PAM, NIS, LDAP, Kerberos, DS agus Samba 4 AD-DC - Líonraí SMB

Innéacs ginearálta na sraithe: Líonraí Ríomhaireachta do FBManna: Réamhrá

Dia duit a chairde agus a chairde!

Leis an alt seo deirim Slán le Pobal FromLinux. Slán le Pobal Speisialta. As seo amach beidh mé i mo thionscadal pearsanta ar féidir leat a bheith ar an eolas faoi http://www.gigainside.com.

Is é príomhchuspóir an phoist «a thairiscintAn Pictiúr Mór»Maidir leis na Seirbhísí Fíordheimhnithe le Bogearraí In Aisce atá ar fáil againn. Ar a laghad is é sin ár rún. Dá bhrí sin beidh sé fada, in ainneoin go bhfuil a fhios againn go bhfuil sé in aghaidh rialacha ginearálta altanna a scríobh. Tá súil againn go bhfuil meas ag na Riarthóirí Córais air.

Ba mhaith linn a chur in iúl gurb é an prótacal coiteann do go leor de na córais fíordheimhnithe nua-aimseartha an LDAP, agus nach bhfuil sé díomhaoin staidéar cúramach a dhéanamh air, ón ábhar staidéir a gheobhaimid ar an láithreán oifigiúil http://www.openldap.org/.

Ní thabharfaimid sainmhínithe mionsonraithe - nó naisc - ar ghnéithe ar déileáladh leo in ailt roimhe seo, nó orthu siúd ar féidir a gcur síos a bheith inrochtana go héasca ar Wikipedia nó ar shuíomhanna nó ailt eile ar an Idirlíon, ionas nach gcaillfidh siad oibiachtúlacht na teachtaireachta a theastaíonn uainn Tabhair. Úsáidfimid meascán bailí d’ainmneacha i mBéarla agus i Spáinnis freisin, mar go measann muid gur rugadh ainmneacha i mBéarla ar fhormhór na gcóras agus tá sé an-tairbheach do Sysadmin iad a chomhshamhlú ina mbunteanga.

  • PAM: Modúl Fíordheimhnithe Breiseán.
  • NIS: Network_Information_Seirbhís.
  • LDAP: Prótacal Rochtana Eolaire Éadroma.
  • Kerberos: Prótacal slándála chun úsáideoirí, ríomhairí agus seirbhísí a fhíordheimhniú go lárnach ar líonra, ag fíorú a ndintiúir i gcoinne iontrálacha atá ann cheana i mbunachar sonraí Kerberos.
  • DS: Freastalaí Eolaire nó Seirbhís Eolaire
  • AD-DC: Eolaire Gníomhach - Controler Fearainn

Innéacs

PAM

Déanaimid sraith bheag a thiomnú don chineál seo fíordheimhnithe áitiúil, a fheicfidh tú i gcleachtas laethúil go n-úsáidtear go forleathan é nuair a cheanglaíonn muid stáisiún oibre le Rialaitheoir Fearainn nó Eolaire Gníomhach; úsáideoirí atá stóráilte i mbunachair sonraí seachtracha LDAP a mhapáil amhail is gur úsáideoirí áitiúla iad; chun úsáideoirí atá stóráilte i Rialaitheoir Fearainn Eolaire Gníomhach a mhapáil amhail is dá mba úsáideoirí áitiúla iad, agus mar sin de.

NIS

De wikipedia:

  • Córas Faisnéise Líonra (ar a dtugtar an t-acrainm NIS, a chiallaíonn sa Spáinnis Córas Faisnéise Líonra), is é ainm prótacal seirbhísí eolaire cliant-freastalaí a d’fhorbair Sun Microsystems chun sonraí cumraíochta a sheoladh i gcórais dáilte mar ainmneacha úsáideoirí agus óstach idir ríomhairí ar líonra.Tá NIS bunaithe ar ONC RPC, agus tá sé comhdhéanta de fhreastalaí, leabharlann taobh le cliaint, agus uirlisí riaracháin éagsúla.

    Tugadh na Leathanaigh Bhuí, nó YP, ar NIS ar dtús, a úsáidtear fós chun tagairt a dhéanamh dó. Ar an drochuair, is trádmharc de chuid British Telecom an t-ainm sin, a d’éiligh ar Sun an t-ainm sin a fhágáil. Is réimír fós é YP in ainmneacha fhormhór na n-orduithe a bhaineann le NIS, mar ypserv agus ypbind.

    Freastalaíonn DNS ar raon teoranta faisnéise, agus an comhfhreagras idir ainm an nód agus an seoladh IP an ceann is tábhachtaí. Maidir le cineálacha eile faisnéise, níl aon seirbhís speisialaithe den sórt sin ann. Ar an láimh eile, mura bhfuil tú ag bainistiú ach LAN beag gan aon nascacht Idirlín, ní cosúil gur fiú DNS a bhunú. Sin é an fáth gur fhorbair Sun an Córas Faisnéise Líonra (NIS). Soláthraíonn NIS cumais chineálacha rochtana ar bhunachar sonraí is féidir a úsáid chun an fhaisnéis atá i gcomhaid pasfhocail agus grúpaí a dháileadh ar gach nóid ar do líonra, mar shampla. Fágann sé sin go bhfuil an córas cosúil le córas aonair, leis na cuntais chéanna ar gach nóid. Ar an gcaoi chéanna, is féidir NIS a úsáid chun faisnéis faoi ainm nód atá in / etc / óstach a dháileadh ar gach meaisín ar an líonra.

    Sa lá atá inniu ann tá NIS ar fáil i mbeagnach gach dáileadh Unix, agus tá fiú cur chun feidhme saor in aisce. D’fhoilsigh BSD Net-2 ceann a fuarthas ó chur chun feidhme tagartha fearann ​​poiblí arna bhronnadh ag Sun. Tá an cód leabharlainne don chuid cliant den leagan seo ann sa libU GNU / Linux le fada an lá, agus chuir Swen Thümmler na cláir riaracháin chuig GNU / Linux. Mar sin féin, tá freastalaí NIS ar iarraidh mar gheall ar chur chun feidhme na tagartha.

    Tá cur chun feidhme nua forbartha ag Peter Eriksson ar a dtugtar NYS. Tacaíonn sé le NIS bunúsach agus leis an leagan feabhsaithe de Sun NIS +. [1] Ní amháin go soláthraíonn NYS roinnt uirlisí NIS agus freastalaí, cuireann sé tacar iomlán nua feidhmeanna leabharlainne leis freisin a chaithfidh tú a thiomsú i do libc más mian leat iad a úsáid. Cuimsíonn sé seo scéim chumraíochta nua le haghaidh réiteach ainm nód a thagann in áit na scéime reatha a úsáideann an comhad "host.conf".

    Cuimsíonn an GNU libc, ar a dtugtar libc6 sa phobal GNU / Linux, leagan nuashonraithe den tacaíocht thraidisiúnta NIS a d’fhorbair Thorsten Kukuk. Tacaíonn sé leis na feidhmeanna leabharlainne go léir a sholáthraíonn NYS, agus úsáideann sé ardscéim chumraíochta NYS freisin. Tá na huirlisí agus an freastalaí fós ag teastáil, ach trí úsáid a bhaint as an GNU libc sábhálfar an obair chun an leabharlann a phaisteáil agus a athmhúnlú

    .

Ainm ríomhaire agus fearainn, comhéadan líonra agus athscríobh

  • Tosaímid ó shuiteáil ghlan - taobh amuigh de chomhéadan grafach- de Debian 8 "Jessie". Ciallaíonn an fearann ​​swl.fan "Lucht leanúna Bogearraí Saor." Cén t-ainm níos fearr ná seo?.
root @ master: ~ # óstainm
máistir
root @ master: ~ # óstainm -f
máistir.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 scóip óstach lo valid_lft go deo is fearr_lft go deo inet6 :: 1/128 óstach óstach valid_lft go deo is fearr_lft go deo 2: eth0: mtu 1500 qdisc pfifo_fast luaigh UP grúpa réamhshocraithe qlen 1000 nasc / éitear 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 raon feidhme domhanda eth0 valid_lft go deo fearr_lft go deo inet6 fe80 :: 20c: 29ff: fe4c: nasc scóip 76d9 / 64 valid_lft go deo is fearr_lft go deo

fréimhe @ máistir: ~ # cat /etc/resolv.conf 
cuardaigh swl.fan nameserver 127.0.0.1

Suiteáil bind9, isc-dhcp-server agus ntp

ceangail9

root @ master: ~ # aptitude install bind9 ceangail9-doc nmap
root @ master: ~ # stádas systemctl bind9

fréimhe @ máistir: ~ # nano /etc/bind/named.conf
cuir san áireamh "/etc/bind/named.conf.options"; cuir san áireamh "/etc/bind/named.conf.local"; áirítear "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
roghanna {eolaire "/ var / cache / bind"; // Má tá balla dóiteáin idir tú féin agus na hainmneacha ainmneacha ar mhaith leat // labhairt leo, b’fhéidir go mbeidh ort an balla dóiteáin a shocrú chun ligean do chalafoirt iolracha // labhairt. Féach http://www.kb.cert.org/vuls/id/800113

        // Má chuir do ISP seoladh IP amháin nó níos mó ar fáil d’ainmneacha cobhsaí //, is dócha gur mhaith leat iad a úsáid mar sheoltóirí. // Déan an bloc seo a leanas a dhíchomhbhrú, agus cuir isteach na seoltaí in ionad // áititheoir na 0-uile. // seoltóirí {// 0.0.0.0; //}; // ============================================= = ==================== $ // Má logálann BIND teachtaireachtaí earráide faoin eochairfhréamh atá in éag, // beidh ort do chuid eochracha a nuashonrú. Féach https://www.isc.org/bind-keys
        // ============================================= = ===================== $ // Nílimid ag iarraidh DNSSEC
        dnssec-chumasú ar bith;
        // uathoibríoch-bhailíochtaithe dnssec; auth-nxdomain uimh; # cloí le RFC1035 éist-ar-v6 {ar bith; }; // Le haghaidh seiceálacha ó localhost agus sysadmin // trí dig swl.fan axfr // Níl Slave DNS againn ... go dtí seo
        cead-aistriú {localhost; 192.168.10.1; };
}; root @ master: ~ # ainmnithe-checkconf

fréamh @ máistir: ~ # nano /etc/bind/zones.rfcFreeBSD
// Spás Seolta Comhroinnte (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCanna 3927, 5735 agus 6303)
crios "254.169.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// Tascanna prótacail IETF (RFCanna 5735 agus 5736)
crios "0.0.192.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// TEST-NET- [1-3] maidir le Doiciméadú (RFCanna 5735, 5737 agus 6303)
crios "2.0.192.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "100.51.198.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "113.0.203.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// IPv6 Raon Samplach do Dhoiciméadú (RFCanna 3849 agus 6303)
crios "8.bd0.1.0.0.2.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// Ainmneacha Fearainn le haghaidh Doiciméadúcháin agus Tástála (BCP 32)
crios "tástáil" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "sampla" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "neamhbhailí" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "example.com" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "example.net" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "example.org" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// Tástáil Tagarmharcála Ródaire (RFCanna 2544 agus 5735)
crios "18.198.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "19.198.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// IANA Forchoimeádta - Spás Sean-Aicme E (RFC 5735)
crios "240.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "241.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "242.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "243.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "244.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "245.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "246.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "247.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "248.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "249.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "250.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "251.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "252.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "253.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "254.in-addr.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// Seoltaí Neamhshainithe IPv6 (RFC 4291)
crios "1.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "3.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "4.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "5.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "6.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "7.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "8.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "9.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "a.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "b.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "c.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "d.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "e.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "0.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "1.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "2.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "3.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "4.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "5.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "6.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "7.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "8.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "9.f.ip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "afip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "bfip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "0.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "1.efip6.arpa" {cineál máistir; comhad "/etc/bind/db.empty"; }; crios "2.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "3.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "4.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "5.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "6.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "7.efip6.arpa" {cineál máistir; comhad "/etc/bind/db.empty"; };

// IPv6 ULA (RFCanna 4193 agus 6303)
crios "cfip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "dfip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// IPv6 Link Local (RFCanna 4291 agus 6303)
crios "8.efip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "9.efip6.arpa" {cineál máistir; comhad "/etc/bind/db.empty"; }; crios "aefip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "befip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

// IPv6 Seoltaí Áitithe Áitiúla-Áitiúla (RFCanna 3879 agus 6303)
crios "cefip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "defip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "eefip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; }; crios "fefip6.arpa" {máistir cineáil; comhad "/etc/bind/db.empty"; };

Ní mholtar // IP6.INT (RFC 4159)
crios "ip6.int" {máistir cineáil; comhad "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // An bhfuil aon chumraíocht áitiúil anseo // // Smaoinigh ar chriosanna 1918 a chur leis anseo, mura n-úsáidtear iad i d’eagraíocht // cuir san áireamh "/etc/bind/zones.rfc1918";
cuir san áireamh "/etc/bind/zones.rfcFreeBSD";

// Dearbhú ainm, cineál, suíomh, agus cead nuashonraithe // de Chriosanna Taifead DNS // Is crios MASTER iad an dá Chrios "swl.fan" {cineál máistir; comhad "/var/lib/bind/db.swl.fan"; }; crios "10.168.192.in-addr.arpa" {máistir cineáil; comhad "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # ainmnithe-checkconf

fréimhe @ máistir: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA. master.swl.fan. root.master.swl.fan. (1; sraitheach 1D; athnuachan 1H; atriail 1W; dul in éag 3H); íosmhéid nó; Am taisce diúltach le maireachtáil; @ IN NS máistir.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Maidir le Lucht leanúna Bogearraí Saor in Aisce"; sysadmin IN A 192.168.10.1 fileserver IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

fréimhe @ máistir: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA. master.swl.fan. root.master.swl.fan. (1; sraitheach 1D; athnuachan 1H; atriail 1W; dul in éag 3H); íosmhéid nó; Am taisce diúltach le maireachtáil; @ IN NS máistir.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 IN PTR máistir.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # ainmnithe-checkzone swl.fan /var/lib/bind/db.swl.fan
crios swl.fan/IN: sraitheach luchtaithe 1 Ceart go leor
root @ master: ~ # ainmnithe-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
crios 10.168.192.in-addr.arpa/IN: sraitheach luchtaithe 1 Ceart go leor

root @ master: ~ # ainmnithe-checkconf -zp
root @ master: ~ # systemctl atosú bind9.service
root @ master: ~ # statusctl status bind9.service

Seiceálacha Bind9

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb host root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
fréimhe @ máistir: ~ # nping --tcp -p 53 -c 3 master.swl.fan
fréamh @ máistir: ~ # nping --udp -p 53 -c 3 master.swl.fan
Ag tosú Nping 0.6.47 ( http://nmap.org/nping ) ag 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: Neamhbhainteach | Avg rtt: N / B Pacáistí amha seolta: 84 (0B) | Rcvd: 0 (3B) | Cailleadh: 100.00 (1%) Nping déanta: 3.01 seoladh IP pinged i XNUMX soicind 

isc-dhcp-server

root @ master: ~ # aptitude install isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Cad iad na comhéadain ar cheart don fhreastalaí DHCP (dhcpd) freastal ar iarratais DHCP? # Comhéadain iolracha ar leithligh le spásanna, eg "eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.private 
Formáid phríobháideach-eochair: v1.3 Algartam: 157 (HMAC_MD5) Eochair: Ba9GVadq4vOCixjPN94dCQ == Giotáin: AAA = Cruthaithe: 20170527133656 Foilsigh: 20170527133656 Gníomhachtaigh: 20170527133656

fréimhe @ máistir: ~ # nano dhcp.key
eochair dhcp-key {
        algartam hmac-md5;
        rúnda "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
cuir san áireamh "/etc/bind/dhcp.key";

crios "swl.fan" {máistir cineáil; comhad "/var/lib/bind/db.swl.fan";
        allow-update {key dhcp-key; };
}; crios "10.168.192.in-addr.arpa" {máistir cineáil; comhad "/var/lib/bind/db.10.168.192.in-addr.arpa";
        allow-update {key dhcp-key; };
};

root @ master: ~ # ainmnithe-checkconf

fréimhe @ máistir: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
fréamh @ máistir: ~ # nano /etc/dhcp/dhcpd.conf
eatramhach ddns-update-style; ddns-nuashonruithe ar; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; neamhaird a dhéanamh ar nuashonruithe na gcliant; nuashonrú-optamaithe bréagach; # D’fhéadfadh sé go mbeadh gá leis ar údarásach Debian; rogha ip-ar aghaidh as; ainm fearainn rogha "swl.fan"; cuir san áireamh "/etc/dhcp/dhcp.key"; crios swl.fan. {bunscoile 127.0.0.1; eochair dhcp-key; } crios 10.168.192.in-addr.arpa. {bunscoile 127.0.0.1; eochair dhcp-key; } comhroinnt líonra roinnte {subnet 192.168.10.0 netmask 255.255.255.0 {ródairí rogha 192.168.10.1; subnet-masc rogha 255.255.255.0; seoladh craolta rogha 192.168.10.255; rogha fearann-ainm-freastalaithe 192.168.10.5; rogha netbios-ainm-freastalaithe 192.168.10.5; rogha ntp-freastalaithe 192.168.10.5; freastalaithe ama rogha 192.168.10.5; raon 192.168.10.30 192.168.10.250; }}

fréimhe @ máistir: ~ # dhcpd -t
Cuibhreannas Córais Idirlín Freastalaí DHCP 4.3.1 Cóipcheart 2004-2014 Cuibhreannas Córais Idirlín. Gach ceart ar cosaint. Le haghaidh faisnéise, tabhair cuairt ar https://www.isc.org/software/dhcp/
Comhad cumraíochta: /etc/dhcp/dhcpd.conf Comhad bunachar sonraí: /var/lib/dhcp/dhcpd.leases Comhad PID: /var/run/dhcpd.pid

root @ master: ~ # systemctl atosú bind9.service 
root @ master: ~ # statusctl status bind9.service 

root @ master: ~ # systemctl tús isc-dhcp-server.service
root @ master: ~ # stádas systemctl isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
fréimhe @ máistir: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
fréimhe @ máistir: ~ # nano /etc/ntp.conf
staitisticí driftfile /var/lib/ntp/ntp.drift loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 srian -4 default kod notrap nomodify nopeer noquery srian -6 réamhshocraithe kod notrap nomodify nopeer noquery srian 127.0.0.1 srian :: 1 craoladh 192.168.10.255

root @ master: ~ # systemctl atosú ntp.service 
root @ master: ~ # stádas systemctl ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 Bealtaine 10:04:01 ntpdate [18769]: déan an freastalaí ama 192.168.10.1 a fhritháireamh 0.369354 soic

Seiceálacha domhanda le haghaidh ntp, bind9, agus isc-dhcp-server

Ó chliant Linux, BSD, Mac OS, nó Windows seiceáil go bhfuil an t-am sioncronaithe i gceart. Go bhfaigheann sé seoladh IP dinimiciúil agus go réitítear ainm an ósta sin trí cheisteanna DNS díreacha agus droim ar ais. Athraigh ainm an chustaiméara agus déan na seiceálacha go léir arís. Ná téigh ar aghaidh go dtí go mbeidh tú cinnte go bhfuil na seirbhísí atá suiteáilte go dtí seo ag obair i gceart. Scríobh muid na hailt go léir faoi DNS agus DHCP i rud éigin Líonraí Ríomhaireachta do FBManna.

Suiteáil Freastalaí NIS

root @ master: ~ # seó inniúlachta anois
Coimhlintí le: netstd (<= 1.26) Cur síos: cliaint agus deamhan don tSeirbhís Faisnéise Líonra (NIS) Soláthraíonn an pacáiste seo uirlisí chun fearann ​​NIS a bhunú agus a chothabháil. Úsáidtear NIS, ar a dtugtaí Yellow Pages (YP) ar dtús, den chuid is mó chun ligean do roinnt meaisíní i líonra an fhaisnéis chuntais chéanna a roinnt, mar an comhad pasfhocal.

root @ master: ~ # aptitude install nis
Cumraíocht Pacáiste ┌─────────────────────────── Cumraíocht Nis ├─────────────────── ────────┐ │ Roghnaigh “ainm fearainn” an NIS don chóras seo. Más mian leat │ │ nach bhfuil sa mheaisín seo ach cliant, ba cheart duit ainm an fhearainn │ │ NIS a theastaíonn uait a iontráil a iontráil. │ │ │ │ Nó, má tá an meaisín seo le bheith ina fhreastalaí NIS, is féidir leat │ │ "ainm fearainn" NIS nua nó ainm fearainn NIS existing existing atá ann cheana a iontráil. │ │ │ │ Fearann ​​NIS: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ──────────────────────────────┘  

Cuirfidh sé moill ar do cheann toisc nach bhfuil an chumraíocht seirbhíse ann. Fan go gcríochnóidh an próiseas le do thoil.

root @ master: ~ # nano / etc / default / nis
# An freastalaí NIS muid agus más ea cén cineál (luachanna: bréagach, sclábhaí, máistir)?
NISSERVER = máistir

root @ master: ~ # nano /etc/ypserv.securenets # securenets Sainmhíníonn an comhad seo na cearta rochtana ar do fhreastalaí NIS # do chliaint NIS (agus freastalaithe sclábhaithe - úsáideann ypxfrd an # comhad seo freisin). Tá péirí netmask / líonra sa chomhad seo. # Ní mór do sheoladh IP cliant a bheith comhoiriúnach le # ceann amháin ar a laghad díobh sin. # # Is féidir an focal "óstach" a úsáid in ionad netmask de # 255.255.255.255. Ní cheadaítear ach seoltaí IP sa # chomhad seo, ní óstainmneacha. # # Lig rochtain i gcónaí do localhost 255.0.0.0 127.0.0.0 # Tugann an líne seo rochtain do gach duine. DO THOIL LE DO THOIL! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Ar cheart dúinn an comhad pasfhocail a chumasc leis an scáthchomhad? # MERGE_PASSWD = fíor | bréagach
MERGE_PASSWD = fíor

# Ar cheart dúinn an comhad grúpa a chumasc leis an gcomhad gshadow? # MERGE_GROUP = fíor | bréagach
MERGE_GROUP = fíor

Tógann muid bunachar sonraí NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
Ag an bpointe seo, ní mór dúinn liosta a thógáil de na hóstach a rithfidh freastalaithe NIS. Tá master.swl.fan ar liosta na n-óstach freastalaí NIS. Lean ort ag cur ainmneacha na n-óstach eile, ceann in aghaidh an líne. Nuair a dhéantar tú leis an liosta, clóscríobh a . an chéad óstach eile le cur: master.swl.fan an chéad óstach eile le cur leis: Is cosúil le liosta reatha na bhfreastalaithe NIS: master.swl.fan An bhfuil sé seo ceart? [y / n: y] Teastaíonn cúpla nóiméad uainn chun na bunachair sonraí a thógáil ... déan [1]: Eolaire fágála '/var/yp/swl.fan' tá master.swl.fan curtha ar bun mar mháistirfhreastalaí NIS . Anois is féidir leat ypinit -s master.swl.fan a reáchtáil ar gach freastalaí sclábhaí.

root @ master: ~ # systemctl atosú anois
root @ master: ~ # stádas systemctl anois

Cuirimid úsáideoirí áitiúla leis

root @ master: ~ # adduser bilbo
Ag cur an úsáideora `bilbo 'leis ... An grúpa nua` bilbo' (1001) a chur leis ... An t-úsáideoir nua` bilbo '(1001) a chur leis an ngrúpa` bilbo' ... Ag cruthú an eolaire baile `/ home / bilbo ' ... Cóipeáil na comhaid ó `/ etc / skel '... Iontráil pasfhocal nua UNIX: Athscríobh an focal faire UNIX nua: pasfhocal: pasfhocal nuashonraithe i gceart Ag athrú na faisnéise úsáideora do bilbo Cuir isteach an luach nua, nó brúigh ENTER chun an réamhshocraithe Ainm Iomlán []: Bilbo Bagins Uimhir Seomra []: Fón Oibre []: Fón Baile []: Eile []: An bhfuil an fhaisnéis ceart? [Y / n]

root @ master: ~ # adduser strides root @ master: ~ # adduser legolas

agus mar sin de.

root @ master: ~ # legolas finger
Logáil Isteach: legolas Ainm: Legolas Archer Directory: / home / legolas Shell: / bin / bash Ná logáil isteach riamh. Gan aon phost. Gan Plean.

Déanaimid bunachar sonraí NIS a nuashonrú

root @ master: / var / yp # déan
déan [1]: Eolaire a iontráil '/var/yp/swl.fan' Passwd.byname a nuashonrú ... Passwd.byuid a nuashonrú ... Group.byname a nuashonrú ... Group.bygid a nuashonrú ... netid.byname a nuashonrú. .. Ag nuashonrú scáth.byname ... Neamhaird -> arna chumasc le paswd déan [1]: Eolaire ag fágáil '/var/yp/swl.fan'

Cuirimid roghanna NIS leis an bhfreastalaí isc-dhcp

fréamh @ máistir: ~ # nano /etc/dhcp/dhcpd.conf
eatramhach ddns-update-style; ddns-nuashonruithe ar; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; neamhaird a dhéanamh ar nuashonruithe na gcliant; nuashonrú-optamaithe bréagach; údarásach; rogha ip-ar aghaidh as; ainm fearainn rogha "swl.fan"; cuir san áireamh "/etc/dhcp/dhcp.key"; crios swl.fan. {bunscoile 127.0.0.1; eochair dhcp-key; } crios 10.168.192.in-addr.arpa. {bunscoile 127.0.0.1; eochair dhcp-key; } athléamh líonra roinnte {subnet 192.168.10.0 netmask 255.255.255.0 {ródairí rogha 192.168.10.1; subnet-masc rogha 255.255.255.0; seoladh craolta rogha 192.168.10.255; rogha fearann-ainm-freastalaithe 192.168.10.5; rogha netbios-ainm-freastalaithe 192.168.10.5; rogha ntp-freastalaithe 192.168.10.5; freastalaithe ama rogha 192.168.10.5;
                rogha nis-fearann ​​"swl.fan";
                rogha nis-freastalaithe 192.168.10.5;
                raon 192.168.10.30 192.168.10.250; }}

fréimhe @ máistir: ~ # dhcpd -t
root @ master: ~ # systemctl atosú isc-dhcp-server.service

Suiteáil Cliant NIS

  • Tosaímid ó shuiteáil ghlan - taobh amuigh de chomhéadan grafach- de Debian 8 "Jessie".
root @ mail: ~ # óstainm -f
mail.swl.fan

root @ mail: ~ # ip addr
2: eth0: mtu 1500 qdisc pfifo_fast luaigh UP grúpa réamhshocraithe qlen 1000 nasc / éitear 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 raon feidhme eth0 domhanda

root @ mail: ~ # inniúlacht suiteáil anois
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Comhad cumraíochta don phróiseas ypbind. Is féidir leat freastalaithe # NIS a shainiú de láimh anseo mura féidir iad a fháil trí # chraoladh ar an líontán áitiúil (arb é an réamhshocrú é). # # Féach leathanach láimhe ypbind le haghaidh chomhréir an chomhaid seo. # # TÁBHACHTACH: Maidir leis an "ypserver", bain úsáid as seoltaí IP, nó déan cinnte go bhfuil # an t-óstach i / etc / hóstach. Ní dhéantar an comhad seo a léirmhíniú ach # uair amháin, agus mura féidir DNS a rochtain fós ní féidir # an ypserver a réiteach agus ní cheanglóidh ypbind leis an bhfreastalaí riamh. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Cumraíocht shamplach d'fheidhmiúlacht Athraigh Seirbhíse Ainm GNU. # Má tá na pacáistí `glibc-doc-reference 'agus` info' suiteáilte agat, bain triail as: #` info libc "Name Service Switch" 'chun faisnéis a fháil faoin gcomhad seo. passwd: compat nis group: compat nis shadow: compat nis gshadow: hóstach comhaid: líonraí dns nis líonraí: prótacail comhaid: seirbhísí comhaid db: éitear comhaid db: comhaid db rpc: comhaid db netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) le haghaidh sonraí.
seisiún roghnach pam_mkhomedir.so skel = / etc / skel umask = 077
# seo na modúil in aghaidh an phacáiste (an bloc "Bunscoile")

root @ mail: ~ # stádas systemctl anois
root @ mail: ~ # systemctl atosú anois

Dúnann muid an seisiún agus cuirimid tús leis arís ach le húsáideoir cláraithe i mbunachar sonraí NIS ag máistir.swl.fan.

root @ mail: ~ # scoir
logout Ceangal leis an bpost dúnta.

buzz @ sysadmin: ~ $ ssh legolas @ mail
pasfhocal legolas @ mail: Eolaire a chruthú '/ home / legolas'. Is bogearraí saor in aisce iad na cláir atá san áireamh le córas Debian GNU / Linux; déantar cur síos ar na téarmaí dáilte beachta do gach clár sna comhaid aonair i / usr / share / doc / * / cóipcheart. Tagann Debian GNU / Linux le BARÁNTAS NÍL BARÁNTAS, a mhéid a cheadaítear leis an dlí is infheidhme.
legolas @ mail: ~ $ pwd
/ baile / legolas
legolas @ mail: ~ $ 

Athraímid pasfhocal an úsáideora legolas agus seiceáil

legolas @ mail: ~ $ yppasswd 
Faisnéis chuntais NIS a athrú le haghaidh legolas ar master.swl.fan. Iontráil seanfhocal faire: legolas Athraigh pasfhocal NIS do legolas ar master.swl.fan. Iontráil pasfhocal nua: saighdeoir Caithfidh litreacha uachtair agus litreacha beaga nó neamhlitreacha a bheith sa phasfhocal. Iontráil pasfhocal nua: Arquero2017 Athsheiceáil pasfhocal nua le do thoil: Arquero2017 Athraíodh pasfhocal NIS ar master.swl.fan.

legolas @ mail: ~ $ scoir
logout Ceangal leis an bpost dúnta.

buzz @ sysadmin: ~ $ ssh legolas @ mail
pasfhocal legolas @ mail: Arquero2017

Is bogearraí saor in aisce iad na cláir atá san áireamh le córas Debian GNU / Linux; déantar cur síos ar na téarmaí dáilte beachta do gach clár sna comhaid aonair i / usr / share / doc / * / cóipcheart. Tagann Debian GNU / Linux le BARÁNTAS NÍL BARÁNTAS, a mhéid a cheadaítear leis an dlí is infheidhme. Logáil isteach deireanach: Sat 27 Bealtaine 12:51:50 2017 ó sysadmin.swl.fan
legolas @ mail: ~ $

Oibríonn an tSeirbhís NIS a chuirtear i bhfeidhm ar leibhéal an fhreastalaí agus na gcliant i gceart.

LDAP

Ó Wikipedia:

  • Is é LDAP an t-acrainm do Phrótacal Rochtana Eolaire Éadroma (i bPrótacal Rochtana Eolaire Éadroma / Simplithe) a thagraíonn do phrótacal leibhéal feidhmchláir a cheadaíonn rochtain ar sheirbhís eolaire ordaithe agus dáilte chun faisnéis éagsúil a chuardach i líonra comhshaoil. Meastar gur bunachar sonraí é LDAP freisin (cé go bhféadfadh a chóras stórála a bheith difriúil) ar féidir a cheistiú.Is éard atá in eolaire tacar rudaí le tréithe eagraithe ar bhealach loighciúil agus ordlathach. Is é an sampla is coitianta ná an t-eolaire teileafóin, atá comhdhéanta de shraith ainmneacha (daoine nó eagraíochtaí) atá eagraithe in ord aibítre, le seoladh agus uimhir teileafóin ceangailte le gach ainm. Chun é a thuiscint níos fearr, is leabhar nó fillteán é, ina scríobhtar ainmneacha, uimhreacha teileafóin agus seoltaí daoine, agus eagraítear é in ord aibítre.

    Uaireanta léiríonn crann eolaire LDAP teorainneacha polaitiúla, geografacha nó eagrúcháin éagsúla, ag brath ar an tsamhail a roghnaítear. Is gnách go n-úsáideann imscaradh reatha LDAP ainmneacha an Chórais Ainm Fearainn (DNS) chun leibhéil níos airde an ordlathais a struchtúrú. Agus tú ag scrollú síos an eolaire, d’fhéadfadh go mbeadh iontrálacha le feiceáil a léiríonn daoine, aonaid eagrúcháin, printéirí, cáipéisí, grúpaí daoine, nó aon rud a léiríonn iontráil ar leith sa chrann (nó iliomad iontrálacha).

    De ghnáth, stórálann sé an fhaisnéis fíordheimhnithe (ainm úsáideora agus pasfhocal) agus úsáidtear í chun fíordheimhniú a dhéanamh, cé gur féidir faisnéis eile a stóráil (sonraí teagmhála úsáideora, suíomh acmhainní líonra éagsúla, ceadanna, teastais, srl.). Go hachomair, is prótacal rochtana aontaithe é LDAP ar shraith faisnéise ar líonra.

    Is é an leagan reatha LDAPv3, agus tá sé sainithe i RFCanna RFC 2251 agus RFC 2256 (buncháipéis LDAP), RFC 2829 (modh fíordheimhnithe do LDAP), RFC 2830 (síneadh do TLS), agus RFC 3377 (sonraíocht theicniúil)

    .

Le fada, is é prótacal LDAP - agus a bhunachair sonraí atá comhoiriúnach nó nach bhfuil le OpenLDAP - an ceann is mó a úsáidtear i bhformhór na gcóras fíordheimhnithe inniu. Mar shampla den ráiteas roimhe seo, tugaimid thíos roinnt ainmneacha córais - Saor nó Príobháideach- a úsáideann bunachair sonraí LDAP mar iar-deireadh chun a gcuid rudaí go léir a stóráil:

  • OpenLDAP
  • Freastalaí Eolaire Apache
  • Freastalaí Eolaire Red Hat - 389 DS
  • Seirbhísí Eolaire Novell - eDirectory
  • SUN Microsystem Open DS
  • Bainisteoir Aitheantais Red Hat
  • FreeIPA
  • Rialaitheoir Fearainn Clasaiceach Samba NT4.
    Ba mhaith linn a shoiléiriú gur forbairt de chuid Fhoireann Samba a bhí sa chóras seo le Samba 3.xxx + OpenLDAP mar Inneall. Níor chuir Microsoft aon rud cosúil leis i bhfeidhm riamh. Léim ó Rialaitheoirí Fearainn NT 4 chuig a dTreoracha Gníomhacha
  • Eolaire Gníomhach Samba 4 - Controler Fearainn
  • ClearOS
  • Zentyal
  • Freastalaí Corparáideach Uninvention UCS
  • Eolaire Gníomhach Microsoft

Tá a saintréithe féin ag gach cur chun feidhme, agus is é an caighdeán is comhoiriúnach agus is comhoiriúnach OpenLDAP.

Is éard atá san Eolaire Gníomhach, bíodh sé an ceann bunaidh ó Microsoft nó an ceann ó Samba 4, aontas de roinnt príomhchodanna atá:

Ní mór dúinn gan mearbhall a Seirbhís Eolaire o Seirbhís Eolaire le Eolaire Gníomhach o Eolaire Gníomhach. Féadfaidh an chéad cheann acu fíordheimhniú Kerberos a óstáil, ach ní thairgeann siad an tseirbhís Líonra Microsoft a sholáthraíonn Fearann ​​Windows, ná níl Rialaitheoir Fearainn Windows acu mar sin.

Is féidir Seirbhís Eolaire nó Seirbhís Eolaire a úsáid chun úsáideoirí a fhíordheimhniú i líonra measctha le cliaint UNIX / Linux agus Windows. Maidir leis an dara ceann, caithfear clár a shuiteáil ar gach cliant a fheidhmíonn mar idirghabhálaí idir an tSeirbhís Eolaire agus an cliant Windows féin, mar shampla Bogearraí Saor. leathanach.

Seirbhís Eolaire le OpenLDAP

  • Tosaímid ó shuiteáil ghlan - taobh amuigh de chomhéadan grafach- de Debian 8 "Jessie", leis an ainm meaisín "máistir" céanna a úsáidtear le haghaidh suiteáil NIS, chomh maith le cumraíocht a chomhéadain líonra agus an chomhaid /etc/resolv.conf. Leis an bhfreastalaí nua seo suiteálaimid an ntp, bind9 agus isc-dhcp-server, gan dearmad a dhéanamh ar na seiceálacha domhanda ar oibriú ceart na dtrí sheirbhís roimhe seo.
root @ master: ~ # aptitude install slapd ldap-utils

Cumraíocht an phacáiste

┌─────────────────────┤ Cumraíocht Slapd │──────────────────────┐ │ Iontráil an focal faire le haghaidh iontráil riarthóra do eolaire LDAP │ │. Password │ │ password Pasfhocal an riarthóra: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ──────────────────────┘

Seiceálaimid an chumraíocht tosaigh

fréimhe @ máistir: ~ # slapcat
dn: dc = swl, dc = fan
objectClass: top objectClass: dcObject objectClass: eagraíocht o: swl.fan dc: swl structureObjectClass: eagraíocht entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = iontráil lucht leanúna createTimestamp20170531205219: 20170531205219.833955 : 000000ZN000 iontráil Z # 000000 # 20170531205219 # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

dn: cn = admin, dc = swl, dc = fan
objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin Cur síos: riarthóir LDAP userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e-da8fe1036e-entrySw8d-2-dm71c-022-entrySw16904e-da20170531205219fe-20170531205219.834422-iontráil-000000-fancimes-c000emp000000a20170531205219-entrySwXNUMX -cXNUMXempXNUMXeXNUMXpmTmlYOVhKSUXNUMX-entry-XNUMXc-XNUMX-f-XNUMX-entry-XNUMX-c-XNUMX-fcf-XNUMX-entry-XNUMX-cXNUMX-daXNUMXfe-XNUMX-entry-XNUMX-fancimes-entry-XNUMX-entry-ufr-ole -entry: XNUMXZ # XNUMX # XNUMX # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

Mionathraímid an comhad /etc/ldap/ldap.conf

fréimhe @ máistir: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI    ldap: // localhost

Aonaid Eagrúcháin agus «úsáideoirí» grúpa ginearálta

Cuirimid na hAonaid Eagraíochta íosta riachtanacha leis, chomh maith leis an «úsáideoirí» grúpa Posix a gcuirfimid gach úsáideoir ina mbaill díobh, ag leanúint an tsampla de go leor córais a bhfuil an grúpa «acuÚsáideoirí«. Ainmnímid é le hainm «úsáideoirí» ionas nach mbeidh coinbhleachtaí féideartha ann leis an ngrúpa «faoi ​​úsáideoir"den chóras.

fréimhe @ máistir: ~ # nano base.ldif
dn: ou = daoine, dc = swl, dc = fan objectClass: organisationUnit ou: daoine dn: ou = grúpaí, dc = swl, dc = fan objectClass: organisationUnit ou: grúpaí dn: ​​cn = úsáideoirí, ou = grúpaí, dc = swl, dc = fan objectClass: posixGroup cn: úsáideoirí gidNumber: 10000

fréamh @ máistir: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Iontráil Pasfhocal LDAP: iontráil nua a chur leis "ou = people, dc = swl, dc = fan" ag cur iontráil nua "ou = groups, dc = swl, dc = fan"

Seiceálaimid na hiontrálacha breise

root @ master: ~ # ldapsearch -x ou = daoine
# daoine, swl.fan dn: ou = daoine, dc = swl, dc = fan objectClass: eagrúcháinUnit ou: daoine

root @ master: ~ # ldapsearch -x ou = grúpaí
# grúpaí, swl.fan dn: ou = grúpaí, dc = swl, dc = fan objectClass: eagrúcháinUnit ou: grúpaí

root @ master: ~ # ldapsearch -x cn = úsáideoirí
# úsáideoirí, grúpaí, swl.fan dn: cn = úsáideoirí, ou = grúpaí, dc = swl, dc = fan objectClass: posixGroup cn: úsáideoirí gidNumber: 10000

Cuirimid roinnt úsáideoirí leis

Caithfear an focal faire a chaithfimid a dhearbhú sa LDAP a fháil tríd an ordú slappasswd, a chuireann pasfhocal SSHA criptithe ar ais.

Is é atá i gceist le pasfhocal don úsáideoir:

root @ master: ~ # slappasswd 
Pasfhocal nua: Iontráil pasfhocal nua: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Pasfhocal le haghaidh legolas úsáideora

root @ master: ~ # slappasswd 
Pasfhocal nua: Iontráil pasfhocal nua: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Pasfhocal don gandalf úsáideora

root @ master: ~ # slappasswd 
Pasfhocal nua: Iontráil pasfhocal nua: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = dul chun cinn, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: dul chun cinn cn: dul chun cinn tugthaName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 post: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer userPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 post: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: An Draoi userPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 post: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash homeDirectory: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
Iontráil Pasfhocal LDAP: iontráil nua a chur leis "uid = dul chun cinn, ou = daoine, dc = swl, dc = fan" ag cur iontráil nua leis "uid = legolas, ou = daoine, dc = swl, dc = fan" ag cur iontráil nua "uid = gandalf, ou = daoine, dc = swl, dc = fan "

Seiceálaimid na hiontrálacha breise

root @ master: ~ # ldapsearch -x cn = dul chun cinn
root @ master: ~ # ldapsearch -x uid = dul chun cinn

Bainistímid an bunachar sonraí slpad le fóntais consól

Roghnaimid an pacáiste ldapscripts le haghaidh tasc den sórt sin. Seo a leanas an nós imeachta suiteála agus cumraíochta:

root @ master: ~ # aptitude install ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = groups' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Ríomhairí' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # Orduithe cliant OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEB / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixPLG . /ldapadduser.template "PASSWORDGEN =" macalla% u "

Tabhair faoi deara go n-úsáideann na scripteanna orduithe an phacáiste ldap-utils. Rith dpkg -L ldap-utils | grep / araid a fháil amach cad iad.

root @ master: ~ # sh -c "macalla -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: givenName: sn: ainm taispeána: uidNumber: gidNumber: 10000 homeDirectory: logáil isteachShell: post: geckos @ swl.fan: tuairisc: Cuntas Úsáideora
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## bainimid an trácht UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Cuirimid an t-úsáideoir "bilbo" leis agus déanaimid ball den ghrúpa "úsáideoirí" de

root @ master: ~ # úsáideoirí bilbo ldapadduser
[dn: uid = bilbo, ou = daoine, dc = swl, dc = fan] Iontráil luach do "givenName": Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Iontráil luach do " sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Iontráil luach do" displayName ": Bilbo Bagins Chuir bilbo úsáideora go rathúil le LDAP Socraigh pasfhocal don úsáideoir bilbo go rathúil

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, daoine, swl.fan dn: uid = bilbo, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: tuairisc bilbo: Cuntas Úsáideora

Chun hash pasfhocal an úsáideora bilbo a fheiceáil, is gá an cheist a dhéanamh le fíordheimhniú:

fréimhe @ máistir: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Chun an t-úsáideoir bilbo a scriosadh déanaimid forghníomhú:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = daoine, dc = swl, dc = fan
Iontráil Pasfhocal LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

Bainistímid an bunachar slapd trí chomhéadan gréasáin

Tá Seirbhís Eolaire feidhmiúil againn, agus ba mhaith linn í a bhainistiú níos éasca. Tá go leor clár deartha don tasc seo, mar shampla an phpldapadmin, bainisteoir cuntas ldap, srl., atá ar fáil go díreach ó na stórtha. Is féidir linn Seirbhís Eolaire a bhainistiú tríd an Stiúideo Eolaire Apache, nach mór dúinn a íoslódáil ón Idirlíon.

Le haghaidh tuilleadh faisnéise, tabhair cuairt ar https://blog.desdelinux.net/ldap-introduccion/, agus na 6 alt seo a leanas.

Cliant LDAP

Céim:

Abair go bhfuil an fhoireann againn mail.swl.fan mar fhreastalaí ríomhphoist curtha i bhfeidhm mar a chonaiceamar san alt Postfix + Dovecot + Squirrelmail agus úsáideoirí áitiúla, cé gur forbraíodh é ar CentOS, d’fhéadfadh sé a bheith mar threoir do Debian agus do go leor distros Linux eile. Ba mhaith linn, i dteannta na n-úsáideoirí áitiúla a dhearbhaíomar cheana, na húsáideoirí atá stóráilte i mbunachar sonraí OpenLDAP atá ann cheana máistir.swl.fan. Chun an méid thuas a bhaint amach ní mór dúinn «léarscáil amach»D'úsáideoirí LDAP mar úsáideoirí áitiúla ar an bhfreastalaí mail.swl.fan. Tá an réiteach seo bailí freisin d'aon seirbhís atá bunaithe ar fhíordheimhniú PAM. An nós imeachta ginearálta maidir le Debian, seo a leanas:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌─────────────────────┤ Cumraíocht na libnss-ldap ├──────────────────────┐ │ Iontráil URI (“Aitheantóir Acmhainne Comhionanna”, nó │ ifier Aitheantóir Acmhainne Comhionanna) an fhreastalaí LDAP. Tá an sreangán seo cosúil le │ │ «ldap: //: / ». Is féidir leat │ │ a úsáid freisin «ldaps: // » nó "ldapi: //". Tá uimhir an chalafoirt roghnach. │ │ │ │ Moltar seoladh IP a úsáid chun teip a sheachaint nuair nach bhfuil seirbhísí ainm fearainn │ │ ar fáil. │ │ │ │ Freastalaí LDAP URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ────────────────────────────┘ ┘────────────────────── ┤ Cumraíocht na libnss-ldap ├───────────────────────┐ │ Iontráil ainm oirirce (DN) bhonn cuardaigh LDAP. │ │ Úsáideann go leor suíomhanna comhpháirteanna ainm fearainn chun na críche │ │ seo. Mar shampla, d’úsáidfeadh an fearann ​​"example.net" │ │ "dc = example, dc = net" mar ainm oirirce an bhoinn chuardaigh. │ │ │ │ Ainm oirirce (DN) an bhoinn chuardaigh: │ │ │ │ dc = swl, dc = fan ____________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libnss-ldap ├─────────────────────── ┐ Iontráil an leagan den phrótacal LDAP ba cheart do ldapns a úsáid. Moltar │ │ an uimhir leagain is airde atá ar fáil a úsáid. Version │ │ │ Leagan LDAP le húsáid: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libnss-ldap ├───────────────────────┐ │ Roghnaigh cén cuntas a úsáidfear le haghaidh fiosruithe nss le pribhléidí │ │. │ │ │ │ Nóta: Chun go n-oibreoidh an rogha seo, teastaíonn ceadanna ón gcuntas │ │ a bheith in ann rochtain a fháil ar na tréithe LDAP a bhfuil baint acu le hiontrálacha “scáth” úsáideora │ │ chomh maith le pasfhocail na n-úsáideoirí agus │ │ grúpaí . Account │ │ │ LDAP cuntas ar fhréamh: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libnss-ldap ├──────────────────────┐ │ Iontráil an focal faire atá le húsáid nuair a dhéanann libnss-ldap iarracht │ │ a fhíordheimhniú don eolaire LDAP leis an gcuntas fréimhe LDAP. │ │ │ │ Sábhálfar an focal faire i gcomhad ar leithligh │ │ ("/etc/libnss-ldap.secret") nach féidir ach fréamh a rochtain. │ │ │ │ Má iontrálann tú pasfhocal folamh, athúsáidfear an seanfhocal faire. │ │ │ │ Pasfhocal don bhunchuntas LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─┤ Cumraíocht na libnss-ldap Ní bhainistítear automatically──────────────────────│ ┐ │ ss nsswitch.conf go huathoibríoch │ │ │ │ Caithfidh tú do chomhad a mhodhnú "/etc/nsswitch.conf "tacar sonraí LDAP a úsáid más mian leat go n-oibreodh an pacáiste libnss-ldap. │ │ Is féidir leat an comhad samplach │ │ a úsáid i "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" mar shampla den chumraíocht nsswitch nó │ │ is féidir leat é a chóipeáil thar do chumraíocht reatha. │ │ │ │ Tabhair faoi deara go bhféadfadh sé a bheith áisiúil na hiontrálacha "ldap" a bhaint den chomhad nsswitch.conf sula mbainfear an pacáiste seo amach ionas go leanfaidh na seirbhísí bunúsacha │ │ ag obair. │ │ │ │ │ │ │ └──────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libpam-ldap ├───────────────────────┐ ┐ │ │ Ligeann an rogha seo d’uirlisí pasfhocail a úsáideann PAM pasfhocail áitiúla a athrú. │ │ │ │ Stórálfar an focal faire do chuntas riarthóra LDAP i gcomhad │ separate ar leithligh nach féidir leis an riarthóir ach é a léamh. │ │ │ │ Ba cheart an rogha seo a dhíchumasú, má tá sí “/ srl” suite trí NFS. │ │ │ │ Ar mhaith leat ligean do chuntas riarthóra LDAP é féin a iompar mar │ │ an riarthóir áitiúil? │ │ │ │                                            │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libpam-ldap ├───────────────────────┐ │ │ │ Roghnaigh an bhfeidhmíonn an freastalaí LDAP aitheantais sula bhfaigheann sé iontrálacha entradas. Rarely │ │ │ Is annamh a bhíonn an socrú seo riachtanach. │ │ │ │ An éilítear ar úsáideoir rochtain a fháil ar bhunachar sonraí LDAP? │ │ │ │                                               │ │ │ └──────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libpam-ldap ├───────────────────────┐ │ Iontráil ainm chuntas riarthóra LDAP. │ │ │ │ Úsáidfear an cuntas seo go huathoibríoch le haghaidh bainistíocht bunachar sonraí │ │ mar sin ní mór duit na pribhléidí riaracháin iomchuí a bheith agat. │ │ │ │ Cuntas riarthóra LDAP: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘──────────────────── ──┤ Cumraíocht na libpam-ldap ├───────────────────────┐ │ Iontráil pasfhocal do chuntas an riarthóra. │ │ │ │ Sábhálfar an focal faire sa chomhad "/etc/pam_ldap.secret". Is é an riarthóir │ │ an t-aon duine a fhéadfaidh an comhad seo a léamh, agus ligfidh sé do │ │ libpam-ldap bainistíocht na nasc sa bhunachar sonraí │ control a rialú go huathoibríoch. │ │ │ │ Má fhágann tú an réimse seo bán, úsáidfear an focal faire a sábháladh roimhe │ again arís. Password │ │ password Pasfhocal riarthóra LDAP: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ──────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Cumraíocht shamplach d'fheidhmiúlacht Athraigh Seirbhíse Ainm GNU. # Má tá na pacáistí `glibc-doc-reference 'agus` info' suiteáilte agat, bain triail as: #` info libc "Name Service Switch" 'chun faisnéis a fháil faoin gcomhad seo. passwd: compat LDAP
grúpa: compat LDAP
scáth: compat LDAP
gshadow: hóstach comhaid: líonraí dns líonraí: prótacail comhaid: seirbhísí comhaid db: éitear comhaid db: comhaid db rpc: comhaid db netgroup: nis

Déanaimis an comhad a chur in eagar /etc/pam.d/common-password, téimid go líne 26 agus fáil réidh leis an luach «úsáid_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - modúil a bhaineann le pasfhocal is coiteann do gach seirbhís # # Tá an comhad seo san áireamh ó chomhaid chumraíochta PAM eile a bhaineann go sonrach le seirbhís, # agus ba cheart go mbeadh liosta de na modúil ann a shainíonn na seirbhísí atá le bheith # a úsáidtear chun pasfhocail úsáideora a athrú. Is é an réamhshocrú pam_unix. # Míniú ar roghanna pam_unix: # # Cumasaíonn an rogha "sha512" pasfhocail saillte SHA512. Gan an rogha seo, # is é Unix crypt crypt. D'úsáid eisiúintí roimh ré an rogha "md5". # # Gabhann an rogha "doiléir" an sean-rogha `OBSCURE_CHECKS_ENAB 'in # login.defs. # # Féach an leathanach leathanach pam_unix le haghaidh roghanna eile. # Amhail pam 1.0.1-6, déantar an comhad seo a bhainistiú le pam-auth-update de réir réamhshocraithe. # Chun leas a bhaint as seo, moltar duit aon # mhodúl áitiúil a chumrú roimh an mbloc réamhshocraithe nó dá éis, agus # pam-auth-update a úsáid chun roghnú modúl eile a bhainistiú. Féach # pam-auth-update (8) le haghaidh sonraí. # seo na modúil in aghaidh an phacáiste (an bloc "Bunscoile") pasfhocal [success = 2 default = neamhaird] pam_unix.so doiléir sha512
pasfhocal [success = 1 user_unknown = neamhaird a dhéanamh ar réamhshocrú = bás] pam_ldap.so try_first_pass
# seo an cúltaca mura n-éiríonn le modúl ar bith pasfhocal is gá pam_deny.so # príomhaigh an chruach le luach tuairisceáin dearfach mura bhfuil ceann ann cheana; # seachnaíonn sé seo dúinn earráid a thabhairt ar ais díreach toisc nach leagann aon rud cód rathúlachta # ós rud é go léimfidh gach ceann de na modúil thuas timpeall ar phasfhocal atá riachtanach pam_permit.so # agus anseo tá níos mó modúl in aghaidh an phacáiste (an bloc "Breise") # deireadh pam- cumraíocht auth-update

I gcás go gcaithfimid Logáil Isteach Áitiúil na n-úsáideoirí atá stóráilte sa LDAP, agus ba mhaith linn go gcruthófaí a bhfillteáin go huathoibríoch baile, ní mór dúinn an comhad a chur in eagar /etc/pam.d/common-session agus cuir an líne seo a leanas le deireadh an chomhaid:

seisiún roghnach pam_mkhomedir.so skel = / etc / skel umask = 077

Sa sampla de Sheirbhís Eolaire OpenLDAP a forbraíodh níos luaithe, ba é an t-aon úsáideoir áitiúil a cruthaíodh Buzz, agus muid i LDAP cruthaímid na húsáideoirí dul chun cinn, legolas, Gandalf, Agus bilbo. Má tá na cumraíochtaí a rinneadh go dtí seo ceart, ba cheart go mbeimis in ann na húsáideoirí áitiúla agus iad siúd atá mapáilte a liostáil mar úsáideoirí áitiúla ach atá stóráilte sa chianfhreastalaí LDAP:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Strides: x: 10000: 10000: Strides El Rey: / baile / dul chun cinn: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf An Draoi: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Tar éis na n-athruithe ar fhíordheimhniú an chórais, tá sé bailí an freastalaí a atosú nó mura bhfuil seirbhís chriticiúil os ár gcomhair:

root @ mail: ~ # atosaigh

Níos déanaí cuirimid tús le seisiún áitiúil ar an bhfreastalaí mail.swl.fan le dintiúir úsáideora atá stóráilte i mbunachar sonraí LDAP de máistir.swl.fan. Is féidir linn triail a bhaint as logáil isteach trí SSH freisin.

 

buzz @ sysadmin: ~ $ ssh gandalf @ mail
pasfhocal gandalf @ mail: Eolaire a chruthú '/ home / gandalf'. Is bogearraí saor in aisce iad na cláir atá san áireamh le córas Debian GNU / Linux; déantar cur síos ar na téarmaí dáilte beachta do gach clár sna comhaid aonair i / usr / share / doc / * / cóipcheart. Tagann Debian GNU / Linux le BARÁNTAS NÍL BARÁNTAS, a mhéid a cheadaítear leis an dlí is infheidhme.
gandalf @ mail: ~ $ su
Pasfhocal:

root @ mail: / home / gandalf # grúpa getent
buzz: x: 1001: úsáideoirí: *: 10000:

root @ mail: / home / gandalf # scoir
scoir

gandalf @ mail: ~ $ ls -l / home /
iomlán 8 drwxr-xr-x 2 buzz buzz     4096 Meitheamh 17 12:25 buzz drwx ------ 2 úsáideoirí gandalf 4096 Meitheamh 17 13:05 gandalf

Oibríonn an tSeirbhís Eolaire a chuirtear i bhfeidhm ar leibhéal an fhreastalaí agus na gcliant i gceart.

Kerberos

Ó Wikipedia:

  • Is prótacal fíordheimhnithe líonra ríomhaire é Kerberos a chruthaigh an MIT a ligeann do dhá ríomhaire ar líonra neamhchinnte a n-aitheantas dá chéile a chruthú go daingean. Dhírigh a dearthóirí ar mhúnla cliant-freastalaí ar dtús, agus soláthraíonn sé fíordheimhniú frithpháirteach: fíoraíonn an cliant agus an freastalaí aitheantais a chéile. Déantar teachtaireachtaí fíordheimhnithe a chosaint chun iad a chosc eavesdropping y ionsaithe athsheinm.

    Tá Kerberos bunaithe ar chripteagrafaíocht eochair siméadrach agus teastaíonn tríú páirtí iontaofa uaidh. Ina theannta sin, tá síntí ar an bprótacal le go mbeidh tú in ann eochair chripteagrafaíochta neamhshiméadrach a úsáid.

    Tá Kerberos bunaithe ar an Prótacal Needham-Schroeder. Úsáideann sé tríú páirtí iontaofa, ar a dtugtar "Príomhionad Dáileacháin" (KDC), atá comhdhéanta de dhá chuid loighciúla ar leithligh: "Freastalaí Fíordheimhnithe" (AS nó Freastalaí Fíordheimhnithe) agus «freastalaí eisiúna ticéad» (TGS nó Freastalaí Deonaithe Ticéad ). Oibríonn Kerberos ar bhonn "ticéid", a chruthaíonn aitheantas na n-úsáideoirí.

    Coinníonn Kerberos bunachar sonraí d’eochracha rúnda; Roinneann gach aonán ar an líonra - bíodh sé ina chliant nó ina fhreastalaí - eochair rúnda nach eol dó féin ná do Kerberos. Cruthaíonn eolas ar an eochair seo céannacht an aonáin. Le haghaidh cumarsáide idir dhá eintiteas, gineann Kerberos eochair seisiúin, ar féidir leo a úsáid chun a gcuid fadhbanna a dhaingniú.

Míbhuntáistí Kerberos

De Éifeachtach:

Cé go bhfuil Kerberos fáil réidh le bagairt slándála coiteann, is féidir go mbeadh sé deacair é a chur i bhfeidhm ar chúiseanna éagsúla:

  • Pasfhocail úsáideora a aistriú ó bhunachar sonraí caighdeánach pasfhocal UNIX, mar / etc / passwd nó / etc / shadow, chuig bunachar focal faire Kerberos, is féidir leis a bheith tedious agus níl aon mheicníocht thapa ann chun an tasc seo a chur i gcrích.
  • Glacann Kerberos leis go bhfuil muinín ag gach úsáideoir, ach go bhfuil meaisín neamhiontaofa á úsáid aige ar líonra neamhiontaofa. Is é a phríomhaidhm cosc ​​a chur ar phasfhocail neamhchriptithe a sheoladh thar an líonra. Mar sin féin, má tá rochtain ag aon úsáideoir eile, seachas an t-úsáideoir cuí, ar an meaisín ticéadaithe (KDC) le haghaidh fíordheimhnithe, bheadh ​​Kerberos i mbaol.
  • Chun iarratas a dhéanamh ar Kerberos a úsáid, caithfear an cód a mhodhnú chun na glaonna iomchuí a dhéanamh chuig leabharlanna Kerberos. Meastar go ndéantar iarratais a mhodhnófar ar an mbealach seo a cheistiú. I gcás roinnt feidhmchlár, is iarracht iomarcach cláraithe é seo, mar gheall ar mhéid an fheidhmchláir nó a Dhearaidh. Maidir le feidhmchláir neamh-chomhoiriúnacha eile, caithfear athruithe a dhéanamh ar an mbealach a dhéanann an freastalaí líonra agus a chliaint cumarsáid; arís, féadann sé seo go leor clár a thógáil. Go ginearálta, is iondúil gurb iad na feidhmchláir foinse dúnta nach mbíonn tacaíocht Kerberos acu na fadhbanna is mó.
  • Mar fhocal scoir, má shocraíonn tú Kerberos a úsáid ar do líonra, caithfidh tú a thuiscint gur rogha uile nó uile rud é. Má shocraíonn tú Kerberos a úsáid ar do líonra, ní mór duit cuimhneamh má chuirtear aon fhocal faire ar aghaidh chuig seirbhís nach n-úsáideann Kerberos chun a fhíordheimhniú, tá an baol ann go bhféadfar an paicéad a thascradh. Mar sin, ní bhfaighidh do líonra aon sochar as Kerberos a úsáid. Chun do líonra a dhaingniú le Kerberos, níor cheart duit ach na leaganacha kerberized de gach feidhmchlár cliant / freastalaí a sheolann pasfhocail neamhchriptithe nó nach n-úsáideann aon cheann de na feidhmchláir seo ar an líonra a úsáid..

Ní tasc éasca é OpenLDAP a chur i bhfeidhm agus a chumrú mar Chúl-deireadh Kerberos. Níos déanaí, áfach, feicfimid go gcomhtháthaíonn Eolaire Gníomhach Samba 4 - Rialaitheoir Fearainn ar bhealach trédhearcach don Sysadmin, freastalaí DNS, Líonra Microsoft agus a Rialaitheoir Fearainn, freastalaí LDAP mar Chúl-Dheireadh ar bheagnach gach ceann dá réad, agus an tseirbhís fíordheimhnithe bunaithe ar Kerberos mar chomhpháirteanna bunúsacha Eolaire Gníomhach i stíl Microsoft.

Amhail an lá inniu níor ghá dúinn "Líonra Kerberized" a chur i bhfeidhm. Sin é an fáth nár scríobh muid faoi conas Kerberos a chur i bhfeidhm.

Eolaire Gníomhach Samba 4 - Rialaitheoir Fearainn

Tábhachtach:

Níl aon cháipéisíocht níos fearr ná an suíomh wiki.samba.org. Ba cheart don Sysadmin féin-urramach cuairt a thabhairt ar an suíomh sin - i mBéarla- agus brabhsáil a dhéanamh ar an líon mór leathanach atá tiomnaithe go hiomlán do Samba 4, arna scríobh ag Foireann Samba féin. Ní chreidim go bhfuil cáipéisíocht ar fáil ar an Idirlíon chun é a athsholáthar. Dála an scéil, breathnaigh ar líon na gcuairteanna a léirítear ag bun gach leathanaigh. Sampla de seo is ea gur tugadh cuairt ar do phríomhleathanach nó ar «Príomhleathanach» 276,183 amanna an lae inniu 20 Meitheamh, 2017 ag 10:10 Am Caighdeánach an Oirthir. Ina theannta sin, coimeádtar an doiciméadacht an-nuashonraithe, toisc gur athraíodh an leathanach sin an 6 Meitheamh.

Ó Wikipedia:

Is cur i bhfeidhm saor in aisce é Samba de Phrótacal Comhroinnte Comhad Microsoft Windows (ar a dtugtaí SMB roimhe seo, a athainmníodh le déanaí CIFS) do chórais cosúil le UNIX. Ar an mbealach seo, is féidir go bhfuil cuma freastalaithe ar ríomhairí le GNU / Linux, Mac OS X nó Unix i gcoitinne nó go bhfeidhmíonn siad mar chliaint i líonraí Windows. Ligeann Samba d’úsáideoirí bailíochtú mar Rialaitheoir Fearainn Príomhúil (PDC), mar bhall fearainn agus fiú mar fhearann ​​Eolaire Gníomhach do líonraí atá bunaithe ar Windows; seachas a bheith in ann scuainí priontála, eolairí roinnte a sheirbheáil agus fíordheimhniú a dhéanamh le do chartlann úsáideora féin.

I measc na gcóras cosúil le Unix ar féidir Samba a reáchtáil tá na dáiltí GNU / Linux, Solaris agus na leaganacha éagsúla BSD i measc na gur féidir linn Freastalaí Mac OS X Apple a fháil.

Samba 4 AD-DC lena DNS Inmheánach

  • Tosaímid ó shuiteáil ghlan - taobh amuigh de chomhéadan grafach- de Debian 8 "Jessie".

Seiceálacha tosaigh

root @ master: ~ # óstainm
máistir
root @ master: ~ # óstainm --fqdn
máistir.swl.fan
root @ master: ~ # ip addr
1: cad: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 scóip óstach lo valid_lft go deo is fearr_lft go deo inet6 :: 1/128 óstach óstach valid_lft go deo is fearr_lft go deo 2: eth0: mtu 1500 qdisc pfifo_fast luaigh réamhshocrú grúpa UNKNOWN qlen 1000 nasc / éitear 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 raon feidhme eth0 domhanda
       valid_lft go deo is fearr_lft go deo inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 nasc scóip valid_lft go deo is fearr_lft go deo
fréimhe @ máistir: ~ # cat /etc/resolv.conf
cuardaigh swl.fan nameserver 127.0.0.1
  • Leis an ndearbhaímid an brainse príomh- amháin, tá sé níos mó ná go leor chun ár gcuspóirí.
root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie príomh-
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / nuashonruithe príomh-

Postfix le Exim agus fóntais

root @ master: ~ # aptitude install postfix htop mc deborphan

  Conf───────────────────────── ┤ Cumraíocht Postfix ├─────────────────────── ────┐ │ Roghnaigh an cineál cumraíochta freastalaí ríomhphoist is fearr a oireann do do riachtanais │ │. │ │ │ │ Gan aon chumraíocht: │ │ Coinníonn an chumraíocht reatha slán. │ │ Suíomh Idirlín: │ │ Seoltar agus faightear ríomhphost go díreach ag úsáid SMTP. │ │ Idirlíon le "smarthost": │ │ Faightear ríomhphost go díreach ag baint úsáide as SMTP nó trí uirlis │ like a reáchtáil mar "fetchmail". Seoltar post atá ag dul as oifig ag úsáid │ │ "smarthost". Mail │ Post áitiúil amháin: │ │ Is le haghaidh úsáideoirí áitiúla an t-aon phost a sheachadtar. Níl │ │ tá líonra ann. │ │ │ │ Cineál cineálach cumraíochta poist: │ │ │ │ Gan aon chumraíocht │ │ Suíomh Idirlín │ │ Idirlíon le "smarthost" │ system Córas satailíte │ │                         Post áitiúil amháin                                │ │ │ │ │ │                                     │ │ │ └──────────────────────────────────────────────── ─────────────────────────────┘ ┘───────────────────── ─────┤ Cumraíocht Postfix ├──────────────────────────┐ │ Is é "ainm an chórais ríomhphoist" ainm an fhearainn atá │ Úsáidtear │ chun seoltaí ríomhphoist _ALL_ a “cháiliú” gan ainm fearainn. Cuimsíonn sé seo post chuig agus ó “fhréamh”: ​​ná déan │ │ seol do mheaisín ríomhphoist ó root@example.org go │ │ níos lú ná root@example.org a d’fhiafraigh. │ │ │ │ Úsáidfidh cláir eile an t-ainm seo. Ní mór gur ainm uathúil cáilithe │ │ cáilithe (FQDN) é. │ │ │ │ Dá bhrí sin, más seoladh ríomhphoist ar an meaisín áitiúil │ │ rud@example.org, beidh an luach ceart don rogha seo mar shampla.org. │ │ │ │ Ainm an chórais ríomhphoist: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └───────────────────────────────────────────── ──────────────────────────────┘  

Glanann muid

root @ master: ~ # apture purge ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # inniúlacht glan
root @ master: ~ # inniúlacht autoclean

Suiteáilimid riachtanais chun Samba 4 agus pacáistí riachtanacha eile

root @ master: ~ # aptitude install acl attr autoconf bison \
dnsutils debhelper tógála-riachtanach docbook-xml docbook-xsl flex gdb \
krb5-úsáideoir libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modúil pkg-config \
python-all-dev python-dev python-dnspython python-crypto \
xsltproc zlib1g-dev libgpgme11-dev python-gpgme python-m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 Authent──────────────── Fíordheimhniú Kerberos a chumrú ├───────────────┐ │ Nuair a dhéanann úsáideoirí iarracht Kerberos a úsáid agus ainm a shonrú │ │ príomhoide nó úsáideoir gan soiléiriú a dhéanamh ar an bhfearann ​​riaracháin Kerberos lena mbaineann an príomhoide │,, glacann an córas an réimse réamhshocraithe │ │.  Is féidir an réimse réamhshocraithe a úsáid freisin mar réimse │ │ seirbhíse Kerberos atá ag rith ar an meaisín áitiúil.  │ │ De ghnáth, is é an fearann ​​réamhshocraithe ainm uachtarach na fearainn DNS local local áitiúil.  │ │ │ │ Kerberos leagan 5 réimse réamhshocraithe: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── ─────────────────────────────┘ ┘────────────── ┤ Fíordheimhniú a chumrú Kerberos ├───────────────┐ ┐ Iontráil ainmneacha na bhfreastalaithe Kerberos i réimse SWL.FAN de │ │ Kerberos, scartha le spásanna.  Servers │ │ │ Freastalaithe Kerberos do do réimse: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────────────────── . ├───────────────┐ ┐ Iontráil ainm an fhreastalaí riaracháin (athrú pasfhocail) │ │ do réimse Kerberos SWL.FAN.   

Thóg an próiseas thuas beagán ama mar níl aon seirbhís DNS suiteáilte againn fós. Mar sin féin, roghnaigh tú an fearann ​​i gceart de réir na socruithe comhaid / Srl / ina hóstach. Cuimhnigh é sin sa chomhad / Srl / resolv.conf dhearbhaíomar mar fhreastalaí ainm fearainn don IP 127.0.0.1.

Táimid anois ag cumrú an chomhaid / etc / ldap / ldap / conf

fréimhe @ máistir: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI ldap: //master.swl.fan

Le haghaidh ceisteanna ag baint úsáide as an ordú ldapsearch déanta den úsáideoir fréimhe den chineál ldapsearch -x -W cn = xxxx, ní mór dúinn an comhad a chruthú /root/.ldapsearc leis an ábhar seo a leanas:

fréimhe @ máistir: ~ # nano .ldaprc
BINDDN CN = Riarthóir, CN = Úsáideoirí, DC = swl, DC = lucht leanúna

Caithfidh an córas comhaid tacú le ACL - Liosta Rialaithe Rochtana

root @ master: ~ # nano / etc / fstab
# / etc / fstab: faisnéis faoin gcóras comhad statach. # # Úsáid 'blkid' chun an t-aitheantóir uathúil uilíoch a phriontáil le haghaidh feiste #; féadtar é seo a úsáid le UUID = mar bhealach níos láidre chun feistí # a oibríonn fiú má chuirtear dioscaí leis agus má bhaintear iad. Féach fstab (5). # # # / bhí ar / dev / sda1 le linn na suiteála UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 úsáideoir_xattr, acl, bac = 1, noatime, earráidí = remount-ro 0 1
bhí # babhtáil ar / dev / sda5 le linn na suiteála UUID = cb73228a-615d-4804-9877-3ec225e3ae32 none babhtáil sw 0 0 / dev / sr0 / media / cdrom0 udf, úsáideoir iso9660, noauto 0 0

fréimhe @ máistir: ~ # mount -a

fréimhe @ máistir: ~ # dteagmháil thástáil_acl.txt
root @ master: ~ # setfattr -n user.test -v test test_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 tests_acl.txt
root @ master: ~ # getfattr -d test_acl.txt
# file: tests_acl.txt user.test = "tástáil"

root @ master: ~ # getfattr -n security.test -d test_acl.txt
# file: tests_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx profi_acl.txt

root @ master: ~ # getfacl test_acl.txt
# comhad: profi_acl.txt # úinéir: fréamh # grúpa: úsáideoir fréimhe :: rw- ghrúpa :: r-- grúpa: adm: masc rwx :: rwx eile :: r--

Faighimid foinse Samba 4, déanaimid í a thiomsú, agus a shuiteáil

Moltar go mór an comhad foinse leagan a íoslódáil Stable ón suíomh https://www.samba.org/. Inár sampla déanaimid an leagan a íoslódáil samba-4.5.1.tar.gz i dtreo an fhillteáin / roghnaigh.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Roghanna cumraíochta

Más mian linn na roghanna cumraíochta a shaincheapadh, déanaimid forghníomhú:

fréimhe @ máistir: /opt/samba-4.5.1# ./configure --help

agus le cúram mór roghnaigh na cinn a theastaíonn uainn. Tá sé inmholta a sheiceáil an féidir an pacáiste íoslódáilte a shuiteáil ar an dáileadh Linux atá á úsáid againn, agus Debian 8.6 Jessie inár gcás:

fréimhe @ máistir: /opt/samba-4.5.1# . / Cumraigh distcheck

Déanaimid samba-4.5.1 a chumrú, a thiomsú agus a shuiteáil

  • Ó na riachtanais a suiteáladh roimhe seo agus na 8604 comhad (a chuimsíonn an dlúth samba-4.5.1.tar.gz) a mheá thart ar 101.7 meigibheart - lena n-áirítear na fillteáin foinse3 agus foinse4 a bhfuil meáchan thart ar 61.1 meigibheart iontu - gheobhaidh muid ionadach a Eolaire Gníomhach ar stíl Microsoft, ar chaighdeán agus ar chobhsaíocht níos mó ná inghlactha d'aon timpeallacht táirgthe. Ní mór dúinn aird a tharraingt ar obair Fhoireann Samba chun an Bogearraí Saor Samba 4 a sheachadadh.

Is iad na horduithe thíos na cinn clasaiceach chun pacáistí a thiomsú agus a shuiteáil óna bhfoinsí. Caithfimid a bheith foighneach fad a mhaireann an próiseas iomlán. Is é an t-aon bhealach chun torthaí bailí agus cearta a fháil.

fréimhe @ máistir: /opt/samba-4.5.1# ./configure --with-systemd - cupáin inúsáidte
fréimhe @ máistir: /opt/samba-4.5.1# a dhéanamh
fréimhe @ máistir: /opt/samba-4.5.1# dhéanamh shuiteáil

Le linn an phróisis ordaithe a dhéanamh, is féidir linn a fheiceáil go gcuirtear foinsí Samba 3 agus Samba 4 le chéile leaganacha de Samba 4.

Samba a Sholáthar

Úsáidfimid mar DNS an SAMBA_INTERNAL. I https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End gheobhaidh muid tuilleadh faisnéise. Nuair a iarrann siad pasfhocal an úsáideora Riarthóra orainn, ní mór dúinn ceann de íosfhad 8 gcarachtar a chlóscríobh agus freisin, le litreacha - cás uachtair agus íochtair - agus uimhreacha.

Sula dtéann muid ar aghaidh chuig an soláthar agus chun an saol a dhéanamh níos éasca, cuirimid an cosán de na inrite Samba inár gcomhad .bashrc, Ansin dúnann muid agus logáil isteach arís.

fréimhe @ máistir: ~ # nano .bashrc
# ~ / .bashrc: forghníomhaithe ag bash (1) le haghaidh sliogán neamh-logála isteach. # Nóta: Tá PS1 agus umask socraithe cheana féin i / etc / próifíl. Níor cheart duit # é seo a bheith uait mura dteastaíonn mainneachtainí difriúla uait don fhréamh. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Féadfaidh tú na línte seo a leanas a dhíchomhbhrú más mian leat `ls 'a dhathú: # easpórtáil LS_OPTIONS =' - color = uathoibríoch '# mheasadh "` dircolors` "# ailias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Roinnt ailiasanna eile chun botúin a sheachaint: # ailias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
dearbhú -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # scoir logáil amach Ceangal leis an máistir dúnta. xeon @ sysadmin: ~ $ ssh root @ máistir

root @ master: ~ # soláthar fearainn samba-tool --use-rfc2307 --interactive
Réimse [SWL.FAN]: SWL.FAN
 Fearann ​​[SWL]: SWL
 Ról an Fhreastalaí (dc, ball, neamhspleách) [dc]: dc
 Deireadh seachtaine DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NÍL) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 Seoladh IP seoltóra DNS (scríobh 'níl aon cheann' chun seolta a dhíchumasú) [192.168.10.5]: 8.8.8.8
Pasfhocal an riarthóra: TuPassword2017
Pasfhocal Retype: TuPassword2017
Seoltaí IPv4 a chuardach Ag féachaint do sheoltaí IPv6 Ní sannfar aon seoladh IPv6 Ag bunú share.ldb Ag bunú rúin.ldb Ag bunú na clárlainne An bunachar sonraí pribhléidí a bhunú Ag bunú idmap db Ag bunú SAM db Ag socrú deighiltí agus socruithe sam.ldb suas sam.ldb rootDSE Réamh-luchtú scéimre Samba 4 agus AD Ag cur FearannDN: DC = swl, DC = fan Coimeádán cumraíochta a chur leis Scéimre sam.ldb a bhunú Sonraí cumraíochta sam.ldb a chur ar bun Sonraíochtaí taispeána a mhodhnú Sonraíochtaí taispeána a chur le coimeádán úsáideoirí Coimeádán úsáideoirí a mhodhnú Coimeádán ríomhairí a chur leis Coimeádán ríomhairí a mhodhnú Sonraí sam.ldb a bhunú Prionsabail slándála aitheanta a bhunú Ag bunú úsáideoirí agus grúpaí sam.ldb Ag bunú féin-cheangail Ag cur cuntais DNS ag cruthú CN = MicrosoftDNS, CN = System, DC = swl, DC = fan Ag cruthú deighiltí DomainDnsZones agus ForestDnsZones Deighiltí DomainDnsZones agus ForestDnsZones Daonra Ag bunú marcála root.SE sam.ldb mar GUIDanna soláthair socraithe sioncrónaitheGineadh cumraíocht Kerberos atá oiriúnach do Samba 4 ag /usr/local/samba/private/krb5.conf Socruithe freastalaí bréige yp a bhunú Nuair a bheidh na comhaid thuas suiteáilte, beidh do fhreastalaí Samba4 réidh le Ról an Fhreastalaí a úsáid: fearann ​​eolaire gníomhach rialtóir Óstach: máistir Fearann ​​NetBIOS: Fearann ​​SWL DNS: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Ná déanaimis dearmad an comhad cumraíochta Kerberos a chóipeáil mar a léiríonn aschur an Soláthar:

fréimhe @ máistir: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Chun an t-ordú a chlóscríobh samba-uirlis le d’ainm iomlán, cruthaímid nasc siombalach leis an ainm gairid uirlis:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Suiteáilimid an NTP

Píosa bunúsach in Eolaire Gníomhach is ea an tSeirbhís Ama Líonra. Toisc go ndéantar an fíordheimhniú trí Kerberos agus a Thicéid, tá sé ríthábhachtach sioncrónú an ama leis an Samba 4 AD-DC.

root @ master: ~ # aptitude install ntp
fréimhe @ máistir: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

fréimhe @ máistir: ~ # nano /etc/ntp.conf
staitisticí driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegenstats file clockstats type type clock server 192.168.10.1 srian -4 réamhshocraithe kod notrap nomodify nopeer noquery srian -6 default kod notrap nomodify nopeer noquery srian a chur le réamhshocrú mssntp srian 127.0.0.1 srian :: 1 craoladh 192.168.10.255

root @ master: ~ # seirbhís ntp atosú
root @ master: ~ # stádas ntp seirbhíse

root @ master: ~ # tail -f / var / log / syslog

Más rud é agus scrúdú á dhéanamh ar an syslog ag baint úsáide as an ordú thuas nó ag úsáid dialann -f faighimid an teachtaireacht:

19 Meitheamh 12:13:21 máistir ntpd_intres [1498]: fuair tuismitheoir bás sular chríochnaigh muid, ag imeacht

ní mór dúinn an tseirbhís a atosú agus triail a bhaint arís. Anois cruthaímid an fillteán ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd ní féidir teacht air: Níl comhad nó eolaire ann

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Mar a iarradh ar samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 Jun 19 12:21 / usr / local / samba / var / lib / ntp_signd

Cumraímid tús Samba ag úsáid systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Seirbhís] Cineál = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Suiteáil] WantedBy = multi-user.target

root @ master: ~ # systemctl cumasaigh samba-ad-dc
root @ master: ~ # atosaigh

root @ master: ~ # stádas systemctl samba-ad-dc
root @ master: ~ # status systeml ntt

Samba 4 shuíomh comhaid AD-DC

GACH -lúide an samba-ad-dc.service nua-chruthaithe- tá na comhaid i:

root @ master: ~ # ls -l / usr / local / samba /
iomlán 32 foireann fréimhe drwxr-sr-x 2 4096 Meitheamh 19 11:55 bin
drwxr-sr-x 2 foireann fréimhe 4096 Meitheamh 19 11:50 srl
drwxr-sr-x 7 foireann fréimhe 4096 Meitheamh 19 11:30 I measc
drwxr-sr-x 15 foireann fréimhe 4096 Meitheamh 19 11:33 lib
drwxr-sr-x 7 foireann fréimhe 4096 Meitheamh 19 12:40 príobháideach
drwxr-sr-x 2 foireann fréimhe 4096 Meitheamh 19 11:33 sbin
drwxr-sr-x 5 foireann fréimhe 4096 Meitheamh 19 11:33 sciar
drwxr-sr-x 8 foireann fréimhe 4096 Meitheamh 19 12:28 Bhí

sa stíl UNIX is fearr. Tá sé inmholta i gcónaí brabhsáil trí na fillteáin éagsúla agus a n-ábhar a scrúdú.

Comhad /usr/local/samba/etc/smb.conf

fréimhe @ máistir: ~ # nano /usr/local/samba/etc/smb.conf 
# Paraiméadair dhomhanda [domhanda] ainm netbios = réimse MASTER = grúpa oibre SWL.FAN = SWL dns forwarder = 8.8.8.8 seirbhísí freastalaí = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , ról freastalaí dns = rialtóir fearainn eolaire gníomhach ceadaigh nuashonruithe dns = slán ach idmap_ldb: bain úsáid as rfc2307 = sea idmap config *: backend = tdb idmap config *: range = 1000000-1999999 ldap server éilíonn auth láidir = níl ainm printcap = / dev / null [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts léite amháin = Níl [sysvol] path = / usr / local / samba / var / locks / sysvol léite amháin = Níl

root @ master: ~ # testparm
Luchtaigh comhaid cumraíochta smb ó /usr/local/samba/etc/smb.conf Rannán próiseála "[netlogon]" An chuid próiseála "[sysvol]" Comhad seirbhísí luchtaithe ceart go leor. Ról an fhreastalaí: ROLE_ACTIVE_DIRECTORY_DC Brúigh Iontráil chun dumpáil de do shainmhínithe seirbhíse a fheiceáil # Paraiméadair dhomhanda [global] réimse = SWL.FAN grúpa oibre = SWL dns forwarder = 192.168.10.1 ldap server éilíonn auth láidir = Gan pasdb backend = ról freastalaí samba_dsdb = eolaire gníomhach rialtóir fearainn rpc_server: tcpip = no rpc_daemon: spoolssd = leabaithe rpc_server: spoolss = leabaithe rpc_server: winreg = leabaithe rpc_server: ntsvcs = leabaithe rpc_server: eventlog = leabaithe rpc_server: srvsvc = leabaithe rvcct_ser leabaithe rvcct_ser seachtrach: bain úsáid as píopaí seachtracha = fíorchumraíocht idmap *: raon = 1000000-1999999 idmap_ldb: bain úsáid as rfc2307 = sea idmap config *: backend = cartlann léarscáile tdb = Níl aon léarscáil go réidh = níl aon stór dos tréithe = Sea vfs rudaí = dfs_samba4 acl_xattr [netlogon] cosán = / usr / local / samba / var / locks / sysvol / swl.fan / scripteanna léite amháin = Níl [sysvol] path = / usr / local / samba / var / locks / sysvol léite amháin = Níl

Seiceálacha íosta

root @ master: ~ # seó leibhéal fearainn uirlisí
Leibhéal feidhme fearainn agus foraoise don fhearann ​​'DC = swl, DC = fan' Leibhéal feidhm foraoise: (Windows) 2008 R2 Leibhéal feidhme fearainn: (Windows) 2008 R2 An leibhéal feidhme is ísle de DC: (Windows) 2008 R2

fréimhe @ máistir: ~ # ldapsearch -x -W

root @ master: ~ # dbcheck uirlis
262 réad a sheiceáil Seiceáil 262 réad (0 earráid)

root @ master: ~ # riarthóir kinit
Pasfhocal le haghaidh Riarthóir@SWL.FAN: 
fréimhe @ máistir: ~ # klist -f
Taisce ticéad: COMHAD: / tmp / krb5cc_0
Réamhshocrú bunscoile: Riarthóir@SWL.FAN

Bailí ag dul in éag Príomhsheirbhís in éag 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    athnuachan go dtí 20/06/17 12:53:18 PM, Bratacha: RIA

fréimhe @ máistir: ~ # kdestroy
fréimhe @ máistir: ~ # klist -f
klist: Níor aimsíodh comhad taisce dintiúir '/ tmp / krb5cc_0'

root @ master: ~ # smbclient -L localhost -U%
Fearann ​​= [SWL] OS = [Windows 6.1] Freastalaí = [Samba 4.5.1] Tráchta Cineál Sharename --------- ---- ------- Diosca netlogon Diosca sysvol IPC $ IPC IPC Seirbhís (Samba 4.5.1) Fearann ​​= [SWL] OS = [Windows 6.1] Freastalaí = [Samba 4.5.1] Trácht an Fhreastalaí --------- ------- Máistir Grúpa Oibre ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Iontráil pasfhocal an Riarthóra: Fearann ​​= [SWL] OS = [Windows 6.1] Freastalaí = [Samba 4.5.1]. D 0 Luan 19 Meitheamh 11:50:52 2017 .. D 0 Luan 19 Meitheamh 11:51:07 2017 19091584 bloic de mhéid 1024. 16198044 bloc ar fáil

root @ master: ~ # uirlis dns serverinfo máistir -U riarthóir

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
Tá taifead SRV ag _ldap._tcp.swl.fan 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
Tá taifead SRV ag _kerberos._udp.swl.fan 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
tá seoladh 192.168.10.5 ag máistir.swl.fan.

root @ master: ~ # host -t SOA swl.fan
tá máistir taifead SOA ag swl.fan.swl.fan. óstach máistir.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan ainm freastalaí master.swl.fan.

root @ master: ~ # host -t MX swl.fan
níl aon taifead MX ag swl.fan

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # liosta úsáideora uirlisí
Riarthóir aoi krbtgt

root @ master: ~ # liosta grúpa uirlisí
# Is grúpa grúpaí an t-aschur. ;-)

Bainistímid an Samba 4 AD-DC nua-shuiteáilte

Más mian linn an dul in éag a mhodhnú i laethanta phasfhocal an Riarthóra; castacht na bhfocal faire; íosfhad an phasfhocal; an ré íosta agus uasta - i laethanta - an phasfhocal; agus pasfhocal an Riarthóra a dearbhaíodh le linn na Soláthar, ní mór dúinn na horduithe seo a leanas a fhorghníomhú leis an luachanna arna gcoigeartú de réir do riachtanas:

root @ master: ~ # uirlis
Úsáid: samba-uirlis Príomhuirlis riaracháin samba. Roghanna: -h, --help taispeáin an teachtaireacht chabhrach seo agus scoir Roghanna Leaganacha: -V, --version Uimhir an leagain taispeána Fochuideachtaí atá ar fáil: dbcheck - Seiceáil bunachar sonraí AD áitiúil le haghaidh earráidí. toscaireacht - Bainistíocht tarmligin. dns - Bainistíocht na Seirbhíse Ainm Fearainn (DNS). fearann ​​- Bainistíocht fearainn. drs - Bainistíocht Seirbhísí Macasamhlaithe Eolaire (DRS). dsacl - ionramháil DS ACLanna. fsmo - Bainistíocht róil Oibríochtaí Máistir Aonair Solúbtha (FSMO). gpo - Bainistíocht Cuspóir Beartais Grúpa (GPO). grúpa - Bainistíocht grúpa. ldapcmp - Déan comparáid idir dhá bhunachar sonraí ldap. ionramháil ntacl - NT ACL. próisis - Liostáil próisis (chun cabhrú le dífhabhtú ar chórais gan tacar sonraí). rodc - Bainistíocht Rialaitheoir Fearainn Inléite Amháin (RODC). suíomhanna - Bainistíocht láithreán. spn - bainistíocht Phríomh-Ainm Seirbhíse (SPN). testparm - Comhréir seiceáil an comhad cumraíochta. am - Faigh an t-am ar fhreastalaí. úsáideoir - Bainistíocht úsáideora. Le haghaidh tuilleadh cabhrach ar fhochonradh ar leith, clóscríobh: samba-tool (-h | --help)

root @ master: ~ # riarthóir setexpiry úsáideoir uirlisí --noexpiry
root @ master: ~ # pasfhocail fearainn fearainn uirlisí --min-pwd-length = 7
root @ master: ~ # pasfhocail fearainn fearainn uirlisí --min-pwd-age = 0
root @ master: ~ # pasfhocail fearainn fearainn uirlisí --max-pwd-age = 60
root @ master: ~ # user user setpassword --filter = samaccountname = Riarthóir --newpassword = Passw0rD

Cuirimid roinnt taifead DNS leis

root @ master: ~ # uirlis dns
Úsáid: samba-tool dns Bainistíocht na Seirbhíse Ainm Fearainn (DNS). Roghanna: -h, --help taispeáin an teachtaireacht chabhrach seo agus fág na fochomhlachtaí atá ar fáil: cuir - Cuir scriosadh taifead DNS leis - Scrios ceist taifead DNS - Ceist ainm. roothints - Leideanna fréimhe fiosrúcháin. serverinfo - Ceist faoi fhaisnéis an Fhreastalaí. nuashonrú - Déan crioschríoch taifead DNS a nuashonrú - Cruthaigh crios. zonedelete - Scrios crios. zoneinfo - Iarratas ar fhaisnéis faoin gcrios. criosaithe - Ceist faoi chriosanna. Le haghaidh tuilleadh cabhrach ar fhochonradh ar leith, clóscríobh le do thoil: samba-tool dns (-h | --help)

Freastalaí ríomhphoist

root @ master: ~ # tool dns add master swl.fan mail A riarthóir 192.168.10.9 -U
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U riarthóir

IP seasta freastalaithe eile

root @ master: ~ # tool dns add master swl.fan sysadmin A 192.168.10.1 -U riarthóir
root @ master: ~ # tool dns cuir máistir swl.fan fileserver A riarthóir 192.168.10.10 -U
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U riarthóir
root @ master: ~ # tool dns add master swl.fan chat A riarthóir 192.168.10.12 -U

Droim ar ais Crios

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U riarthóir
Pasfhocal do [SWL \ riarthóir]: Crios 10.168.192.in-addr.arpa cruthaithe go rathúil

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Uadministrator

Seiceálacha

root @ master: ~ # tool dns query master swl.fan mail riarthóir GACH -U
Pasfhocal do [SWL \ riarthóir]: Ainm =, Taifid = 1, Leanaí = 0 A: 192.168.10.9 (bratacha = f0, sraitheach = 2, ttl = 900)

root @ master: ~ # óstach máistir
tá seoladh 192.168.10.5 ag máistir.swl.fan.
root @ master: ~ # óstach sysadmin
tá seoladh 192.168.10.1 ag sysadmin.swl.fan
root @ master: ~ # post óstach
tá seoladh 192.168.10.9 ag mail.swl.fan
root @ master: ~ # comhrá óstach
tá seoladh 192.168.10.12 ag chat.swl.fan.
root @ master: ~ # óstach seachfhreastalaí
tá seoladh 192.168.10.11 ag proxy.swl.fan
root @ master: ~ # óstach comhaid
tá seoladh 192.168.10.10 ag fileserver.swl.fan
root @ master: ~ # óstach 192.168.10.1
1.10.168.192.in-addr.arpa pointeoir ainm fearainn sysadmin.swl.fan.
root @ master: ~ # óstach 192.168.10.5
5.10.168.192.in-addr.arpa ainm fearainn pointeoir máistir.swl.fan.
root @ master: ~ # óstach 192.168.10.9
9.10.168.192.in-addr.arpa pointeoir ainm fearainn mail.swl.fan.
root @ master: ~ # óstach 192.168.10.10
10.10.168.192.in-addr.arpa ainm fearainn pointeoir fileserver.swl.fan.
root @ master: ~ # óstach 192.168.10.11
11.10.168.192.in-addr.arpa pointeoir pointe fearainn proxy.swl.fan.
root @ master: ~ # óstach 192.168.10.12
12.10.168.192.in-addr.arpa pointeoir pointeoir chat.swl.fan.

Don aisteach

root @ máistir: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Cuirimid úsáideoirí leis

root @ master: ~ # úsáideoir uirlisí
Úsáid: úsáideoir samba-uirlis Bainistíocht úsáideora. Roghanna: -h, --help taispeáin an teachtaireacht chabhrach seo agus fág na fochomhlachtaí atá ar fáil: cuir - Cruthaigh úsáideoir nua. cruthaigh - Cruthaigh úsáideoir nua. scriosadh - Scrios úsáideoir. díchumasaigh - Díchumasaigh úsáideoir. cumasaigh - Cumasaigh úsáideoir. getpassword - Faigh réimsí pasfhocail chuntas úsáideora / ríomhaire. liosta - Liostaigh na húsáideoirí go léir. pasfhocal - Athraigh pasfhocal do chuntas úsáideora (an ceann a sholáthraítear i bhfíordheimhniú). setexpiry - Socraigh dul in éag cuntas úsáideora. setpassword - Socraigh nó athshocraigh pasfhocal cuntas úsáideora. syncpasswords - Sioncronaigh pasfhocal na gcuntas úsáideora. Le haghaidh tuilleadh cabhrach ar fhochonradh ar leith, clóscríobh: úsáideoir samba-tool (-h | --help)

root @ master: ~ # cruthaíonn úsáideoir uirlisí dul chun cinn Trancos01
Cruthaíodh 'trancos' úsáideora go rathúil
root @ master: ~ # úsáideoir uirlisí cruthaigh gandalf Gandalf01
Cruthaíodh 'gandalf' úsáideora go rathúil
root @ master: ~ # úsáideoir uirlisí cruthaigh legolas Legolas01
Cruthaíodh 'legolas' úsáideora go rathúil
root @ master: ~ # liosta úsáideora uirlisí
Gabhann an riarthóir gandalf legolas krbtgt Aoi

Riarachán trí chomhéadan grafach nó trí chliant gréasáin

Tabhair cuairt ar wiki.samba.org chun faisnéis mhionsonraithe a fháil ar conas an Microsoft RSAT o Uirlisí Riaracháin Freastalaí cianda. Mura n-éilíonn tú na polasaithe clasaiceacha a sholáthraíonn Microsoft Active Directory, is féidir leat an pacáiste a shuiteáil bainisteoir cuntas ldap a thairgeann comhéadan simplí le haghaidh riaracháin trí bhrabhsálaí gréasáin.

Tá pacáiste an chláir Uirlisí Riaracháin Freastalaí cianda Microsoft (RSAT) san áireamh ar chórais oibriúcháin Windows Server.

Ceanglaímid an fearann ​​le cliant Windows 7 darb ainm "seacht"

Toisc nach bhfuil freastalaí DHCP againn sa líonra, is é an chéad rud a chaithfimid a dhéanamh ná cárta líonra an chliaint a chumrú le IP seasta, a dhearbhú gurb é IP na príomh-DNS. samba-ad-dc, agus seiceáil go bhfuil an rogha "Cláraigh seoladh an cheangail seo i DNS" curtha i ngníomh. Níl sé díomhaoin a sheiceáil go bhfuil an t-ainm «seacht»Níl sé cláraithe fós i DNS Inmheánach Samba.

Tar éis dúinn an ríomhaire a cheangal leis an bhfearann ​​agus é a atosú, déanaimis iarracht logáil isteach leis an úsáideoir «dul chun cinn«. Déanfaimid seiceáil go n-oibríonn gach rud ceart go leor. Moltar freisin logaí Cliant Windows a sheiceáil agus seiceáil conas a dhéantar an t-am a shioncronú i gceart.

Gheobhaidh riarthóirí a bhfuil roinnt taithí Windows acu torthaí sásúla as aon seiceálacha a dhéanann siad ar an gcliant.

Achoimre

Tá súil agam go mbeidh an t-alt úsáideach do léitheoirí Phobal FromLinux.

Slán!


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

8 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Gonzalo martinez a dúirt

    Alt fada ach mionsonraithe, céim ar chéim an-mhaith ar conas gach rud a dhéanamh.

    Cuirim béim ar NIS, is í an fhírinne, cé go bhfuil a fhios agam faoi a bheith ann, nach raibh a fhios agam riamh conas a oibríonn sé, ós rud é le bheith ionraic thug sé an tuiscint dom i gcónaí go raibh sé marbh go praiticiúil in aice le LDAP agus Samba 4.

    PS: Comhghairdeas as do thionscadal pearsanta nua! Is mór an trua nach bhfuil tú chun leanúint ar aghaidh ag scríobh anseo, ach ar a laghad tá áit ann chun tú a leanúint.

  2.   HO2Gi a dúirt

    Ceacht teagaisc ollmhór mar is fearr liom i gcónaí, Beannachtaí Fico.
    Comhghairdeas leis an tionscadal.

  3.   IWO a dúirt

    Tá an chuid NIS go hiontach, déanaim comhbhrón le Gonzalo Martinez, bhí aithne agam air go hachomair ach ní raibh aon smaoineamh agam conas é a chur i bhfeidhm agus cad iad na cásanna ina n-úsáidtear é.
    Go raibh maith agat uair amháin as "stoc" iontach d'alt teoiriciúil agus praiticiúil.
    Faoi dheireadh éachtaí nua i do thionscadal nua «gigainside».

  4.   Federico a dúirt

    Go raibh míle maith agat gach duine as trácht !!!.
    Maidir is

  5.   mussol a dúirt

    níl aon nasc ag an smb.conf a thaispeánann tú le LDAP, an bhfuil sé de réir cuspóra nó ar fhág mé rud éigin?

  6.   phico a dúirt

    mussol: Seo Rialaitheoir Fearainn Eolaire Gníomhach Samba 4 a bhfuil a fhreastalaí LDAP ionsuite aige cheana féin.

  7.   Vincent a dúirt

    An bhféadfá trácht a dhéanamh ar conas mac (úll) a aontú le samba 4 AD-DC?
    Go raibh maith agat.

  8.   jramirez a dúirt

    Conas tá tú;

    Go raibh maith agat as an lámhleabhar, tá sé go hiontach. Tá ceist agam faoi theachtaireacht a fheictear dom.

    fréimhe @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Theip ar réiteach a thabhairt ar óstainm / IP tugtha: ad.rjsolucionessac.com. Tabhair faoi deara nach féidir leat raonta IP stíl '/ masc' AGUS '1-4,7,100-' a úsáid
    Ní féidir sprioc bhailí a fháil. Cinntigh le do thoil gur seoltaí IP iad na hóstach sonraithe i nodaireacht chaighdeánach nó óstainmneacha ar féidir iad a réiteach le DNS
    fréimhe @ AD: ~ #