debian/ Jessie tärkein
debytantti http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / päivitykset tärkein

Exfin ja apuohjelmien Postfix-tiedosto

root @ master: ~ # aptitude install postfix htop mc deborphan

  ┌────────────────────────┤ Postfix Configuration ├────────────────────── ────┐ │ Valitse postipalvelimen kokoonpanotyyppi, joka parhaiten vastaa │ │ tarpeitasi. Configuration │ │ │ Ei määritystä: │ │ Pitää nykyisen kokoonpanon ennallaan. │ │ Internet-sivusto: │ │ Posti lähetetään ja vastaanotetaan suoraan SMTP: n kautta. │ │ Internet, jossa on "smarthost": │ │ Posti vastaanotetaan suoraan SMTP: n avulla tai suorittamalla │ │ -työkalu, kuten "fetchmail". Lähtevät viestit lähetetään käyttämällä "smarthost" -palvelua. │ │ Vain paikallinen posti: │ │ Ainoa toimitettu posti on tarkoitettu paikallisille käyttäjille. Ei │ │ verkkoa on. │ │ │ │ Yleinen sähköpostin määritystyyppi: │ │ │ configuration Ei määrityksiä │ │ Internet-sivusto │ │ Internet älypuhelimella │ │ Satelliittijärjestelmä │ │                         Vain paikallinen posti                                │ │ │ │ │ │                                     │ │ │ └─────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─────┤ Postfix-määritykset ├─────────────────────────┐ │ "Postijärjestelmän nimi" on sen verkkotunnuksen nimi, joka │ │ käytetään "kelpuuttamaan" _ALL_ sähköpostiosoitteita ilman verkkotunnusta. Tämä sisältää postin "root" -palvelusta ja juuresta: älä pakota máquina │ koneesi lähettämään sähköpostia root@example.org │ │ alle root@example.org kysyi. │ will this │ Muut ohjelmat käyttävät tätä nimeä. Sen on oltava yksilöllinen │ │ pätevä verkkotunnus (FQDN). │ │ │ │ Jos siis paikallisen koneen sähköpostiosoite on │ │ jotain@esimerkki.org, tämän arvon oikea arvo on esimerkki.org. │ │ │ │ Postijärjestelmän nimi: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └──────────────────------ ──────────────────────────────┘  

Siivoamme

root @ master: ~ # kykyjen puhdistus ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # aptitude puhdas
root @ master: ~ # aptitude autoclean

Asennamme vaatimukset Samba 4: n ja muut tarvittavat paketit

root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-käyttäjä libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduulit pkg-config \
python-all-dev python-dev python-dnspython python-salaus \
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Kerberos-todennuksen määrittäminen pääkäyttäjä tai käyttäjä selvittämättä, mihin hallinnolliseen Kerberos-toimialueeseen päämies │ │ kuuluu, järjestelmä ottaa oletusalueen │ │.  Oletusaluetta voidaan käyttää myös paikallisella koneella toimivan Kerberos-palvelun m │ -alueena.  │ │ Oletusalue on yleensä paikallisen DNS │ │ -toimialueen isot kirjaimet.  Ber │ │ │ Kerberos-version 5 oletusalue: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌───────────────── authent Authentikoinnin konfigurointi Kerberos ├───────────────┐ │ Syötä Kerberos-palvelinten nimet spaces separated Kerberoksen SWL.FAN-alueeseen välilyönneillä.  │ │ │ │ Kerberos-palvelimet omalle alueellesi: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┌───────────────── authent Authentikoinnin konfigurointi Kerberos ├───────────────┐ │ Syötä järjestelmänvalvojan palvelimen nimi (salasanan vaihto) │ │ Kerberos SWL.FAN -alueelle.   

Yllä oleva prosessi kesti vähän aikaa, koska meillä ei ole vielä DNS-palveluita asennettuna. Valitsit kuitenkin verkkotunnuksen oikein tiedoston asetuksista / Etc / hosts. Muista se tiedostossa / Etc / resolv.conf olemme ilmoittaneet verkkotunnuspalvelimeksi IP 127.0.0.1: lle.

Määritämme nyt / etc / ldap / ldap / conf-tiedoston

root @ master: ~ # nano /etc/ldap/ldap.conf
PERUS dc = swl, dc = tuulettimen URI ldap: //master.swl.fan

Kyselyille, jotka käyttävät komentoa ldapsearch pääkäyttäjältä tehdyt tyypit ovat ldapsearch -x -W cn = xxxx, meidän on luotava tiedosto /root/.ldapsearch jonka sisältö on seuraava:

root @ master: ~ # nano .ldaprc
BINDDN CN = Järjestelmänvalvoja, CN = Käyttäjät, DC = swl, DC = tuuletin

Tiedostojärjestelmän on tuettava ACL - Access Control List

root @ master: ~ # nano / etc / fstab
# / etc / fstab: staattisen tiedostojärjestelmän tiedot. # # Käytä 'blkid' tulosta # laitteen yleisesti yksilöllinen tunniste; tätä voidaan käyttää UUID =: n kanssa vankempana tapana nimetä laitteet #, jotka toimivat, vaikka levyjä lisätään ja poistetaan. Katso fstab (5). # # # / oli päällä / dev / sda1 asennuksen aikana UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, este = 1, noatime, virheet = remount-ro 0 1
# swap oli päällä / dev / sda5 asennuksen aikana UUID = cb73228a-615d-4804-9877-3ec225e3ae32 none swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 user, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # kosketa testaus_acl.txt
root @ master: ~ # setfattr -n user.test -v testi testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# tiedosto: testing_acl.txt user.test = "testi"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# tiedosto: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# tiedosto: testing_acl.txt # omistaja: root # ryhmä: pääkäyttäjä :: rw- ryhmä :: r-- ryhmä: adm: rwx-peite :: rwx muu :: r--

Hankimme Samba 4 -lähteen, käännämme sen ja asennamme sen

On erittäin suositeltavaa ladata version lähdetiedosto Vakaa sivustolta https://www.samba.org/. Esimerkissämme lataamme version samba-4.5.1.tar.gz kohti kansiota /valita.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Määritysvaihtoehdot

Jos haluamme mukauttaa kokoonpanovaihtoehtoja, suoritamme:

root @ master: /opt/samba-4.5.1# ./configure --help

ja valitse erittäin huolellisesti tarvitsemamme. On suositeltavaa tarkistaa, voidaanko ladattu paketti asentaa käyttämäämme Linux-jakeluun, joka on meidän tapauksessamme Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / Määritä tarkista

Konfiguroimme, käännämme ja asennamme samba-4.5.1

  • Alkaen aiemmin asennetuista vaatimuksista ja 8604 tiedostosta (jotka muodostavat kompaktin samba-4.5.1.tar.gz), jotka painavat noin 101.7 megatavua, mukaan lukien noin 3 megatavua painavat source4- ja source61.1-kansiot, saamme korvaavan Microsoft-tyylinen Active Directory, jonka laatu ja vakaus ovat enemmän kuin hyväksyttäviä missä tahansa tuotantoympäristössä. Meidän on korostettava Team Samban työtä Free Software Samba 4: n toimittamisessa.

Alla olevat komennot ovat klassisia komentoja pakettien kääntämiseen ja asentamiseen lähteistään. Meidän on oltava kärsivällisiä koko prosessin ajan. Se on ainoa tapa saada päteviä ja oikeita tuloksia.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd --poistokupit
root @ master: /opt/samba-4.5.1# tehdä
root @ master: /opt/samba-4.5.1# make install

Komentoprosessin aikana tehdä, voimme nähdä, että Samba 3: n ja Samba 4: n lähteet on koottu.Siksi Team Samba vahvistaa, että sen versio 4 on version 3 luonnollinen päivitys, sekä Samba 3 + OpenLDAP-pohjaisille toimialueen ohjaimille että tiedostopalvelimille tai vanhemmille. Samba 4 -versiot.

Samban tarjoaminen

Käytämme DNS: nä SAMBA_INTERNAL. sisään https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End löydämme lisätietoja. Kun he pyytävät meiltä järjestelmänvalvojan käyttäjän salasanaa, meidän on kirjoitettava yksi vähintään 8 merkin pituisista sekä kirjaimilla - isoilla ja pienillä kirjaimilla - ja numeroilla.

Ennen kuin jatkat varausten tekoon ja elämän helpottamiseksi, lisäämme polku tiedostostamme olevista Samba-suoritettavista tiedostoista Bashrc, Sitten suljemme ja kirjaudumme uudelleen sisään.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: bash (1) suorittaa muille kuin sisäänkirjautumattomille kuoreille. # Huomaa: PS1 ja umask on jo asetettu tiedostoon / etc / profile. Sinun ei pitäisi # tarvita tätä, ellet halua eri oletusasetuksia juurelle. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Voit perua seuraavat rivit, jos haluat `` ls '': n värjätä: # export LS_OPTIONS = '- color = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Jotkut muut aliakset virheiden välttämiseksi: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
julista -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # exit logout Yhteys masteriin on suljettu. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-työkalun toimialueiden käyttö --use-rfc2307 --interaktiivinen
Valtakunta [SWL.FAN]: SWL.FAN
 Verkkotunnus [SWL]: SWL
 Palvelimen rooli (dc, jäsen, itsenäinen) [dc]: dc
 DNS-taustajärjestelmä (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 DNS-huolitsijan IP-osoite (kirjoita "ei" edelleenlähetyksen poistamiseksi käytöstä) [192.168.10.5]: 8.8.8.8
Järjestelmänvalvojan salasana: Salasanasi 2017
Kirjoita salasana uudelleen: Salasanasi 2017
IPv4-osoitteiden etsiminen IPv6-osoitteiden etsiminen IPv6-osoitteita ei määritetä. Share.ldb: n asettaminen secrets.ldb: n määrittäminen rekisterin määrittäminen käyttöoikeustietokannan määrittäminen idmap: n määrittäminen db: n asettaminen SAM db: n määrittäminen sam.ldb-osioiden ja asetusten määrittäminen ylös sam.ldb rootDSE Samba 4- ja AD-skeeman esilataus DomainDN: n lisääminen: DC = swl, DC = tuuletin Konfigurointisäiliön lisääminen Sam.ldb-skeeman asettaminen sam.ldb-määritystietojen asettaminen Näytön määrittelijöiden asettaminen Näytön määrittelijöiden muokkaaminen Näytön määrittelijöiden muokkaaminen Käyttäjien kontti Käyttäjäsäilön muokkaaminen Tietokonesäiliön lisääminen Tietokonesäiliön muokkaaminen Sam.ldb-tietojen määrittäminen Tunnettujen tietoturvaperiaatteiden määrittäminen Sam.ldb-käyttäjien ja -ryhmien määrittäminen Itseliittymisen määrittäminen DNS-tilien lisääminen CN = MicrosoftDNS, CN = System, DC = swl, DC = tuuletin DomainDnsZones- ja ForestDnsZones-osioiden luominen DomainDnsZones- ja ForestDnsZones-osioiden täyttäminen Sam.ldb rootDSE -merkintöjen asettaminen synkronoituna Korjaussäännön GUID: tSamba 4: lle sopiva Kerberos-kokoonpano on luotu osoitteessa /usr/local/samba/private/krb5.conf Väärennettyjen yp-palvelinasetusten määrittäminen Kun yllä olevat tiedostot on asennettu, Samba4-palvelimesi on valmis käyttämään Palvelinrooli: aktiivinen hakemistotunnus ohjaimen isäntänimi: master NetBIOS -toimialue: SWL DNS -toimialue: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Älkäämme unohtako kopioida Kerberos-määritystiedostoa provisioinnin:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Komennon kirjoittamatta jättäminen samba-työkalu koko nimesi kanssa luomme symbolisen linkin lyhyeen nimeen työkalu:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Asennamme NTP: n

Olennainen osa Active Directory -ohjelmaa on Network Time Service. Koska todennus tapahtuu Kerberosin ja sen lippujen kautta, ajan synkronointi Samba 4 AD-DC: n kanssa on elintärkeää.

root @ master: ~ # aptitude asenna ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd Statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegenstats file clockstats clock type day enable server 192.168.10.1 rajoitus -4 oletuskoodin notrap-nomodifiointi nopeus noquery-rajoitus -6 oletusarvoinen kood notrap-nomodifiointi nopeus noquery-rajoitus oletusarvoinen mssntp-rajoitus 127.0.0.1-rajoitus :: 1 lähetys 192.168.10.255

root @ master: ~ # service ntp käynnistyy uudelleen
root @ master: ~ # palvelun ntp-tila

root @ master: ~ # tail -f / var / log / syslog

Jos tutkittaessa syslog käyttämällä yllä olevaa komentoa tai käyttämällä journalctl -f saamme viestin:

19. kesäkuuta 12:13:21 mestari ntpd_intres [1498]: vanhempi kuoli ennen kuin me lopetimme, poistumme

palvelu on käynnistettävä uudelleen ja yritettävä uudelleen. Nyt luomme kansion ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
Ls: / usr / local / samba / var / lib / ntp_signd ei ole käytettävissä: Tiedostoa tai hakemistoa ei ole olemassa

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Kuten samba.wiki.org -palvelussa pyydettiin
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. kesäkuuta 12:21 / usr / local / samba / var / lib / ntp_signd

Määritämme Samba-aloituksen käyttämällä systemd: tä

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Palvelu] Tyyppi = haarautuva PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Asenna] WantedBy = multi-user.target

root @ master: ~ # systemctl ota käyttöön samba-ad-dc
root @ master: ~ # uudelleenkäynnistys

root @ master: ~ # systemctl tila samba-ad-dc
root @ master: ~ # systemctl-tila ntp

Samba 4 AD-DC-tiedostojen sijainnit

KAIKKI -miinus vasta luotu samba-ad-dc.service- tiedostot ovat:

root @ master: ~ # ls -l / usr / local / samba /
yhteensä 32 drwxr-sr-x 2 päähenkilöstöä 4096 19. kesäkuuta 11:55 astia
drwxr-sr-x 2 päähenkilöstö 4096 19. kesäkuuta 11:50 jne.
drwxr-sr-x 7 päähenkilöstö 4096 19. kesäkuuta 11:30 sisältää
drwxr-sr-x 15 juurihenkilöstö 4096 19. kesäkuuta 11:33 lib
drwxr-sr-x 7 päähenkilöstö 4096 19. kesäkuuta 12:40 yksityinen
drwxr-sr-x 2 päähenkilöstö 4096 19. kesäkuuta 11:33 sbin
drwxr-sr-x 5 päähenkilöstö 4096 19. kesäkuuta 11:33 osake
drwxr-sr-x 8 päähenkilöstö 4096 19. kesäkuuta 12:28 oli

parhaalla UNIX-tyylillä. On aina suositeltavaa selata eri kansioita ja tutkia niiden sisältöä.

/Usr/local/samba/etc/smb.conf -tiedosto

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Globaalit parametrit [globaali] netbios-nimi = MASTER-alue = SWL.FAN-työryhmä = SWL-dns-huolitsija = 8.8.8.8-palvelinpalvelut = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns-palvelimen rooli = aktiivinen hakemistotunnusohjain sallii dns-päivitykset = suojaa vain idmap_ldb: käytä rfc2307 = kyllä ​​idmap config *: backend = tdb idmap config *: alue = 1000000-1999999 ldap-palvelin vaatii vahvan todennuksen = ei tulostusnimeä = / dev / null [netlogon] polku = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Ei [sysvol] polku = / usr / local / samba / var / lukot / sysvol vain luku = ei

root @ master: ~ # testparm
Lataa smb-määritystiedostot tiedostosta /usr/local/samba/etc/smb.conf Käsittely-osio "[netlogon]" Käsittely-osio "[sysvol]" Ladatut palvelutiedostot OK. Palvelinrooli: ROLE_ACTIVE_DIRECTORY_DC Paina Enter-näppäintä nähdäksesi palvelumääritelmien kaatopaikan. toimialueen ohjain rpc_server: tcpip = ei rpc_daemon: spoolssd = upotettu rpc_server: spoolss = upotettu rpc_server: winreg = upotettu rpc_server: ntsvcs = upotettu rpc_server: eventlog = upotettu palvelin ulkoinen: käytä ulkoisia putkia = true idmap config *: range = 192.168.10.1-1000000 idmap_ldb: use rfc1999999 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = yes vfs objects = dfs_samba2307 acl_xattr [netlogon] polku = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = Ei [sysvol] polku = / usr / local / samba / var / locks / sysvol vain luku = ei

Pienet tarkastukset

root @ master: ~ # työkalun verkkotunnustaso
Toimialue- ja metsätoimintataso verkkotunnukselle 'DC = swl, DC = tuuletin' Metsätoimintotaso: (Windows) 2008 R2 Toimialue-toiminnon taso: (Windows) 2008 R2 Tasavirran alin toimintotaso: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # työkalu dbcheck
Tarkastetaan 262 objektia Tarkastetaan 262 objektia (0 virhettä)

root @ master: ~ # kinit järjestelmänvalvoja
Salasana Järjestelmänvalvoja@SWL.FAN: 
root @ master: ~ # klist -f
Lippujen välimuisti: TIEDOSTO: / tmp / krb5cc_0
Ensisijainen oletus: Järjestelmänvalvoja@SWL.FAN

Voimassa aloitus päättyy Palvelun pää 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    uusitaan 20 klo 06 asti, liput: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Tunnistetietojen välimuistitiedostoa '/ tmp / krb5cc_0' ei löydy

root @ master: ~ # smbclient -L paikallinen isäntä -U%
Verkkotunnus = [SWL] OS = [Windows 6.1] Palvelin = [Samba 4.5.1] Jakonimen tyypin kommentti --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Palvelu (Samba 4.5.1) Verkkotunnus = [SWL] OS = [Windows 6.1] Palvelin = [Samba 4.5.1] Palvelinkommentti --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Anna järjestelmänvalvojan salasana: Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 ma 19. kesäkuuta 11:50:52 2017 .. D 0 ma 19. kesäkuuta 11:51:07 2017 19091584 lohkoa koko 1024. 16198044 lohkoa saatavilla

root @ master: ~ # tool dns serverinfo master -U järjestelmänvalvoja

root @ master: ~ # isäntä -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fanilla on SRV-tietue 0 100 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fanilla on SRV-ennätys 0 100 88 master.swl.fan.

root @ master: ~ # host -t - master.swl.fan
master.swl.fanilla on osoite 192.168.10.5

root @ master: ~ # isäntä -t SOA swl.fan
swl.fanilla on SOA-tietueen master.swl.fan. hostmaster.swl.fan. 1 900 600

root @ master: ~ # host -t NS swl.fan
swl.fan-nimipalvelin master.swl.fan.

root @ master: ~ # isäntä -t MX swl.fan
swl.fanilla ei ole MX-tietuetta

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # työkalun käyttäjäluettelo
Järjestelmänvalvoja krbtgt Guest

root @ master: ~ # työkaluryhmäluettelo
# Tulos on joukko ryhmiä. ;-)

Hallinnoimme äskettäin asennettu Samba 4 AD-DC

Jos haluamme muuttaa järjestelmänvalvojan salasanan vanhentumista päivissä; salasanojen monimutkaisuus; salasanan vähimmäispituus; salasanan vähimmäis- ja enimmäiskesto päivinä; ja vaihda järjestelmänvalvojan salasana, joka on ilmoitettu provisioinnin, meidän on suoritettava seuraavat komennot tarpeidesi mukaiset arvot:

root @ master: ~ # työkalu
Käyttö: samba-työkalu Tärkein samba-hallintatyökalu. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu versiovaihtoehdoista: -V, --version Näytä versionumero Saatavat alikomennot: dbcheck - Tarkista paikallinen AD-tietokanta virheiden varalta. valtuuskunta - edustuston hallinta. dns - Domain Name Service (DNS) -hallinta. domain - toimialueen hallinta. drs - Hakemistoreplikointipalvelujen (DRS) hallinta. dsacl - DS-ACL-manipulointi. fsmo - Joustavat Single Master Operations (FSMO) -roolien hallinta. gpo - ryhmäkäytäntöobjektien (GPO) hallinta. ryhmä - ryhmän johto. ldapcmp - Vertaa kahta ldap-tietokantaa. ntacl - NT ACL-manipulointi. prosessit - Luettele prosessit (helpottamaan virheenkorjausta järjestelmissä, joissa ei ole setproctitlea). rodc - vain luku -toimialueohjaimen (RODC) hallinta. sivustot - Sivustojen hallinta. spn - Palvelun päämiehen (SPN) hallinta. testparm - Syntaksi tarkista määritystiedosto. aika - Hae aika palvelimelta. käyttäjä - käyttäjien hallinta. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool (-h | --apu)

root @ master: ~ # työkalun käyttäjän setexpiry-järjestelmänvalvoja --noexpiry
root @ master: ~ # työkalun toimialueen salasanan asetukset - min-pwd-length = 7
root @ master: ~ # työkalun toimialueen salasanan asetukset - min-pwd-age = 0
root @ master: ~ # työkalun verkkotunnuksen salasanan asetukset --max-pwd-age = 60
root @ master: ~ # työkalun käyttäjän asetussalasana --suodatin = samakirjan nimi = Järjestelmänvalvoja - uusi salasana = Salasana0rD

Lisätään useita DNS-tietueita

root @ master: ~ # työkalu dns
Käyttö: samba-tool dns Verkkotunnuspalvelun (DNS) hallinta. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu käytettävissä olevista alikomennoista: lisää - Lisää DNS-tietueen poisto - Poista DNS-tietokysely - Kysy nimeä. roothints - Kyselyn juurivihjeet. serverinfo - Palvelintietojen kysely. päivitys - Päivitä DNS-tietueiden luomisalue - Luo vyöhyke. zonedelete - Poista vyöhyke. zoneinfo - Kysely vyöhyketiedoista. zonelist - Kysely alueille. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool dns (-h | --apu)

Postipalvelin

root @ master: ~ # tool dns lisää master swl.fan mail A 192.168.10.9 -U -järjestelmänvalvoja
root @ master: ~ # tool dns lisää master swl.fan swl.fan MX "mail.swl.fan 10" -U järjestelmänvalvoja

Kiinteä muiden palvelinten IP-osoite

root @ master: ~ # tool dns lisää master swl.fan sysadmin A 192.168.10.1 -U järjestelmänvalvoja
root @ master: ~ # tool dns lisää master swl.fan -tiedostopalvelin 192.168.10.10 -U järjestelmänvalvoja
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U -järjestelmänvalvoja
root @ master: ~ # tool dns lisää master swl.fan chat A 192.168.10.12 -U -järjestelmänvalvoja

Käänteinen vyöhyke

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U järjestelmänvalvoja
Salasana [SWL \ järjestelmänvalvojalle]: Vyöhyke 10.168.192.in-addr.arpa luotu

root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 5 PTR master.swl.fan. - Ylläpitäjä
root @ master: ~ # tool dns lisää master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. - Ylläpitäjä
root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. - Ylläpitäjä
root @ master: ~ # tool dns lisää päällikkö 10.168.192.in-addr.arpa 10 PTR-tiedostopalvelin.swl.fan. - Ylläpitäjä
root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. - Ylläpitäjä
root @ master: ~ # tool dns lisää isäntä 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. - Ylläpitäjä

Tarkastukset

root @ master: ~ # tool dns query master swl.fan mail ALL -U järjestelmänvalvoja
Salasana [SWL \ järjestelmänvalvojalle]: Nimi =, Tietueet = 1, Lapset = 0 A: 192.168.10.9 (liput = f0, sarja = 2, ttl = 900)

root @ master: ~ # isäntämestari
master.swl.fanilla on osoite 192.168.10.5
root @ master: ~ # isäntä sysadmin
sysadmin.swl.fanilla on osoite 192.168.10.1
root @ master: ~ # isäntäposti
mail.swl.fanilla on osoite 192.168.10.9
root @ master: ~ # isäntäkeskustelu
chat.swl.fanilla on osoite 192.168.10.12
root @ master: ~ # välityspalvelin
proxy.swl.fanilla on osoite 192.168.10.11
root @ master: ~ # isäntätiedostopalvelin
fileserver.swl.fanilla on osoite 192.168.10.10
root @ master: ~ # isäntä 192.168.10.1
1.10.168.192.in-addr.arpa -verkkotunnuksen osoitin sysadmin.swl.fan.
root @ master: ~ # isäntä 192.168.10.5
5.10.168.192.in-addr.arpa -verkkotunnusosoitin master.swl.fan.
root @ master: ~ # isäntä 192.168.10.9
9.10.168.192.in-addr.arpa -verkkotunnuksen osoitin mail.swl.fan.
root @ master: ~ # isäntä 192.168.10.10
10.10.168.192.in-addr.arpa -verkkotunnuksen osoitin fileserver.swl.fan.
root @ master: ~ # isäntä 192.168.10.11
11.10.168.192.in-addr.arpa -verkkotunnuksen osoitin proxy.swl.fan.
root @ master: ~ # isäntä 192.168.10.12
12.10.168.192.in-addr.arpa -verkkotunnuksen osoitin chat.swl.fan.

Uteliaille

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Lisäämme käyttäjiä

root @ master: ~ # työkalun käyttäjä
Käyttö: samba-työkalun käyttäjä Käyttäjien hallinta. Vaihtoehdot: -h, --help näytä tämä ohjeviesti ja poistu käytettävissä olevista alikomennoista: lisää - Luo uusi käyttäjä. luo - Luo uusi käyttäjä. poista - Poista käyttäjä. poista käytöstä - Poista käyttäjä käytöstä. Ota käyttöön - Ota käyttäjä käyttöön. getpassword - Hae käyttäjän / tietokoneen tilin salasanakentät. luettelo - Luettele kaikki käyttäjät. salasana - Vaihda käyttäjätilin salasana (todentamisessa annettu). setexpiry - Aseta käyttäjätilin vanhentuminen. setpassword - Aseta tai nollaa käyttäjätilin salasana. syncpasswords - Synkronoi käyttäjätilien salasana. Saat lisätietoja tietystä alikomennosta kirjoittamalla: samba-tool user (-h | --apu)

root @ master: ~ # työkalun käyttäjä luo harppauksia Trancos01
Käyttäjän 'trancos' luominen onnistui
root @ master: ~ # työkalun käyttäjä luo gandalf Gandalf01
Käyttäjän 'gandalf' luominen onnistui
root @ master: ~ # työkalun käyttäjä luo Legolas Legolas01
Käyttäjän 'legolas' luominen onnistui
root @ master: ~ # työkalun käyttäjäluettelo
Ylläpitäjä gandalf legolas harppuu krbtgt Guest

Hallinto graafisen käyttöliittymän tai web-asiakkaan kautta

Vieraile osoitteessa wiki.samba.org saadaksesi tarkempia tietoja Microsoft RSAT o Etäpalvelimen hallintatyökalut. Jos et vaadi Microsoft Active Directoryn perinteisiä käytäntöjä, voit asentaa paketin ldap-tilinhoitaja joka tarjoaa yksinkertaisen käyttöliittymän hallintaan verkkoselaimen kautta.

Microsoft Remote Server Administration Tools (RSAT) -ohjelmapaketti sisältyy Windows Server -käyttöjärjestelmiin.

Yhdistämme verkkotunnuksen Windows 7 -asiakasohjelmaan nimeltä "seven"

Koska meillä ei ole DHCP-palvelinta verkossa, on ensin määritettävä asiakkaan verkkokortti kiinteällä IP: llä, ilmoitettava, että ensisijainen DNS on samba-ad-dcja tarkista, että vaihtoehto "Rekisteröi tämän yhteyden osoite DNS: ään" on aktivoitu. Ei ole käyttämätöntä tarkistaa, että nimi «seitsemän»Ei ole vielä rekisteröity Samban sisäiseen DNS: ään.

Kun olemme liittäneet tietokoneen verkkotunnukseen ja käynnistäneet sen uudelleen, yritetään kirjautua sisään käyttäjän kanssa «harppauksia«. Tarkistamme, että kaikki toimii kunnolla. On myös suositeltavaa tarkistaa Windows-asiakkaan lokit ja tarkistaa, kuinka aika on oikein synkronoitu.

Järjestelmänvalvojat, joilla on jonkin verran Windows-kokemusta, huomaavat, että kaikki asiakkaan tekemät tarkastukset tuottavat tyydyttäviä tuloksia.

Yhteenveto

Toivon, että artikkeli on hyödyllinen yhteisön lukijoille. DesdeLinux.

Hyvästi!


8 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Gonzalo Martinez dijo

    Pitkä mutta yksityiskohtainen artikkeli, erittäin hyvä askel askeleelta kuinka tehdä kaikki.

    Korostan NIS: ää, totuus on, että vaikka tiedän sen olemassaolosta, en koskaan tiennyt kuinka se toimii, koska rehellisesti sanottuna se antoi minulle aina vaikutelman, että se oli käytännössä kuollut LDAP: n ja Samba 4: n vieressä.

    PS: Onnittelut uudesta henkilökohtaisesta projektistasi! Sääli, ettet jatka kirjoittamista täällä, mutta ainakin on paikka seurata sinua.

  2.   HO2Gi dijo

    Valtava opetusohjelma, kuten aina suosikkini, Greetings Fico.
    Onnittelut projektista.

  3.   IWO dijo

    NIS-osio on hieno, tunnen myötätuntoa Gonzalo Martinezille, tiesin sen lyhyesti, mutta minulla ei ollut aavistustakaan kuinka se toteutetaan ja missä tilanteissa sitä käytetään.
    Kiitos kerran valtavasta teoreettisen ja käytännön artikkelin "rungosta".
    Viimeinkin uudet menestykset uudessa projektissasi «gigainside».

  4.   Federico dijo

    Paljon kiitoksia kaikille kommenteista !!!.
    terveiset

  5.   simpukka dijo

    osoittamallasi smb.conf-tiedostolla ei ole yhteyttä LDAP: hen, onko se tarkoituksella vai jätinkö jotain?

  6.   phico dijo

    mussol: Tämä on Samba 4 Active Directory -toimialueen ohjain, jolla on jo sisäänrakennettu LDAP-palvelin.

  7.   Vincent dijo

    Voisitko kommentoida, kuinka Mac (Apple) yhdistetään samba 4 AD-DC: hen?
    Kiitos.

  8.   jramirez dijo

    Mitä kuuluu;

    Kiitos käyttöoppaasta, se on hieno. Minulla on kysymys minulle ilmestyvästä viestistä.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Annetun isäntänimen / IP: n ratkaiseminen epäonnistui: ad.rjsolucionessac.com. Huomaa, että et voi käyttää '/ mask' JA '1-4,7,100-' -tyyppisiä IP-alueita
    Kelvollista kohdetta ei löydy. Varmista, että määritetyt isännät ovat joko IP-osoitteita vakiomerkinnöissä tai isäntänimiä, jotka voidaan ratkaista DNS: llä
    juuri @ AD: ~ #