PAM, NIS, LDAP, Kerberos, DS agus Samba 4 AD-DC - SMB Networks

Clàr-amais coitcheann an t-sreath: Lìonraidhean coimpiutair airson SMEn: Ro-ràdh

Halo charaidean is charaidean!

Leis an artaigil seo tha mi ag ràdh Beannachd le Coimhearsnachd FromLinux. Soraidh slàn le Coimhearsnachd Sònraichte. Bho seo a-mach bidh mi anns a ’phròiseact pearsanta agam as urrainn dhut a bhith eòlach http://www.gigainside.com.

Is e prìomh amas na dreuchd tairgse «Dealbh mòr»Mu na Seirbheisean Dearbhaidh le bathar-bog an-asgaidh a tha againn. Co-dhiù is e sin ar rùn. Mar sin bidh e fada, a dh ’aindeoin gu bheil fios againn gu bheil e an aghaidh riaghailtean coitcheann sgrìobhadh artaigilean. Tha sinn an dòchas gu bheil meas aig luchd-rianachd an t-siostaim air.

Tha sinn airson comharrachadh gur e am protocol cumanta a tha aig mòran de na siostaman dearbhaidh ùr-nodha LDAP, agus nach eil e idle sgrùdadh a dhèanamh gu faiceallach, bhon stuth sgrùdaidh a lorgas sinn air an làrach oifigeil http://www.openldap.org/.

Cha toir sinn mìneachaidhean mionaideach - no ceanglaichean - air nithean ris an deach dèiligeadh ann an artaigilean roimhe, no air an fheadhainn a tha furasta an tuairisgeul fhaighinn air Wikipedia no làraichean no artaigilean eile air an eadar-lìn, gus nach caill sinn oibeachdachd na teachdaireachd a tha sinn ag iarraidh a thoirt. Cleachdaidh sinn measgachadh dligheach de dh ’ainmean ann am Beurla agus Spàinntis, oir tha sinn den bheachd gun do rugadh a’ mhòr-chuid de shiostaman le ainmean ann am Beurla agus tha e gu math buannachdail dha Sysadmin an co-cheangal sa chànan tùsail aca.

  • PAM: Modal Dearbhaidh Pluggable.
  • NIS: Network_Information_Service.
  • LDAP: Pròtacal ruigsinneachd aotrom aotrom.
  • Kerberos: Pròtacal tèarainteachd gus luchd-cleachdaidh, coimpiutairean agus seirbheisean a dhearbhadh gu meadhanach air lìonra, a ’dearbhadh an teisteanasan mu choinneamh inntrigidhean a tha ann an stòr-dàta Kerberos.
  • DS: Frithealaiche Directory no Seirbheis Directory
  • AD-DC: Directory gnìomhach - Domain Controler

Clàr-innse

PAM

Bidh sinn a ’coisrigeadh sreath bheag don t-seòrsa dearbhadh ionadail seo, a chì thu ann an cleachdadh làitheil gu bheil e air a chleachdadh gu farsaing nuair a bhios sinn, mar eisimpleir, a’ tighinn còmhla ri stèisean-obrach gu Rianadair Domain no Directory Gnìomhach; gus luchd-cleachdaidh a tha air an stòradh ann an stòran-dàta LDAP taobh a-muigh a mhapadh mar gum biodh iad nan luchd-cleachdaidh ionadail; gus luchd-cleachdaidh a tha air an stòradh ann an Rianadair Domain de Directory Gnìomhach a mhapadh mar gum biodh iad nan luchd-cleachdaidh ionadail, agus mar sin air adhart.

NIS

De Uicipeid:

  • Is e Siostam Fiosrachaidh Lìonra (aithnichte leis an acronym NIS aige, a tha ann an Spàinntis a ’ciallachadh Siostam Fiosrachaidh Lìonra), ainm protocol seirbheis seòlaidh cliant-frithealaiche a chaidh a leasachadh le Sun Microsystems airson dàta rèiteachaidh a chuir ann an siostaman sgaoilte leithid ainmean luchd-cleachdaidh agus luchd-aoigheachd eadar coimpiutairean air lìonra.Tha NIS stèidhichte air ONC RPC, agus tha e a ’toirt a-steach frithealaiche, leabharlann taobh cliaint, agus diofar innealan rianachd.

    An toiseach chaidh NIS ainmeachadh mar na Duilleagan Buidhe, no YP, a tha fhathast air a chleachdadh airson iomradh a thoirt air. Gu mì-fhortanach, tha an t-ainm sin na chomharra-malairt de British Telecom, a thug air Sun an t-ainm sin a leigeil seachad. Ach tha YP fhathast na ro-leasachan ann an ainmean a ’mhòr-chuid de òrdughan co-cheangailte ri NIS, leithid ypserv agus ypbind.

    Tha DNS a ’frithealadh raon cuibhrichte de dh’ fhiosrachadh, agus am fear as cudromaiche tha an conaltradh eadar ainm an nód agus an seòladh IP. Airson seòrsachan fiosrachaidh eile, chan eil seirbheis cho sònraichte ann. Air an làimh eile, mura h-eil thu a ’riaghladh ach LAN beag gun cheangal eadar-lìn, chan eil e coltach gum b’ fhiach DNS a stèidheachadh. Sin as coireach gun do leasaich Sun an Siostam Fiosrachaidh Lìonra (NIS). Bidh NIS a ’toirt seachad comasan ruigsinneachd stòr-dàta coitcheann a ghabhas cleachdadh gus sgaoileadh, mar eisimpleir, am fiosrachadh a tha ann am faidhlichean passwd agus buidhnean gu gach nodan air an lìonra agad. Tha seo a ’toirt air an lìonra a bhith coltach ri aon shiostam, leis na h-aon chunntasan air a h-uile nod. San aon dòigh, faodar NIS a chleachdadh gus fiosrachadh ainm nód a tha ann an / etc / hosts a sgaoileadh gu gach inneal air an lìonra.

    An-diugh tha NIS ri fhaighinn anns cha mhòr a h-uile cuairteachadh Unix, agus tha eadhon buileachadh an-asgaidh. Dh'fhoillsich BSD Net-2 fear a thàinig bho bhuileachadh iomraidh poblach air a thoirt seachad le Sun. Tha an còd leabharlainn airson pàirt an neach-cleachdaidh den dreach seo air a bhith anns an libU GNU / Linux airson ùine mhòr, agus chaidh na prògraman rianachd a thoirt gu GNU / Linux le Swen Thümmler. Ach, tha frithealaiche NIS a dhìth mar a chaidh a bhuileachadh.

    Tha Peter Eriksson air buileachadh ùr a leasachadh air a bheil NYS. Tha e a ’toirt taic do gach cuid NIS bunaiteach agus an dreach leasaichte de Sun NIS +. [1] Chan e a-mhàin gu bheil NYS a ’toirt seachad grunn innealan NIS agus frithealaiche, bidh e cuideachd a’ cur seata ùr de ghnìomhan leabharlainn a dh ’fheumas tu a chur ri chèile a-steach don libc agad ma tha thu airson an cleachdadh. Tha seo a ’toirt a-steach sgeama rèiteachaidh ùr airson fuasgladh ainm nód a thèid an àite an sgeama gnàthach a tha am faidhle“ host.conf ”a’ cleachdadh.

    Tha an libU GNU, ris an canar libc6 anns a ’choimhearsnachd GNU / Linux, a’ toirt a-steach dreach ùraichte den taic NIS traidiseanta a chaidh a leasachadh le Thorsten Kukuk. Bidh e a ’toirt taic do na gnìomhan leabharlainn air fad a bheir NYS seachad, agus bidh e cuideachd a’ cleachdadh sgeama rèiteachaidh adhartach NYS. Tha feum air na h-innealan agus an frithealaiche fhathast, ach le bhith a ’cleachdadh an GNU libc sàbhalaidh sin an obair a bhith a’ gleusadh agus ag ath-chuairteachadh an leabharlainn

    .

Ainm coimpiutair agus àrainn, eadar-aghaidh lìonra agus resolver

  • Bidh sinn a ’tòiseachadh bho stàladh glan - taobh a-muigh eadar-aghaidh grafaigeach - de Debian 8“ Jessie ”. Tha an àrainn swl.fan a ’ciallachadh" Fans of Free Software. " Dè an t-ainm nas fheàrr na seo?.
root @ master: ~ # ainm aoigheachd
mhaighstir
root @ master: ~ # ainm aoigheachd -f
mhaighstir.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 raon aoigheachd lo valid_lft gu bràth roghainn_lft gu bràth inet6 :: 1/128 raon aoigheachd valid_lft gu bràth roghainn_lft gu bràth 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 farsaingeachd cruinne eth0 valid_lft gu bràth fheàrr_lft gu bràth inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 raon leudachaidh valid_lft gu bràth roghainn_lft gu bràth

root @ master: ~ # cat /etc/resolv.conf 
rannsaich swl.fan nameserver 127.0.0.1

Stàladh bind9, isc-dhcp-server agus ntp

ceangail9

root @ master: ~ # aptitude install bind9 bind9-doc nmap
root @ master: ~ # inbhe systemctl bind9

root @ master: ~ # nano /etc/bind/named.conf
toirt a-steach "/etc/bind/named.conf.options"; toirt a-steach "/etc/bind/named.conf.local"; toirt a-steach "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
roghainnean {eolaire "/ var / cache / bind"; // Ma tha balla-teine ​​eadar thu fhèin agus luchd-ainmeachaidh a tha thu airson // bruidhinn ris, is dòcha gum feum thu am balla-teine ​​a chuir air dòigh gus leigeil le ioma // puirt bruidhinn. Faic http://www.kb.cert.org/vuls/id/800113

        // Ma thug an ISP agad aon no barrachd seòlaidhean IP airson ainmean seasmhach //, is dòcha gum bi thu airson an cleachdadh mar luchd-cuir air adhart. // Uncomment the a leanas bloc, agus cuir a-steach na seòlaidhean a ’dol an àite // an neach-àite uile-0. // air adhart {// 0.0.0.0; //}; // ============================================= = =================== $ // Ma chlàraicheas BIND teachdaireachdan mearachd mun iuchair root a dh ’fhalbh, // feumaidh tu na h-iuchraichean agad ùrachadh. Faic https://www.isc.org/bind-keys
        // ============================================= = ===================== $ // Chan eil sinn ag iarraidh DNSSEC
        dnssec-comasachadh no;
        // fèin-dhearbhadh dnssec; auth-nxdomain no; # co-chòrdadh ri RFC1035 listen-on-v6 {sam bith; }; // Airson sgrùdaidhean bho localhost agus sysadmin // tro dig swl.fan axfr // Chan eil DNS Tràillean againn ... gu ruige seo
        cead-gluasad {localhost; 192.168.10.1; };
}; root @ master: ~ # ainmichte-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Àite Seòladh Co-roinnte (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 agus 6303)
sòn "254.169.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// Sònrachaidhean protocol IETF (RFCs 5735 agus 5736)
sòn "0.0.192.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// TEST-NET- [1-3] airson Sgrìobhainnean (RFCs 5735, 5737 agus 6303)
sòn "2.0.192.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "100.51.198.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "113.0.203.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IPv6 Raon Eisimpleir airson Sgrìobhainnean (RFCs 3849 agus 6303)
sòn "8.bd0.1.0.0.2.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// Ainmean Fearainn airson Sgrìobhainnean agus Deuchainn (BCP 32)
sòn "deuchainn" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "eisimpleir" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "neo-dhligheach" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "example.com" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "example.net" {seòrsa maighstir; faidhle "/etc/bind/db.empty"; }; sòn "example.org" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// Deuchainn Comharradh-slighe Router (RFCs 2544 agus 5735)
sòn "18.198.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "19.198.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IANA glèidhte - Space Old E E (RFC 5735)
sòn "240.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "241.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "242.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "243.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "244.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "245.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "246.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "247.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "248.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "249.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "250.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "251.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "252.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "253.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "254.in-addr.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// Seòlaidhean IPv6 gun ainm (RFC 4291)
sòn "1.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "3.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "4.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "5.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "6.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "7.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "8.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "9.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "a.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "b.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "c.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "d.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "e.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "0.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "1.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "2.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "3.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "4.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "5.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "6.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "7.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "8.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "9.f.ip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "afip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "bfip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "0.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "1.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "2.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "3.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "4.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "5.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "6.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "7.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 agus 6303)
sòn "cfip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "dfip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IPv6 Ceangal Ionadail (RFCs 4291 agus 6303)
sòn "8.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "9.efip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "aefip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "befip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IPv6 Seòlaidhean làraich-ionadail neo-leasaichte (RFCs 3879 agus 6303)
sòn "cefip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "defip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "eefip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; }; sòn "fefip6.arpa" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

// IP6.INT air a mholadh (RFC 4159)
sòn "ip6.int" {maighstir seòrsa; faidhle "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Dèan rèiteachadh ionadail sam bith an seo // // Beachdaich air sònaichean 1918 a chuir ris an seo, mura cleachdar iad anns a ’bhuidheann // agad cuir a-steach" /etc/bind/zones.rfc1918 ";
toirt a-steach "/etc/bind/zones.rfcFreeBSD";

// Foillseachadh ainm, seòrsa, àite, agus cead ùrachaidh // de Sònaichean Clàran DNS // Tha an dà Sòn ann an sòn MASTER "swl.fan" {maighstir seòrsa; faidhle "/var/lib/bind/db.swl.fan"; }; sòn "10.168.192.in-addr.arpa" {maighstir seòrsa; faidhle "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # ainmichte-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA. master.swl.fan. root.master.swl.fan. (1; sreathach 1D; ùrachadh 1H; ath-ghairm 1W; nochd 3H); as ìsle no; Ùine caching àicheil airson a bhith beò; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Airson luchd-leantainn de bhathar-bog an-asgaidh"; sysadmin IN A 192.168.10.1 fileserver IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 post IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA. master.swl.fan. root.master.swl.fan. (1; sreathach 1D; ùrachadh 1H; ath-ghairm 1W; nochd 3H); as ìsle no; Ùine caching àicheil airson a bhith beò; @ IN NS master.swl.fan. ; 1 ANN AN PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 ANN am PTR mail.swl.fan.

root @ master: ~ # ainmichte-checkzone swl.fan /var/lib/bind/db.swl.fan
sòn swl.fan/IN: sreathach luchdaichte 1 Ceart gu leòr
root @ master: ~ # ainmichte-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
sòn 10.168.192.in-addr.arpa/IN: sreathach luchdaichte 1 Ceart gu leòr

root @ master: ~ # ainmichte-checkconf -zp
root @ master: ~ # systemctl ath-thòiseachadh bind9.service
root @ master: ~ # inbhe systemctl bind9.service

Sgrùdaidhean Bind9

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb host root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
A ’tòiseachadh Nping 0.6.47 ( http://nmap.org/nping ) aig 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: Neo-iomchaidh | Avg rtt: Neo-iomchaidh Pacaidean amh air an cur: 84 (0B) | Rcvd: 0 (3B) | Caillte: 100.00 (1%) Nping dèante: 3.01 seòladh IP pinged ann an XNUMX diogan 

isc-dhcp-server

root @ master: ~ # aptitude install isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Dè na goireasan eadar-aghaidh a bu chòir don fhrithealaiche DHCP (dhcpd) a bhith a ’frithealadh iarrtasan DHCP? # Cuir air leth iomadh eadar-aghaidh le àiteachan, me "eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.private 
Cruth-iuchrach prìobhaideach: v1.3 Algorithm: 157 (HMAC_MD5) Prìomh: Ba9GVadq4vOCixjPN94dCQ == Bits: AAA = Cruthaichte: 20170527133656 Foillsich: 20170527133656 Gnìomhaich: 20170527133656

root @ master: ~ # nano dhcp.key
iuchair dhcp-key {
        algairim hmac-MD5;
        dìomhair "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
toirt a-steach "/etc/bind/dhcp.key";

sòn "swl.fan" {maighstir seòrsa; faidhle "/var/lib/bind/db.swl.fan";
        ceadaich-ùrachadh {key dhcp-key; };
}; sòn "10.168.192.in-addr.arpa" {maighstir seòrsa; faidhle "/var/lib/bind/db.10.168.192.in-addr.arpa";
        ceadaich-ùrachadh {key dhcp-key; };
};

root @ master: ~ # ainmichte-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
eadar-amail ddns-update-style; ddns-ùrachaidhean air; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; seachnadh ùrachaidhean luchd-cleachdaidh; ùrachadh-optimization meallta; # Dh ’fhaodadh gum bi feum air air ùghdarras Debian; roghainn ip-forwarding dheth; ainm-fearainn roghainn "swl.fan"; toirt a-steach "/etc/dhcp/dhcp.key"; sòn swl.fan. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } sòn 10.168.192.in-addr.arpa. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } redlocal co-roinnte lìonra {subnet 192.168.10.0 netmask 255.255.255.0 {roghainn routers 192.168.10.1; subnet-masc 255.255.255.0; seòladh-craolaidh roghainn 192.168.10.255; roghainn àrainn-ainm-frithealaichean 192.168.10.5; roghainn netbios-name-servers 192.168.10.5; roghainn ntp-frithealaichean 192.168.10.5; luchd-frithealaidh ùine roghainn 192.168.10.5; raon 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Co-bhanntachd Siostaman Eadar-lìn DHCP Server 4.3.1 Còraichean 2004-2014 Co-bhanntachd Siostaman Eadar-lìn. Còraichean uile glèidhte. Airson fiosrachadh, tadhal air https://www.isc.org/software/dhcp/
Faidhle rèiteachaidh: /etc/dhcp/dhcpd.conf Faidhle stòr-dàta: /var/lib/dhcp/dhcpd.leases faidhle PID: /var/run/dhcpd.pid

root @ master: ~ # systemctl ath-thòiseachadh bind9.service 
root @ master: ~ # inbhe systemctl bind9.service 

root @ master: ~ # systemctl tòiseachadh isc-dhcp-server.service
root @ master: ~ # inbhe systemctl isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
staitistig driftfile /var/lib/ntp/ntp.drift loopstats peerstats clockstats filegen loopstats faidhle loopstats seòrsa latha comas faidhle filest peerstats faidhle peerstats seòrsa latha comasachadh filegen clockstats faidhle gleoc seòrsa seòrsa latha comasachadh frithealaiche 192.168.10.1 cuingealachadh -4 default kod notrap nomodify nopeer noquery cuingealachadh -6 default kod notrap nomodify nopeer noquery cuingealachadh 127.0.0.1 cuingealachadh :: 1 craoladh 192.168.10.255

root @ master: ~ # systemctl ath-thòiseachadh ntp.service 
root @ master: ~ # status systeml ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 Cèitean 10:04:01 ntpdate [18769]: atharraich an t-seirbheisiche ùine 192.168.10.1 air a chothromachadh 0.369354 sec

Sgrùdaidhean cruinneil airson ntp, bind9, agus isc-dhcp-server

Bho neach-dèiligidh Linux, BSD, Mac OS, no Windows dèan cinnteach gu bheil an ùine air a shioncronachadh gu ceart. Gu bheil e a ’faighinn seòladh IP fiùghantach agus gu bheil ainm an òstair sin air a rèiteachadh tro cheistean DNS dìreach agus air ais. Atharraich ainm an neach-ceannach agus ath-rinn na sgrùdaidhean uile. Na lean air adhart gus am bi thu cinnteach gu bheil na seirbheisean a chaidh a chuir a-steach gu ruige seo ag obair gu ceart. Airson rudeigin sgrìobh sinn na h-artaigilean gu lèir mu DNS agus DHCP Lìonraidhean coimpiutair airson SMEn.

Stàladh frithealaiche NIS

root @ master: ~ # aptitude show nis
Còmhstri ri: netstd (<= 1.26) Tuairisgeul: teachdaichean agus deamhan airson Seirbheis Fiosrachaidh Lìonra (NIS) Tha am pasgan seo a ’toirt seachad innealan airson a bhith a’ stèidheachadh agus a ’cumail suas fearann ​​NIS. Tha NIS, ris an canar Yellow Pages (YP) an toiseach, air a chleachdadh sa mhòr-chuid gus leigeil le grunn innealan ann an lìonra an aon fhiosrachadh cunntais a roinn, leithid am faidhle facal-faire.

root @ master: ~ # aptitude install nis
Rèiteachadh pacaid ┌─────────────────────────── N┤ Configuration ├─────────────────── ────────┐ │ Tagh “ainm fearainn” NIS airson an t-siostam seo. Ma tha thu airson gum bi an inneal │ │ seo dìreach mar neach-dèiligidh, bu chòir dhut ainm an àrainn │ │ NIS a tha thu airson a thoirt a-steach a chur a-steach. │ │ │ │ Air an làimh eile, ma tha an inneal seo gu bhith na fhrithealaiche NIS, faodaidh tu │ │ a dhol a-steach do “ainm fearainn” NIS ùr no ainm àrainn NIS │ existing a tha ann mu thràth. │ │ │ │ Fearann ​​NIS: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘  

Cuiridh e dàil ort seach nach eil rèiteachadh na seirbheis ann mar sin. Fuirich ort gus an tig am pròiseas gu crìch.

root @ master: ~ # nano / etc / default / nis
# A bheil sinn nar frithealaiche NIS agus ma tha, dè an seòrsa (luachan: meallta, tràill, maighstir)?
NISSERVER = maighstir

root @ master: ~ # nano /etc/ypserv.securenets # securenets Tha am faidhle seo a ’mìneachadh còirichean ruigsinneachd don t-seirbheisiche NIS # agad airson teachdaichean NIS (agus frithealaichean tràillean - bidh ypxfrd a’ cleachdadh an # faidhle seo cuideachd). Anns an fhaidhle seo tha netmask / paidhrichean lìonra. # Feumaidh seòladh IP luchd-dèiligidh a bhith a ’maidseadh le co-dhiù aon # dhiubh sin. # # Faodaidh aon neach am facal "òstair" a chleachdadh an àite lìon-lìn de # 255.255.255.255. Chan eil ach seòlaidhean IP ceadaichte san fhaidhle # seo, chan e ainmean aoigheachd. # # Leig an-còmhnaidh ruigsinneachd airson localhost 255.0.0.0 127.0.0.0 # Bheir an loidhne seo cothrom don h-uile duine. CUIR FIOS! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Am bu chòir dhuinn am faidhle passwd a cheangal còmhla ris an fhaidhle sgàil? # MERGE_PASSWD = fìor | meallta
MERGE_PASSWD = fìor

# Am bu chòir dhuinn am faidhle buidhne a cheangal còmhla ris an fhaidhle gshadow? # MERGE_GROUP = fìor | meallta
MERGE_GROUP = fìor

Bidh sinn a ’togail stòr-dàta NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
Aig an ìre seo, feumaidh sinn liosta a thogail de na h-aoighean a bhios a ’ruith frithealaichean NIS. tha master.swl.fan anns an liosta de luchd-frithealaidh NIS. Feuch an cuir thu ris na h-ainmean airson na h-aoighean eile, aon airson gach loidhne. Nuair a bhios tu air a dhèanamh leis an liosta, dèan seòrsa a . an ath aoigh ri chur ris: master.swl.fan an ath òstair ri chur ris: Tha an liosta làithreach de luchd-frithealaidh NIS a ’coimhead mar seo: master.swl.fan A bheil seo ceart? [y / n: y] Feumaidh sinn beagan mhionaidean gus na stòran-dàta a thogail ... dèan [1]: Chaidh an eòlaire fàgail '/var/yp/swl.fan' master.swl.fan a stèidheachadh mar phrìomh fhrithealaiche NIS . A-nis faodaidh tu ypinit -s master.swl.fan a ruith air gach frithealaiche tràillean.

root @ master: ~ # systemctl ath-thòiseachadh a-nis
root @ master: ~ # status systeml a-nis

Bidh sinn a ’cur luchd-cleachdaidh ionadail ris

root @ master: ~ # adduser bilbo
A ’cur ris an neach-cleachdaidh` bilbo '... A ’cur a’ bhuidheann ùr` bilbo' (1001) ... A ’cur ris a’ chleachdaiche ùr `bilbo '(1001) le buidheann` bilbo' ... A 'cruthachadh an eòlaire dachaigh` / home / bilbo' ... A ’dèanamh lethbhreac de fhaidhlichean bho` / etc / skel ’... Cuir a-steach am facal-faire UNIX ùr: Ath-sgrìobh am facal-faire UNIX ùr: passwd: facal-faire air ùrachadh gu ceart Ag atharrachadh fiosrachadh neach-cleachdaidh airson bilbo Cuir a-steach an luach ùr, no brùth ENTER gus an roghainn bunaiteach a chleachdadh Ainm slàn []: Bilbo Bagins Àireamh Seòmar []: Fòn Obrach []: Fòn Dachaigh []: Eile []: A bheil am fiosrachadh ceart? [Y / n]

root @ master: ~ # adduser strides root @ master: ~ # adduser legolas

agus mar sin air adhart.

root @ master: ~ # leg legolas
Log a-steach: legolas Ainm: Legolas Archer Directory: / home / legolas Shell: / bin / bash Na log a-steach a-riamh. Gun phost. Gun Phlana.

Bidh sinn ag ùrachadh stòr-dàta NIS

root @ master: / var / yp # dèan
dèan [1]: Cuir a-steach eòlaire '/var/yp/swl.fan' Ag ùrachadh passwd.byname ... Ag ùrachadh passwd.byuid ... Ag ùrachadh group.byname ... Ag ùrachadh group.bygid ... Ag ùrachadh netid.byname. .. Ag ùrachadh shadow.byname ... A ’leigeil seachad -> air a chur còmhla ri passwd dèan [1]: A’ fàgail eòlaire ‘/var/yp/swl.fan’

Bidh sinn a ’cur roghainnean NIS ris an isc-dhcp-server

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
eadar-amail ddns-update-style; ddns-ùrachaidhean air; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; seachnadh ùrachaidhean luchd-cleachdaidh; ùrachadh-optimization meallta; ùghdarrasach; roghainn ip-forwarding dheth; ainm-fearainn roghainn "swl.fan"; toirt a-steach "/etc/dhcp/dhcp.key"; sòn swl.fan. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } sòn 10.168.192.in-addr.arpa. {bun-sgoil 127.0.0.1; iuchair dhcp-key; } redlocal co-roinnte lìonra {subnet 192.168.10.0 netmask 255.255.255.0 {roghainn routers 192.168.10.1; subnet-masc 255.255.255.0; seòladh-craolaidh roghainn 192.168.10.255; roghainn àrainn-ainm-frithealaichean 192.168.10.5; roghainn netbios-name-servers 192.168.10.5; roghainn ntp-frithealaichean 192.168.10.5; luchd-frithealaidh ùine roghainn 192.168.10.5;
                roghainn nis-domain "swl.fan";
                roghainn nis-frithealaichean 192.168.10.5;
                raon 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl ath-thòiseachadh isc-dhcp-server.service

Stàladh Cliant NIS

  • Bidh sinn a ’tòiseachadh bho stàladh glan - taobh a-muigh eadar-aghaidh grafaigeach - de Debian 8“ Jessie ”.
root @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip addr
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 farsaingeachd cruinne eth0

root @ mail: ~ # aptitude install nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Faidhle rèiteachaidh airson pròiseas ypbind. Faodaidh tu luchd-frithealaidh # NIS a mhìneachadh le làimh an seo mura lorgar iad le # craoladh air an lìon ionadail (rud as àbhaist). # # Faic duilleag làimhe ypbind airson co-chòrdadh an fhaidhle seo. # # CUDROMACH: Airson an “ypserver”, cleachd seòlaidhean IP, no dèan cinnteach gu bheil # an aoigh a-staigh / etc / hosts. Chan eil am faidhle seo air a mhìneachadh # aon uair, agus mura h-urrainnear DNS a ruigsinn fhathast chan urrainnear an ypserver a rèiteach agus cha bhith ypbind a-riamh a ’ceangal ris an fhrithealaiche. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Eisimpleir rèiteachadh de ghoireas GNU Ainm Seirbheis Switch. # Ma tha na pacaidean `glibc-doc-reference 'agus` info' agad air an stàladh, feuch: #` info libc "Name Service Switch" 'airson fiosrachadh mun fhaidhle seo. passwd: compat nis group: compat nis shadow: compat nis gshadow: faidhlichean a ’toirt aoigheachd: faidhlichean dns nis lìonraidhean: protocolaidhean faidhlichean: seirbheisean faidhlichean db: ethers faidhlichean db: db faidhlichean rpc: db files netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) airson mion-fhiosrachadh.
seisean roghainneil pam_mkhomedir.so skel = / etc / skel umask = 077
# an seo tha na modalan gach pasgan (am bloc "Bun-sgoil")

root @ mail: ~ # status systeml a-nis
root @ mail: ~ # systemctl ath-thòiseachadh a-nis

Bidh sinn a ’dùnadh an t-seisein agus a’ tòiseachadh a-rithist ach le neach-cleachdaidh clàraichte ann an stòr-dàta NIS aig mhaighstir.swl.fan.

root @ mail: ~ # fàgail
logout Ceangal ris a ’phost dùinte.

buzz @ sysadmin: ~ $ ssh legolas @ mail
facal-faire legolas @ mail: A ’cruthachadh eòlaire‘ / home / legolas ’. Tha na prògraman a tha air an toirt a-steach do shiostam Debian GNU / Linux nam bathar-bog an-asgaidh; tha na dearbh theirmean sgaoilidh airson gach prògram air am mìneachadh anns na faidhlichean fa leth ann an / usr / share / doc / * / dlighe-sgrìobhaidh. Tha Debian GNU / Linux a ’tighinn le BUN-FHIOSRACHADH UILE, chun na h-ìre a tha ceadaichte fon lagh iomchaidh.
legolas @ mail: ~ $ pwd
/ dachaigh / legolas
legolas @ mail: ~ $ 

Bidh sinn ag atharrachadh facal-faire an neach-cleachdaidh legolas agus a ’sgrùdadh

legolas @ mail: ~ $ yppasswd 
Ag atharrachadh fiosrachadh cunntais NIS airson legolas air master.swl.fan. Cuir a-steach seann fhacal-faire: legolas Ag atharrachadh facal-faire NIS airson legolas air master.swl.fan. Cuir a-steach facal-faire ùr: boghadair Feumaidh am facal-faire an dà chuid litrichean àrda is litrichean beaga, no litrichean eile. Feuch an cuir thu a-steach facal-faire ùr: Arquero2017 Feuch an ath-sgrìobh thu facal-faire ùr: Arquero2017 Chaidh am facal-faire NIS atharrachadh air master.swl.fan.

legolas @ mail: ~ $ fàgail
logout Ceangal ris a ’phost dùinte.

buzz @ sysadmin: ~ $ ssh legolas @ mail
facal-faire legolas @ mail: Arquero2017

Tha na prògraman a tha air an toirt a-steach don t-siostam Debian GNU / Linux nam bathar-bog an-asgaidh; tha na dearbh theirmean sgaoilidh airson gach prògram air am mìneachadh anns na faidhlichean fa leth ann an / usr / share / doc / * / dlighe-sgrìobhaidh. Tha Debian GNU / Linux a ’tighinn le BUN-FHIOSRACHADH UILE, chun na h-ìre a tha ceadaichte fon lagh iomchaidh. Log a-steach mu dheireadh: Disathairne Cèitean 27 12:51:50 2017 bho sysadmin.swl.fan
legolas @ mail: ~ $

Bidh an t-Seirbheis NIS a chaidh a chuir an gnìomh aig ìre an fhrithealaiche agus an neach-dèiligidh ag obair gu ceart.

LDAP

Bho Wikipedia:

  • Is e LDAP an acronaim airson Pròtacal Ruigsinneachd Directory Lightweight (ann am Pròtacal Ruigsinneachd Solas aotrom / Leabhar-seòlaidh Sìmplidh) a tha a ’toirt iomradh air protocol ìre tagraidh a leigeas le seirbheis seòlaidh òrdaichte agus sgaoilte a bhith a’ lorg diofar fiosrachaidh ann an lìonra àrainneachd. Thathas cuideachd den bheachd gu bheil LDAP na stòr-dàta (ged a dh ’fhaodadh an siostam stòraidh aige a bhith eadar-dhealaichte) a dh’ fhaodar a cheasnachadh.Tha eòlaire na sheata de nithean le buadhan air an eagrachadh ann an dòigh loidsigeach agus rangachd. Is e an eisimpleir as cumanta an eòlaire fòn, anns a bheil sreath de dh ’ainmean (daoine no buidhnean) a tha air an òrdachadh a rèir na h-aibideil, le seòladh aig gach ainm agus àireamh fòn ceangailte ris. Gus tuigse nas fheàrr fhaighinn, is e leabhar no pasgan a th ’ann, anns a bheil ainmean dhaoine, àireamhan fòn agus seòlaidhean air an sgrìobhadh, agus tha e air a chuir air dòigh a rèir na h-aibideil.

    Bidh craobh seòlaidh LDAP uaireannan a ’nochdadh diofar chrìochan poilitigeach, cruinn-eòlasach no eagrachail, a rèir a’ mhodail a chaidh a thaghadh. Mar as trice bidh cleachdadh LDAP gnàthach a ’cleachdadh ainmean Siostam Ainm Domain (DNS) gus ìrean nas àirde na rangachd a structaradh. Mar a ghluaiseas tu sìos an eòlaire, faodaidh inntrigidhean nochdadh a tha a ’riochdachadh dhaoine, aonadan eagrachaidh, clò-bhualadairean, sgrìobhainnean, buidhnean dhaoine, no rud sam bith a tha a’ riochdachadh inntrigeadh sònraichte sa chraoibh (no ioma-inntrigidhean).

    Mar as trice, bidh e a ’stòradh an fhiosrachaidh dearbhaidh (ainm-cleachdaidh agus facal-faire) agus tha e air a chleachdadh gus dearbhadh, ged a tha e comasach fiosrachadh eile a stòradh (dàta conaltraidh luchd-cleachdaidh, àite diofar ghoireasan lìonra, ceadan, teisteanasan, msaa). Ann an geàrr-chunntas, tha LDAP na phròtacal ruigsinneachd aonaichte gu seata fiosrachaidh air lìonra.

    Is e an dreach làithreach LDAPv3, agus tha e air a mhìneachadh ann an RFCs RFC 2251 agus RFC 2256 (sgrìobhainn bonn LDAP), RFC 2829 (modh dearbhaidh airson LDAP), RFC 2830 (leudachadh airson TLS), agus RFC 3377 (sònrachadh teicnigeach)

    .

Airson ùine mhòr, is e protocol LDAP - agus na stòran-dàta aige a tha co-chòrdail no nach eil le OpenLDAP- an fheadhainn as motha a thathas a ’cleachdadh anns a’ mhòr-chuid de na siostaman dearbhaidh an-diugh. Mar eisimpleir den aithris roimhe seo, tha sinn a ’toirt seachad gu h-ìosal cuid de dh’ ainmean shiostaman-saor no prìobhaideach - a bhios a ’cleachdadh stòran-dàta LDAP mar backend gus na stuthan aca gu lèir a stòradh:

  • OpenLDAP
  • Frithealaiche Directory Apache
  • Frithealaiche Directory Red Hat - 389 DS
  • Seirbheisean Directory Novell - eDirectory
  • GHRIAN Microsystem Open DS
  • Manaidsear Dearbh-aithne Red Hat
  • FreeIPA
  • Riaghladair Fearann ​​Clasaigeach Samba NT4.
    Tha sinn airson soilleireachadh gur e leasachadh de Sgioba Samba a bh ’anns an t-siostam seo le Samba 3.xxx + OpenLDAP mar backend. Cha do chuir Microsoft a-riamh dad coltach ris an gnìomh. Leum bho Rianadairean Domain NT 4 gu na stiùiridhean gnìomhach aca
  • Samba 4 Directory Gnìomhach - Domain Controler
  • ClearOS
  • Zentyal
  • Frithealaiche Corporra Uninvention UCS
  • Microsoft Gnìomhach Directory

Tha na feartan aige fhèin aig gach buileachadh, agus is e an ìre as inbheaiche agus as freagarraiche OpenLDAP.

Tha Directory Gnìomhach, ge bith an e sin bho Microsoft no am fear bho Samba 4, a ’dèanamh suas aonadh de ghrunn phrìomh phàirtean a tha:

Chan fhaod sinn troimh-chèile a Seirbheis Directory o Seirbheis seòlaidh le a Active Directory o Directory gnìomhach. Faodaidh a ’chiad fhear aoigheachd a thoirt do dhearbhadh Kerberos, ach chan eil iad a’ tabhann an t-seirbheis Lìonra Microsoft a tha Fearann ​​Windows a ’toirt seachad, agus chan eil Rianadair Domain Windows aca mar sin.

Faodar Seirbheis Directory no Seirbheis Directory a chleachdadh gus luchd-cleachdaidh a dhearbhadh ann an lìonra measgaichte le luchd-dèiligidh UNIX / Linux agus Windows. Airson an fheadhainn mu dheireadh, feumar prògram a chuir a-steach air gach neach-dèiligidh a tha ag obair mar eadar-mheadhanair eadar an t-Seirbheis Directory agus an neach-dèiligidh Windows fhèin, leithid bathar-bog an-asgaidh. duilleag.

Seirbheis Directory le OpenLDAP

  • Bidh sinn a ’tòiseachadh bho stàladh glan - taobh a-muigh eadar-aghaidh grafaigeach - de Debian 8“ Jessie ”, leis an aon ainm inneal "maighstir" air a chleachdadh airson stàladh NIS, a bharrachd air rèiteachadh an eadar-aghaidh lìonra aige agus am faidhle /etc/resolv.conf. Chuir sinn a-steach an ntp, bind9 agus isc-dhcp-server airson an t-seirbheisiche ùr seo, gun a bhith a ’dìochuimhneachadh na sgrùdaidhean cruinneil air obrachadh ceart nan trì seirbheisean a bh’ ann roimhe.
root @ master: ~ # aptitude install slapd ldap-utils

Rèiteachadh pacaid

┌─────────────────────┤ Rèiteachadh Slapd │──────────────────────┐ │ Cuir a-steach am facal-faire airson inntrigeadh rianadair an eòlaire LDAP │ │ agad. Password │ │ │ Facal-faire rianaire: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────┘

Bidh sinn a ’sgrùdadh a’ chiad rèiteachadh

root @ master: ~ # slapcat
dn: dc = swl, dc = fan
objectClass: top objectClass: dcObject objectClass: eagrachadh o: swl.fan dc: swl structarObjectClass: eagrachadh entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = inntrigeadh neach-cruthachaidhTimestamp20170531205219: 20170531205219.833955 cruthaich : 000000ZN000 inntrigeadh Z # 000000 # 20170531205219 # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

dn: cn = admin, dc = swl, dc = fan
objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin Tuairisgeul: userPassword LDAP rianaire :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e-da8e-1036-8fe2-71d022a16904 creatorsName: cn = admin, DC = SWL, DC = fan createTimestamp: 20170531205219Z entryCSN: 20170531205219.834422Z # 000000 # 000 # 000000 modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: 20170531205219Z

Bidh sinn ag atharrachadh am faidhle /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI    ldap: // localhost

Aonadan eagrachaidh agus buidheann coitcheann «luchd-cleachdaidh»

Bidh sinn a ’cur na h-Aonadan Eagrachaidh as ìsle a tha riatanach, a bharrachd air a’ bhuidheann Posix «luchd-cleachdaidh» ris am bi sinn a ’dèanamh buill den luchd-cleachdaidh, a’ leantainn eisimpleir mòran de shiostaman aig a bheil a ’bhuidheann«luchd-cleachdaidh«. Tha sinn ga ainmeachadh leis an ainm «luchd-cleachdaidh» gus nach tèid còmhstri a dhèanamh leis a ’bhuidheann«-cleachdaidh"den t-siostam.

root @ master: ~ # nano base.ldif
dn: ou = daoine, dc = swl, dc = fan objectClass: organisUnit ou: daoine dn: ou = buidhnean, dc = swl, dc = fan objectClass: eagrachaidhUnit ou: buidhnean dn: cn = luchd-cleachdaidh, ou = buidhnean, dc = swl, dc = fan objectClass: posixGroup cn: luchd-cleachdaidh gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Cuir a-steach facal-faire LDAP: cuir a-steach inntrigeadh ùr "ou = daoine, dc = swl, dc = fan" a ’cur inntrigeadh ùr" ou = buidhnean, dc = swl, dc = fan "

Bidh sinn a ’sgrùdadh na h-inntrigidhean a bharrachd

root @ master: ~ # ldapsearch -x ou = daoine
# daoine, swl.fan dn: ou = daoine, dc = swl, dc = fan objectClass: eagrachaidhUnit ou: daoine

root @ master: ~ # ldapsearch -x ou = buidhnean
# buidhnean, swl.fan dn: ou = buidhnean, dc = swl, dc = fan objectClass: eagrachaidhUnit ou: buidhnean

root @ master: ~ # ldapsearch -x cn = luchd-cleachdaidh
# luchd-cleachdaidh, buidhnean, swl.fan dn: cn = luchd-cleachdaidh, ou = buidhnean, dc = swl, dc = fan objectClass: posixGroup cn: luchd-cleachdaidh gidNumber: 10000

Bidh sinn a ’cur grunn luchd-cleachdaidh ris

Feumar am facal-faire a dh ’fheumas sinn ainmeachadh anns an LDAP fhaighinn tron ​​àithne slappasswd, a thilleas facal-faire SSHA crioptaichte.

Facal-faire airson an neach-cleachdaidh a ’dol air adhart:

root @ master: ~ # slappasswd 
Facal-faire ùr: Cuir a-steach facal-faire ùr: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Facal-faire airson legolas neach-cleachdaidh

root @ master: ~ # slappasswd 
Facal-faire ùr: Cuir a-steach facal-faire ùr: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Facal-faire airson gandalf neach-cleachdaidh

root @ master: ~ # slappasswd 
Facal-faire ùr: Cuir a-steach facal-faire ùr: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = ceumannan, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: a ’dol air adhart cn: ceumannan a chaidh a thoirt seachadName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 post: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer userPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 post: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Cleachdaiche an draoidhPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 post: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash homeDirectory: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
Cuir a-steach facal-faire LDAP: cuir a-steach inntrigeadh ùr "uid = strides, ou = people, dc = swl, dc = fan" a ’cur inntrigeadh ùr" uid = legolas, ou = daoine, dc = swl, dc = fan "a’ cur inntrigeadh ùr "uid = gandalf, ou = daoine, dc = swl, dc = fan "

Bidh sinn a ’sgrùdadh na h-inntrigidhean a bharrachd

root @ master: ~ # ldapsearch -x cn = a ’dol air adhart
root @ master: ~ # ldapsearch -x uid = a ’dol air adhart

Bidh sinn a ’riaghladh an stòr-dàta slpad le goireasan tòcan

Bidh sinn a ’taghadh a’ phacaid ldapscripts airson a leithid de ghnìomh. Tha am modh stàlaidh is rèiteachaidh mar a leanas:

root @ master: ~ # aptitude install ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = buidhnean' USUFFIX = 'ou = daoine' # MSUFFIX = 'ou = Coimpiutairean' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # Òrdugh cliant OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEB / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixPLG . /ldapadduser.template "PASSWORDGEN =" mac-talla% u "

Mothaich gu bheil na sgriobtaichean a ’cleachdadh òrdughan a’ phacaid ldap-utils. Ruith dpkg -L ldap-utils | grep / bin fios a bhith agad dè a th ’annta.

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: Ainm ainmichte: sn: displayName: uidNumber: gidNumber: 10000 homeDirectory: loginShell: post: geckos @ swl.fan: tuairisgeul: Cunntas cleachdaiche
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## bidh sinn a ’toirt air falbh am beachd UTEMPLATE =" / etc / ldapscripts / ldapadduser.template "

Bidh sinn a ’cur an neach-cleachdaidh“ bilbo ”ris agus ga dhèanamh na bhall den bhuidheann“ luchd-cleachdaidh ”

root @ master: ~ # luchd-cleachdaidh bilbo ldapadduser
[dn: uid = bilbo, ou = daoine, dc = swl, dc = fan] Cuir a-steach luach airson "givenName": Bilbo [dn: uid = bilbo, ou = daoine, dc = swl, dc = fan] Cuir a-steach luach airson " sn ": Bagins [dn: uid = bilbo, ou = daoine, dc = swl, dc = fan] Cuir a-steach luach airson" displayName ": Chuir Bilbo Bagins gu soirbheachail ris a’ chleachdaiche bilbo gu LDAP Cuir a-steach facal-faire gu soirbheachail airson cleachdaiche bilbo

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, daoine, swl.fan dn: uid = bilbo, ou = daoine, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: cunntas bilbo: Cunntas Cleachdaiche

Gus hash facal-faire an neach-cleachdaidh bilbo fhaicinn, feumar a ’cheist a dhèanamh le dearbhadh:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Gus cuir às don chleachdaiche bilbo a chuireas sinn an gnìomh:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = daoine, dc = swl, dc = fan
Cuir a-steach facal-faire LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

Bidh sinn a ’riaghladh an stòr-dàta slapd tro eadar-aghaidh lìn

Tha Seirbheis Directory gnìomh againn, agus tha sinn airson a riaghladh nas fhasa. Tha mòran phrògraman air an dealbhadh airson a ’ghnìomh seo, leithid an phpldapadmin, ldap-cunntas-manaidsear, msaa, a tha rim faighinn gu dìreach bho na stòran. Faodaidh sinn cuideachd Seirbheis Directory a stiùireadh tron Stiùidio Directory Apache, a dh'fheumas sinn a luchdachadh sìos bhon eadar-lìn.

Airson tuilleadh fiosrachaidh, tadhal air https://blog.desdelinux.net/ldap-introduccion/, agus na 6 artaigilean a leanas.

Neach-dèiligidh LDAP

Ìre:

Abair gu bheil an sgioba againn mail.swl.fan mar fhrithealaiche puist air a chuir an gnìomh mar a chunnaic sinn san artaigil Postfix + Dovecot + Feòrag agus luchd-cleachdaidh ionadail, ged a chaidh a leasachadh air CentOS, is dòcha gu bheil e na stiùireadh airson Debian agus mòran distros Linux eile. Tha sinn ag iarraidh, a bharrachd air na cleachdaichean ionadail a dh ’ainmich sinn mu thràth, gu bheil an luchd-cleachdaidh air an stòradh ann an stòr-dàta OpenLDAP a tha ann mhaighstir.swl.fan. Gus seo a choileanadh feumaidh sinn «mapa a-mach»Do luchd-cleachdaidh LDAP mar luchd-cleachdaidh ionadail air an fhrithealaiche mail.swl.fan. Tha am fuasgladh seo dligheach cuideachd airson seirbheis sam bith stèidhichte air dearbhadh PAM. An dòigh-obrach coitcheann airson Debian, is e na leanas:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌─────────────────────┤ Configuration of libnss-ldap ├──────────────────────┐ │ Cuir a-steach an URI (“Aithniche Stòrais Èideadh”, no │ │ Aithneadair Goireasan Èideadh) den t-seirbheisiche LDAP. Tha an sreang seo coltach ri │ │ «ldap: //: / ». Faodaidh tu cuideachd │ │ cleachdadh «ldaps: // » no "ldapi: //". Tha àireamh a ’phuirt roghainneil. │ │ │ │ Thathas a ’moladh seòladh IP a chleachdadh gus fàiligeadh a sheachnadh nuair nach eil seirbheisean ainm fearainn │ │ rim faighinn. │ │ │ │ LDAP frithealaiche URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └───────────────────────────────────────────────── ────────────────────────────┘ ┘────────────────────── ┤ Rèiteachadh de libnss-ldap ├───────────────────────┐ │ Cuir a-steach ainm cliùiteach (DN) bunait rannsachaidh LDAP. │ │ Bidh mòran làraich a ’cleachdadh co-phàirtean ainm fearainn airson an adhbhar │ │ seo. Mar eisimpleir, bhiodh an àrainn "example.net" a ’cleachdadh │ │" dc = eisimpleir, dc = net "mar ainm cliùiteach a’ bhunait sgrùdaidh. │ │ │ │ Ainm cliùiteach (DN) a ’bhunait rannsachaidh: │ │ │ │ dc = swl, dc = fan ____________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libnss-ldap ├───────────────────────┐ │ Cuir a-steach an dreach den phròtacal LDAP a bu chòir ldapns a chleachdadh. Thathas a ’moladh │ │ an àireamh tionndaidh as àirde a tha ri fhaighinn a chleachdadh. Version │ │ │ Tionndadh LDAP ri chleachdadh: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libnss-ldap ├───────────────────────┐ ┐ Tagh dè an cunntas a thèid a chleachdadh airson ceistean nss le sochairean │ │. │ │ │ │ Nòta: Gus an obraich an roghainn seo, feumaidh an cunntas ceadan │ │ a bhith comasach air faighinn gu na feartan LDAP a tha co-cheangailte ris an neach-cleachdaidh │ │ “sgàil” inntrigidhean a bharrachd air faclan-faire an luchd-cleachdaidh agus buidhnean │ │ . │ │ │ │ LDAP cunntas airson root: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libnss-ldap ├──────────────────────┐ │ Cuir a-steach am facal-faire airson a chleachdadh nuair a bhios libnss-ldap a ’feuchainn ri │ │ dearbhadh a dhèanamh air an eòlaire LDAP leis a’ chunntas root LDAP. │ │ │ │ Thèid am facal-faire a shàbhaladh ann am faidhle air leth │ │ ("/etc/libnss-ldap.secret") nach fhaighear a-steach ach le freumh. │ │ │ │ Ma chuireas tu a-steach facal-faire falamh, thèid an seann fhacal-faire ath-chleachdadh. │ │ │ │ Facal-faire airson cunntas LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────────── ─────────────────────────────┘ ┘───────────────────── ─┤ Rèiteachadh de libnss-ldap ├───────────────────────┐ │ │ │ nsswitch.conf air a riaghladh gu fèin-ghluasadach │ │ │ │ Feumaidh tu am faidhle agad atharrachadh "/etc/nsswitch.conf "gus stòr-dàta LDAP a chleachdadh ma tha thu airson gun obraich am pasgan libnss-ldap. │ │ Faodaidh tu am faidhle sampall │ │ a chleachdadh ann an "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" mar eisimpleir den rèiteachadh nsswitch no │ │ faodaidh tu a chopaigeadh thairis air an rèiteachadh gnàthach agad. │ │ │ │ Thoir fa-near, mus cuir thu às a ’phacaid seo gum faodadh e a bhith goireasach │ │ na h-inntrigidhean“ ldap ”a thoirt air falbh bhon fhaidhle nsswitch.conf gus am bi na seirbheisean bunaiteach │ │ a’ leantainn orra ag obair. │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libpam-ldap ├───────────────────────┐ ┐ │ │ Tha an roghainn seo a ’leigeil le innealan facal-faire a’ cleachdadh PAM faclan-faire ionadail atharrachadh. │ │ │ │ Thèid am facal-faire airson cunntas rianadair LDAP a stòradh ann am faidhle │ separate air leth nach urrainn ach an rianaire a leughadh. │ │ │ │ Bu chòir an roghainn seo a bhith air a chiorramachadh, ma tha e a ’dìreadh“ / msaa ”tro NFS. │ │ │ │ A bheil thu airson leigeil le cunntas rianadair LDAP a bhith gad ghiùlan fhèin mar │ │ an rianadair ionadail? │ │ │ │                                            │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libpam-ldap ├───────────────────────┐ ┐ │ │ Tagh a bheil am frithealaiche LDAP a ’toirt aithne dha mus faigh thu inntrigidhean │. │ │ │ │ Is ann ainneamh a tha feum air an t-suidheachadh seo. │ │ │ │ A bheil feum air neach-cleachdaidh faighinn chun stòr-dàta LDAP? │ │ │ │                                               │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libpam-ldap ├───────────────────────┐ │ Cuir a-steach ainm cunntas rianadair LDAP. │ │ │ │ Thèid an cunntas seo a chleachdadh gu fèin-ghluasadach airson riaghladh stòr-dàta │ │ agus mar sin feumaidh na sochairean rianachd iomchaidh a bhith aige. Account │ │ │ Cunntas rianadair LDAP: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘ ┘───────────────────── ──┤ Rèiteachadh de libpam-ldap ├───────────────────────┐ │ Cuir a-steach am facal-faire airson cunntas an rianaire. │ │ │ │ Thèid am facal-faire a shàbhaladh san fhaidhle "/etc/pam_ldap.secret". Is e an rianaire │ │ an aon fhear as urrainn am faidhle seo a leughadh, agus leigidh e le │ │ libpam-ldap smachd a chumail gu fèin-ghluasadach air riaghladh cheanglaichean anns an stòr-dàta automatically │. │ │ │ │ Ma dh'fhàgas tu an raon seo bàn, thèid am facal-faire a chaidh a shàbhaladh roimhe │ │ a chleachdadh a-rithist. Password │ │ │ Facal-faire rianadair LDAP: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Eisimpleir rèiteachadh de ghoireas GNU Ainm Seirbheis Switch. # Ma tha na pacaidean `glibc-doc-reference 'agus` info' agad air an stàladh, feuch: #` info libc "Name Service Switch" 'airson fiosrachadh mun fhaidhle seo. passwd: compat ldap
buidheann: compat ldap
dubhar: compat ldap
gshadow: faidhlichean a ’toirt aoigheachd: faidhlichean dns lìonraidhean: protocolaidhean faidhlichean: seirbheisean faidhlichean db: db faidhlichean ethers: db faidhlichean rpc: db files netgroup: nis

Deasaichidh sinn am faidhle /etc/pam.d/common-password, bidh sinn a ’dol gu loidhne 26 agus a’ cur às don luach «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - modalan co-cheangailte ri facal-faire a tha cumanta don h-uile seirbheis # # Tha am faidhle seo air a thoirt a-steach bho fhaidhlichean config PAM seirbheis-sònraichte eile, # agus bu chòir liosta de mhodalan a bhith ann a tha a ’mìneachadh nan seirbheisean a bhith # air a chleachdadh gus faclan-faire luchd-cleachdaidh atharrachadh. Is e pam_unix an roghainn bunaiteach. # Mìneachadh air roghainnean pam_unix: # # Tha an roghainn "sha512" a ’comasachadh faclan-faire SHA512 saillte. Às aonais an roghainn seo, # is e Unix crypt an roghainn bunaiteach. Chleachd fiosan ro-làimh an roghainn "md5". # # Tha an roghainn "doilleir" a ’dol an àite an t-seann roghainn` OBSCURE_CHECKS_ENAB 'ann an # login.defs. # # Faic an duilleag pam_unix airson roghainnean eile. # Mar de pam 1.0.1-6, tha am faidhle seo air a riaghladh le pam-auth-update gu bunaiteach. # Gus brath a ghabhail air seo, thathas a ’moladh gun cruthaich thu # modalan ionadail sam bith ro no às deidh a’ bhloc bunaiteach, agus gun cleachd thu # pam-auth-update gus taghadh mhodalan eile a riaghladh. Faic # pam-auth-update (8) airson mion-fhiosrachadh. # an seo tha na modalan per-package (am bloc "Bun-sgoil") facal-faire [success = 2 default = neamhaird] pam_unix.so doilleir sha512
facal-faire [success = 1 user_unknown = leig seachad dearmad = bàsachadh] pam_ldap.so try_first_pass
# seo an tuiteam air ais mura soirbhich modal sam bith le facal-faire riatanach pam_deny.so # prìomhaich a ’chruach le luach toraidh adhartach mura h-eil fear ann mu thràth; # tha seo a ’seachnadh mearachd a thilleadh dìreach leis nach eil dad a’ suidheachadh còd soirbheachais # oir leumaidh na modalan gu h-àrd timcheall air facal-faire a tha riatanach pam_permit.so # agus an seo tha barrachd mhodalan gach pacaid (am bloc "a bharrachd") # deireadh pam- config auth-update

Air eagal gum feum sinn Log a-steach Ionadail an luchd-cleachdaidh a tha air a stòradh san LDAP, agus tha sinn airson gum bi na pasganan aca air an cruthachadh gu fèin-ghluasadach dachaigh, feumaidh sinn am faidhle a dheasachadh /etc/pam.d/common-session agus cuir an loidhne a leanas aig deireadh an fhaidhle:

seisean roghainneil pam_mkhomedir.so skel = / etc / skel umask = 077

Anns an eisimpleir Seirbheis Directory OpenLDAP a chaidh a leasachadh na bu thràithe, b ’e an neach-cleachdaidh an aon neach-cleachdaidh ionadail a chaidh a chruthachadh sgaoileadh, agus ann an LDAP bidh sinn a ’cruthachadh an luchd-cleachdaidh ceumannan, legolas, thallagus bilbo. Ma tha na rèiteachaidhean a chaidh a dhèanamh gu ruige seo ceart, bu chòir dhuinn a bhith comasach air liosta a dhèanamh de na cleachdaichean ionadail agus an fheadhainn a tha air am mapadh mar ionadail ach air an stòradh anns an fhrithealaiche LDAP iomallach:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian A ’chiad OS ,,,: / dachaigh / buzz: / bin / bash
Strì: x: 10000: 10000: Strides El Rey: / dachaigh / ceumannan: / bin / bash
legolas: x: 10001: 10000: Boghadair Legolas: / dachaigh / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf An Draoidh: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Às deidh na h-atharrachaidhean ann an dearbhadh an t-siostaim, tha e dligheach an frithealaiche ath-thòiseachadh no tha seirbheis èiginneach romhainn:

root @ mail: ~ # ath-thòisich

Nas fhaide air adhart bidh sinn a ’tòiseachadh seisean ionadail air an fhrithealaiche mail.swl.fan le teisteanasan neach-cleachdaidh air a stòradh ann an stòr-dàta LDAP de mhaighstir.swl.fan. Faodaidh sinn cuideachd feuchainn ri logadh a-steach tro SSH.

 

buzz @ sysadmin: ~ $ ssh gandalf @ mail
facal-faire gandalf @ mail: A ’cruthachadh eòlaire‘ / home / gandalf ’. Tha na prògraman a tha air an toirt a-steach do shiostam Debian GNU / Linux nam bathar-bog an-asgaidh; tha na dearbh theirmean sgaoilidh airson gach prògram air am mìneachadh anns na faidhlichean fa leth ann an / usr / share / doc / * / dlighe-sgrìobhaidh. Tha Debian GNU / Linux a ’tighinn le BUN-FHIOSRACHADH UILE, chun na h-ìre a tha ceadaichte fon lagh iomchaidh.
gandalf @ mail: ~ $ su
Contraseña:

root @ mail: / home / gandalf # buidheann getent
buzz: x: 1001: luchd-cleachdaidh: *: 10000:

root @ mail: / home / gandalf # fàgail
fàgail

gandalf @ mail: ~ $ ls -l / home /
iomlan 8 drwxr-xr-x 2 buzz buzz     4096 Jun 17 12:25 buzz drwx ------ 2 luchd-cleachdaidh gandalf 4096 Jun 17 13:05 gandalf

Bidh an t-Seirbheis Directory a chaidh a chuir an gnìomh aig ìre an fhrithealaiche agus an neach-dèiligidh, ag obair gu ceart.

Kerberos

Bho Wikipedia:

  • Tha Kerberos na phròtacal dearbhaidh lìonra coimpiutair a chaidh a chruthachadh leis an MIT a leigeas le dà choimpiutair air lìonra mì-chinnteach an dearbh-aithne a dhearbhadh dha chèile gu tèarainte. Bha na dealbhadairean aige an toiseach a ’cuimseachadh air modal frithealaiche-cliant, agus tha e a’ toirt seachad dearbhadh dha chèile: bidh an dà chuid teachdaiche agus frithealaiche a ’dearbhadh dearbh-aithne a chèile. Tha teachdaireachdan dearbhaidh air an dìon gus casg eavesdropping y ath-chluich ionnsaighean.

    Tha Kerberos stèidhichte air prìomh chrioptachadh co-chothromach agus feumaidh e treas pàrtaidh earbsach. A bharrachd air an sin, tha leudachadh air a ’phròtacal gus a bhith comasach air prìomh chrioptachadh asymmetric a chleachdadh.

    Tha Kerberos stèidhichte air an Pròtacal Needham-Schroeder. Bidh e a ’cleachdadh treas phàrtaidh earbsach, ris an canar“ Prìomh Ionad Sgaoilidh ”(KDC), anns a bheil dà phàirt loidsigeach air leth:“ frithealaiche dearbhaidh ”(AS no frithealaiche dearbhaidh) agus“ frithealaiche cuir a-mach tiogaidean ”(TGS no frithealaiche tabhartais tiogaid ). Bidh Kerberos ag obair air bunait “tiogaidean”, a bhios a ’dearbhadh dearbh-aithne luchd-cleachdaidh.

    Bidh Kerberos a ’cumail stòr-dàta de iuchraichean dìomhair; Bidh gach eintiteas air an lìonra - biodh e mar neach-dèiligidh no frithealaiche - a ’roinn iuchair dhìomhair nach eil aithnichte ach e fhèin agus Kerberos. Bidh eòlas air an iuchair seo a ’dearbhadh dearbh-aithne an eintiteas. Airson conaltradh eadar dà eintiteas, bidh Kerberos a ’gineadh iuchair seisean, as urrainn dhaibh a chleachdadh gus na duilgheadasan aca a dhèanamh tèarainte.

Eas-bhuannachdan Kerberos

De Eagraichte:

A dh ’aindeoin sin Kerberos a ’toirt air falbh bagairt tèarainteachd cumanta, faodaidh e a bhith duilich a bhuileachadh airson grunn adhbharan:

  • A ’gluasad faclan-faire cleachdaiche bho stòr-dàta àbhaisteach facal-faire UNIX, leithid / etc / passwd no / etc / shadow, gu stòr-dàta facal-faire Kerberos, a bhith tedious agus chan eil dòigh luath ann airson a ’ghnìomh seo a choileanadh.
  • Tha Kerberos a ’gabhail ris gu bheil earbsa aig gach neach-cleachdaidh, ach gu bheil e a’ cleachdadh inneal gun earbsa air lìonra gun earbsa. Is e am prìomh amas aige casg a chuir air faclan-faire gun chrioptachadh bhon lìonra. Ach, ma tha cothrom aig neach-cleachdaidh sam bith eile, a bharrachd air an neach-cleachdaidh iomchaidh, air an inneal tiocaid (KDC) airson dearbhadh, bhiodh Kerberos ann an cunnart.
  • Airson tagradh gus Kerberos a chleachdadh, feumar an còd atharrachadh gus na gairmean iomchaidh a dhèanamh gu leabharlannan Kerberos. Thathas den bheachd gu bheil tagraidhean a tha air an atharrachadh san dòigh seo kerberized. Airson cuid de thagraidhean, dh ’fhaodadh seo a bhith na oidhirp prògramaidh cus, air sgàth meud an tagraidh no an Dealbhadh aige. Airson tagraidhean neo-fhreagarrach eile, feumar atharrachaidhean a dhèanamh air an dòigh sa bheil frithealaiche an lìonraidh agus an luchd-dèiligidh a ’conaltradh; a-rithist, faodaidh seo tòrr prògram a ghabhail. San fharsaingeachd, mar as trice is e tagraidhean stòr dùinte aig nach eil taic Kerberos an fheadhainn as duilghe.
  • Mu dheireadh, ma cho-dhùnas tu Kerberos a chleachdadh air an lìonra agad, feumaidh tu tuigsinn gur e roghainn uile no dad a th ’ann. Ma cho-dhùnas tu Kerberos a chleachdadh air an lìonra agad, feumaidh tu cuimhneachadh ma thèid facal-faire sam bith a chuir gu seirbheis nach bi a ’cleachdadh Kerberos gus dearbhadh, tha cunnart ann gun tèid a’ phasgan a ghlacadh. Mar sin, cha bhith an lìonra agad na bhuannachd bho bhith a ’cleachdadh Kerberos. Gus an lìonra agad a dhèanamh tèarainte le Kerberos, cha bu chòir dhut ach na dreachan kerberized de gach aplacaid teachdaiche / frithealaiche a chuireas faclan-faire gun chrioptachadh no nach cleachd gin de na tagraidhean sin air an lìonra..

Chan e obair furasta a th ’ann a bhith a’ buileachadh agus a ’rèiteachadh OpenLDAP mar chùl-taic Kerberos. Ach, nas fhaide air adhart chì sinn gu bheil an Directory Samba 4 Active - Domain Controller ag amalachadh ann an dòigh fhollaiseach airson an Sysadmin, frithealaiche DNS, Lìonra Microsoft agus an Rianadair Domain aige, frithealaiche LDAP mar Back-End de cha mhòr a h-uile stuth aige, agus an t-seirbheis dearbhaidh stèidhichte air Kerberos mar phàirtean bunaiteach de Directory Gnìomhach ann an stoidhle Microsoft.

Mar an latha an-diugh cha robh feum againn air “Lìonra Kerberized” a chuir an gnìomh. Sin as coireach nach do sgrìobh sinn mu dheidhinn mar a chuireas tu Kerberos an gnìomh.

Samba 4 Directory Gnìomhach - Rianadair Domain

Cudromach:

Chan eil sgrìobhainnean nas fheàrr na an làrach wiki.samba.org. Bu chòir don Sysadmin fèin-spèis tadhal air an làrach sin - ann am Beurla - agus brobhsadh an àireamh mhòr de dhuilleagan a tha coisrigte gu tur do Samba 4, sgrìobhte le Sgioba Samba fhèin. Cha chreid mi gu bheil sgrìobhainnean ri fhaighinn air an eadar-lìn airson a dhol na àite. A bharrachd air an sin, cum sùil air an àireamh de thadhalan aig bonn gach duilleig. Is e eisimpleir de seo gun deach tadhal air do phrìomh dhuilleag no «Prìomh Duilleag» 276,183 amannan tron ​​latha an-diugh 20 Ògmhios, 2017 aig 10: 10m aig àm àbhaisteach an ear. A bharrachd air an sin, tha na sgrìobhainnean air an cumail suas gu ìre, oir chaidh an duilleag sin atharrachadh air 6 Ògmhios.

Bho Wikipedia:

Tha Samba na bhuileachadh an-asgaidh de phròtacal roinneadh fhaidhlichean Microsoft Windows (air an robh SMB roimhe, air ath-ainmeachadh CIFS o chionn ghoirid) airson siostaman coltach ri UNIX. San dòigh seo, tha e comasach gum bi coimpiutairean le GNU / Linux, Mac OS X no Unix san fharsaingeachd a ’coimhead coltach ri frithealaichean no ag obair mar luchd-dèiligidh ann an lìonraidhean Windows. Leigidh Samba leat luchd-cleachdaidh a dhearbhadh mar Phrìomh Rianadair Fearann ​​(PDC), mar bhall fearainn agus eadhon mar àrainn Active Directory airson lìonraidhean stèidhichte air Windows; a bharrachd air a bhith comasach air ciudha clò, seòlaidhean co-roinnte agus dearbhadh leis an tasglann cleachdaiche agad fhèin.

Am measg nan siostaman coltach ri Unix air an urrainnear Samba a ruith tha na sgaoilidhean GNU / Linux, Solaris agus na diofar atharrachaidhean BSD am measg na gun urrainn dhuinn frithealaiche Mac OS X Apple a lorg.

Samba 4 AD-DC leis an DNS a-staigh aige

  • Bidh sinn a ’tòiseachadh bho stàladh glan - taobh a-muigh eadar-aghaidh grafaigeach - de Debian 8“ Jessie ”.

Sgrùdaidhean tòiseachaidh

root @ master: ~ # ainm aoigheachd
mhaighstir
root @ master: ~ # ainm aoigheachd --fqdn
mhaighstir.swl.fan
root @ master: ~ # ip addr
1: dè: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 raon aoigheachd lo valid_lft gu bràth roghainn_lft gu bràth inet6 :: 1/128 raon aoigheachd valid_lft gu bràth roghainn_lft gu bràth 2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 ceangal / ether 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 farsaingeachd cruinne eth0
       valid_lft gu bràth fheàrr_lft gu bràth inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 ceangal leudachaidh valid_lft gu bràth fheàrr_lft gu bràth
root @ master: ~ # cat /etc/resolv.conf
rannsaich swl.fan nameserver 127.0.0.1
  • Leis am bi sinn ag ainmeachadh a ’mheur prìomh a-mhàin, tha e nas motha na gu leòr airson na h-adhbharan againn.
root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Diùraidhidh prìomh
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / ùrachaidhean prìomh

Postfix le Exim agus goireasan

root @ master: ~ # aptitude install postfix htop mc deborphan

  ┌───────────────────────── ┤ Postfix Configuration ├──────────────────────── ────┐ │ Tagh an seòrsa rèiteachadh frithealaiche puist as fheàrr a fhreagras air na feumalachdan │ │ agad. │ │ │ │ Gun rèiteachadh: │ │ A ’cumail an rèiteachadh gnàthach gu h-iomlan. │ │ Làrach eadar-lìn: │ │ Tha post air a chuir agus air fhaighinn gu dìreach a ’cleachdadh SMTP. │ │ Eadar-lìn le «smarthost»: │ │ Gheibhear post gu dìreach a ’cleachdadh SMTP no le bhith a’ ruith inneal como like mar «fetchmail». Bithear a ’cur post a-mach le bhith a’ cleachdadh │ │ “smarthost”. │ mail Post ionadail a-mhàin: │ │ Tha an aon phost a thèid a lìbhrigeadh airson luchd-cleachdaidh ionadail. Chan eil │ │ tha lìonra ann. │ │ │ │ Seòrsa coitcheann de rèiteachadh puist: │ │ │ │ Gun rèiteachadh │ │ Làrach eadar-lìn │ │ Eadar-lìn le "smarthost" │ │ Siostam saideal │ │                         Post ionadail a-mhàin                                │ │ │ │ │ │                                     │ │ │ └─────────────────────────────────────────────────── . ─────┤ Rèiteachadh Postfix ├──────────────────────────┐ ┐ Is e “ainm siostam a’ phuist ”ainm an àrainn a tha │ Tha │ air a chleachdadh gus seòlaidhean puist-d _ALL_ "airidh" gun ainm àrainn. Tha seo a ’toirt a-steach post gu agus bho“ root ”: feuch nach dèan thu │ │ an inneal agad cuir puist-d bho root@example.org gu │ │ nas lugha na root@example.org dh'fhaighnich. │ │ │ │ Bidh prògraman eile a ’cleachdadh an ainm seo. Feumaidh e a bhith na ainm àrainn barrantaichte │ │ (FQDN). │ │ │ │ Mar sin, ma tha seòladh puist-d air an inneal ionadail │ │ rudeigin@example.org, bidh an luach ceart airson an roghainn seo mar eisimpleir.org. │ │ │ │ Ainm siostam puist: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ──────────────────────────────┘  

Bidh sinn a ’glanadh

root @ master: ~ # aptitude purge ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # aptitude glan
root @ master: ~ # aptitude autoclean

Bidh sinn a ’stàladh riatanasan gus Samba 4 agus pasganan riatanach eile

root @ master: ~ # aptitude install acl attr autoconf bison \
togail-riatanach debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-cleachdaiche libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-Perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modalan pkg-config \
python-uile-dev python-dev python-dnspython python-Crypto \
xsltproc zlib1g-dev libgpgme11-dev python-gpgme python-m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-Rèiteachadh

 ┌────────────────┤ A ’rèiteachadh dearbhadh Kerberos ├───────────────┐ ┐ Nuair a bhios luchd-cleachdaidh a’ feuchainn ri Kerberos a chleachdadh agus ainm a chomharrachadh │ │ prionnsapal no neach-cleachdaidh gun a bhith a ’soilleireachadh cò an raon rianachd Kerberos a bhuineas don phrionnsapal │ │, tha an siostam a’ gabhail an fhìor roghainn │.  Faodar an raon bunaiteach a chleachdadh cuideachd mar an raon │ │ de sheirbheis Kerberos a tha a ’ruith air an inneal ionadail.  │ │ Mar as trice, is e an rìoghachd bunaiteach ainm àrd an fhearainn DNS local local ionadail.  │ │ │ │ Kerberos dreach 5 fearann ​​bunaiteach: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── ────────────────────────────── ┘────────────── ┤ A ’rèiteachadh dearbhadh Kerberos ├────────────────┐ │ Cuir a-steach ainmean luchd-frithealaidh Kerberos ann an rìoghachd SWL.FAN de │ │ Kerberos, air an sgaradh le beàrnan.  │ │ │ │ Kerberos frithealaichean airson do rìoghachd: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └─────────────────────────────────────────────────── . ├────────────────┐ │ Cuir a-steach ainm an fhrithealaiche rianachd (atharrachadh facal-faire) │ │ airson rìoghachd Kerberos SWL.FAN.   

Thug am pròiseas gu h-àrd beagan ùine oir chan eil seirbheis DNS againn air a chuir a-steach fhathast. Ach, thagh thu an àrainn gu ceart a rèir roghainnean an fhaidhle / etc / hosts. Cuimhnich sin san fhaidhle /etc/resolv.conf tha sinn air ainmeachadh mar fhrithealaiche ainm fearainn don IP 127.0.0.1.

Tha sinn a-nis a ’rèiteachadh am faidhle / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI ldap: //master.swl.fan

Airson ceistean a ’cleachdadh an àithne ldapsearch air an dèanamh bhon neach-cleachdaidh root den t-seòrsa ldapsearch -x -W cn = xxxx, feumaidh sinn am faidhle a chruthachadh /root/.ldapsearc leis an t-susbaint a leanas:

root @ master: ~ # nano .ldaprc
BINDDN CN = Rianadair, CN = Luchd-cleachdaidh, DC = swl, DC = fan

Feumaidh an siostam faidhle taic a thoirt do ACL - Liosta Smachd Ruigsinneachd

root @ master: ~ # nano / etc / fstab
# / etc / fstab: fiosrachadh siostam faidhle statach. # # Cleachd 'blkid' gus an aithnichear sònraichte a chlò-bhualadh airson inneal #; faodar seo a chleachdadh le UUID = mar dhòigh nas làidire air innealan # ainmeachadh a bhios ag obair eadhon ged a thèid diosgan a chur ris agus a thoirt air falbh. Faic fstab (5). # # # / bha e air / dev / sda1 aig àm an stàlaidh UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, bacadh = 1, noatime, mearachdan = remount-ro 0 1
chaidh # swap air / dev / sda5 aig àm an stàlaidh UUID = cb73228a-615d-4804-9877-3ec225e3ae32 none swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 cleachdaiche, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # touch tests_acl.txt
root @ master: ~ # setfattr -n user.test -v test test_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 test_acl.txt
root @ master: ~ # getfattr -d test_acl.txt
# file: tests_acl.txt user.test = "deuchainn"

root @ master: ~ # getfattr -n security.test -d test_acl.txt
# file: tests_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx test_acl.txt

root @ master: ~ # getfacl test_acl.txt
# faidhle: tests_acl.txt # sealbhadair: root # buidheann: root user :: rw- group :: r-- buidheann: adm: rwx masc :: rwx eile :: r--

Bidh sinn a ’faighinn stòr Samba 4, ga chur ri chèile, agus ga stàladh

Thathas a ’moladh gu mòr am faidhle stòr dreach a luchdachadh sìos Stàball bhon làrach https://www.samba.org/. San eisimpleir againn, luchdaich sinn sìos an dreach samba-4.5.1.tar.gz a dh ’ionnsaigh am pasgan / roghnaich.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Roghainnean rèiteachaidh

Ma tha sinn airson na roghainnean rèiteachaidh a ghnàthachadh, bidh sinn a ’cur an gnìomh:

root @ master: /opt/samba-4.5.1# ./configure --help

agus tagh gu faiceallach an fheadhainn a dh ’fheumas sinn. Tha e ciallach sgrùdadh a dhèanamh an gabh a ’phacaid a chaidh a luchdachadh sìos a chuir a-steach air an sgaoileadh Linux a tha sinn a’ cleachdadh, agus sa chùis againn tha Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# ./configure distcheck

Bidh sinn a ’rèiteachadh, a’ cur ri chèile agus a ’stàladh samba-4.5.1

  • Bho na riatanasan a chaidh a chuir a-steach roimhe agus na faidhlichean 8604 (a tha a ’dèanamh suas an samba-4.5.1.tar.gz) a tha a’ tomhas timcheall air 101.7 megabytes - a ’toirt a-steach na pasganan source3 agus source4 a tha mu 61.1 megabytes - gheibh sinn fear eile Directory gnìomhach ann an stoidhle Microsoft, de chàileachd is seasmhachd nas motha na tha iomchaidh airson àrainneachd riochdachaidh sam bith. Feumaidh sinn cuideam a chuir air obair Sgioba Samba ann a bhith a ’lìbhrigeadh am bathar-bog an-asgaidh Samba 4.

Is e na h-òrdughan gu h-ìosal an fheadhainn clasaigeach airson pasganan a chuir ri chèile agus a chuir a-steach bho na stòran aca. Feumaidh sinn a bhith foighidneach fhad ‘s a mhaireas am pròiseas air fad. Is e an aon dòigh air toraidhean dligheach is ceart fhaighinn.

root @ master: /opt/samba-4.5.1# ./configure --with-Systemd --disable-cupannan
root @ master: /opt/samba-4.5.1# a dhèanamh
root @ master: /opt/samba-4.5.1# stàlaich a dhèanamh

Rè a ’phròiseas àithne a dhèanamh, chì sinn gu bheil na stòran Samba 3 agus Samba 4 air an cur ri chèile. Is e sin as coireach gu bheil Sgioba Samba a ’daingneachadh gur e an dreach 4 aige an ùrachadh nàdarra de dhreach 3, an dà chuid airson Rianadairean Domain stèidhichte air Samba 3 + OpenLDAP, agus frithealaichean faidhle, no nas sine dreachan de Samba 4.

A ’solarachadh Samba

Cleachdaidh sinn mar DNS an SAMBA_INTERNAL. en https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End gheibh sinn barrachd fiosrachaidh. Nuair a dh ’iarras iad facal-faire cleachdaiche an rianaire dhuinn, feumaidh sinn aon de na 8 caractaran as lugha a sgrìobhadh agus cuideachd le litrichean - litrichean àrda is ìosal - agus àireamhan.

Mus lean sinn air adhart leis an t-solar agus gus beatha a dhèanamh nas fhasa, bidh sinn a ’cur ris an slighe de na rudan Samba so-ghnìomhaichte san fhaidhle againn .bashrcAn uairsin bidh sinn a ’dùnadh agus a’ logadh a-steach a-rithist.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: air a chur gu bàs le bash (1) airson sligean neo-logadh a-steach. # Nòta: Tha PS1 agus umask mu thràth suidhichte ann an / etc / profile. Cha bu chòir dhut # feum a bhith agad air seo mura h-eil thu ag iarraidh easbhaidhean eadar-dhealaichte airson freumh. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Faodaidh tu na loidhnichean a leanas a thoirt còmhla ma tha thu airson gun tèid `ls 'a dhath: # às-mhalairt LS_OPTIONS =' - color = auto '# mheasadh "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Barrachd ailiasan eile gus mearachdan a sheachnadh: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
dearbhaich -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # fàgail logout Ceangal gu maighstir dùinte. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # solar fearainn samba-tool --use-rfc2307 --interactive
Rìoghachd [SWL.FAN]: SWL.FAN
 Fearann ​​[SWL]: SWL
 Dreuchd an fhrithealaiche (dc, ball, standalone) [dc]: dc
 Deireadh-seachdain DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, GUN) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 Seòladh IP DNS forwarder (sgrìobh 'chan eil gin' gus a chuir air adhart) [192.168.10.5]: 8.8.8.8
Facal-faire rianaire: TuPassword2017
Facal-faire Retype: TuPassword2017
A ’coimhead suas seòlaidhean IPv4 A’ coimhead suas seòlaidhean IPv6 Cha tèid seòladh IPv6 a shònrachadh A ’stèidheachadh share.ldb A’ stèidheachadh dìomhaireachd.ldb A ’stèidheachadh a’ chlàraidh A ’stèidheachadh an stòr-dàta sochairean A’ stèidheachadh idmap db A ’stèidheachadh SAM db A’ suidheachadh sgaradh agus suidheachadh sam.ldb suas sam.ldb rootDSE Ro-luchdadh sgeama Samba 4 agus AD A ’cur DomainDN: DC = swl, DC = fan A’ cur suas inneal rèiteachaidh A ’stèidheachadh sgeama sam.ldb A’ suidheachadh dàta rèiteachaidh sam.ldb A ’suidheachadh specifiers taisbeanaidh Ag atharrachadh specifiers taisbeanaidh A’ cur luchd-cleachdaidh ris Ag atharrachadh inneal-gleidhidh luchd-cleachdaidh Cuir ris coimpiutairean container Ag atharrachadh inneal coimpiutaireachd A ’stèidheachadh dàta sam.ldb A’ stèidheachadh phrionnsapalan tèarainteachd ainmeil A ’stèidheachadh luchd-cleachdaidh agus buidhnean sam.ldb A’ stèidheachadh fèin-cheangal Cuir cunntasan DNS a ’cruthachadh CN = MicrosoftDNS, CN = System, DC = swl, DC = fan A ’cruthachadh roinnean DomainDnsZones agus ForestDnsZones a’ cuairteachadh roinnean DomainDnsZones agus ForestDnsZones A ’suidheachadh comharran root.SE sam.ldb mar sholar sioncronaich solar GUIDsChaidh rèiteachadh Kerberos a tha freagarrach airson Samba 4 a chruthachadh aig /usr/local/samba/private/krb5.conf A ’suidheachadh suidheachadh frithealaiche yp meallta Cho luath‘ s a thèid na faidhlichean gu h-àrd a chuir a-steach, bidh an frithealaiche Samba4 agad deiseil gus Dreuchd an Fhrithealaiche a chleachdadh: fearann ​​eòlaire gnìomhach rianadair Ainm aoigheachd: maighstir NetBIOS Fearann: SWL DNS Domain: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Na dìochuimhnich lethbhreac a dhèanamh de fhaidhle rèiteachaidh Kerberos mar a tha air a chomharrachadh le toradh an Solarachadh:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Gus nach cuir thu an àithne samba-inneal leis an làn ainm agad, bidh sinn a ’cruthachadh ceangal samhlachail leis an ainm ghoirid inneal:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Bidh sinn a ’stàladh an NTP

Is e pìos bunaiteach ann an Directory Gnìomhach an t-Seirbheis Ùine Lìonra. Leis gu bheil an dearbhadh air a dhèanamh tro Kerberos agus na Tiogaidean aige, tha e deatamach gun tèid an ùine a cho-fhilleadh leis an Samba 4 AD-DC.

root @ master: ~ # aptitude install ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd staitistig loopstats peerstats clockstats filegen loopstats faidhle loopstats seòrsa latha a ’comasachadh faidhle peerstats faidhle peerstats seòrsa latha comasachadh filegenstats faidhle cloc faidhle seòrsa cloc latha comasachadh frithealaiche 192.168.10.1 cuingealachadh -4 default kod notrap nomodify nopeer noquery srian -6 default kod notrap nomodify nopeer noquery cuingealachadh mssntp cuingealachadh 127.0.0.1 cuingealachadh :: 1 craoladh 192.168.10.255

root @ master: ~ # seirbheis ntp ath-thòiseachadh
root @ master: ~ # inbhe ntp seirbheis

root @ master: ~ # tail -f / var / log / syslog

Ma tha thu a ’sgrùdadh an syslog a ’cleachdadh an àithne gu h-àrd no a’ cleachdadh journalctl -f gheibh sinn an teachdaireachd:

19 Ògmhios 12:13:21 maighstir ntpd_intres [1498]: bhàsaich pàrant mus do chrìochnaich sinn, a ’falbh

feumaidh sinn an t-seirbheis ath-thòiseachadh agus feuchainn ris a-rithist. A-nis bidh sinn a ’cruthachadh am pasgan ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: chan urrainn dhut faighinn gu / usr / local / samba / var / lib / ntp_signd: Chan eil faidhle no eòlaire ann

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Mar a chaidh iarraidh air samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 Jun 19 12:21 / usr / local / samba / var / lib / ntp_signd

Bidh sinn a ’rèiteachadh tòiseachadh Samba a’ cleachdadh systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Seirbheis] Seòrsa = a ’forc PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Stàlaich] WantedBy = multi-user.target

root @ master: ~ # systemctl comas samba-ad-dc
root @ master: ~ # ath-thòisich

root @ master: ~ # inbhe systemctl samba-ad-dc
root @ master: ~ # status systeml ntp

Samba 4 àiteachan faidhle AD-DC

GACH -thoir air falbh an samba-ad-dc.service ùr-chruthaichte- tha na faidhlichean ann:

root @ master: ~ # ls -l / usr / local / samba /
iomlan 32 drwxr-sr-x 2 luchd-obrach freumh 4096 Jun 19 11:55 mìle
drwxr-sr-x 2 root staff 4096 Jun 19 11:50 msaa
drwxr-sr-x 7 root staff 4096 Jun 19 11:30 gabhail a-steach
drwxr-sr-x 15 luchd-obrach freumh 4096 Jun 19 11:33 lib
drwxr-sr-x 7 root staff 4096 Jun 19 12:40 prìobhaideach
drwxr-sr-x 2 root staff 4096 Jun 19 11:33 sbin
drwxr-sr-x 5 root staff 4096 Jun 19 11:33 Sgaoil
drwxr-sr-x 8 root staff 4096 Jun 19 12:28 tha

anns an stoidhle UNIX as fheàrr. Tha e daonnan ciallach brobhsadh tro na diofar phasganan agus sgrùdadh a dhèanamh air na tha annta.

/Usr/local/samba/etc/smb.conf faidhle

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Paramadairean cruinne [cruinne] ainm netbios = rìoghachd MASTER = buidheann-obrach SWL.FAN = SWL dns forwarder = 8.8.8.8 seirbheisean frithealaiche = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns server server = rianadair fearainn eòlaire gnìomhach a ’ceadachadh ùrachaidhean dns = tèarainte dìreach idmap_ldb: cleachd rfc2307 = tha idmap config *: backend = tdb idmap config *: range = 1000000-1999999 ldap server feumach air auth làidir = no ainm printcap = / dev / null [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts leugh a-mhàin = Chan eil [sysvol] path = / usr / local / samba / var / locks / sysvol leugh a-mhàin = Chan eil

root @ master: ~ # testparm
Luchdaich faidhlichean config smb bho /usr/local/samba/etc/smb.conf Earrann giullachd "[netlogon]" Earrann giollachd "[sysvol]" Faidhle seirbheisean luchdaichte ceart gu leòr. Dreuchd an fhrithealaiche: ROLE_ACTIVE_DIRECTORY_DC Brùth a-steach gus dump de na mìneachaidhean seirbheis agad fhaicinn # Paramadairean cruinne [cruinne] rìoghachd = buidheann-obrach SWL.FAN = SWL dns forwarder = 192.168.10.1 ldap server feumach air auth làidir = No passdb backend = samba_dsdb server server = eòlaire gnìomhach rianadair fearainn rpc_server: tcpip = no rpc_daemon: spoolssd = freumhaichte rpc_server: spoolss = freumhaichte rpc_server: winreg = freumhaichte rpc_server: ntsvcs = freumhaichte rpc_server: eventlog = freumhaichte rpc_server: srvsvc = freumhaichte rvcct_ser: use = rvervser_ser pìoban taobh a-muigh = fìor idmap config *: range = 1000000-1999999 idmap_ldb: cleachd rfc2307 = tha idmap config *: backend = tasglann mapa tdb = Gun mhapa gu dòigheil = no stòr dos buadhan = Tha vfs nithean = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = Chan eil [sysvol] path = / usr / local / samba / var / locks / sysvol air a leughadh a-mhàin = Chan eil

Sgrùdaidhean as ìsle

root @ master: ~ # taisbeanadh ìre àrainn inneal
Ìre gnìomh fearainn agus coille airson àrainn 'DC = swl, DC = fan' Ìre gnìomh coille: (Windows) 2008 R2 Ìre gnìomh fearainn: (Windows) 2008 R2 Ìre gnìomh as ìsle de DC: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # inneal dbcheck
A ’sgrùdadh 262 nì Chaidh sgrùdadh a dhèanamh air 262 nì (0 mearachdan)

root @ master: ~ # rianaire kinit
Facal-faire airson Rianadair@SWL.FAN: 
root @ master: ~ # klist -f
Cache tiogaid: FILE: / tmp / krb5cc_0
Prìomh bunaiteach: Rianadair@SWL.FAN

Dligheach a ’tòiseachadh a’ toirt a-mach prìomh sheirbheis 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    ùrachadh gu 20/06/17 12:53:18 PM, Brataichean: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Cha lorgar faidhle tasgadan teisteanasan '/ tmp / krb5cc_0'

root @ master: ~ # smbclient -L localhost -U%
Fearann ​​= [SWL] OS = [Windows 6.1] Frithealaiche = [Samba 4.5.1] Beachd Seòrsa Sharename --------- ---- ------- Diosg netlogon Diosg sysvol IPC $ IPC IPC Seirbheis (Samba 4.5.1) Fearann ​​= [SWL] OS = [Windows 6.1] Frithealaiche = [Samba 4.5.1] Beachd an fhrithealaiche --------- ------- Maighstir buidheann-obrach ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Cuir a-steach facal-faire an rianaire: Domain = [SWL] OS = [Windows 6.1] Frithealaiche = [Samba 4.5.1]. D 0 Diluain Jun 19 11:50:52 2017 .. D 0 Diluain Jun 19 11:51:07 2017 19091584 blocaichean de mheud 1024. 16198044 blocaichean rim faighinn

root @ master: ~ # tool dns serverinfo master -U rianadair

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
Tha _ldap._tcp.swl.fan air clàr SRV 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
Tha clàr SRV aig _kerberos._udp.swl.fan 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
tha seòladh aig master.swl.fan 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
tha swl.fan air clàr SOA master.swl.fan. maighstir aoigheachd.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan ainm frithealaiche master.swl.fan.

root @ master: ~ # host -t MX swl.fan
chan eil clàr MX aig swl.fan

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # liosta cleachdaiche inneal
Rianadair krbtgt Guest

root @ master: ~ # liosta buidheann innealan
# Tha an toradh na ghrunn bhuidhnean. ;-)

Bidh sinn a ’riaghladh an Samba 4 AD-DC a tha air ùr chuir a-steach

Ma tha sinn airson an ùine crìochnachaidh atharrachadh ann an làithean facal-faire an rianaire; iom-fhillteachd faclan-faire; an fhad as lugha den fhacal-fhaire; an ùine as lugha agus as fhaide - ann an làithean - den fhacal-fhaire; agus atharraich am facal-faire rianaire a chaidh ainmeachadh rè an Solarachadh, feumaidh sinn na h-òrdughan a leanas a chuir an gnìomh leis an luachan air an atharrachadh a rèir do fheumalachdan:

root @ master: ~ # inneal
Cleachdadh: samba-inneal Prìomh inneal rianachd samba. Roghainnean: -h, --help seall an teachdaireachd cuideachaidh seo agus fàg Roghainnean an tionndaidh: -V, --version Tionndadh àireamh an tionndaidh Fo-riaghailtean ri fhaighinn: dbcheck - Thoir sùil air stòr-dàta AD ionadail airson mearachdan. tiomnadh - Riaghladh tiomnaidh. dns - Riaghladh Seirbheis Ainm Domain (DNS). àrainn - Riaghladh fearainn. drs - Riaghladh Seirbheisean Mac-samhail Directory (DRS). dsacl - Làimhseachadh DS ACLs. fsmo - Riaghladh dhreuchdan prìomh mhaighstir sùbailte (FSMO). gpo - Riaghladh Amas Poileasaidh Buidhne (GPO). buidheann - Stiùireadh buidhne. ldapcmp - Dèan coimeas eadar dà stòr-dàta ldap. ntacl - làimhseachadh NT ACLs. pròiseasan - Liostaich pròiseasan (gus cuideachadh le debugging air siostaman gun setproctitle). rodc - Riaghladh Domain Leugh-a-mhàin (RODC). làraich - Riaghladh làraich. spn - Riaghladh Prìomh Ainm Seirbheis (SPN). testparm - Thoir sùil air an fhaidhle rèiteachaidh. ùine - Faigh an ùine air frithealaiche. cleachdaiche - Stiùireadh cleachdaiche. Airson tuilleadh cuideachaidh air subcommand sònraichte, dèan seòrsa: samba-tool (-h | --help)

root @ master: ~ # rianaire setexpiry cleachdaiche inneal --noexpiry
root @ master: ~ # set passwordsettings domain tool --min-pwd-length = 7
root @ master: ~ # set passwordsettings domain tool --min-pwd-age = 0
root @ master: ~ # set passwordsettings domain tool --max-pwd-age = 60
root @ master: ~ # user user setpassword --filter = samaccountname = Rianadair --newpassword = Passw0rD

Bidh sinn a ’cur grunn chlàran DNS ris

root @ master: ~ # inneal dns
Cleachdadh: samba-tool dns Riaghladh Seirbheis Ainm Fearainn (DNS). Roghainnean: -h, --help seall an teachdaireachd cuideachaidh seo agus cuir a-mach fo-òrdughan a tha rim faighinn: cuir ris - Cuir às do chlàr DNS cuir às - Cuir às do cheist clàr DNS - Ceist ainm. freumhaichean - Beachdan freumh ceist. serverinfo - Ceist airson fiosrachadh an fhrithealaiche. ùrachadh - Ùraich sòn clàr DNS - Cruthaich sòn. zonedelete - Thoir às sòn. zoneinfo - Ceist airson fiosrachadh sòn. zonelist - Ceist airson sònaichean. Airson tuilleadh cuideachaidh air subcommand sònraichte, dèan seòrsa: samba-tool dns (-h | --help)

Frithealaiche puist

root @ master: ~ # tool dns add master swl.fan mail A 192.168.10.9 -U rianadair
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U rianadair

IP stèidhichte de luchd-frithealaidh eile

root @ master: ~ # tool dns add master swl.fan sysadmin A 192.168.10.1 -U rianadair
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U rianadair
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U rianadair
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U rianadair

Sòn cùil

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U rianadair
Facal-faire airson [SWL \ rianadair]: Sòn 10.168.192.in-addr.arpa air a chruthachadh gu soirbheachail

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Uadministrator
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Uadministrator

Seicean

root @ master: ~ # tool dns query master swl.fan mail ALL -U rianadair
Facal-faire airson [SWL \ rianadair]: Ainm =, Clàran = 1, Clann = 0 A: 192.168.10.9 (brataichean = f0, sreathach = 2, ttl = 900)

root @ master: ~ # maighstir aoigheachd
tha seòladh aig master.swl.fan 192.168.10.5
root @ master: ~ # host sysadmin
tha seòladh 192.168.10.1 aig sysadmin.swl.fan
root @ master: ~ # post aoigheachd
tha seòladh 192.168.10.9 aig mail.swl.fan
root @ master: ~ # cabadaich aoigheachd
tha chat.swl.fan air seòladh 192.168.10.12
root @ master: ~ # proxy host
tha seòladh aig proxy.swl.fan 192.168.10.11
root @ master: ~ # host fileserver
tha seòladh 192.168.10.10 aig fileserver.swl.fan
root @ master: ~ # host 192.168.10.1
1.10.168.192.in-addr.arpa ainm fearainn comharraiche sysadmin.swl.fan.
root @ master: ~ # host 192.168.10.5
5.10.168.192.in-addr.arpa ainm fearainn comharraiche master.swl.fan.
root @ master: ~ # host 192.168.10.9
9.10.168.192.in-addr.arpa ainm-fearainn ainm puist mail.swl.fan.
root @ master: ~ # host 192.168.10.10
10.10.168.192.in-addr.arpa ainm fearainn comharraiche fileserver.swl.fan.
root @ master: ~ # host 192.168.10.11
11.10.168.192.in-addr.arpa ainm fearainn comharra proxy.swl.fan.
root @ master: ~ # host 192.168.10.12
12.10.168.192.in-addr.arpa ainm fearainn puing chat.swl.fan.

Airson an neònach

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Bidh sinn a ’cur luchd-cleachdaidh ris

root @ master: ~ # cleachdaiche inneal
Cleachdadh: cleachdaiche samba-inneal Stiùireadh luchd-cleachdaidh. Roghainnean: -h, --help seall an teachdaireachd cuideachaidh seo agus cuir a-mach fo-òrdughan a tha rim faighinn: cuir ris - Cruthaich cleachdaiche ùr. cruthaich - Cruthaich cleachdaiche ùr. cuir às - Cuir às do chleachdaiche. cuir à comas - Cuir à comas cleachdaiche. comas - Cuir an comas neach-cleachdaidh. getpassword - Faigh na raointean facal-faire aig cunntas cleachdaiche / coimpiutair. liosta - Dèan liosta de na cleachdaichean air fad. facal-faire - Atharraich facal-faire airson cunntas cleachdaiche (am fear air a thoirt seachad ann an dearbhadh). setexpiry - Suidhich crìoch cunntas cleachdaiche. setpassword - Suidhich no ath-shuidhich facal-faire cunntas cleachdaiche. syncpasswords - Sioncronaich facal-faire cunntasan cleachdaiche. Airson tuilleadh cuideachaidh air subcommand sònraichte, dèan seòrsa: cleachdaiche samba-tool (-h | --help)

root @ master: ~ # cleachdaiche inneal cruthaich ceumannan Trancos01
Cleachdaiche 'trancos' air a chruthachadh gu soirbheachail
root @ master: ~ # cleachdaiche inneal cruthaich gandalf Gandalf01
Chaidh an cleachdaiche ‘gandalf’ a chruthachadh gu soirbheachail
root @ master: ~ # cleachdaiche inneal cruthaich legolas Legolas01
Chaidh 'legolas' cleachdaiche a chruthachadh gu soirbheachail
root @ master: ~ # liosta cleachdaiche inneal
Rianadair gandalf legolas a ’coiseachd air adhart krbtgt Guest

Rianachd tro eadar-aghaidh grafaigeach no tro neach-dèiligidh lìn

Tadhail air wiki.samba.org airson fiosrachadh mionaideach air mar a stàlaicheas tu an Microsoft RSAT o Innealan Rianachd Frithealaiche Iomallach. Mura h-eil thu ag iarraidh na poileasaidhean clasaigeach a tha Microsoft Active Directory a ’tabhann, faodaidh tu am pasgan a stàladh ldap-cunntas-manaidsear a tha a ’tabhann eadar-aghaidh sìmplidh airson rianachd tro bhrobhsair lìn.

Tha sreath phrògraman Microsoft Rianachd Server Remote Server (RSAT) air a thoirt a-steach do shiostaman obrachaidh Windows Server.

Bidh sinn a ’tighinn còmhla ris an àrainn gu neach-dèiligidh Windows 7 leis an t-ainm" seachd "

Leis nach eil frithealaiche DHCP againn san lìonra, is e a ’chiad rud a dh’ fheumas sinn a dhèanamh a bhith a ’rèiteachadh cairt lìonra an neach-dèiligidh le IP stèidhichte, ag innse gur e IP an DNS a bhios sa phrìomh DNS. samba-ad-dc, agus dèan cinnteach gu bheil an roghainn "Clàraich seòladh a’ cheangail seo ann an DNS "air a ghnìomhachadh. Chan eil e idle dèanamh cinnteach gu bheil an t-ainm «seachd»Chan eil e fhathast clàraichte ann an DNS Taobh a-staigh Samba.

Às deidh dhuinn a dhol a-steach don choimpiutair chun àrainn agus ath-thòiseachadh, feuchaidh sinn ri logadh a-steach leis an neach-cleachdaidh «ceumannan«. Nì sinn cinnteach gu bheil a h-uile càil ag obair ceart gu leòr. Tha e glic cuideachd sgrùdadh a dhèanamh air logaichean Cliant Windows agus dèanamh cinnteach gu bheil an ùine air a shioncronachadh gu ceart.

Lorgaidh luchd-rianachd le beagan eòlas air Windows gum faigh sgrùdaidhean sam bith a nì iad air a ’chliant toraidhean riarachail.

Geàrr-chunntas

Tha mi an dòchas gu bheil an artaigil feumail do luchd-leughaidh Coimhearsnachd FromLinux.

Mar sin leat!


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

8 bheachd, fàg do chuid fhèin

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh. Feum air achaidhean air an comharrachadh le *

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.

  1.   Gonzalo Martinez thuirt

    Artaigil fada ach mionaideach, ceum air cheum fìor mhath air mar a nì thu a h-uile càil.

    Tha mi a ’cur cuideam air NIS, is e an fhìrinn ged a tha fios agam mu dheidhinn a bhith ann, cha robh fios agam a-riamh ciamar a tha e ag obair, oir leis an fhìrinn innse thug e dhomh an-còmhnaidh gu robh e gu ìre mhòr marbh ri taobh LDAP agus Samba 4.

    PS: Meal do naidheachd air a ’phròiseact pearsanta ùr agad! Truagh nach lean thu ort a ’sgrìobhadh an seo, ach co-dhiù tha àite ann airson do leantainn.

  2.   HO2Gi thuirt

    Oideachadh mòr mar a bha e an-còmhnaidh don fheadhainn as fheàrr leam, Beannachdan Fico.
    Meal an naidheachd air a ’phròiseact.

  3.   IWO thuirt

    Tha an roinn NIS sgoinneil, tha mi a ’co-fhaireachdainn le Gonzalo Martinez, bha fios agam gu h-aithghearr ach cha robh beachd sam bith agam ciamar a chuireadh mi an gnìomh e agus dè na suidheachaidhean a thathas a’ cleachdadh.
    Tapadh leibh aon uair airson "stoc" uamhasach de artaigil teòiridheach agus practaigeach.
    Mu dheireadh soirbheachas ùr sa phròiseact ùr agad «gigainside».

  4.   federico thuirt

    Mòran taing a h-uile duine airson beachdan !!!.
    Tapadh leibh!

  5.   mussol thuirt

    chan eil ceangal sam bith aig an smb.conf a tha thu a ’sealltainn le LDAP, a bheil e mar sin air adhbhar no an do dh’ fhàg mi rudeigin?

  6.   phico thuirt

    mussol: Is e seo Rianadair Domain Directory Gnìomhach Samba 4 aig a bheil an frithealaiche LDAP stèidhichte mu thràth.

  7.   Vincent thuirt

    Am b ’urrainn dhut beachd a thoirt seachad air mar a bu chòir dhut mac (apple) aonachadh gu samba 4 AD-DC?
    Tapadh leibh.

  8.   jramirez thuirt

    Ciamar a tha thu;

    Taing airson an leabhar-làimhe, tha e fìor mhath. Tha ceist agam mu theachdaireachd a nochdas dhomh.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Dh'fhàillig fuasgladh an ainm aoigheachd / IP a chaidh a thoirt seachad: ad.rjsolucionessac.com. Thoir an aire nach urrainn dhut raointean IP stoidhle '/ masc' AGUS '1-4,7,100-' a chleachdadh
    Cha ghabh targaid dhligheach a lorg. Feuch an dèan thu cinnteach gu bheil na h-aoighean ainmichte nan seòlaidhean IP ann an comharrachadh àbhaisteach no ainmean aoigheachd a ghabhas fuasgladh le DNS
    root @ AD: ~ #