PAM, NIS, LDAP, Kerberos, DS және Samba 4 AD-DC - SMB Networks

Серияның жалпы индексі: ШОБ үшін компьютерлік желілер: кіріспе

Сәлем достар және достар!

Осы мақаламен мен FromLinux қауымдастығымен қоштасамын. Арнайы қауымдастық үшін арнайы қоштасу. Бұдан былай мен сіз білетін жеке жобада боламын http://www.gigainside.com.

Посттың басты мақсаты - «Үлкен сурет»Біздің қолымызда бар ақысыз бағдарламалық жасақтамамен аутентификациялау қызметі туралы. Ең болмағанда бұл біздің ниетіміз. Сондықтан, бұл мақала жазудың жалпы ережелеріне қайшы келетінін білгенімізге қарамастан, ұзақ болады. Жүйе әкімшілері оны бағалайды деп сенеміз.

Біз көптеген қазіргі заманғы аутентификация жүйелеріне ортақ хаттама болып табылатынын атап өткіміз келеді LDAPжәне оны ресми сайттан табуға болатын оқу материалына сүйене отырып, мұқият зерделеу бекер емес http://www.openldap.org/.

Алдыңғы мақалаларда қарастырылған аспектілерге немесе сипаттамасына Википедияда немесе басқа сайттарда немесе Интернеттегі мақалаларда оңай қол жеткізуге болатын сипаттамаларға егжей-тегжейлі анықтамалар немесе сілтемелер бермейміз, бұл біз қалаған хабарламаның объективтілігін жоғалтпау үшін. беру. Біз сондай-ақ ағылшын және испан тілдеріндегі жарамды есімдерді қолданамыз, өйткені көптеген жүйелер ағылшын тілдерінде туды және Sysadmin үшін оларды түпнұсқа тілінде сіңіру өте тиімді деп санаймыз.

  • PAM: Қосылатын аутентификация модулі.
  • NIS: Network_Information_Service.
  • LDAP: Жеңіл каталогқа қол жеткізу протоколы.
  • Керберос: Керберос дерекқорындағы қолданыстағы жазбалармен олардың тіркелгі деректерін тексеріп, желіде пайдаланушылардың, компьютерлердің және қызметтердің аутентификациясын қамтамасыз ететін қауіпсіздік протоколы.
  • DS: Каталог сервері немесе каталог қызметі
  • AD-DC: Active Directory - Domain Controler

The

PAM

Біз жергілікті аутентификацияның осы түріне кішігірім серияларды арнаймыз, оны күнделікті практикада көресіз, мысалы, біз жұмыс станциясына домен контроллеріне немесе Active Directory-ге қосылған кезде кеңінен қолданылады; сыртқы LDAP дерекқорларында сақталған пайдаланушыларды жергілікті пайдаланушылар сияқты бейнелеу; Белсенді каталогтың домен контроллерінде сақталған пайдаланушыларды жергілікті пайдаланушылар сияқты бейнелеу және т.б.

NIS

De Уикипедия:

  • Желілік ақпараттық жүйе (NIS деген аббревиатурамен белгілі, ол испан тілінен аударғанда Network Information System дегенді білдіреді) - Sun Microsystems жасаған таратылған жүйелердегі конфигурация деректерін жіберуге арналған клиент-сервер каталогы қызметтерінің хаттамасының атауы. желідегі компьютерлер арасындағы пайдаланушылар мен хосттардың атаулары.NIS ONC RPC негізінде құрылған, ол серверден, клиенттік кітапханадан және әр түрлі басқару құралдарынан тұрады.

    NIS бастапқыда Yellow Pages немесе YP деп аталды, ол әлі күнге дейін оған сілтеме жасау үшін қолданылады. Өкінішке орай, бұл атау British Telecom сауда белгісі болып табылады, ол Sun-дан бұл есімді тастауды талап етті. Алайда YP NIS-ке қатысты командалардың көпшілігінде префикс болып қалады, мысалы ypserv және ypbind.

    DNS ақпараттың шектеулі ауқымына қызмет етеді, ең бастысы - түйін атауы мен IP мекен-жайы арасындағы сәйкестік. Ақпараттың басқа түрлері үшін мұндай мамандандырылған қызмет жоқ. Екінші жағынан, егер сіз Интернетке қосылысы жоқ шағын жергілікті желіні басқарсаңыз, DNS орнатудың қажеті жоқ сияқты. Сондықтан Sun желілік ақпараттық жүйені (NIS) жасады. NIS дерекқорға жалпы қол жетімділік мүмкіндіктерін ұсынады, мысалы, passwd ішіндегі ақпараттарды тарату және файлдарды желіңіздегі барлық түйіндерге топтау. Бұл желіні бір жүйеге ұқсайды, барлық түйіндерде бірдей есептік жазба бар. Сол сияқты, NIS-ті / etc / host-та орналасқан түйін атауы туралы ақпаратты желідегі барлық машиналарға тарату үшін пайдалануға болады.

    Бүгінгі күні NIS Unix-тің барлық дистрибутивтерінде қол жетімді, тіпті тегін енгізулер де бар. BSD Net-2 Sun ұсынған қоғамдық домен сілтемесін жүзеге асырудан алынған біреуін жариялады. Осы нұсқаның клиенттік бөлігінің кітапхана коды GNU / Linux libc-да бұрыннан бар және басқару бағдарламаларын GNU / Linux-ке Свен Тюммлер жеткізген. Алайда анықтаманы енгізу кезінде NIS сервері жоқ.

    Питер Эрикссон NYS деп аталатын жаңа бағдарламаны әзірледі. Ол негізгі NIS және Sun NIS + жақсартылған нұсқасын қолдайды. [1] NYS NIS құралдары мен сервердің бірқатарын ғана емес, сонымен қатар оларды пайдаланғыңыз келсе, libc-ге жинақтау қажет кітапханалық функциялардың жаңа жиынтығын қосады. Бұған «host.conf» файлы пайдаланатын ағымдағы схеманың орнын басатын түйін атауының шешімі үшін жаңа конфигурация схемасы кіреді.

    GNU / Linux қауымдастығында libc6 ретінде белгілі GNU libc, Торстен Кукук жасаған дәстүрлі NIS қолдауының жаңартылған нұсқасын қамтиды. Ол NYS ұсынатын барлық кітапханалық функцияларды қолдайды, сонымен қатар NYS конфигурациясының кеңейтілген схемасын қолданады. Құралдар мен сервер әлі де қажет, бірақ GNU libc пайдалану кітапхананы түзету және қайта жинақтау мәселелерінен құтқарады

    .

Компьютер және домен атауы, желілік интерфейс және шешуші

  • Біз Debian 8 «Jessie» графикалық интерфейсі жоқ таза қондырғыдан бастаймыз. Swl.fan домені «Еркін бағдарламалық жасақтама фанаттары» дегенді білдіреді. Одан жақсы есім қандай?.
root @ master: ~ # хост аты
мастер
root @ master: ~ # хост атауы -f
master.swl.fan

root @ master: ~ # ip addr 1: мына: mtu 65536 qdisc noqueue күйі БЕЛГІСІЗ топтың әдепкі сілтемесі / кері байланыс 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 ауқымы хост lo valid_lft forever prefer_lft forever inet6 :: 1/128 масштабтағы хост valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast күйі UP тобы әдепкі qlen 1000 сілтеме / эфир 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 global global eth0 valid_lft мәңгіге артықшылықты_lft мәңгі inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 ауқым сілтемесі valid_lft мәңгілікке prefer_lft мәңгі

root @ master: ~ # cat /etc/resolv.conf 
swl.fan nameserver 127.0.0.1 іздеу

Bind9, isc-dhcp-server және ntp орнату

9

root @ master: ~ # бейімділікті орнату bind9 bind9-doc nmap
root @ master: ~ # systemctl күйі bind9

root @ master: ~ # nano /etc/bind/named.conf
«/etc/bind/named.conf.options» қосу; «/etc/bind/named.conf.local» қосу; «/etc/bind/named.conf.default-zones» қосу;

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
опциялар {каталог «/ var / cache / bind»; // Егер сіз бен сіз сөйлескіңіз келетін // аттар серверлерінің арасында брандмауэр болса, сізге бірнеше // порттардың сөйлесуіне мүмкіндік беру үшін брандмауэрді түзету қажет болуы мүмкін. Қараңыз http://www.kb.cert.org/vuls/id/800113

        // Егер сіздің Интернет-провайдер тұрақты // аттар серверлері үшін бір немесе бірнеше IP-мекен-жай берген болса, оларды экспедитор ретінде пайдаланғыңыз келетін шығар. // Келесі блоктан бас тартыңыз және // барлық-0 толтырғышын алмастыратын мекен-жайларды енгізіңіз. // экспедиторлар {// 0.0.0.0; //}; // ================================================== ==================== // // Егер BIND түбірлік кілтінің қолданылу мерзімі аяқталғандығы туралы қате туралы хабарламаларды тіркесе, // сіз өзіңіздің кілттеріңізді жаңартуыңыз керек. Қараңыз https://www.isc.org/bind-keys
        // ================================================== ===================== $ // Біз DNSSEC-ті қаламаймыз
        dnssec-қосу жоқ;
        // dnssec-validation auto; auth-nxdomain жоқ; # RFC1035-on-v6 {кез келгеніне сәйкес келеді; }; // localhost және sysadmin тексерулеріне // dig swl.fan axfr арқылы // Бізде Slave DNS жоқ ... осы уақытқа дейін
        рұқсат беру-жіберу {localhost; 192.168.10.1; };
}; root @ master: ~ # аталған-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Ортақ мекен-жай кеңістігі (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Жергілікті сілтеме / APIPA (3927, 5735 және 6303 RFCs)
аймақ «254.169.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IETF протоколының тағайындаулары (RF5735 5736 және XNUMX)
аймақ «0.0.192.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// Құжаттама үшін TEST-NET- [1-3] (RFCs 5735, 5737 және 6303)
аймақ «2.0.192.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «100.51.198.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «113.0.203.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IPv6 құжаттаманың мысал диапазоны (RFCs 3849 және 6303)
аймақ «8.bd0.1.0.0.2.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// Құжаттама мен тестілеуге арналған домендік атаулар (BCP 32)
аймақ «тест» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «мысал» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «жарамсыз» {типті мастер; «/etc/bind/db.empty» файлы; }; zone «example.com» {тип шебері; «/etc/bind/db.empty» файлы; }; zone «example.net» {тип шебері; «/etc/bind/db.empty» файлы; }; zone «example.org» {тип шебері; «/etc/bind/db.empty» файлы; };

// Маршрутизатордың эталондық тестілеуі (RFCs 2544 және 5735)
аймақ «18.198.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «19.198.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IANA қорғалған - Е классының ескі кеңістігі (RFC 5735)
аймақ «240.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «241.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «242.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «243.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «244.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; «245.in-addr.arpa» аймағы {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «246.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «247.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «248.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «249.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «250.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «251.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «252.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «253.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «254.in-addr.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IPv6 тағайындалмаған мекен-жайлар (RFC 4291)
аймақ «1.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «3.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «4.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «5.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «6.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «7.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «8.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «9.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «a.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «b.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; zone «c.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «d.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «e.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «0.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «1.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «2.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «3.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «4.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «5.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «6.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «7.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «8.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «9.f.ip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «afip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «bfip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «0.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «1.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «2.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «3.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «4.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «5.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «6.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «7.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IPv6 ULA (RFCs 4193 және 6303)
аймақ «cfip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «dfip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IPv6 сілтемесі жергілікті (RFCs 4291 және 6303)
аймақ «8.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «9.efip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «aefip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «befip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IPv6 ескірген сайт мекен-жайлары (RFCs 3879 және 6303)
zone «cefip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; zone «defip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «eefip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; }; аймақ «fefip6.arpa» {тип шебері; «/etc/bind/db.empty» файлы; };

// IP6.INT ескірген (RFC 4159)
аймақ «ip6.int» {типті мастер; «/etc/bind/db.empty» файлы; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Осы жерде қандай да бір жергілікті конфигурация жасаңыз // // 1918 аймақтарын, егер олар сіздің // ұйымыңызда қолданылмаса, қосуды қарастырыңыз «/etc/bind/zones.rfc1918»;
«/etc/bind/zones.rfcFreeBSD» қосу;

// DNS жазба аймақтарының атын, түрін, орналасқан жерін және жаңартуға рұқсатты // жариялау // Екі аймақ MASTER аймақ «swl.fan» {тип шебері; файл «/var/lib/bind/db.swl.fan»; }; аймақ «10.168.192.in-addr.arpa» {тип шебері; файлы «/var/lib/bind/db.10.168.192.in-addr.arpa»; };

root @ master: ~ # аталған-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; сериялық 1D; 1H жаңару; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN 192.168.10.5 @ IN TXT «Еркін бағдарламалық жасақтама фанаттары үшін»; sysadmin IN 192.168.10.1 файл сервері IN 192.168.10.4 master IN 192.168.10.5 proxywe IN 192.168.10.6 блог IN 192.168.10.7 ftpserver IN 192.168.10.8 пошта IN 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; сериялық 1D; 1H жаңарту; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 PTR блогында. Blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # аталатын-бақылау аймағы swl.fan /var/lib/bind/db.swl.fan
swl.fan/IN аймағы: 1 серия жүктелді. Жарайды
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
аймақ 10.168.192.in-addr.arpa/IN: жүктелген сериялық 1 ОК

root @ master: ~ # аталған-checkconf -zp
root @ master: ~ # systemctl қайта іске қосыңыз bind9.service
root @ master: ~ # systemctl мәртебесі bind9.service

9 чекті байланыстыру

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb хост root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Nping бастап 0.6.47 ( http://nmap.org/nping ) кезінде 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Мин rtt: жоқ / жоқ | Avt rtt: жоқ Жоқ Шикі пакеттер: 84 (0B) | Rcvd: 0 (3B) | Жоғалған: 100.00 (1%) Nping аяқталды: 3.01 IP-адрес XNUMX секундта бекітілді 

isc-dhcp-сервер

root @ master: ~ # қабілеттілікті орнату isc-dhcp-сервер
root @ master: ~ # nano / etc / default / isc-dhcp-server
# DHCP сервері (dhcpd) DHCP сұрауларына қандай интерфейстерде қызмет көрсетуі керек? # Бірнеше интерфейстерді бос орындармен бөліңіз, мысалы «eth0 eth1».
Интерфейстер = «eth0»

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-кілт. +157 + 51777.жеке 
Private-key-format: v1.3 алгоритмі: 157 (HMAC_MD5) кілт: Ba9GVadq4vOCixjPN94dCQ == Биттер: AAA = Жасалған: 20170527133656 Жариялау: 20170527133656 Белсендіру: 20170527133656

root @ master: ~ # nano dhcp.key
dhcp-кілт {
        hmac-md5 алгоритмі;
        құпия «Ba9GVadq4vOCixjPN94dCQ == «;
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
«/etc/bind/dhcp.key» қосу;

аймақ «swl.fan» {тип шебері; файл «/var/lib/bind/db.swl.fan»;
        allow-update {кілт dhcp-кілт; };
}; аймақ «10.168.192.in-addr.arpa» {тип шебері; файлы «/var/lib/bind/db.10.168.192.in-addr.arpa»;
        allow-update {кілт dhcp-кілт; };
};

root @ master: ~ # аталған-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style аралық; ddns-жаңартулар; ddns-домен аты «swl.fan.»; ddns-rev-домен атауы «in-addr.arpa.»; клиенттің жаңартуларын елемеу; жаңарту-оңтайландыру жалған; # Debian беделді талап етілуі мүмкін; IP-қайта жіберу опциясы; «swl.fan» домендік атауы; «/etc/dhcp/dhcp.key» қосу; аймақ swl.fan. {бастапқы 127.0.0.1; dhcp-кілт; } аймақ 10.168.192.in-addr.arpa. {бастапқы 127.0.0.1; dhcp-кілт; } ортақ желіні қайта бөлу {subnet 192.168.10.0 netmask 255.255.255.0 {опция маршрутизаторлары 192.168.10.1; subnet-mask 255.255.255.0 опциясы; опция хабар тарату-мекен-жайы 192.168.10.255; домен-атау-серверлер опциясы 192.168.10.5; netbios-name-servers опциясы 192.168.10.5; ntp-серверлер опциясы 192.168.10.5; уақыт серверлері опциясы 192.168.10.5; 192.168.10.30 192.168.10.250 ауқымы; }}

root @ master: ~ # dhcpd -t
DHCP Server 4.3.1 Интернет-жүйелер консорциумы. Авторлық құқық 2004-2014 Интернет жүйелері консорциумы. Барлық құқықтар сақталған. Ақпарат алу үшін келіңіз https://www.isc.org/software/dhcp/
Конфигурация файлы: /etc/dhcp/dhcpd.conf Деректер базасының файлы: /var/lib/dhcp/dhcpd. PID файлын босатады: /var/run/dhcpd.pid

root @ master: ~ # systemctl қайта іске қосыңыз bind9.service 
root @ master: ~ # systemctl мәртебесі bind9.service 

root @ master: ~ # systemctl бастау isc-dhcp-server.service
root @ master: ~ # systemctl мәртебесі isc-dhcp-server.service

ntp

root @ master: ~ # икемділікті орнату ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift статистикасы цикл статистикасы peerstats сағаттық статистика filegen цикл статистикасы файл циклының статистикасы типтегі күн файлге қосылуға арналған peerstats файл peerstats типті күнді қосыңыз filegen сағаттық статистика файл сағат статистикасына типке қосылыңыз сервер 192.168.10.1 шектеу -4 әдепкі код notrap номинациялау nopeer noquery шектеу -6 әдепкі код notrap nomodify nopeer noquery шектеу 127.0.0.1 шектеу :: 1 таратылым 192.168.10.255

root @ master: ~ # systemctl ntp.service қайта іске қосыңыз 
root @ master: ~ # systemctl мәртебесі ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 мамыр 10:04:01 ntpdate [18769]: уақыт серверін реттеу 192.168.10.1 офсеттік 0.369354 сек

Ntp, bind9 және isc-dhcp-серверін жаһандық тексерулер

Linux, BSD, Mac OS немесе Windows клиентінен уақыттың дұрыс синхрондалғанын тексеріңіз. Ол динамикалық IP-адреске ие болады және бұл хосттың атауы тікелей және кері DNS сұраулары арқылы шешіледі. Клиенттің атын өзгертіңіз және барлық тексерулерді қайталаңыз. Осы уақытқа дейін орнатылған қызметтердің дұрыс жұмыс істеп тұрғанына сенімді болмайынша жалғастырмаңыз. Біз DNS және DHCP туралы барлық мақалаларды жаздық ШОБ үшін компьютерлік желілер.

NIS серверін орнату

root @ master: ~ # қабілеттілік шоуы nis
Келіспеушіліктер: netstd (<= 1.26) Сипаттама: Желілік ақпарат қызметі (NIS) үшін клиенттер мен демондар Бұл пакетте NIS доменін құру және қолдау құралдары бар. Бастапқыда Yellow Pages (YP) деп аталатын NIS көбінесе желідегі бірнеше машиналарға пароль файлы сияқты бір есептік жазба туралы ақпаратпен бөлісу үшін қолданылады.

root @ master: ~ # бейімділік орнату
Пакеттің конфигурациясы ┌─────────────────────────┤ Nis конфигурациясы ├──────────────── ── ────────┐ │ Осы жүйе үшін «домендік атауды» NIS таңдаңыз. Егер сіз бұл │ │ машинаның тек клиент болғанын қаласаңыз, сіз қосылғыңыз келетін │ │ NIS доменінің атын енгізуіңіз керек. │ │ │ │ Сонымен қатар, егер бұл машина NIS сервері болса, сіз жаңа «домендік атауды» немесе бұрыннан бар NIS │ │ доменінің атын енгізе аласыз. │ │ │ │ NIS домені: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Бұл сіздікін кешіктіреді, өйткені қызметтің конфигурациясы ондай болмайды. Процесс аяқталғанша күтіңіз.

root @ master: ~ # nano / etc / default / nis
# Біз NIS сервері болып табыламыз ба, егер ондай болса (құндылықтар: жалған, құл, шебер)?
NISSERVER = шебер

root @ master: ~ # nano /etc/ypserv.securenets # securenets Бұл файл NIS клиенттері үшін сіздің NIS серверіңізге кіру құқығын # анықтайды (және құл серверлері - ypxfrd осы # файлды да пайдаланады). Бұл файлда netmask / желілік жұптар бар. # Клиенттердің IP-адресі олардың кем дегенде біреуімен сәйкес келуі керек. # # # 255.255.255.255 торының маскасының орнына «хост» сөзін қолдануға болады. Бұл # файлда хост адандары емес, тек IP мекенжайларға рұқсат етілген. # # Әрқашан localhost 255.0.0.0 127.0.0.0 үшін кіруге рұқсат етіңіз. Бұл жол барлығына қол жеткізуге мүмкіндік береді. РЕТТЕҢІЗ! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # passwd файлын көлеңкелі файлмен біріктіру керек пе? # MERGE_PASSWD = true | false
MERGE_PASSWD = шын

# Топтық файлды gshadow файлымен біріктіру керек пе? # MERGE_GROUP = шын | жалған
MERGE_GROUP = шын

Біз NIS мәліметтер базасын құрамыз

root @ master: ~ # / usr / lib / yp / ypinit -m
Осы сәтте біз NIS серверлерін басқаратын хосттардың тізімін құруымыз керек. master.swl.fan NIS сервер хосттарының тізімінде бар. Басқа хосттардың аттарын әр жолға қосуды жалғастырыңыз. Тізіммен жұмыс аяқталғаннан кейін а жазыңыз . келесі қосылатын хост: master.swl.fan келесі қосылатын хост: NIS серверлерінің ағымдағы тізімі келесідей: master.swl.fan бұл дұрыс па? [y / n: y] Деректер базасын құру үшін бізге бірнеше минут қажет ... жасау [1]: '/var/yp/swl.fan' каталогынан кету master.swl.fan NIS мастер-сервері ретінде орнатылды . Енді барлық құл серверінде ypinit -s master.swl.fan іске қосуға болады.

root @ master: ~ # systemctl nis қайта іске қосыңыз
root @ master: ~ # systemctl мәртебесі nis

Біз жергілікті қолданушыларды қосамыз

root @ master: ~ # adduser bilbo
«Bilbo» қолданушысын қосу ... «bilbo» (1001) жаңа тобын қосу ... «bilbo» (1001) жаңа пайдаланушысын «bilbo» тобымен қосу ... «/ home / bilbo» үй каталогын құру ... «/ etc / skel» файлдарын көшіру ... Жаңа UNIX паролін енгізіңіз: Жаңа UNIX паролін қайта енгізіңіз: passwd: пароль дұрыс жаңартылды Bilbo үшін пайдаланушы туралы ақпаратты өзгерту Жаңа мәнді енгізіңіз немесе Әдепкі толық аты-жөнін пайдалану үшін ENTER пернесін басыңыз []: Bilbo Bagins Бөлме нөмірі []: Жұмыс телефоны []: Үй телефоны []: Басқа []: ақпарат дұрыс па? [Y / n]

root @ master: ~ # adduser қадам жасайды root @ master: ~ # adduser legolas

және тағы басқалар.

root @ master: ~ # саусақ леголалары
Кіру: legolas Атауы: Legolas Archer Каталог: / home / legolas Shell: / bin / bash Ешқашан кірмеген. Пошта жоқ. Жоспар жоқ.

Біз NIS мәліметтер базасын жаңартамыз

root @ master: / var / yp # жасау
жасаңыз [1]: '/var/yp/swl.fan' каталогына кіру 'passwd.byname жаңартылуда ... passwd.byuid жаңартылуда ... group.byname жаңартылуда ... group.bygid жаңартылуда ... netid.byname жаңартылуда. .. shadow.byname жаңартылуда ... Еленбейді -> passwd make-пен біріктірілген [1]: '/var/yp/swl.fan' каталогынан шығу

Біз NIS опцияларын isc-dhcp-серверге қосамыз

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style аралық; ddns-жаңартулар; ddns-домен аты «swl.fan.»; ddns-rev-домен атауы «in-addr.arpa.»; клиенттің жаңартуларын елемеу; жаңарту-оңтайландыру жалған; беделді; IP-қайта жіберу опциясы; «swl.fan» домендік атауы; «/etc/dhcp/dhcp.key» қосу; аймақ swl.fan. {бастапқы 127.0.0.1; dhcp-кілт; } аймақ 10.168.192.in-addr.arpa. {бастапқы 127.0.0.1; dhcp-кілт; } ортақ желіні қайта бөлу {subnet 192.168.10.0 netmask 255.255.255.0 {опция маршрутизаторлары 192.168.10.1; subnet-mask 255.255.255.0 опциясы; опция хабар тарату-мекен-жайы 192.168.10.255; домен-атау-серверлер опциясы 192.168.10.5; netbios-name-servers опциясы 192.168.10.5; ntp-серверлер опциясы 192.168.10.5; уақыт серверлері опциясы 192.168.10.5;
                опция nis-домені «swl.fan»;
                опция nis-серверлер 192.168.10.5;
                192.168.10.30 192.168.10.250 ауқымы; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl isc-dhcp-server.service қайта іске қосыңыз

NIS Client орнату

  • Біз Debian 8 «Jessie» графикалық интерфейсі жоқ таза қондырғыдан бастаймыз.
root @ mail: ~ # хост атауы -f
mail.swl.fan

root @ mail: ~ # ip addr
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 ауқымы жаһандық эт0

root @ mail: ~ # бейімділік орнату nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf ypbind процесіне арналған конфигурация файлы. Егер сіз # NIS серверлерін жергілікті желіде # хабар тарату арқылы табу мүмкін болмаса, қолмен анықтай аласыз (бұл әдепкі болып табылады). # # Осы файлдың синтаксисі үшін ypbind нұсқауын қараңыз. # # МАҢЫЗДЫ: «ypserver» үшін IP-адрестерді қолданыңыз немесе # хосттың / etc / host-да екеніне көз жеткізіңіз. Бұл файл # рет түсіндіріледі, ал егер DNS қол жетімді болмаса, ypserver шешілмейді # және серверге ypbind ешқашан қосылмайды. # ypserver ypserver.network.com ypserver master.swl.fan домен swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU Name Service Switch функциясының конфигурациясы. # Егер сізде «glibc-doc-reference» және «info» бумалары орнатылған болса, мына файл туралы ақпарат алу үшін # «info libc» Name Service Switch «» қолданып көріңіз. passwd: compat nis group: compat nis shadow: compat nis gshadow: файлдар хосттары: файлдар dns nis желілері: файлдар хаттамалары: db файлдар қызметтері: db файлдар эфирлері: db файлдар rpc: db файлдар netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
Толығырақ ақпарат алу үшін # pam-auth-update (8).
сеанс міндетті емес pam_mkhomedir.so skel = / etc / skel umask = 077
# міне пакеттегі модульдер («Бастапқы» блок)

root @ mail: ~ # systemctl мәртебесі nis
root @ mail: ~ # systemctl nis қайта іске қосыңыз

Біз сессияны жауып, оны қайтадан бастаймыз, бірақ NIS дерекқорында тіркелген қолданушымен master.swl.fan.

root @ mail: ~ # шығу
шығу Поштаға қосылу жабық.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail паролі: '/ home / legolas' каталогын құру. Debian GNU / Linux жүйесіне кіретін бағдарламалар ақысыз бағдарламалық жасақтама болып табылады; әр бағдарлама үшін нақты тарату шарттары жеке файлдарда / usr / share / doc / * / copyright сипатталған. Debian GNU / Linux қолданыстағы заңмен рұқсат етілген мөлшерде КЕПІЛДІКТІҢ ӨЗІНДЕ ЖОҚ.
legolas @ mail: ~ $ pwd
/ үй / леголалар
legolas @ mail: ~ $ 

Біз legolas пайдаланушысының құпия сөзін өзгертеміз және тексереміз

legolas @ mail: ~ $ yppasswd 
Master.swl.fan-да legolas үшін NIS тіркелгі ақпаратын өзгерту. Ескі парольді енгізіңіз: legolas master.swl.fan сайтынан legolas үшін NIS паролін өзгерту. Жаңа пароль енгізіңіз: садақшы Құпия сөзде үлкен және кіші әріптер немесе әріптер болмауы керек. Жаңа құпия сөзді енгізіңіз: Arquero2017 Жаңа құпия сөзді қайта теріңіз: Arquero2017 NIS паролі master.swl.fan сайтында өзгертілді.

legolas @ mail: ~ $ шығу
шығу Поштаға қосылу жабық.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail паролі: Arquero2017

Debian GNU / Linux жүйесіне кіретін бағдарламалар ақысыз бағдарламалық жасақтама болып табылады; әр бағдарлама үшін нақты тарату шарттары жеке файлдарда / usr / share / doc / * / copyright сипатталған. Debian GNU / Linux қолданыстағы заңмен рұқсат етілген мөлшерде КЕПІЛДІКТІҢ ӨЗІНДЕ ЖОҚ. Соңғы кіру: 27 мамыр 12:51:50 2017 ж. Sysadmin.swl.fan сайтынан
legolas @ mail: ~ $

Серверде және клиент деңгейінде енгізілген NIS қызметі дұрыс жұмыс істейді.

LDAP

Википедиядан:

  • LDAP - бұл жеңіл каталогтарға қол жеткізу протоколының қысқартылуы (испан тілінде жеңіл / жеңілдетілген каталогқа кіру протоколы), қоршаған ортадағы әртүрлі ақпараттарды іздеу үшін тапсырыс берілген және таратылған каталог қызметіне қол жеткізуге мүмкіндік беретін қолданбалы деңгей протоколына сілтеме жасайды. желі. LDAP сонымен қатар сұрауға болатын мәліметтер базасы болып саналады (оның сақтау жүйесі басқаша болуы мүмкін).Каталог - бұл логикалық және иерархиялық жолмен жүйеленген атрибуттары бар объектілер жиынтығы. Ең көп тараған мысал - бұл алфавит бойынша орналасқан бірқатар аттардан (адамдар немесе ұйымдар) тұратын, әр атында мекен-жайы мен телефон нөмірі бар телефон анықтамалығы. Жақсырақ түсіну үшін бұл кітап немесе папка, онда адамдардың аты-жөндері, телефондары мен мекен-жайлары жазылған және алфавит бойынша орналасқан.

    LDAP каталогтар ағашы кейде таңдалған модельге байланысты әр түрлі саяси, географиялық немесе ұйымдастырушылық шекараларды көрсетеді. LDAP-тің қазіргі орналастырулары иерархияның жоғары деңгейлерін құрылымдау үшін домендік атаулар жүйесі (DNS) аттарын қолданады. Каталог бойынша жылжу кезінде адамдарды, ұйымдық бөлімдерді, принтерлерді, құжаттарды, адамдар тобын немесе ағаштағы берілген жазбаны білдіретін кез-келген нәрсені (немесе бірнеше жазбаны) білдіретін жазбалар пайда болуы мүмкін.

    Әдетте, ол аутентификация туралы ақпаратты (пайдаланушы аты мен пароль) сақтайды және аутентификация үшін қолданылады, бірақ басқа ақпаратты (пайдаланушының байланыс деректері, әртүрлі желілік ресурстардың орналасуы, рұқсаттар, сертификаттар және т.б.) сақтау мүмкіндігі бар. Қысқаша айтқанда, LDAP - бұл желідегі ақпарат жиынтығына кірудің бірыңғай хаттамасы.

    Ағымдағы нұсқасы LDAPv3 және ол RFC 2251 және RFC 2256 (LDAP базалық құжаты), RFC 2829 (LDAP үшін аутентификация әдісі), RFC 2830 (TLS кеңейтімі) және RFC 3377 (техникалық сипаттама) RFC-де анықталған

    .

Ұзақ уақыт бойы, LDAP протоколы - және оның дерекқорлары OpenLDAP-пен үйлеседі немесе сәйкес келмейді - қазіргі кезде аутентификация жүйелерінің көпшілігінде ең көп қолданылады. Алдыңғы мәлімдемеге мысал ретінде LDAP дерекқорларын барлық нысандарды сақтау үшін артқы жағы ретінде пайдаланатын кейбір Free-Private немесе Private жүйелерінің атауларын келтіреміз:

  • OpenLDAP
  • Apache каталог сервері
  • Red Hat каталог сервері - 389 DS
  • Novell каталогының қызметтері - eDirectory
  • SUN Microsystem Open DS
  • Red Hat сәйкестендіру менеджері
  • FreeIPA
  • Samba NT4 Classic домен контроллері.
    Бұл жүйені Samba Team Samba 3.xxx + OpenLDAP ретінде әзірлегенін нақтылағымыз келеді серверлік. Майкрософт ешқашан оған ұқсас ештеңе енгізбеді. NT 4 домен контроллерлерінен олардың белсенді директорияларына өтті
  • Samba 4 Active Directory - домендік контроллер
  • ClearOS
  • Зенталь
  • UCS Uninvention корпоративті сервері
  • Microsoft Active Directory

Әрбір іске асырудың өзіндік ерекшеліктері бар, және ең стандартты және үйлесімді болып табылады OpenLDAP.

Active Directory, Microsoft корпорациясының түпнұсқасы болсын немесе Samba 4-тің бірі болсын, бірнеше негізгі компоненттердің бірігуі болып табылады:

Біз а-ны шатастырмауымыз керек Каталог қызметі o каталог қызметі Active Directory o Active Directory. Біріншісі Kerberos түпнұсқалық растамасын орналастыруы мүмкін немесе болмауы мүмкін, бірақ олар Windows Domain ұсынатын Microsoft Network қызметін ұсынбайды және Windows Domain контроллері де жоқ.

Каталог қызметі немесе каталог қызметі UNIX / Linux және Windows клиенттері бар аралас желідегі пайдаланушылардың аутентификациясы үшін пайдаланылуы мүмкін. Соңғысы үшін әр клиентте каталог қызметі мен Windows клиентінің арасында делдал ретінде жұмыс істейтін бағдарлама орнатылуы керек, мысалы, ақысыз бағдарламалық жасақтама. бет.

OpenLDAP көмегімен каталог қызметі

  • Біз Debian 8 «Jessie» графикалық интерфейсі жоқ таза қондырғыдан бастаймыз, NIS-ті орнату үшін пайдаланылатын бірдей «шебер» машиналық атауымен, сондай-ақ оның желілік интерфейсінің және /etc/resolv.conf файлының конфигурациясымен. Осы жаңа серверге ntp, bind9 және isc-dhcp-серверін орнатамыз, бұған дейінгі үш қызметтің дұрыс жұмысының жалпыға ортақ тексерулерін ұмытпаймыз.
root @ master: ~ # бейімділікті орнату slapd ldap-utils

Пакеттің конфигурациясы

.. Slapd конфигурациясы L │ LDAP │ │ каталогының әкімші жазбасына пароль енгізіңіз. │ │ │ │ Әкімші құпия сөзі: │ │ │ │ ******** _____________________________________________________________ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

Біз бастапқы конфигурацияны тексереміз

root @ master: ~ # slapcat
dn: dc = swl, dc = желдеткіш
objectClass: top objectClass: dcObject objectClass: organization o: swl.fan dc: swl strukturObjectClass: organization entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = fan entry createTimestamp20170531205219: 20170531205219.833955 Z # 000000 # 000 # 000000 модификаторлары Атауы: cn = admin, dc = swl, dc = fan modifyTimestamp: 20170531205219Z

dn: cn = admin, dc = swl, dc = желдеткіш
нысан: simpleSecurityObject нысан: organizationalRole CN: Admin сипаттамасы: LDAP әкімшісі Əкімшініңқұпиясөзі Пайдаланушыныңқұпиясөзі :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe мәртелік = cXNUMXe XNUMXZ # XNUMX # XNUMX # XNUMX модификаторлары Атауы: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

/Etc/ldap/ldap.conf файлын өзгертеміз

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = желдеткіш URI    ldap: // localhost

Ұйымдастыру бөлімшелері және «қолданушылар» жалпы тобы

Біз минималды қажетті Ұйымдық бірліктерді, сонымен қатар «пайдаланушылар» Posix тобын қосамыз, оған барлық пайдаланушыларды «топқа» кіретін көптеген жүйелердің үлгісіне сүйене отырып қосамыз.пайдаланушылар«. Біз оны «пайдаланушылар» атауымен атаймыз, сондықтан «» тобымен жанжалдар туындамас үшінпайдаланушы«жүйенің.

root @ master: ~ # nano base.ldif
dn: ou = адамдар, dc = swl, dc = желдеткіш объектСыныбы: organizationUnit ou: адамдар dn: ou = топтар, dc = swl, dc = желдеткіш нысаныClass: organizationUnit ou: топтар dn: cn = пайдаланушылар, ou = топтар, dc = swl, dc = желдеткіш нысаныClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
LDAP құпия сөзін енгізіңіз: «ou = people, dc = swl, dc = fan» жаңа жазба қосу «ou = groups, dc = swl, dc = fan» жаңа жазба қосу

Біз қосылған жазбаларды тексереміз

root @ master: ~ # ldapsearch -x ou = адамдар
# адам, swl.fan dn: ou = адамдар, dc = swl, dc = желдеткіш объектісі Сыныбы: ұйымдықБірлігі ou: адамдар

root @ master: ~ # ldapsearch -x ou = топтар
# топтар, swl.fan dn: ou = топтар, dc = swl, dc = желдеткіш объектісі Сыныбы: organizationUnit ou: топтары

root @ master: ~ # ldapsearch -x cn = пайдаланушылар
# пайдаланушылар, топтар, swl.fan dn: cn = пайдаланушылар, ou = топтар, dc = swl, dc = желдеткіш объектісі Сыныбы: posixGroup cn: пайдаланушылар гидNumber: 10000

Біз бірнеше қолданушыны қосамыз

LDAP-те жариялауымыз керек құпия сөз команда арқылы алынуы керек slappasswd, ол SSHA шифрланған құпия сөзін қайтарады.

Пайдаланушының қадамдары үшін пароль:

root @ master: ~ # slappasswd 
Жаңа пароль: жаңа парольді қайта енгізіңіз: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Пайдаланушының леголаларына арналған пароль

root @ master: ~ # slappasswd 
Жаңа пароль: жаңа парольді қайта енгізіңіз: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Пайдаланушы gandalf үшін пароль

root @ master: ~ # slappasswd 
Жаңа пароль: жаңа парольді қайта енгізіңіз: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = қадамдар, ou = адамдар, dc = swl, dc = желдеткіш объектісіСыныбы: inetOrgPerson объектісіСыныбы: posixAccount объектісіСыныбы: shadowAccount uid: strides cn: берілген қадамдарыName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidНөмірі: 10000 гидНөмірі: 10000 пошта: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer userPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidНөмірі: 10001 гидНөмірі: 10000 пошта: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalfN Gandalf sn: Wizard userPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidНөмірі: 10002 гидНөмірі: 10000 пошта: gandalf@swl.fan
гекос: Gandalf The Wizard кіру Shell: / bin / bash homeБағдарлама: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
LDAP паролін енгізіңіз: «uid = strides, ou = people, dc = swl, dc = fan» жаңа жазба қосу «uid = legolas, ou = people, dc = swl, dc = fan» жаңа жазба қосу «uid = gandalf, ou = адамдар, dc = swl, dc = желдеткіш «

Біз қосылған жазбаларды тексереміз

root @ master: ~ # ldapsearch -x cn = қадамдар
root @ master: ~ # ldapsearch -x uid = қадамдар

Біз slpad дерекқорын консольдық утилиталармен басқарамыз

Біз пакетті таңдаймыз лдапскрипттер осындай тапсырма үшін. Орнату және конфигурация процедурасы келесідей:

root @ master: ~ # икемділікті орнату ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = «/ etc / ldapscripts / ldapscripts.passwd» SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = groups' USUFF = 'ou = people' # MSUFFIX = 'ou = Компьютерлер' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP клиент командалары LDAPSEARCHBIN = «/ usr / bin / ldapsearch» LDAPADDBIN = «/ usr / bin / ldapadd» LDAPDELEB / usr / bin / ldapdelete «LDAPMODIFYBIN =» / usr / bin / ldapmodify «LDAPMODRDNBIN =» / usr / bin / ldapmodrdn «LDAPPASSWDBIN =» / usr / bin / ldappasswd «GCLASS =» etixTro « . /ldapadduser.template «PASSWORDGEN =» echo% u «

Сценарийлерде бума командалары қолданылатынына назар аударыңыз лдап-утилдер. Жүгіру dpkg -L ldap-utils | grep / bin олардың не екенін білу.

root @ master: ~ # sh -c «echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd «
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: есім: sn: көрсетілетін атау: uidNumber: гидНөмірі: 10000 үйБағдар: loginShell: пошта: @ swl.fan геккондар: сипаттамасы: пайдаланушы тіркелгісі
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## біз түсініктемені алып тастаймыз UTEMPLATE = «/ etc / ldapscripts / ldapadduser.template»

Біз «bilbo» пайдаланушысын қосып, оны «пайдаланушылар» тобының мүшесі етеміз

root @ master: ~ # ldapadduser билбо қолданушылары
[dn: uid = bilbo, ou = адамдар, dc = swl, dc = желдеткіш] «берілгенName» үшін мәнді енгізіңіз: Bilbo [dn: uid = bilbo, ou = адамдар, dc = swl, dc = fan] үшін мәнді енгізіңіз « sn «: Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan]» displayName «мәнін енгізіңіз: Bilbo Bagins пайдаланушыны bilbo-ны LDAP-қа сәтті қосты

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo өгсөнName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: билбо сипаттамасы: пайдаланушы тіркелгісі

Билбо пайдаланушысының парольдік хэшін көру үшін аутентификациямен сұранысты орындау қажет:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Билбо пайдаланушысын жою үшін біз келесі әрекеттерді орындаймыз:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
LDAP құпия сөзін енгізіңіз:

root @ master: ~ # ldapsearch -x uid = bilbo

Біз slapd мәліметтер қорын веб-интерфейс арқылы басқарамыз

Бізде функционалды каталог қызметі бар және біз оны оңай басқарғымыз келеді. Сияқты осы бағдарламаға арналған көптеген бағдарламалар бар phpldapadmin, ldap-менеджержәне т.б., олар тікелей репозиторийден қол жетімді. Біз сонымен қатар каталог қызметін басқара аламыз Apache каталог студиясы, біз оны Интернеттен жүктеуіміз керек.

Қосымша ақпарат алу үшін мына сайтқа кіріңіз https://blog.desdelinux.net/ldap-introduccion/және келесі 6 мақала.

LDAP клиенті

Кезең:

Бізде команда бар деп айтыңыз mail.swl.fan мақалада айтылғандай жүзеге асырылған пошта сервері ретінде Postfix + Dovecot + Squirrelmail және жергілікті қолданушылар, ол CentOS-та жасалғанымен, Debian және басқа да көптеген Linux дистрибьюторлары үшін нұсқаулық бола алады. Біз бұған дейін жариялаған жергілікті қолданушылардан басқа OpenLDAP дерекқорында сақталған пайдаланушылар болғанын қалаймыз master.swl.fan. Жоғарыда айтылғандарға қол жеткізу үшін біз «картаға шығару»LDAP пайдаланушыларына сервердегі жергілікті пайдаланушыларға mail.swl.fan. Бұл шешім PAM аутентификациясына негізделген кез-келген қызмет үшін жарамды. Жалпы тәртібі Debian, келесі:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌────────────────────┤ конфигурациясы libnss-ldap ├─────────────────────┐ │ LDAP серверінің URI («Бірыңғай ресурстар идентификаторы» немесе │ │ Бірыңғай ресурстар идентификаторы) енгізіңіз. Бұл жол │ │ «ұқсаслдап: //: / ». Сіз сонымен қатар «лдапс: // » немесе «ldapi: //». Порт нөмірі міндетті емес. │ │ │ │ Домендік атау қызметтері estén │ қол жетімді болмаған кезде сәтсіздікке жол бермеу үшін IP мекенжайын қолданған жөн. │ server │ │ LDAP сервері URI: │ │ │ │ лдап: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ───────────────────────────┘ ┌───────────────────── ┤ конфигурациясы libnss-ldap ├──────────────────────┐ │ LDAP іздеу базасының ерекшеленген атын (DN) енгізіңіз. Осы мақсатта көптеген сайттар домендік атаулардың компоненттерін қолданады. Мысалы, «example.net» домені іздеу базасының айрықша атауы ретінде │ │ «dc = мысал, dc = net» қолдануы керек. The │ │ │ Іздеу базасының ерекше атауы (DN): │ │ │ │ dc = swl, dc = желдеткіш ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы libnss-ldap Da │ ldapns қолдануы керек LDAP протоколының нұсқасын енгізіңіз. Қол жетімді нұсқаның ең жоғары нөмірін пайдалану ұсынылады. Use │ │ │ LDAP нұсқасы: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы libnss-ldap │ │ root артықшылықтары бар nss сұраулары үшін қандай тіркелгі қолданылатынын таңдаңыз. │ │ │ │ Ескерту: бұл опцияның жұмыс істеуі үшін есептік жазба пайдаланушыға «көлеңке» жазбаларына, сондай-ақ пайдаланушылардың парольдеріне және «shadow │» топтамаларына байланысты LDAP атрибуттарына қол жеткізу үшін рұқсаттарды қажет етеді. . Root │ │ │ түбірге арналған LDAP тіркелгісі: │ │ │ │ cn = admin, dc = swl, dc = желдеткіш ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы libnss-ldap B │ libnss-ldap түбірдің LDAP тіркелгісімен LDAP каталогына аутентификациялауға тырысқанда қолданылатын құпия сөзді енгізіңіз. │ │ │ │ Пароль root root жеке файлында сақталады («/etc/libnss-ldap.secret»), тек түбір ғана қол жеткізе алады. │ │ │ │ Егер сіз бос пароль енгізсеңіз, ескі пароль қайта пайдаланылады. L │ │ │ LDAP тіркелгісінің құпия сөзі: │ │ │ │ ******** ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── ─┤ конфигурациясы libnss-ldap ├──────────────────────┐ │ │ │ nsswitch.conf автоматты түрде басқарылмайды │ │ │ │ Сіз өзіңіздің файлыңызды өзгертуіңіз керек «/etc/nsswitch.conf «егер сіз libnss-ldap бумасының жұмыс істеуін қаласаңыз, LDAP дерек көзін пайдалану үшін. / │ мысал файлын «/usr/share/doc/libnss-ldap/examples/nsswitch.ldap» ішінен nsswitch конфигурациясының мысалы ретінде пайдалануға болады немесе │ │ оны ағымдағы конфигурацияның үстіне көшіруге болады. Package │ │ │ Есіңізде болсын, бұл буманы алып тастамас бұрын, «ldap» жазбаларын nsswitch.conf файлынан алып тастау ыңғайлы болуы мүмкін, сонда негізгі қызметтер the │ жұмысын жалғастырады. │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы либбам-лдап ├──────────────────────┐ │ │ │ Бұл параметр PAM көмегімен жергілікті құпия сөздерді өзгертуге мүмкіндік беретін құпия сөз құралдарына мүмкіндік береді. │ │ │ │ LDAP әкімшісінің тіркелгісіне арналған құпия сөз тек администратор оқи алатын бөлек │ │ файлда сақталады. │ │ │ │ NFS арқылы «/ etc» орнатылатын болса, бұл опцияны өшіру керек. │ │ │ │ LDAP әкімші тіркелгісіне administ │ жергілікті әкімші ретінде әрекет етуге рұқсат бергіңіз келе ме? │ │ │ │                                            │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы либбам-лдап ├──────────────────────┐ │ │ │ LDAP сервері жазба енгізуден бұрын сәйкестендіруді күшейтетінін таңдаңыз. Setting │ │ │ Бұл параметр сирек қажет. │ │ │ │ Пайдаланушыға LDAP дерекқорына кіру қажет пе? │ │ │ │                                               │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы либбам-лдап ├──────────────────────┐ │ LDAP әкімші есептік жазбасының атын енгізіңіз. │ │ │ │ Бұл тіркелгі дерекқорды басқару үшін автоматты түрде пайдаланылады, кезекте ол тиісті әкімшілік артықшылықтарға ие болуы керек. D │ │ │ LDAP администраторының тіркелгісі: │ │ │ │ cn = admin, dc = swl, dc = желдеткіш ___________________________________________________ ________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ конфигурациясы либбам-лдап ├──────────────────────┐ │ Әкімші тіркелгісінің құпия сөзін енгізіңіз. │ │ │ │ Құпия сөз «/etc/pam_ldap.secret» файлында сақталады. File │ әкімшісі бұл файлды оқи алатын жалғыз адам болады және │ │ libpam-ldap-ге │ │ мәліметтер базасындағы қосылыстарды басқаруды автоматты түрде басқаруға мүмкіндік береді. │ │ │ │ Егер сіз бұл өрісті бос қалдырсаңыз, алдыңғы сақталған пароль │ │ қайтадан қолданылады. │ │ │ │ LDAP әкімшісінің құпия сөзі: │ │ │ │ ******** _______________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU Name Service Switch функциясының конфигурациясы. # Егер сізде «glibc-doc-reference» және «info» бумалары орнатылған болса, мына файл туралы ақпарат алу үшін # «info libc» Name Service Switch «» қолданып көріңіз. passwd: үйлесімді лдап
топ: үйлесімді лдап
көлеңке: үйлесімді лдап
gshadow: файлдар хосттары: файлдар dns желілері: файлдар хаттамалары: db файлдар қызметтері: db файлдар эфирлер: db файлдар rpc: db файлдар netgroup: nis

Файлды өңдейік /etc/pam.d/common-password, біз 26 жолына өтіп, «мәнін жоямыз»use_authtok«:

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - барлық қызметтерге ортақ парольге байланысты модульдер # # Бұл файл басқа арнайы PAM конфигурация файлдарынан, # және қызметтерді анықтайтын модульдер тізімін қамтуы керек # пайдаланушының парольдерін өзгерту үшін қолданылады. Әдепкі мәні - pam_unix. # Pam_unix параметрлерін түсіндіру: # # «sha512» опциясы тұздалған SHA512 парольдерін қосады. Бұл параметр болмаса, # әдепкі Unix криптовалютасы болып табылады. Алдыңғы шығарылымдарда «md5» опциясы қолданылған. # # «Түсініксіз» параметр # login.defs ішіндегі ескі «OBSCURE_CHECKS_ENAB» опциясын ауыстырады. # # Басқа опцияларды pam_unix бас бетінен қараңыз. # Pam 1.0.1-6 жағдайында бұл файл әдепкі бойынша pam-auth-update арқылы басқарылады. # Осы мүмкіндікті пайдалану үшін кез-келген # жергілікті модульді әдепкі блокқа дейін немесе одан кейін конфигурациялау және басқа модульдерді таңдауды басқару үшін # pam-auth-update пайдалану ұсынылады. Толық ақпаратты # pam-auth-update (8) бөлімінен қараңыз. # міне пакеттегі модульдер («Бастапқы» блок) паролі [сәттілік = 2 әдепкі = елемеу] pam_unix.so түсініксіз sha512
пароль [success = 1 user_unknown = ескермеу әдепкі = өлу] pam_ldap.so try_first_pass
# міне, егер ешқандай модуль pam_deny.so құпия сөзіне қол жеткізе алмаса, резервті қайтару керек, егер ондай жоқ болса, стекті оң қайтарымды мәнмен праймеризациялаңыз; # бұл қателік жіберуден аулақ болады, өйткені ештеңе сәтті кодты орнатпайды # өйткені жоғарыдағы модульдер тек pam_permit.so паролі бойынша секіреді және міне бумаға көбірек модульдер («Қосымша» блок) # pam- аут-жаңарту конфигурациясы

Егер бізге қажет болса LDAP-те сақталған пайдаланушылардың жергілікті кіруі және біз олардың қалталарының автоматты түрде жасалуын қалаймыз үй, біз файлды өңдеуіміз керек /etc/pam.d/common-session және файлдың соңына келесі жолды қосыңыз:

сеанс міндетті емес pam_mkhomedir.so skel = / etc / skel umask = 077

Бұрын жасалған OpenLDAP каталог қызметі мысалында тек жергілікті пайдаланушы ғана қолданушы құрылды Дыбыссыз, ал LDAP-та біз қолданушыларды құрамыз қадамдар, леголалар, гэндфальжәне билборд. Егер осы уақытқа дейін жасалған конфигурациялар дұрыс болса, онда біз жергілікті пайдаланушыларды және жергілікті деп кескінделген, бірақ қашықтағы LDAP серверінде сақталғандарды тізімдей аламыз:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Қадамдар: x: 10000: 10000: қадамдар El Rey: / үй / қадамдар: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Жүйенің аутентификациясы өзгергеннен кейін, серверді қайта іске қосу керек, әйтпесе біз маңызды қызметке кезігеміз:

root @ mail: ~ # қайта жүктеу

Кейінірек біз серверде жергілікті сеансты бастаймыз mail.swl.fan LDAP дерекқорында сақталған пайдаланушының тіркелгі деректерімен master.swl.fan. SSH арқылы кіріп көруге болады.

 

buzz @ sysadmin: ~ $ ssh gandalf @ mail
gandalf @ mail паролі: '/ home / gandalf' каталогын құру. Debian GNU / Linux жүйесіне кіретін бағдарламалар - ақысыз бағдарламалық жасақтама; әр бағдарлама үшін нақты тарату шарттары жеке файлдарда / usr / share / doc / * / copyright сипатталған. Debian GNU / Linux қолданыстағы заңмен рұқсат етілген мөлшерде КЕПІЛДІКТІҢ ӨЗІНДЕ ЖОҚ.
gandalf @ mail: ~ $ su
Мазмұны:

root @ mail: / home / gandalf # getent тобы
buzz: x: 1001: пайдаланушылар: *: 10000:

root @ mail: / home / gandalf # шығу
Шығу

gandalf @ mail: ~ $ ls -l / home /
барлығы 8 drwxr-xr-x 2 ызылдау     4096 17 маусым 12:25 buzz drwx ------ 2 gandalf қолданушылары 4096 17 маусым 13:05 гэндальф

Сервер мен клиент деңгейінде енгізілген каталог қызметі дұрыс жұмыс істейді.

Керберос

Википедиядан:

  • Kerberos - компьютерлік желінің аутентификациялау протоколы MIT қауіпті желідегі екі компьютерге бір-біріне сәйкестігін сенімді түрде дәлелдеуге мүмкіндік береді. Оның дизайнерлері алдымен клиент-сервер моделіне назар аударды және ол өзара аутентификацияны қамтамасыз етеді: клиент те, сервер де бір-бірінің сәйкестігін тексереді. Аутентификация туралы хабарламалар алдын алу үшін қорғалған тыңдау y қайта шабуылдар.

    Kerberos симметриялы кілт криптографиясына негізделген және сенімді үшінші тарапты қажет етеді. Сонымен қатар, асимметриялық кілт криптографиясын қолдана алатын хаттаманың кеңейтімдері бар.

    Kerberos негізделеді Нидхем-Шредер хаттамасы. Мұнда екі жеке логикалық бөліктен тұратын «Кілттерді тарату орталығы» (KDC) деп аталатын сенімді үшінші тұлға қолданылады: «Аутентификация сервері» (AS немесе Authentication Server) және «билет беретін сервер» (TGS немесе билет ұсыну сервері) ). Kerberos пайдаланушылардың жеке басын дәлелдеуге қызмет ететін «билеттер» негізінде жұмыс істейді.

    Kerberos құпия кілттер базасын жүргізеді; Желідегі әрбір тұлға - ол клиент немесе сервер болсын - тек өзіне және Kerberos-қа ғана белгілі құпия кілтпен бөліседі. Бұл кілтті білу субъектінің жеке басын дәлелдеуге қызмет етеді. Екі нысан арасындағы байланыс үшін Kerberos сеанстың кілтін жасайды, оны олар өз проблемаларын қорғау үшін қолдана алады.

Керберостың кемшіліктері

De Шығарылған:

Дегенмен Керберос жалпы қауіпсіздік қатерін жояды, оны орындау әр түрлі себептермен қиын болуы мүмкін:

  • Стандартты парольдер базасынан пайдаланушы парольдерін көшіру UNIX/ etc / passwd немесе / etc / shadow сияқты Kerberos құпия сөздік қорына, жалықтыруы мүмкін және бұл тапсырманы орындаудың жылдам механизмі жоқ.
  • Kerberos әр пайдаланушыға сенім артады, бірақ сенімсіз желіде сенімсіз машинаны пайдаланады деп болжайды. Оның басты мақсаты - шифрланбаған парольдердің желі арқылы жіберілуіне жол бермеу. Алайда, егер кез-келген басқа пайдаланушы, тиісті пайдаланушыдан басқа, аутентификация үшін билет сату машинасына (KDC) қол жеткізе алса, Kerberos тәуекелге барады.
  • Kerberos қолданбасын пайдалану үшін кодты Kerberos кітапханаларына тиісті қоңыраулар жасау үшін өзгерту керек. Осылайша өзгертілген қосымшалар керберленген деп саналады. Кейбір қосымшалар үшін бұл бағдарламаның көлеміне немесе оның Дизайнына байланысты бағдарламалаудың шамадан тыс күші болуы мүмкін. Басқа үйлесімсіз қосымшалар үшін желілік сервер мен оның клиенттерінің байланыс тәсіліне өзгерістер енгізу керек; қайтадан, бұл бағдарламалаудың біраз уақытын алуы мүмкін. Жалпы, Kerberos қолдауы жоқ жабық көзді қосымшалар әдетте ең проблемалы болып табылады.
  • Ақырында, егер сіз Kerberos-ты өз желіңізде қолдануды шешсеңіз, мұның бәрі немесе ештеңе емес екенін түсінуіңіз керек. Егер сіз Kerberos-ты желіде қолдануды шешсеңіз, Kerberos-ті аутентификациялау үшін пайдаланбайтын қызметке қандай да бір парольдер берілсе, сізде пакеттің түсіп қалу қаупі бар екенін ұмытпаңыз. Осылайша, сіздің желі Kerberos-ты пайдаланудан ешқандай пайда алмайды. Желіні Kerberos-пен қорғау үшін шифрланбаған құпия сөздерді жіберетін барлық клиенттік / серверлік қосымшалардың керберленген нұсқаларын немесе желіде осы қосымшалардың ешқайсысын пайдаланбау керек..

OpenLDAP-ты Kerberos Back-End ретінде қолмен енгізу және конфигурациялау оңай мәселе емес. Алайда, кейінірек біз Samba 4 Active Directory - Domain Controller Sysadmin, DNS сервері, Microsoft Network және оның домен контроллері, LDAP сервері үшін барлық нысандардың артқы жағы ретінде мөлдір түрде интеграцияланатынын көреміз. Microsoft стиліндегі Active Directory каталогының негізгі компоненттері ретінде Kerberos негізіндегі аутентификация қызметі.

Бүгінгі күнге дейін бізде «Kerberized Network» енгізу қажеттілігі болған жоқ. Сондықтан біз Kerberos-ты қалай енгізу туралы жазған жоқпыз.

Samba 4 Active Directory - домен контроллері

Маңызды:

Сайттан жақсы құжат жоқ wiki.samba.org. Өзін құрметтейтін Sysadmin сайты - ағылшынша кіріп, Samba Team өзі жазған Samba 4-ке арналған көптеген парақтарды қарап шығуы керек. Интернетте оны ауыстыратын құжат бар екеніне сенбеймін. Айтпақшы, әр беттің төменгі жағында көрсетілген кіру санын қадағалаңыз. Бұған мысал ретінде сіздің басты парағыңызға немесе «Басты бетке» кіргеніңізді айтуға болады 276,183 20 жылғы 2017 маусымда сағат 10: 10-да Шығыс стандарт уақыты. Сонымен қатар, құжаттама өте заманауи түрде сақталады, өйткені ол 6 маусымда өзгертілген.

Википедиядан:

Samba - Microsoft Windows файлдарды бөлісу протоколының (бұрын SMB деп аталатын, жақында CIFS деп өзгертілген) UNIX -ке ұқсас жүйелер үшін ақысыз жүзеге асырылуы. Осылайша GNU / Linux, Mac OS X немесе Unix бар компьютерлердің серверлерге ұқсайтындығы немесе Windows желілерінде клиенттің рөлін атқаруы мүмкін. Samba сонымен қатар пайдаланушыларды бастапқы домен контроллері (PDC) ретінде, домен мүшесі ретінде және тіпті Windows негізіндегі желілер үшін Active Directory домені ретінде растауға мүмкіндік береді; Баспа кезектеріне, ортақ каталогтарға қызмет көрсетуден және өзінің пайдаланушы мұрағатымен түпнұсқалық растамадан басқа.

Samba іске қосылатын Unix тәрізді жүйелердің қатарына GNU / Linux дистрибутивтері, Solaris және басқа BSD нұсқалары жатады. біз Apple компаниясының Mac OS X серверін таба аламыз.

Samba 4 AD-DC ішкі DNS-пен

  • Біз Debian 8 «Jessie» графикалық интерфейсі жоқ таза қондырғыдан бастаймыз.

Бастапқы тексерулер

root @ master: ~ # хост аты
мастер
root @ master: ~ # хост атауы --fqdn
master.swl.fan
root @ master: ~ # ip addr
1: не: mtu 65536 qdisc noqueue күйі БЕЛГІСІЗ топтың әдепкі сілтемесі / кері байланыс 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 ауқымы хост lo valid_lft forever prefer_lft forever inet6 :: 1/128 масштабтағы хост valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast күйі Белгісіз топ әдепкі qlen 1000 сілтемесі / эфир 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 ауқымы жаһандық эт0
       жарамды_лфат мәңгіге артықшылықты_лфтет inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 ауқым сілтемесі
root @ master: ~ # cat /etc/resolv.conf
swl.fan nameserver 127.0.0.1 іздеу
  • Онымен біз филиал туралы мәлімдейміз басты тек бұл біздің мақсатымызға жетеді.
root @ master: ~ # cat /etc/apt/sources.list
деп http://192.168.10.1/repos/jessie-8.6/debian/ jessie басты
деп http://192.168.10.1/repos/jessie-8.6/debian/security/ джесси / жаңартулар басты

Exim және коммуналдық қызметтердің постфиксі

root @ master: ~ # бейімділікті орнату postfix htop mc deborphan

  ┌────────────────────────┤ Postfix конфигурациясы ├───────────────────── ────┐ │ Сіздің қажеттіліктеріңізге сәйкес келетін пошта сервері конфигурациясының түрін таңдаңыз. Configuration │ │ │ Конфигурация жоқ: │ │ Ағымдағы конфигурацияны сақтайды. │ │ Интернет-сайт: │ │ Пошта SMTP көмегімен тікелей жіберіледі және алынады. Smart │ «smarthost» бар интернет: │ │ Пошта SMTP көмегімен немесе «fetchmail» сияқты комо-құралды пайдалану арқылы алынады. Шығыс хаттар «smarthost» көмегімен жіберіледі. │ │ Тек жергілікті пошта: │ │ Жеткізілетін жалғыз пошта жергілікті пайдаланушыларға арналған. Жоқ │ │ желі бар. │ │ │ │ Пошта конфигурациясының жалпы типі: │ │ │ │ Конфигурация жоқ │ │ Интернет-сайт │ │ «smarthost» -пен интернет │ │ Спутниктік жүйе │ │                         Тек жергілікті пошта                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── ─────┤ Постфикстің конфигурациясы ├─────────────────────────┐ │ «Пошта жүйесінің атауы» - бұл доменнің аты │ домендік аты жоқ _ALL_ электрондық пошта мекен-жайларын «талаптарға сай» қолдану үшін қолданылады. Бұған «түбірге» және одан келетін пошта кіреді: сіздің компьютеріңізден электрондық пошта хабарламаларын жібермеңіз root@example.org дейін │ │ аз root@example.org деп сұрады. Name │ │ │ Бұл атауды басқа бағдарламалар қолданады. Бұл бірегей │ │ білікті домен атауы (FQDN) болуы керек. │ │ │ │ Сондықтан, егер жергілікті машинадағы электрондық пошта мекенжайы │ │ болса something@example.org, бұл параметр үшін дұрыс мән example.org болады. │ │ │ │ Пошта жүйесінің атауы: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Біз тазалаймыз

root @ master: ~ # бейімділікті тазарту ~ c
root @ master: ~ # бейімділікті орнату -f
root @ master: ~ # бейімділік таза
root @ master: ~ # икемділік автоклейн

Біз Samba 4 және компиляциялау талаптарын орнатамыз басқа қажетті пакеттер

root @ master: ~ # икемділік орнату acl attr autoconf bison \
dnsutils docbook-xml docbook-xsl flex gdb құру
krb5-пайдаланушы libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev lijjson-perl \
libldap2-dev libncurses5-dev lippam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-модульдер pkg-config \
python-all-dev python-dev python-dnspython python-crypto \
xsltproc zlib1g-dev libgpgme11-dev python-gpgme python-m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Kerberos аутентификациясын теңшеу users users Пайдаланушылар Kerberos-ты пайдаланып, атын көрсетуге тырысқанда │ │ негізгі немесе пайдаланушының негізгі which │ қай әкімшілік Kerberos доменіне жататынын анықтамай, жүйе the │ әдепкі аймағын қабылдайды.  Әдепкі аймақ жергілікті машинада жұмыс істейтін Kerberos қызметінің │ │ аймағы ретінде де қолданыла алады.  │ │ Әдетте, әдепкі сала - жергілікті DNS │ │ доменінің бас әрпі.  Ber │ │ │ Kerberos нұсқасы 5 әдепкі саласы: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── Aut ┌───────────────┤ Аутентификацияны конфигурациялау Kerberos ├───────────────┐ │ Kerberos серверлерінің аттарын интервалмен бөлінген Kerberos SWL.FAN аймағына енгізіңіз.  Your │ │ │ Kerberos серверлері сіздің аймағыңыз үшін: master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── Aut ┌───────────────┤ Аутентификацияны конфигурациялау Kerberos ├───────────────┐ │ Kerberos SWL.FAN аймағы үшін әкімшілік сервердің атын енгізіңіз (құпия сөзді өзгерту).   

Жоғарыда аталған процесс біраз уақытты алды, өйткені бізде әлі орнатылған DNS қызметтері жоқ. Алайда, сіз файл параметрлері бойынша доменді дұрыс таңдадыңыз / etc / hosts. Мұны файлда есте сақтаңыз /etc/resolv.conf біз IP 127.0.0.1 домендік атау сервері ретінде жарияладық.

Біз қазір / etc / ldap / ldap / conf файлын конфигурациялаймыз

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = желдеткіш URI ldap: //master.swl.fan

Пәрменді қолданатын сұраулар үшін ldapsearch түбірлік қолданушыдан жасалынған ldapsearch -x -W cn = xxxx, біз файлды жасауымыз керек /root/.ldapsearc келесі мазмұнмен:

root @ master: ~ # nano .ldaprc
BINDDN CN = Әкімші, CN = Пайдаланушылар, DC = swl, DC = желдеткіш

Файлдық жүйеде ACL - Access Control List қолдауы керек

root @ master: ~ # nano / etc / fstab
# / etc / fstab: статикалық файлдық жүйе туралы ақпарат. # # Құрылғы үшін әмбебап бірегей идентификаторды басып шығару үшін 'blkid' пайдаланыңыз; бұл UUID = дискілерді қосып, алып тастаса да жұмыс істейтін # құрылғыларды атаудың сенімді әдісі ретінде қолданылуы мүмкін. Fstab (5) бөлімін қараңыз. # # UUID = 1acb33-024b-291-b4767f6-cf4a207c / ext71060 орнату кезінде # / on / dev / sda4 болған user_xattr, acl, тосқауыл = 1, уақыт уақыты, қателер = қайта есептеу-ro 0 1
# своп орнату кезінде болған / UUID = cb5a-73228d-615-4804-9877ec3e225ae3 своп болған жоқ sw 32 0 / dev / sr0 / media / cdrom0 udf, iso0 user, noauto 9660 0

root @ master: ~ # mount -a

root @ master: ~ # touch_acl.txt түртіңіз
root @ master: ~ # setfattr -n user.test -v тестілеу test_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 test_acl.txt
root @ master: ~ # getfattr -d test_acl.txt
# файл: test_acl.txt user.test = «тест»

root @ master: ~ # getfattr -n security.test -d test_acl.txt
# файл: testing_acl.txt security.test = «test2»

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl тестілеу_acl.txt
# файл: testing_acl.txt # иесі: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Біз Samba 4 көзін аламыз, оны құрастырамыз және орнатамыз

Версияның бастапқы файлын жүктеу ұсынылады Тұрақты сайттан https://www.samba.org/. Біздің мысалда біз нұсқасын жүктеп аламыз samba-4.5.1.tar.gz қалтаға қарай / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Конфигурация параметрлері

Егер біз конфигурация параметрлерін реттегіміз келсе, келесі әрекеттерді орындаймыз:

root @ master: /opt/samba-4.5.1# ./configure --help

және бізге қажетін өте мұқият таңдаңыз. Жүктелген пакетті біз қолданатын Linux дистрибутивіне орнатуға болатындығын тексерген жөн, бұл біздің жағдайда Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# ./configure бөлу

Біз samba-4.5.1-ді конфигурациялаймыз, құрастырамыз және орнатамыз

  • Бұрын орнатылған талаптардан және салмағы 8604 мегабайтты құрайтын 4.5.1 файлдан (жинақы samba-101.7.tar.gz құрайды), оның ішінде салмағы 3 мегабайт болатын дереккөз4 және source61.1 папкаларын қосқанда, біз оның орнын аламыз Microsoft стиліндегі кез-келген өндірістік орта үшін қолайлы және сапалы тұрақтылықтағы Active Directory. Біз Samba Team-тің тегін Samba 4 бағдарламалық жасақтамасын жеткізудегі жұмысын атап өтуіміз керек.

Төмендегі пәрмендер - олардың көздерінен пакеттерді жинауға және орнатуға арналған классикалық. Бүкіл процесс жалғасқан кезде біз шыдамды болуымыз керек. Бұл дұрыс және дұрыс нәтиже алудың жалғыз әдісі.

root @ master: /opt/samba-4.5.1# ./configure - with-systemd - ажыратылатын шыныаяқтар
root @ master: /opt/samba-4.5.1# жасау
root @ master: /opt/samba-4.5.1# орнатыңыз

Командалық процесс кезінде жасау, біз Samba 3 және Samba 4 дереккөздерінің жинақталғанын көре аламыз.Сондықтан Team Samba өзінің 4 нұсқасы Samba 3 + OpenLDAP домен контроллері үшін де, файл серверлері үшін де, немесе одан жоғары нұсқалар үшін де 3 нұсқасының табиғи жаңартылуы екенін растайды. Samba 4 нұсқалары.

Самбаны қамтамасыз ету

Біз DNS ретінде қолданамыз SAMBA_INTERNAL. En https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End біз қосымша ақпарат табамыз. Олар бізден Әкімші пайдаланушысының құпия сөзін сұрағанда, біз ең аз дегенде 8 таңбадан тұратын біреуін, сондай-ақ әріптермен - үлкен және кіші әріптермен және сандарды теруіміз керек.

Сақтауды бастамас бұрын және өмірді жеңілдету үшін біз қосамыз жолы файлдағы Samba орындалатын файлдар туралы .bashrcСодан кейін біз жабамыз және қайтадан кіреміз.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: кірмейтін қабықшалар үшін bash (1) арқылы орындалады. # Ескерту: PS1 және umask бұрыннан / etc / профилінде орнатылған. Егер root үшін әр түрлі әдепкі параметрлерді қажет етпесеңіз, сізге бұған # қажет емес. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Егер сіз «ls» түске боялғыңыз келсе, келесі жолдарға ескерту жасай аласыз: # экспорт LS_OPTIONS = '- түс = auto '# eval «» dircolors` «# лақап аты ls =' ls $ LS_OPTIONS '# псевдоним ll =' ls $ LS_OPTIONS -l '# псевдоним l =' ls $ LS_OPTIONS -lA '# # Қателіктер жібермеу үшін тағы бірнеше бүркеншік аттар : # бүркеншік rm = 'rm -i' # бүркеншік cp = 'cp -i' # бүркеншік mv = 'mv -i'
-x PATH = «/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin «

root @ master: ~ # шығу шығу Мастермен байланыс жабық. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-tool доменін қамтамасыз ету --use-rfc2307 - интерактивті
Патшалық [SWL.FAN]: SWL.FAN
 Домен [SWL]: SWL
 Сервер рөлі (тұрақты, мүше, дербес) [dc]: dc
 DNS артқы жағы (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 DNS экспедиторының IP мекенжайы (бағыттауды өшіру үшін «жоқ» деп жазыңыз) [192.168.10.5]: 8.8.8.8
Әкімші құпия сөзі: TuPassword 2017
Құпия сөзін қайтадан теріңіз: TuPassword 2017
IPv4 мекен-жайларын іздеу IPv6 мекен-жайлары тағайындалмайды. Share.ldb-ді орнату. Secrets.ldb-ді орнату Тіркеуді орнату Артықшылықтар базасын орнату. Idmap-ді орнату. SAM-ді орнату. Sam.ldb бөлімдері мен параметрлерін орнату up sam.ldb rootDSE Samba 6 және AD схемасын алдын-ала жүктеу DomainDN қосу: DC = swl, DC = желдеткіш Конфигурациялық контейнер қосу sam.ldb схемасын орнату sam.ldb конфигурациясының деректерін орнату Дисплей спецификаторларын орнату Пайдаланушылар контейнерін қосу Пайдаланушылар контейнерін өзгерту Компьютерлер контейнерін өзгерту Компьютерлік контейнерді өзгерту sam.ldb деректерін орнату Қауіпсіздіктің белгілі принциптерін орнату sam.ldb пайдаланушылары мен топтарын орнату DNS тіркелгілерін қосу CN = MicrosoftDNS, CN = System, DC = swl, DC құру = желдеткіш DomainDnsZones және ForestDnsZones бөлімдерін құру DomainDnsZones және ForestDnsZones бөлімдерін орналастыру sam.ldb rootDSE таңбалауын синхрондалған күйінде орнату GUID-ді бекітуSamba 4-ке сәйкес келетін Kerberos конфигурациясы /usr/local/samba/private/krb4.conf мекен-жайы бойынша жасалды, yp серверінің жалған параметрлерін орнату Жоғарыдағы файлдар орнатылғаннан кейін, Samba5 серверіңіз Server Role: белсенді каталог доменін пайдалануға дайын болады контроллер Хост атауы: мастер NetBIOS домені: SWL DNS домені: swl.fan DOMAIN SID: S-4-1-5-21-32182636-2892912266

Kerberos теңшелім файлын. -Ның нәтижесімен көрсетілгендей көшіруді ұмытпайық Провизиялау:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Пәрменді термеу үшін самба-құрал Сіздің толық атыңызбен біз қысқаша атпен символдық сілтеме жасаймыз аспап:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Біз NTP-ді орнатамыз

Белсенді каталогтың негізгі бөлігі желілік уақыт қызметі болып табылады, өйткені аутентификация Kerberos және оның билеттері арқылы жүзеге асады, сондықтан Samba 4 AD-DC уақыт синхронизациясы өте маңызды.

root @ master: ~ # икемділікті орнату ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd статистикасы цикл статистикалары peerstats clockstats filegen loopstats файл loopstats типі күнді іске қосу filegen peerstats файл peerstats түрі күні қосу filegenstats файл сағатының статустары 192.168.10.1 шектеу -4 әдепкі код notrap nomodify nopeer noquery шектеу -6 әдепкі код notrap nomodify nopeer noquery шектеу әдепкі mssntp шектеу 127.0.0.1 шектеу :: 1 таратылым 192.168.10.255

root @ master: ~ # service ntp қайта іске қосыңыз
root @ master: ~ # service ntp мәртебесі

root @ master: ~ # tail -f / var / log / syslog

Егер тексеру кезінде syslog жоғарыдағы команданы пайдалану немесе пайдалану Journalctl -f біз хабарлама аламыз:

19 маусым 12:13:21 master ntpd_intres [1498]: ата-ана біз аяқтамай қайтыс болды, шыққанға дейін

біз қызметті қайта қосып, қайталап көруіміз керек. Енді біз қалтаны жасаймыз ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd қатынай алмайды: Файл немесе каталог жоқ

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Samba.wiki.org сайтында сұралғандай
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19 маусым 12:21 / usr / local / samba / var / lib / ntp_signd

Біз Samba-ны systemd-ді қолдануды бастадық

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Service] Type = форкинг PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Install] WantedBy = multi-user.target

root @ master: ~ # systemctl samba-ad-dc қосыңыз
root @ master: ~ # қайта жүктеу

root @ master: ~ # systemctl мәртебесі samba-ad-dc
root @ master: ~ # systemctl күйі ntp

Samba 4 AD-DC файлының орналасуы

БАРЛЫҚ -минус жаңадан жасалған samba-ad-dc.service- файлдар:

root @ master: ~ # ls -l / usr / local / samba /
барлығы 32 drwxr-sr-x 2 түбірлік құрам 4096 19 маусым 11:55 А.М.
drwxr-sr-x 2 түбірлік персонал 4096 19 маусым 11:50 және т.б.
drwxr-sr-x 7 түбірлік персонал 4096 19 маусым 11:30 қамтиды
drwxr-sr-x 15 түбірлік персонал 4096 19 маусым 11:33 lib
drwxr-sr-x 7 түбірлік персонал 4096 19 маусым 12:40 жеке
drwxr-sr-x 2 түбірлік персонал 4096 19 маусым 11:33 sbin
drwxr-sr-x 5 түбірлік персонал 4096 19 маусым 11:33 үлес
drwxr-sr-x 8 түбірлік персонал 4096 19 маусым 12:28 бар

ең жақсы UNIX стилінде. Әрқашан әр түрлі қалталарды қарап, олардың мазмұнын қарастырған жөн.

/Usr/local/samba/etc/smb.conf файлы

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Ғаламдық параметрлер [жаһандық] netbios атауы = MASTER аймақ = SWL.FAN жұмыс тобы = SWL dns экспедитор = 8.8.8.8 сервер қызметтері = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns серверінің рөлі = белсенді каталогтың домен контроллері dns жаңартуларына рұқсат береді = тек қауіпсіз idmap_ldb: rfc2307 пайдалану = иә idmap конфигурациясы *: backend = tdb idmap config *: ауқымы = 1000000-1999999 ldap сервері күшті auth талап етеді = printcap аты жоқ = / dev / нөл [netlogon] жолы = /usr/local/samba/var/locks/sysvol/swl.fan/scripts тек оқу = Жоқ [sysvol] жолы = / usr / local / samba / var / locks / sysvol тек оқу = Жоқ

root @ master: ~ # testparm
Smus config файлдарын /usr/local/samba/etc/smb.conf бөлімінен жүктеу «[netlogon]» Өңдеу бөлімі «[sysvol]» жүктелген қызметтер файлы OK. Сервер рөлі: ROLE_ACTIVE_DIRECTORY_DC Сіздің қызмет анықтамаларының қоқысын көру үшін enter пернесін басыңыз # Глобалды параметрлер [жаһандық] аймақ = SWL.FAN жұмыс тобы = SWL dns экспедиторы = 192.168.10.1 ldap сервері күшті auth талап етеді = Жоқ passdb backend = samba_dsdb сервер рөлі = белсенді каталог домен контроллері : сыртқы құбырлар = шын idmap конфигурациясы *: ауқым = 1000000-1999999 idmap_ldb: rfc2307 пайдалану = иә idmap конфигурациясы *: backend = tdb карта мұрағаты = тек карта оқылмайды = дүкеннің атрибуттары жоқ = иә vfs нысандары = dfs_samba4 acl_xattr [netlogon] жолы = / usr / local / samba / var / locks / sysvol / swl.fan / сценарийлер тек оқу = Жоқ [sysvol] жолы = / usr / local / samba / var / locks / sysvol тек оқу = Жоқ

Минималды чектер

root @ master: ~ # домен деңгейінің құралы
'DC = swl, DC = желдеткіш' домені үшін домен және орман функциясы деңгейі Орман функциясы деңгейі: (Windows) 2008 R2 Домен функциясының деңгейі: (Windows) 2008 R2 DC функциясының ең төменгі деңгейі: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # dbcheck құралы
262 нысанды тексеру 262 нысанды тексеру (0 қате)

root @ master: ~ # kinit Әкімші
Құпия сөз үшін Administrator@SWL.FAN: 
root @ master: ~ # klist -f
Билет кэші: FILE: / tmp / krb5cc_0
Бастапқы әдепкі: Administrator@SWL.FAN

Жарамды басталу мерзімі аяқталады Service main 19 06:17:12 53 24:19:06  krbtgt/SWL.FAN@SWL.FAN
    жаңарту 20 06:17:12, жалаулар: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: '/ tmp / krb5cc_0' тіркелгі деректерінің кэш файлы табылмады

root @ master: ~ # smbclient -L localhost -U%
Домен = [SWL] OS = [Windows 6.1] Сервер = [Samba 4.5.1] Бөліскен аттың түрі Түсініктеме --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Сервис (Samba 4.5.1) Домен = [SWL] OS = [Windows 6.1] Сервер = [Samba 4.5.1] Сервер түсініктемесі --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Әкімшінің құпия сөзін енгізіңіз: Домен = [SWL] OS = [Windows 6.1] Сервер = [Samba 4.5.1]. D 0 Дүйсенбі 19 Маусым 11:50:52 2017 .. D Дүйсенбі Маусым 0 19:11:51 07 2017 өлшемі 19091584 блок. 1024 блок қол жетімді

root @ master: ~ # құралы dns serverinfo master -U әкімшісі

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan-да SRV жазбасы бар 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan-да SRV жазбасы бар 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
master.swl.fan мекен-жайы 192.168.10.5

root @ master: ~ # хост -t SOA swl.fan
swl.fan-да SOA жазбасының master.swl.fan бар. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan атау сервері master.swl.fan.

root @ master: ~ # host -t MX swl.fan
swl.fan-да MX жазбасы жоқ

root @ master: ~ # samba_dnsupdate - артық сөз

root @ master: ~ # құралдың пайдаланушылар тізімі
Әкімші krbtgt Қонақ

root @ master: ~ # құралдар тобының тізімі
# Шығу - бұл топтардың тобы. ;-)

Біз жаңадан орнатылған Samba 4 AD-DC басқарамыз

Егер біз әкімшінің парольінің қолданылу мерзімінің аяқталуын өзгерткіміз келсе; парольдердің күрделілігі; парольдің минималды ұзындығы; парольдің минималды және максималды ұзақтығы - күн ішінде; барысында мәлімделген әкімші құпия сөзін өзгертіңіз Провизиялау, біз келесі командаларды сіздің қажеттіліктеріңізге сәйкес келтірілген мәндер:

root @ master: ~ # құрал
Қолданылуы: самба-құрал Самбаны басқарудың негізгі құралы. Опциялар: -h, --help осы анықтамалық хабарламаны көрсетіп, Нұсқа параметрлерінен шығыңыз: -V, --version Нұсқа нөмірін көрсету Қол жетімді ішкі командалар: dbcheck - Жергілікті AD дерекқорының қателіктерін тексеріңіз. делегация - делегацияны басқару. dns - домендік атау қызметін (DNS) басқару. домен - доменді басқару. drs - Каталогтарды көбейту қызметтерін (DRS) басқару. dsacl - DSL ACL манипуляциясы. fsmo - икемді жалғыз шеберлік операциялар (FSMO) рөлдерін басқару. gpo - Топтық саясат объектісін басқару (GPO). топ - Топты басқару. ldapcmp - екі ldap дерекқорын салыстырыңыз. ntacl - NT ACLs манипуляциясы. процестер - Процестер тізімі (setproctitle жоқ жүйелердегі қателерді жоюға көмектесу үшін). rodc - тек оқуға арналған домен контроллерін басқару (RODC). сайттар - сайттарды басқару. spn - қызметтің негізгі атауы (SPN) басқару. testparm - синтаксис конфигурация файлын тексеріңіз. уақыт - сервердегі уақытты шығарып алыңыз. қолданушы - пайдаланушыны басқару. Белгілі бір ішкі команда туралы қосымша анықтама алу үшін: samba-tool теріңіз (-h | --көмек)

root @ master: ~ # құрал қолданушы setexpiry әкімшісі --noexpiry
root @ master: ~ # құралы доменінің пароль параметрлерін орнату - min-pwd-length = 7
root @ master: ~ # құралы доменінің пароль параметрлерін орнату --min-pwd-age = 0
root @ master: ~ # құралы доменінің пароль параметрлерін орнату --max-pwd-age = 60
root @ master: ~ # құрал қолданушысы setpassword --filter = samaccountname = әкімші --newpassword = Passw0rD

Біз бірнеше DNS жазбаларын қосамыз

root @ master: ~ # құрал dns
Қолданылуы: samba-tool dns Домендік атау қызметін (DNS) басқару. Опциялар: -h, --help осы анықтамалық хабарламаны көрсетіп, қол жетімді ішкі командалардан шығу: қосу - DNS жазбасын қосу өшіру - DNS жазбасының сұрауын жою - атауды сұрау. roothints - сұраныстың түбірлік кеңестері. serverinfo - Сервер ақпаратын сұрау. жаңарту - DNS жазбасын жаңарту аймақтық аймақ - аймақ құру. zonedelete - аймақты жою. zoneinfo - аймақ туралы сұрау. zonelist - аймақтарға сұрау. Белгілі бір ішкі команда туралы қосымша ақпарат алу үшін: samba-tool dns теріңіз (-h | --көмек)

Пошта сервері

root @ master: ~ # құрал dns мастер swl.fan пошта қосады 192.168.10.9 -U әкімшісі
root @ master: ~ # құрал dns мастер қосады swl.fan swl.fan MX «mail.swl.fan 10» -U әкімшісі

Басқа серверлердің IP бекітілгені

root @ master: ~ # құрал dns мастер қосады swl.fan sysadmin A 192.168.10.1 -U әкімшісі
root @ master: ~ # құрал dns мастер swl.fan файл серверін қосады A 192.168.10.10 -U әкімшісі
root @ master: ~ # құрал dns мастер swl.fan прокси қосады A 192.168.10.11 -U әкімшісі
root @ master: ~ # құрал dns мастер swl.fan чат қосу 192.168.10.12 -U әкімшісі

Кері аймақ

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U әкімшісі
[SWL \ администраторы] үшін пароль: 10.168.192.in-addr.arpa аймағы сәтті құрылды

root @ master: ~ # құралы dns шеберді қосады 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Әкімші
root @ master: ~ # құралы dns шеберді қосады 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Әкімші
root @ master: ~ # tool dns master қосу 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Әкімші
root @ master: ~ # құрал dns қожайынға 10.168.192.in-addr.arpa қосу 10 PTR fileserver.swl.fan. -Әкімші
root @ master: ~ # құралы dns шебері қосу 10.168.192.in-addr.arpa 11 PTR проксиі.swl.fan. -Әкімші
root @ master: ~ # құрал dns қожайын қосу 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Әкімші

Чектер

root @ master: ~ # құралы dns сұранысының мастері swl.fan пошта БАРЛЫҚ -U әкімшісі
[SWL \ администраторы] үшін пароль: Name =, Records = 1, Children = 0 A: 192.168.10.9 (flags = f0, serial = 2, ttl = 900)

root @ master: ~ # хост шебер
master.swl.fan мекен-жайы 192.168.10.5
root @ master: ~ # хост sysadmin
sysadmin.swl.fan мекен-жайы 192.168.10.1
root @ master: ~ # хост-пошта
mail.swl.fan мекен-жайы 192.168.10.9
root @ master: ~ # хост чат
chat.swl.fan 192.168.10.12 мекен-жайы бар
root @ master: ~ # прокси-хост
proxy.swl.fan мекен-жайы 192.168.10.11
root @ master: ~ # хост файлының сервері
fileserver.swl.fan мекен-жайы 192.168.10.10
root @ master: ~ # хост 192.168.10.1
1.10.168.192.in-addr.arpa домендік атауы меңзер sysadmin.swl.fan.
root @ master: ~ # хост 192.168.10.5
5.10.168.192.in-addr.arpa домен атауы сілтемесі master.swl.fan.
root @ master: ~ # хост 192.168.10.9
9.10.168.192.in-addr.arpa домендік атаудың сілтемесі mail.swl.fan.
root @ master: ~ # хост 192.168.10.10
10.10.168.192.in-addr.arpa домендік атау көрсеткіші fileserver.swl.fan.
root @ master: ~ # хост 192.168.10.11
11.10.168.192.in-addr.arpa домен атауының көрсеткіші proxy.swl.fan.
root @ master: ~ # хост 192.168.10.12
12.10.168.192.in-addr.arpa домендік атау сілтегіш chat.swl.fan.

Қызық үшін

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Біз қолданушыларды қосамыз

root @ master: ~ # құрал қолданушысы
Қолданылуы: samba-құрал қолданушысы Пайдаланушыларды басқару. Опциялар: -h, --help осы анықтамалық хабарламаны көрсетіп, қол жетімді ішкі командалардан шығу: қосу - жаңа пайдаланушы құру. жасау - жаңа пайдаланушы құру. жою - пайдаланушыны жою. өшіру - пайдаланушыны өшіру. қосу - пайдаланушыны қосу. getpassword - пайдаланушы / компьютер тіркелгісінің пароль жолдарын алыңыз. тізім - барлық пайдаланушыларды тізімдеңіз. құпия сөз - пайдаланушы тіркелгісінің паролін өзгерту (аутентификацияда берілген). setexpiry - пайдаланушы есептік жазбасының жарамдылық мерзімін белгілеңіз. setpassword - пайдаланушы тіркелгісінің паролін орнатыңыз немесе қалпына келтіріңіз. syncpasswords - пайдаланушы тіркелгілерінің паролін синхрондау. Белгілі бір ішкі команда туралы қосымша ақпарат алу үшін: samba-tool user деп жазыңыз (-h | --көмек)

root @ master: ~ # құрал қолданушысы Trancos01 қадамдарын жасайды
Қолданушы 'trancos' сәтті құрылды
root @ master: ~ # құрал қолданушысы gandalf Gandalf01 жасайды
'Gandalf' пайдаланушысы сәтті құрылды
root @ master: ~ # құрал қолданушысы Legolas01 legolas жасайды
Қолданушы 'legolas' сәтті құрылды
root @ master: ~ # құралдың пайдаланушылар тізімі
Әкімші gandalf legolas қадамдар krbtgt Қонақ

Графикалық интерфейс немесе веб-клиент арқылы басқару

Орнату туралы егжей-тегжейлі ақпарат алу үшін wiki.samba.org сайтына кіріңіз Microsoft RSAT o Серверді қашықтан басқару құралдары. Егер сізге Microsoft Active Directory ұсынған классикалық ережелер қажет болмаса, сіз буманы орната аласыз ldap-менеджер ол веб-шолғыш арқылы басқаруға арналған қарапайым интерфейсті ұсынады.

Microsoft Remote Server Administration Tools (RSAT) бағдарламалық бумасы Windows Server амалдық жүйелеріне енгізілген.

Біз доменді «жеті» деп аталатын Windows 7 клиентіне қосамыз

Желіде DHCP сервері жоқ болғандықтан, біз бірінші кезекте клиенттің желілік картасын бекітілген IP-мен конфигурациялауымыз керек, негізгі DNS-нің IP болатынын мәлімдеу керек samba-ad-dc, және «DNS-те осы байланыс мекен-жайын тіркеу» опциясының қосылғанын тексеріңіз. Атауын тексеру бос емесЖеті»Samba Ішкі DNS-де әлі тіркелмеген.

Компьютерді доменге қосып, оны қайта іске қосқаннан кейін, қолданушымен кіруге тырысайық «қадамдар«. Біз бәрінің жақсы екенін тексереміз. Сонымен қатар Windows Client журналдарын тексеріп, уақыттың қалай дұрыс синхрондалғанын тексерген жөн.

Windows жұмысының белгілі бір тәжірибесі бар әкімшілер клиентті тексерген кезде қанағаттанарлық нәтиже беретіндігін анықтайды.

Резюме

Мақала FromLinux қауымдастығының оқырмандары үшін пайдалы деп үміттенемін.

Сау болыңыз!


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

8 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   Гонсало Мартинес дижо

    Ұзын, бірақ егжей-тегжейлі мақала, бәрін қалай жасауға болатындығы туралы өте жақсы қадам.

    Мен NIS-ті ерекше атап өтемін, шындық - мен оның бар екендігі туралы білсем де, оның қалай жұмыс істейтінін ешқашан білген емеспін, өйткені шынымды айтсам, ол маған әрдайым LDAP пен Samba 4 жанында өліп қалғандай әсер қалдырды.

    PS: Жаңа жеке жобаңызбен құттықтаймыз! Өкінішке орай, сіз мұнда жазуды жалғастырғыңыз келмейді, бірақ, жоқ дегенде, сіздің артыңыздан еретін жер бар.

  2.   HO2Gi дижо

    Менің сүйіктілерім үшін үлкен сабақ, Fico сәлем!
    Жобамен құттықтаймын.

  3.   IWO дижо

    NIS бөлімі өте жақсы, мен Гонсало Мартинеске түсіністікпен қараймын, мен оны қысқаша білетінмін, бірақ оны қалай жүзеге асыратынымды және қандай жағдайда қолданылатынымды білмейтінмін.
    Теориялық және практикалық мақаланың орасан зор «магистралі» үшін сізге бір рет рахмет.
    Соңында «gigainside» жаңа жобаңыздағы жаңа табыстар.

  4.   федерико дижо

    Пікір білдіргендеріңізге көп-көп рахмет !!!.
    тілекпен

  5.   муссоль дижо

    сіз оқытатын smb.conf LDAP-пен байланысы жоқ, әдейі солай ма, әлде мен бір нәрсе қалдырдым ба?

  6.   phico дижо

    mussol: Бұл кіріктірілген LDAP сервері бар Samba 4 Active Directory домен контроллері.

  7.   Винсент дижо

    Mac (алма) samba 4 AD-DC-ге қалай біріктіруге болатынын айта аласыз ба?
    рахмет.

  8.   Джрамирес дижо

    Қалайсыз;

    Нұсқаулыққа рахмет, керемет. Менде пайда болатын хабарлама туралы сұрағым бар.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Берілген хост аты / IP шешілмеді: ad.rjsolucionessac.com. Сіз '/ маска' ЖӘНЕ '1-4,7,100-' стильдегі IP ауқымдарын қолдана алмайтыныңызды ескеріңіз
    Жарамды мақсатты табу мүмкін емес. Көрсетілген хосттар стандартты нотадағы IP мекенжайлар немесе DNS көмегімен шешілетін хост атаулары екеніне көз жеткізіңіз
    root @ AD: ~ #