PAM, NIS, LDAP, Kerberos, DS жана Samba 4 AD-DC - SMB Networks

Сериянын жалпы индекси: Чакан жана орто ишканалар үчүн компьютердик тармактар: Киришүү

Салам достор жана достор!

Ушул макала менен мен FromLinux Коомчулугу менен коштошом. Атайын Коомчулук үчүн атайын коштошуу. Мындан ары мен сиз билген жеке долбоорумда болом http://www.gigainside.com.

Посттун негизги максаты - «Чоң сүрөт»Биздин колубузда турган акысыз программалык камсыздоонун аныктыгын текшерүү кызматы жөнүндө. Жок дегенде биздин ниетибиз ушул. Ошондуктан, ал макала жазуунун жалпы эрежелерине каршы келерин билгенибиз менен, узак болот. Тутум Администраторлору аны жогору баалайт деп ишенебиз.

Заманбап аутентификация тутумдарынын жалпы протоколу бул экендигин белгилегибиз келет LDAP, жана расмий сайттан таба турган окуу материалынан баштап, аны кылдаттык менен изилдөө бекер эмес http://www.openldap.org/.

Мурунку макалалардагы же Википедиядагы же башка сайттардагы же Интернеттеги макалалардагы сүрөттөлүштөргө оңой кире турган аспектилер боюнча, биз каалаган билдирүүнүн объективдүүлүгүн жоготуп албоо үчүн, биз толук аныктамаларды же шилтемелерди бербейбиз. берүү. Ошондой эле, англис жана испан тилдериндеги жарактуу аталыштарды колдонобуз, анткени көпчүлүк тутумдар англис тилиндеги аталыштар менен төрөлгөн жана Sysadmin үчүн аларды түпнуска тилинде сиңирүү абдан пайдалуу деп эсептейбиз..

  • АМПП: Pluggable аутентификация модулу.
  • NIS: Network_Information_Service.
  • LDAP: Жеңил каталогго кирүү протоколу.
  • Kerberos: Колдонуучулардын, компьютерлердин жана кызматтардын тармакта борборлоштурулган аныктыгын тастыктоочу коопсуздук протоколу, алардын маалыматтарын Kerberos маалымат базасында болгон жазуулар менен салыштырып текшерүү.
  • DS: Каталог сервери же каталог кызматы
  • AD-DC: Active Directory - Domain Controler

көрсөткүч

АМПП

Биз жергиликтүү аутентификациялоонун ушул түрүнө чакан серияларды арнап жатабыз, сиз күндөлүк практикада анын кеңири колдонулгандыгын көрө аласыз, мисалы, биз Домен контролеруна же Active Directoryге жумушчу станцияга кошулганда; тышкы LDAP маалымат базаларында сакталган колдонуучуларды жергиликтүү колдонуучулардай картага түшүрүү; Active Directory домен контроллеринде сакталган колдонуучуларды жергиликтүү колдонуучулардай картага түшүрүү ж.б.у.с.

NIS

De Wikipedia:

  • Тармактык маалымат тутуму (испан тилинен которгондо Тармактык Маалымат Системасы дегенди билдирген NIS деген кыскартылышы менен белгилүү), Sun Microsystems тарабынан иштелип чыккан, колдонуучулардын аттары жана компьютерлердин ортосундагы хосттор сыяктуу таркатылган тутумдарда конфигурация маалыматтарын жөнөтүү үчүн иштелип чыккан кардар-сервер каталогу кызматтарынын протоколунун аталышы. тармакта.NIS ONC RPC негизделген жана серверден, кардарлардын китепканасынан жана ар кандай башкаруу шаймандарынан турат.

    NIS башында Yellow Pages, же YP деп аталып келген, ал дагы деле болсо ага шилтеме берүү үчүн колдонулат. Тилекке каршы, ал ысым British Telecomдун соода маркасы болуп саналат, ал Sunдан бул ысымды таштоону талап кылган. Бирок YP NISке байланыштуу командалардын көпчүлүгүнүн префикси бойдон калууда, мисалы ypserv жана ypbind.

    DNS маалыматтын чектелген чөйрөсүн тейлейт, эң негизгиси түйүндүн аталышы менен IP даректин дал келиши. Маалыматтын башка түрлөрү үчүн мындай адистештирилген кызмат жок. Экинчи жагынан, эгер сиз Интернетке туташпаган чакан LANды башкарсаңыз, анда DNS орнотуунун кажети жоктой. Ошондуктан Sun Тармактык Маалымат Системасын (NIS) иштеп чыккан. NIS, мисалы, passwd камтылган маалыматтарды таркатуу үчүн колдонула турган маалымат базасына жалпы мүмкүнчүлүктөрдү камсыз кылат жана файлдарды тармактарыңыздагы бардык түйүндөргө топтойт. Бул тармакты бир тутумга окшоштурат, бардык түйүндөрдө бирдей эсептери бар. Ошо сыяктуу эле, NIS тармактын бардык машиналарына / etc / host ичинде камтылган түйүн аталышы жөнүндө маалыматты таркатуу үчүн колдонулушу мүмкүн.

    Бүгүн NIS Unix дистрибутивдеринин бардыгында бар, ал тургай акысыз жүзөгө ашыруулар бар. BSD Net-2 Sun тарабынан берилген коомдук домендин маалымдамасын ишке ашыруудан алынган бирин жарыялады. Бул версиянын кардар бөлүгү үчүн китепкана коду GNU / Linux libcде көптөн бери бар жана административдик программалар Swen Thümmler тарабынан GNU / Linuxко өткөрүлүп берилген. Бирок, шилтеме ишке ашырылып жатканда NIS сервери жок болуп жатат.

    Питер Эрикссон NYS аттуу жаңы ишке киргизүүнү иштеп чыкты. Бул негизги NIS жана Sun NIS + өркүндөтүлгөн версиясын да колдойт. [1] NYS бир катар NIS шаймандарын жана серверди гана камсыз кылбастан, китепкана функцияларынын жаңы топтомун толуктайт, эгерде сиз аларды колдонууну кааласаңыз, анда libc ичине түзүшүңүз керек. Бул "host.conf" файлы колдонгон учурдагы схеманы алмаштырган түйүндүн аталышын аныктоонун жаңы конфигурация схемасын камтыйт.

    GNU / Linux коомчулугунда libc6 деп аталган GNU libc, Торстен Кукук тарабынан иштелип чыккан салттуу NIS колдоосунун жаңыртылган версиясын камтыйт. Ал NYS тарабынан берилген бардык китепкана функцияларын колдойт, ошондой эле өркүндөтүлгөн NYS конфигурация схемасын колдонот. Куралдар жана сервер дагы деле керек, бирок GNU libc колдонуп, китепкананы жамоо жана компиляциялоо көйгөйүнөн куткарабыз

    .

Компьютер жана домен аты, тармак интерфейси жана чечилүүчү

  • Debian 8 "Jessie" графикалык интерфейссиз таза орнотуудан баштайбыз. Swl.fan домени "Акысыз программанын күйөрмандары" дегенди билдирет. Мындан өткөн жакшы ысым барбы?.
root @ master: ~ # хосттун аты
кожоюн
root @ master: ~ # хост аты -f
master.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state БЕЛГИСИЗ топтун демейки шилтемеси / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 kapsam хосту lo valid_lft forever prefer_lft forever inet6 :: 1/128 масштабдагы хост valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 kapsam global eth0 valid_lft түбөлүккө артыкчылыктуу_lft түбөлүк inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 масштабдагы шилтеме valid_lft forever prefer_lft forever

root @ master: ~ # cat /etc/resolv.conf 
swl.fan nameserver издөө 127.0.0.1

Bind9, isc-dhcp-server жана ntp орнотуу

bind9

root @ master: ~ # жөндөмдү орнотуу bind9 bind9-doc nmap
root @ master: ~ # systemctl абалы bind9

root @ master: ~ # nano /etc/bind/named.conf
"/etc/bind/named.conf.options" камтыйт; "/etc/bind/named.conf.local" камтыйт; "/etc/bind/named.conf.default-zones" камтыйт;

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
options {directory "/ var / cache / bind"; // Эгерде сиз менен жана сиз каалаган // аталыш серверлеринин ортосунда брандмауэр болсо, сиз менен сүйлөшүү үчүн, сиз бир нече // порттордун сүйлөшүүсүнө уруксат берүү үчүн, брандмауэрди оңдошуңуз керек болушу мүмкүн. Караңыз http://www.kb.cert.org/vuls/id/800113

        // Эгерде сиздин ISP туруктуу // аттар серверлери үчүн бир же бир нече IP дарек берген болсо, анда аларды экспедитор катары колдонгуңуз келиши мүмкүн. // Төмөнкү блоктон баш тартыңыз жана // all-0 орун алмаштыруучу даректерди киргизиңиз. // экспедиторлор {// 0.0.0.0; //}; // ================================================== ==================== $ // Эгерде BIND түп ачкычтын мөөнөтү аяктагандыгы жөнүндө ката билдирүүлөрүн каттаса, // ачкычтарыңызды жаңыртышыңыз керек болот. Караңыз https://www.isc.org/bind-keys
        // ================================================== ===================== $ // Биз DNSSECти каалабайбыз
        dnssec-күйгүзүү жок;
        // dnssec-validation auto; auth-nxdomain жок; # RFC1035-on-v6 талаптарына шайкеш келет {any; }; // localhost жана sysadmin текшерүүлөрү үчүн // dig swl.fan axfr аркылуу // Бизде Slave DNS жок ... ушул убакка чейин
        уруксат берүү-өткөрүп берүү {localhost; 192.168.10.1; };
}; root @ master: ~ # аталган-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Биргелешкен дарек мейкиндиги (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 жана 6303)
zone "254.169.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; };

// IETF протоколунун тапшырмалары (RFCs 5735 жана 5736)
zone "0.0.192.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; };

// TEST-NET- [1-3] документтер үчүн (RFCs 5735, 5737 жана 6303)
zone "2.0.192.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "100.51.198.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "113.0.203.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; };

// IPv6 Документтештирүүнүн мисалы (RFCs 3849 жана 6303)
zone "8.bd0.1.0.0.2.ip6.arpa" {type master; файл "/etc/bind/db.empty"; };

// Документтештирүү жана тестирлөө үчүн домендик аталыштар (BCP 32)
zone "test" {тип мастери; файл "/etc/bind/db.empty"; }; zone "example" {type master; файл "/etc/bind/db.empty"; }; "жараксыз" зонанын {түрү мастер; файл "/etc/bind/db.empty"; }; zone "example.com" {type master; файл "/etc/bind/db.empty"; }; zone "example.net" {type master; файл "/etc/bind/db.empty"; }; zone "example.org" {type master; файл "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 жана 5735)
zone "18.198.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "19.198.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; };

// IANA Reserve - Old Class E Space (RFC 5735)
zone "240.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "241.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "242.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "243.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "244.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "245.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "246.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "247.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "248.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "249.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "250.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "251.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "252.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "253.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "254.in-addr.arpa" {type master; файл "/etc/bind/db.empty"; };

// IPv6 дайындалбаган даректер (RFC 4291)
zone "1.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "3.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "4.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "5.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; "6.ip6.arpa" зонасынын {түрү мастер; файл "/etc/bind/db.empty"; }; zone "7.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "8.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "9.ip6.arpa" {тип мастери; файл "/etc/bind/db.empty"; }; zone "a.ip6.arpa" {тип мастери; файл "/etc/bind/db.empty"; }; zone "b.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "c.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "d.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "e.ip6.arpa" {тип мастери; файл "/etc/bind/db.empty"; }; zone "0.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "1.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "2.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "3.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "4.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "5.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "6.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "7.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "8.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "9.f.ip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "afip6.arpa" {тип мастери; файл "/etc/bind/db.empty"; }; zone "bfip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "0.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "1.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "2.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "3.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "4.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "5.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "6.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "7.efip6.arpa" {type master; файл "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 жана 6303)
zone "cfip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "dfip6.arpa" {type master; файл "/etc/bind/db.empty"; };

// IPv6 Link Local (RFCs 4291 жана 6303)
zone "8.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "9.efip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "aefip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "befip6.arpa" {type master; файл "/etc/bind/db.empty"; };

// IPv6 эскирген сайттын жергиликтүү даректери (RFCs 3879 жана 6303)
zone "cefip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "defip6.arpa" {type master; файл "/etc/bind/db.empty"; }; zone "eefip6.arpa" {тип мастери; файл "/etc/bind/db.empty"; }; zone "fefip6.arpa" {type master; файл "/etc/bind/db.empty"; };

// IP6.INT эскирген (RFC 4159)
zone "ip6.int" {type master; файл "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Бул жерде кандайдыр бир жергиликтүү конфигурация жасаңыз // // 1918 зоналарын, эгерде алар // уюмуңузда колдонулбаса, анда "/etc/bind/zones.rfc1918" камтыйт;
"/etc/bind/zones.rfcFreeBSD" камтыйт;

// DNS рекорддук зоналарынын аталышын, түрүн, жайгашкан жерин жана жаңыртууга уруксатты // жарыялоо // Эки аймак тең MASTER zone "swl.fan" {type master; файл "/var/lib/bind/db.swl.fan"; }; zone "10.168.192.in-addr.arpa" {type master; файл "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # аталган-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; сериялык 1D; 1H жаңыртуу; 1Wди кайталоо; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN 192.168.10.5 @ IN TXT "Акысыз Программанын күйөрмандары үчүн"; sysadmin IN 192.168.10.1 файл сервери IN 192.168.10.4 master IN 192.168.10.5 proxyweb IN 192.168.10.6 blog IN 192.168.10.7 ftpserver IN 192.168.10.8 mail IN 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; сериялык 1D; сергитүү 1Н; кайрадан 1W аракет; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR fileserver.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # аталган-checkzone swl.fan /var/lib/bind/db.swl.fan
swl.fan/IN зонасы: серия жүктөлдү 1 ОК
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zone 10.168.192.in-addr.arpa/IN: 1 серия жүктөлдү OK

root @ master: ~ # аталган-checkconf -zp
root @ master: ~ # systemctl өчүрүп-күйгүзүү bind9.service
root @ master: ~ # systemctl абалы bind9.сервис

Bind9 checks

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb host root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Nping 0.6.47 баштап ( http://nmap.org/nping ) at 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: N / A | Орточо rtt: Жок Чийки пакеттер жөнөтүлдү: 84 (0B) | Rcvd: 0 (3B) | Жоголгон: 100.00 (1%) Түзүлбөйт: 3.01 IP дарек XNUMX секундада кармалат 

isc-dhcp-сервер

root @ master: ~ # жөндөмүн орнотуу isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# DHCP сервери (dhcpd) DHCP сурамдарын кандай интерфейстерде тейлеши керек? # Бир нече интерфейстерди боштуктар менен бөлүңүз, мисалы "eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-ачкыч. +157 + 51777.жеке 
Жеке ачкыч форматы: v1.3 Алгоритм: 157 (HMAC_MD5) Ачкыч: Ba9GVadq4vOCixjPN94dCQ == Биттер: AAA = Түзүлгөн: 20170527133656 Жарыялоо: 20170527133656 Жандандыруу: 20170527133656

root @ master: ~ # nano dhcp.key
ачкыч dhcp-ачкыч {
        алгоритм hmac-md5;
        сыр "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
"/etc/bind/dhcp.key" камтыйт;

zone "swl.fan" {type master; файл "/var/lib/bind/db.swl.fan";
        update-update {ачкыч dhcp-ачкыч; };
}; zone "10.168.192.in-addr.arpa" {type master; файл "/var/lib/bind/db.10.168.192.in-addr.arpa";
        update-update {ачкыч dhcp-ачкыч; };
};

root @ master: ~ # аталган-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-жаңыртуу стилиндеги убактылуу; ddns-updates on; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; кардардын жаңыртууларын көрмөксөнгө салуу; жаңыртуу-оптималдаштыруу жалган; # Debian авторитетинде талап кылынышы мүмкүн; опция ip-forwarding өчүрүү; "swl.fan" домендик аты-жөнү; "/etc/dhcp/dhcp.key" камтыйт; зона swl.fan. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } зонасы 10.168.192.in-addr.arpa. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } жалпы тармакты кайра бөлүштүрүү {subnet 192.168.10.0 netmask 255.255.255.0 {параметр роутерлор 192.168.10.1; subnet-mask 255.255.255.0 опциясы; параметр берүү-дарек 192.168.10.255; параметр домен-аты-серверлер 192.168.10.5; параметр netbios-name-servers 192.168.10.5; параметр ntp-серверлер 192.168.10.5; time-servers опциясы 192.168.10.5; диапазон 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
DHCP Server 4.3.1 Интернет Системалары Консорциуму Copyright 2004-2014 Internet Systems Consortium. Бардык укуктар корголгон. Маалымат алуу үчүн, келиңиз https://www.isc.org/software/dhcp/
Конфигурация файлы: /etc/dhcp/dhcpd.conf Маалыматтар базасы файлы: /var/lib/dhcp/dhcpd.leases PID file: /var/run/dhcpd.pid

root @ master: ~ # systemctl өчүрүп-күйгүзүү bind9.service 
root @ master: ~ # systemctl абалы bind9.сервис 

root @ master: ~ # systemctl баштоо isc-dhcp-server.service
root @ master: ~ # systemctl статусу isc-dhcp-server.service

ntp

root @ master: ~ # жөндөмдү орнотуу ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift статистикасы loopstats peerstats clockstats filegen loopstats файл loopstats түрү күнү файл файл peerstats файл peerstats түрү күнү күйгүзүү filegen clockstats файл саат статистикасы түрү күйгүзүү сервер 192.168.10.1 чектөө -4 default kod notrap номинациялоо nopeer noquery чектөө -6 default kod notrap nomodify nopeer noquery чектөө 127.0.0.1 чектөө :: 1 берүү 192.168.10.255

root @ master: ~ # systemctl ntp.service өчүрүп-күйгүзүү 
root @ master: ~ # systemctl абалы ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 Май 10:04:01 ntpdate [18769]: убакыт серверин тууралоо 192.168.10.1 ордун толтуруу 0.369354 сек

Ntp, bind9 жана isc-dhcp-серверин глобалдык текшерүүлөр

Linux, BSD, Mac OS же Windows кардарларынан убакыттын туура шайкештештирилгендигин текшериңиз. Бул динамикалык IP дарекке ээ болот жана ошол хосттун аты түз жана тескери DNS сурамдары аркылуу чечилет. Кардардын атын өзгөртүп, бардык текшерүүлөрдү кайталаңыз. Буга чейин орнотулган кызматтардын туура иштеп жаткандыгына көзүңүз жетмейинче, ишти уланта бербеңиз. Бир нерсе үчүн биз DNS жана DHCP жөнүндө бардык макалаларды жаздык Чакан жана орто ишканалар үчүн компьютердик тармактар.

NIS Серверин орнотуу

root @ master: ~ # жөндөмдүүлүктү көрсөтүү nis
Төмөнкү менен болгон карама-каршылыктар: netstd (<= 1.26) Сыпаттама: Тармактык маалымат кызматы (NIS) үчүн кардарлар жана демондор Бул пакетте NIS доменин орнотуу жана сактоо куралдары бар. Алгач Yellow Pages (YP) деп аталган NIS, негизинен, тармактагы бир нече машиналардын бир эле эсеп маалыматын, мисалы, сырсөз файлын бөлүшүүсүнө мүмкүндүк берет.

root @ master: ~ # жөндөмдү орнотуу nis
Топтомдун Конфигурациясы ┌─────────────────────────┤ Nis Конфигурациясы ├──────────────── ── ────────┐ this Бул тутум үчүн NIS "домендик атын" тандаңыз. Эгер сиз │ │ машинанын жөн гана кардар болушун кааласаңыз, анда сиз кошулууну каалаган │ │ NIS доменинин атын киргизишиңиз керек. │ │ │ │ Же болбосо, бул машина NIS сервери боло турган болсо, сиз │ │ жаңы NIS "домендик аталышты" же учурдагы NIS │ │ доменинин атын киргизе аласыз. │ │ │ │ NIS домени: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Кызмат конфигурациясы андай эмес болгондуктан, ал сиздикин кечиктирет. Сураныч, жараян аяктаганга чейин күтө туруңуз.

root @ master: ~ # nano / etc / default / nis
# Биз NIS сервери эмеспизби, анда кандай болсо (баалуулуктар: жалган, кул, кожоюн)?
NISSERVER = мастер

root @ master: ~ # nano /etc/ypserv.securenets # securenets Бул файл NIS серверине кирүү укугун аныктайт # NIS кардарлары үчүн (жана кул серверлери - ypxfrd дагы ушул # файлды колдонот). Бул файлда netmask / тармак жуптары бар. # Кардарлардын IP дареги алардын жок дегенде бирине дал келиши керек. # # Бир адам # 255.255.255.255 маскасынын ордуна "хост" сөзүн колдонсо болот. Бул # файлда хост дарыларына эмес, IP даректерине гана уруксат берилген. # # Localhost 255.0.0.0 127.0.0.0 үчүн ар дайым кирүүгө уруксат # Бул сап баарына мүмкүнчүлүк берет. ЖОГОРУЛАҢЫЗ! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # passwd файлын көмүскө файл менен бириктиришибиз керекпи? # MERGE_PASSWD = true | false
MERGE_PASSWD = чындык

# Топ файлын gshadow файлы менен бириктиришибиз керекпи? # MERGE_GROUP = true | false
MERGE_GROUP = чындык

Биз NIS маалымат базасын курабыз

root @ master: ~ # / usr / lib / yp / ypinit -m
Бул учурда, биз NIS серверлерин иштете турган хосттордун тизмесин түзүшүбүз керек. master.swl.fan NIS серверинин хостторунун тизмесинде. Сураныч, башка хосттордун аттарын, ар бир сапка бирден кошуңуз. Тизме менен иш бүткөндөн кийин, a жазыңыз . кошуу үчүн кийинки хост: master.swl.fan кийинки кошуу үчүн: NIS серверлеринин учурдагы тизмеси мындай: master.swl.fan Бул туурабы? [y / n: y] Бизге маалымат базаларын түзүү үчүн бир нече мүнөт керек ... жасоо [1]: '/var/yp/swl.fan' master.swl.fan каталогун таштап NIS башкы сервери катары орнотулган . Эми бардык кул серверинде ypinit -s master.swl.fan иштете аласыз.

root @ master: ~ # systemctl nis өчүрүп күйгүзүңүз
root @ master: ~ # systemctl абалы nis

Биз жергиликтүү колдонуучуларды кошобуз

root @ master: ~ # adduser bilbo
Колдонуучунун "билбо" кошулуусу ... Жаңы "билбо" тобун (1001) кошуу ... "Билбо" (1001) жаңы колдонуучусун "билбо" тобу менен кошуу ... "/ үй / билбо" үй каталогун түзүү ... Файлдарды "/ etc / skel" дан көчүрүү ... Жаңы UNIX паролун киргизиңиз: Жаңы UNIX паролун кайра териңиз: passwd: пароль туура жаңыртылды Билбо үчүн колдонуучунун маалыматын өзгөртүү Жаңы маанини киргизиңиз же ENTER баскычын басып, демейки Аты-жөнү []: Билбо Багинстин номери []: Жумуш телефону []: Үй телефону []: Башка []: Маалымат туурабы? [Y / n]

root @ master: ~ # adduser кадам шилтейт root @ master: ~ # adduser legolas

жана башкалар.

root @ master: ~ # манжа леголалары
Кирүү: legolas Аты-жөнү: Legolas Archer Каталог: / home / legolas Shell: / bin / bash Эч качан кирген эмессиз. Почта жок. План жок.

Биз NIS маалымат базасын жаңыртабыз

root @ master: / var / yp # make
make [1]: '/var/yp/swl.fan' каталогуна кирүү 'passwd.byname жаңыртылууда ... passwd.byuid жаңыртылууда ... group.byname жаңыртылууда ... group.bygid жаңыртылууда ... netid.byname жаңыртылууда. .. shadow.byname жаңыртылууда ... Четке кагылган -> passwd make менен бириктирилген [1]: '/var/yp/swl.fan' каталогун таштап '

NIS параметрлерин isc-dhcp-серверге кошобуз

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-жаңыртуу стилиндеги убактылуу; ddns-updates on; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; кардардын жаңыртууларын көрмөксөнгө салуу; жаңыртуу-оптималдаштыруу жалган; авторитеттүү; опция ip-forwarding өчүрүү; "swl.fan" домендик аты-жөнү; "/etc/dhcp/dhcp.key" камтыйт; зона swl.fan. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } зонасы 10.168.192.in-addr.arpa. {баштапкы 127.0.0.1; ачкыч dhcp-ачкыч; } жалпы тармакты кайра бөлүштүрүү {subnet 192.168.10.0 netmask 255.255.255.0 {опция роутерлор 192.168.10.1; subnet-mask 255.255.255.0 опциясы; параметр берүү-дарек 192.168.10.255; параметр домен-аты-серверлер 192.168.10.5; параметр netbios-name-servers 192.168.10.5; параметр ntp-серверлер 192.168.10.5; time-servers опциясы 192.168.10.5;
                параметр nis-domain "swl.fan";
                nis-servers опциясы 192.168.10.5;
                диапазон 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl isc-dhcp-server.service өчүрүп-күйгүзүү

NIS Client орнотуу

  • Debian 8 "Jessie" графикалык интерфейссиз таза орнотуудан баштайбыз.
root @ mail: ~ # хост аты -f
mail.swl.fan

root @ mail: ~ # ip addr
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 global global eth0

root @ mail: ~ # жөндөмдүү орнотуу nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf ypbind процесси үчүн конфигурация файлы. Эгерде сиз # NIS серверлерди жергиликтүү тармактан # уктуруу аркылуу таппай калсаңыз, анда аларды кол менен аныктай аласыз (демейки шартта). # # Бул файлдын синтаксиси үчүн ypbind колдонмосундагы баракчаны караңыз. # # МААНИЛҮҮ: "ypserver" үчүн, IP даректерди колдонуңуз, же # хост / etc / host ичинде экендигин текшериңиз. Бул файл # жолу гана чечмеленет, эгер DNS жеткиликсиз болсо, анда ypserver # чечилбейт жана ypbind эч качан серверге туташпайт. # ypserver ypserver.network.com ypserver master.swl.fan домени swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU Name Service Switch иштешинин конфигурациясынын мисалы. # Эгер сизде "glibc-doc-reference" жана "info" топтомдору орнотулган болсо, анда бул файл жөнүндө маалымат алуу үчүн # # info libc "Name Service Switch" "аракетин көрүңүз. passwd: compat nis group: compat nis shadow: compat nis gshadow: files host: файлдар dns nis тармактар: файлдар протоколдор: db файлдар кызматтары: db файлдар эфирлер: db файлдар rpc: db файлдар netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
Толук маалымат алуу үчүн # pam-auth-update (8).
сеанс милдеттүү эмес pam_mkhomedir.so skel = / etc / skel umask = 077
# бул ар бир пакетке модулдар ("Баштапкы" блогу)

root @ mail: ~ # systemctl статусу nis
root @ mail: ~ # systemctl өчүрүп-күйгүзүү

Биз сессияны жаап, кайра баштайбыз, бирок NIS базасында катталган колдонуучу менен master.swl.fan.

root @ mail: ~ # чыгуу
чыгуу Почтага туташуу жабык.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail сыр сөзү: '/ home / legolas' каталогун түзүү. Debian GNU / Linux тутумуна кирген программалар акысыз программа болуп саналат; ар бир программа үчүн бөлүштүрүүнүн так шарттары жеке файлдарда / usr / share / doc / * / автордук укукта баяндалган. Debian GNU / Linux, колдонулуп жаткан мыйзамдар уруксат берген көлөмдө, КЕПИЛДИКТЕРДИ ТАБЫШПАЙТ.
legolas @ mail: ~ $ pwd
/ home / legolas
legolas @ mail: ~ $ 

Биз legolas колдонуучусунун сыр сөзүн өзгөртүп, текшеребиз

legolas @ mail: ~ $ yppasswd 
Master.swl.fan сайтынан legolas үчүн NIS каттоо маалыматын өзгөртүү. Эски паролду киргизиңиз: legolas master.swl.fan сайтынан legolas үчүн NIS сыр сөзүн өзгөртүү. Сураныч, жаңы паролду киргизиңиз: жаачы Сырсөз чоң жана кичине тамгалардан же тамгалардан турушу керек. Сураныч, жаңы паролду киргизиңиз: Arquero2017 Жаңы сыр сөздү кайра териңиз: Arquero2017 NIS сырсөзү master.swl.fan сайтынан өзгөртүлдү.

legolas @ mail: ~ $ exit
чыгуу Почтага туташуу жабык.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ почтанын сыр сөзү: Arquero2017

Debian GNU / Linux тутумуна кирген программалар акысыз программа болуп саналат; ар бир программа үчүн бөлүштүрүүнүн так шарттары жеке файлдарда / usr / share / doc / * / copyright сүрөттөлөт. Debian GNU / Linux, колдонулуп жаткан мыйзамдар уруксат берген көлөмдө, КЕПИЛДИКТЕРДИ ЖОК кылат. Акыркы кирүү: Ишемби, 27-Май, 12:51:50 2017, sysadmin.swl.fan сайтынан
legolas @ mail: ~ $

Серверде жана кардардын деңгээлинде ишке ашырылган NIS кызматы туура иштейт.

LDAP

Википедиядан:

  • LDAP - бул Жеңил Каталогдорго Кирүү Протоколунун кыскартылышы (Испанияда Жеңил Каталогдорго Каттоо Протоколу), бул айлана чөйрөдөгү ар кандай маалыматтарды издөө үчүн буйрутмаланган жана таратылган каталог кызматына мүмкүнчүлүк берген колдонмо деңгээлиндеги протокол. LDAP ошондой эле суроо берилиши мүмкүн болгон маалымат базасы деп эсептелет (бирок анын сактоо тутуму башкача болушу мүмкүн).Каталог - бул логикалык жана иерархиялык жол менен уюштурулган атрибуттары бар объектилердин жыйындысы. Эң кеңири таралган мисал катары, алфавит боюнча жайгаштырылган бир катар ысымдардан (адамдар же уюмдар) турган, ар бир аттын дареги жана телефон номери тиркелүүчү телефон каталогу келтирилген. Аны жакшыраак түшүнүш үчүн, ал китеп же папка, анда адамдардын аты-жөнү, телефон номерлери жана даректери жазылып, алфавит боюнча жайгаштырылган.

    LDAP каталог дарагы кээде тандалган моделге жараша ар кандай саясий, географиялык же уюштуруу чектерин чагылдырат. Учурдагы LDAP жайгаштыруулары иерархиянын жогорку деңгээлин түзүүдө Домендик Аталыштар Системасы (DNS) аталыштарын колдонушат. Каталогду ылдый жылдырганда, адамдарды, уюштуруу бөлүмдөрүн, принтерлерди, документтерди, адамдардын топторун же дарактагы берилген жазууну чагылдырган нерселерди (же бир нече жазууларды) чагылдырган жазуулар пайда болушу мүмкүн.

    Адатта, ал аутентификация жөнүндө маалыматты (колдонуучу жана пароль) сактайт жана аутентификация үчүн колдонулат, бирок башка маалыматты (колдонуучунун байланыш маалыматтары, ар кандай тармактык ресурстардын жайгашкан жери, уруксаттар, сертификаттар ж.б.) сактоо мүмкүн. Жыйынтыктап айтканда, LDAP - бул тармактагы маалыматтардын жыйындысына бирдиктүү мүмкүндүк алуу протоколу.

    Учурдагы версия LDAPv3 жана ал RFCs RFC 2251 жана RFC 2256 (LDAP базалык документ), RFC 2829 (LDAP үчүн аутентификация ыкмасы), RFC 2830 (TLS үчүн кеңейтүү) жана RFC 3377 (техникалык мүнөздөмө) менен аныкталган

    .

Узакка, LDAP протоколу - жана анын маалыматтар базасы OpenLDAP менен шайкеш же туура келбейт - бүгүнкү күндө аутентификация тутумдарынын көпчүлүгүндө эң көп колдонулат. Мурунку билдирүүнүн мисалы катары, LDAP маалымат базаларын бардык объектилерин сактоо үчүн backend катары колдонгон Free же Private системаларынын айрым аталыштарын келтиребиз:

  • OpenLDAP
  • Apache каталог сервери
  • Red Hat Directory Server - 389 DS
  • Novell Directory Services - eDirectory
  • SUN Microsystem Open DS
  • Red Hat Identity менеджери
  • FreeIPA
  • Samba NT4 Classic домен контроллери.
    Бул система Samba 3.xxx + OpenLDAP катары Самба командасынын иштеп чыгуусу болгонун тактап кеткибиз келет арткы. Microsoft буга окшогон нерселерди эч качан ишке ашырган эмес. NT 4 домен контроллеринен активдүү каталогдоруна секирди
  • Samba 4 Active Directory - Domain Controler
  • ClearOS
  • Zentyal
  • UCS Univention Корпоративдик сервери
  • Microsoft Active Directory

Ар бир ишке ашыруунун өзүнүн өзгөчөлүктөрү бар, ал эми эң стандарттуу жана шайкеш келет OpenLDAP.

Active Directory же баштапкы Microsoft же Samba 4 болобу, бир нече негизги компоненттердин биримдиги:

  • Microsoft жана Samba тарабынан колдонуучунун LDAP программасы.
  • Microsoft Windows Домени o Windows домени. Бул негизинен Microsoft Network.
  • Microsoft домен контроллери o Домен контроллери.
  • Microsoft жана Samba тарабынан ыңгайлаштырылган Kerberos.

Биз адаштырбашыбыз керек Каталог кызматы o Каталог кызматы Active Directory o Active Directory. Мурунку Kerberos аутентификациясын кабыл алса болот же өткөрбөсө болот, бирок алар Windows Домени камсыз кылган Microsoft Network кызматын сунушташпайт жана андай Windows Domain Controller жок.

Каталог кызматы же Каталог кызматы UNIX / Linux жана Windows кардарлары менен аралаш тармакта колдонуучулардын аныктыгын текшерүү үчүн колдонулушу мүмкүн. Экинчиси үчүн, ар бир кардарга Каттоо кызматы менен Windows кардарынын ортосунда, мисалы, Акысыз Программалык камсыздоо сыяктуу ортомчулук кылган программа орнотулушу керек. бет.

OpenLDAP менен каталог кызматы

  • Debian 8 "Jessie" графикалык интерфейссиз таза орнотуудан баштайбыз, NIS орнотуу үчүн колдонулган ошол эле "башкы" машинанын аталышы, ошондой эле анын тармактык интерфейсинин конфигурациясы жана /etc/resolv.conf файлы. Бул жаңы серверге ntp, bind9 жана isc-dhcp-серверин орнотобуз, буга чейинки үч кызматтын туура иштешинин глобалдык текшерүүлөрүн унутпастан..
root @ master: ~ # жөндөмдүүлүктү орнотуу slapd ldap-utils

Топтомдун конфигурациясы

Ж Slapd конфигурациясы ├─────────────────────┐ L LDAP │ │ каталогунун администратор жазуусу үчүн паролду киргизиңиз. │ │ │ │ Администратордун сыр сөзү: │ │ │ │ ******** ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

Биз баштапкы конфигурациясын текшеребиз

root @ master: ~ # slapcat
dn: dc = swl, dc = күйөрман
objectClass: top objectClass: dcObject objectClass: organization o: swl.fan dc: swl strukturObjectClass: organization entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = fan entry createTimestamp20170531205219: : 20170531205219.833955ZN000000 жазуусу Z # 000 # 000000 # 20170531205219 өзгөрткүчтөрүнүн аты: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

dn: cn = admin, dc = swl, dc = күйөрман
objectClass: simpleSecurityObject objectClass: organizationalRole CN: Администратор сүрөттөлүшү: LDAP администратору userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-материалдар = cXNUMXe XNUMX Z # XNUMX # XNUMX # XNUMX өзгөрткүчтөрдүн аты: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

/Etc/ldap/ldap.conf файлын өзгөртөбүз

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = күйөрман URI    ldap: // localhost

Уюштуруу бөлүмдөрү жана жалпы «колдонуучулар» тобу

Биз минималдуу зарыл болгон Уюштуруу Бирдиктерин, ошондой эле «колдонуучулар» Posix тобун кошобуз, ага «колдонуучулар» тобуна кирген көптөгөн тутумдардын мисалында бардык колдонуучуларды мүчө кылабыз.пайдалануучулар«. «» Тобу менен мүмкүн болгон чыр-чатактарга жол бербеш үчүн, биз аны «колдонуучулар» деген аталыш менен атадык.колдонуучу"тутумунун.

root @ master: ~ # nano base.ldif
dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people dn: ou = groups, dc = swl, dc = fan object swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
LDAP Сыр сөзүн киргизиңиз: "ou = people, dc = swl, dc = fan" жаңы жазуусун кошуу "ou = groups, dc = swl, dc = fan" жаңы жазуусун кошуу

Кошулган жазууларды текшеребиз

root @ master: ~ # ldapsearch -x ou = адамдар
# people, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people

root @ master: ~ # ldapsearch -x ou = топтор
# топтор, swl.fan dn: ou = топтор, dc = swl, dc = күйөрман объект Класс: уюштуруучулук Бирдик ou: топтор

root @ master: ~ # ldapsearch -x cn = колдонуучулар
# колдонуучулар, топтор, swl.fan dn: cn = колдонуучулар, ou = топтор, dc = swl, dc = желдеткич объект Класс: posixGroup cn: колдонуучулар гидНомер: 10000

Биз бир нече колдонуучуларды кошобуз

LDAP аркылуу билдиришибиз керек болгон пароль буйрук аркылуу алынышы керек slappasswd, ал SSHA шифрленген сырсөзүн кайтарып берет.

Колдонуучунун кадамдары үчүн сыр сөз:

root @ master: ~ # slappasswd 
Жаңы сыр сөз: Жаңы сыр сөздү кайра киргизиңиз: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Колдонуучунун леголалары үчүн сыр сөз

root @ master: ~ # slappasswd 
Жаңы сыр сөз: Жаңы сыр сөздү кайра киргизиңиз: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Колдонуучу gandalf үчүн сыр сөз

root @ master: ~ # slappasswd 
Жаңы сыр сөз: Жаңы сыр сөздү кайра киргизиңиз: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = кадамдар, ou = адамдар, dc = swl, dc = күйөрман объектClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 mail: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer userPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalfN Gandalf sn: Wizard userPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
gecos: Gandalf The Wizard кирүү Shell: / bin / bash homeDirectory: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
LDAP Сыр сөзүн киргизиңиз: "uid = strides, ou = people, dc = swl, dc = fan" жаңы жазууну кошуу "uid = legolas, ou = people, dc = swl, dc = fan" жаңы жазууну кошуу "uid = gandalf, ou = адамдар, dc = swl, dc = күйөрман "

Кошулган жазууларды текшеребиз

root @ master: ~ # ldapsearch -x cn = кадамдар
root @ master: ~ # ldapsearch -x uid = кадамдар

Биз slpad базасын консоль утилиттери менен башкарабыз

Топтомду тандайбыз ldapscripts ушундай тапшырма үчүн. Орнотуу жана тарам тартиби төмөнкүдөй:

root @ master: ~ # жөндөмдүүлүгүн орнотуу ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = groups' USUFF = 'ou = people' # MSUFFIX = 'ou = Компьютерлер' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP кардардын буйруктары LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELEB / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" etixTroup "# . /ldapadduser.template "PASSWORDGEN =" echo% u "

Сценарийлерде пакеттин буйруктары колдонулганына көңүл буруңуз лап-утилдер. Run dpkg -L ldap-utils | grep / bin алардын эмне экендигин билүү.

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: берилген аты: sn: дисплей аты: uidNumber: gidNumber: 10000 homeDirectory: loginShell: почта: @ swl.fan geckos: сүрөттөө: Колдонуучунун аккаунту
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## комментарийди алып салабыз UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Биз "bilbo" колдонуучусун кошуп, аны "колдонуучулар" тобунун мүчөсү кылабыз

root @ master: ~ # ldapadduser билбо колдонуучулары
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] "givenName" үчүн маанини киргизиңиз: Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] үчүн маанини киргизиңиз " sn ": Багиндер [dn: uid = bilbo, ou = people, dc = swl, dc = fan]" displayName "үчүн маанини киргизиңиз: Билбо Багинс колдонуучунун билбосун LDAPка ийгиликтүү кошту Колдонуучунун билбосу үчүн паролду ийгиликтүү койду

root @ master: ~ # ldapsearch -x uid = билбо
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: билбо сүрөттөмөсү: Колдонуучунун каттоо эсеби

Билбо колдонуучусунун паролунун хэшин көрүү үчүн, сурамжылоону аутентификация менен жүргүзүү керек:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Билбо колдонуучусун жок кылуу үчүн биз төмөнкүнү аткарабыз:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
LDAP сыр сөзүн киргизиңиз:

root @ master: ~ # ldapsearch -x uid = билбо

Биз slapd базасын веб интерфейс аркылуу башкарабыз

Бизде функционалдык Каталог кызматы бар жана аны оңой башкаргымыз келет. Бул сыяктуу көптөгөн программалар иштелип чыккан, мисалы phpldapadmin, лдап-эсеп-менеджер, ж.б., алар түздөн-түз кампаларынан алууга болот. Биз ошондой эле Каталог кызматын Apache Directory Studio, биз аны Интернеттен жүктөп алышыбыз керек.

Көбүрөөк маалымат алуу үчүн, төмөнкү дарекке https://blog.desdelinux.net/ldap-introduccion/, жана кийинки 6 макала.

LDAP кардары

Этап:

Бизде команда бар деп айт mail.swl.fan макалада айтылгандай ишке ашырылган почта сервери катары Postfix + Dovecot + Squirrelmail жана жергиликтүү колдонуучуларCentOS программасында иштелип чыкканы менен, Debian жана башка көптөгөн Linux дистрибьютерлери үчүн колдонмо болуп бере алат. Биз буга чейин жарыялаган жергиликтүү колдонуучулардан тышкары, OpenLDAP маалымат базасында сакталган колдонуучулар дагы болушун каалайбыз master.swl.fan. Жогоруда айтылганга жетишүү үчүн биз «пландоо»LDAP колдонуучуларына сервердеги жергиликтүү колдонуучулар катары mail.swl.fan. Бул чечим PAM аутентификациясына негизделген бардык кызматтар үчүн жарактуу. Үчүн жалпы тартиби Debian, төмөнкүлөр:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  . Конфигурациясы libnss-лдап ├─────────────────────┐ │ LDAP серверинин URI (“Бирдиктүү Ресурс Идентификатору” же │ │ Бирдиктүү Ресурс Идентификатору) киргизиңиз. Бул сап │ │ «окшошldap: //: / ». Сиз ошондой эле «колдоно аласызldaps: // » же "ldapi: //". Порттун номери милдеттүү эмес. │ │ │ │ Домендик аталыш кызматтары │ │ жеткиликсиз болгондо, ийгиликсиздикке жол бербөө үчүн IP дарегин колдонуу сунушталат. │ │ │ │ LDAP сервери URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ───────────────────────────┘ ┌───────────────────── . Конфигурациясы libnss-лдап ├──────────────────────┐ │ LDAP издөө базасынын айырмаланган атын (DN) киргизиңиз. Көптөгөн сайттар ушул максатта домендик аталыштын компоненттерин колдонушат. Мисалы, "example.net" домени search │ "dc = example, dc = net" издөө базасынын белгилүү аталышы катары колдонот. The │ │ │ Издөө базасынын айырмаланган аты (DN): │ │ │ │ dc = swl, dc = желдеткич ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── . Конфигурациясы libnss-лдап Da │ ldapns колдонушу керек болгон LDAP протоколунун версиясын киргизиңиз. Версиянын эң жогорку номерин колдонуу сунушталат. Use │ │ │ Колдонула турган LDAP версиясы: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── . Конфигурациясы libnss-лдап │ │ root укуктары бар nss сурамдары үчүн кайсы аккаунт колдонула тургандыгын тандаңыз. │ │ │ │ Эскертүү: Бул параметр иштеши үчүн, каттоо эсеби колдонуучунун │ │ "көмүскө" жазуулары менен байланышкан LDAP атрибуттарына, ошондой эле колдонуучулардын паролдоруна жана │ │ топторуна access │ кирүү үчүн уруксат керек. . Root │ │ │ LDAP эсеп тамыры: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── . Конфигурациясы libnss-лдап ├─────────────────────┐ │ libnss-ldap түпнуска LDAP эсеби менен LDAP каталогуна │ │ аныктыгын текшерүүгө аракет кылганда колдонула турган сыр сөздү киргизиңиз. │ │ │ │ Сырсөз өзүнчө separate │ файлында сакталат ("/etc/libnss-ldap.secret"), ал тамыр гана кире алат. │ │ │ │ Бош паролду киргизсеңиз, эски сырсөз кайрадан колдонулат. L │ │ │ LDAP каттоо эсебинин сыр сөзү: │ │ │ │ ******** ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── . Конфигурациясы libnss-лдап ├──────────────────────┐ │ │ │ nsswitch.conf автоматтык түрдө башкарылбайт │ │ │ │ Сиз файлыңызды өзгөртүшүңүз керек "/etc/nsswitch.conf "libnss-ldap пакетинин иштешин кааласаңыз, LDAP маалымат булагын колдонуу үчүн. File │ "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" файлындагы │ sample үлгү файлын nsswitch конфигурациясынын мисалы катары колдонсоңуз болот же │ │ аны учурдагы конфигурациянын үстүнөн көчүрүп алсаңыз болот. │ │ │ │ Эске салсак, бул пакетти алып салуудан мурун services │ nsswitch.conf файлынан "ldap" жазууларын алып салуу оңой болушу мүмкүн, ошондо негизги кызматтар │ │ иштей берет. │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ Конфигурациясы либпам-лдап ├──────────────────────┐ │ │ │ Бул параметр жергиликтүү сырсөздөрдү өзгөртүү үчүн PAM колдонуучу сырсөз куралдарына жол берет. │ │ │ │ LDAP администраторунун каттоо эсеби үчүн пароль администратор гана окуй турган өзүнчө │ │ файлда сакталат. │ │ │ │ NFS аркылуу "/ etc" монтаждалса, бул параметр өчүрүлүшү керек. │ │ │ │ LDAP администраторунун аккаунтун жергиликтүү администратор катары as │ алып жүрүүсүнө уруксат бергиңиз келеби? │ │ │ │                                            │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── . Конфигурациясы либпам-лдап ├──────────────────────┐ │ │ │ LDAP сервери entradas жазууларын алуудан мурун идентификациялоону мажбурлайбы же жокпу, тандаңыз. │ │ │ │ Бул жөндөө сейрек кездешет. │ │ │ │ Колдонуучунун LDAP маалымат базасына кирүүсү талап кылынабы? │ │ │ │                                               │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── ──┤ Конфигурациясы либпам-лдап ├──────────────────────┐ │ LDAP администраторунун каттоо эсебинин атын киргизиңиз. │ │ │ │ Бул эсеп автоматтык түрдө маалымат базасын башкаруу үчүн колдонулат, │ │ ал тиешелүү административдик артыкчылыктарга ээ болушу керек. │ │ │ │ LDAP администраторунун эсеби: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ __ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌─────────────────── . Конфигурациясы либпам-лдап ├──────────────────────┐ │ Администратордун каттоо эсеби үчүн паролду киргизиңиз. │ │ │ │ Сыр сөз "/etc/pam_ldap.secret" файлында сакталат. File │ администратору бул файлды окуй алат жана │ │ libpam-ldapга │ │ маалымат базасындагы байланыштарды башкарууну автоматтык түрдө башкарууга мүмкүндүк берет. │ │ │ │ Эгерде сиз бул талааны бош калтырып койсоңуз, анда мурунку сакталган password password паролу дагы колдонулат. │ │ │ │ LDAP администраторунун сыр сөзү: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU Name Service Switch иштешинин конфигурациясынын мисалы. # Эгер сизде "glibc-doc-reference" жана "info" топтомдору орнотулган болсо, анда бул файл жөнүндө маалымат алуу үчүн # # info libc "Name Service Switch" "аракетин көрүңүз. passwd: шайкеш лап
топ: шайкеш лап
көлөкө: шайкеш лап
gshadow: файлдар хосттору: файлдар dns тармактары: файлдар протоколдору: db файлдар кызматтары: db файлдар эфирлер: db файлдар rpc: db файлдар netgroup: nis

Келгиле, файлды түзөтөлү /etc/pam.d/common-password, биз 26-сапка өтүп, маанисин жок кылабыз «use_authtok':

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - бардык кызматтарга мүнөздүү пароль менен байланышкан модулдар # # Бул файл башка сервиске тиешелүү PAM конфигурация файлдарынан, # камтылган жана кызматтарды аныктай турган модулдардын тизмесин камтышы керек # колдонуучунун сыр сөзүн өзгөртүү үчүн колдонулган. По умолчанию - pam_unix. # Pam_unix параметрлеринин түшүндүрмөсү: # # "sha512" параметри SHA512 туздалган сырсөздөрүн иштетет. Бул параметр жок болсо, # демейки шартта Unix crypt болот. Мурунку чыгарылыштар "md5" параметрин колдонгон. # # "Караңгы" параметр # login.defs дарегиндеги эски "OBSCURE_CHECKS_ENAB" параметрин алмаштырат. # # Башка варианттар үчүн pam_unix manpage караңыз. # 1.0.1-6 дан баштап, бул файл, демейки шартта, pam-auth-update тарабынан башкарылат. # Мунун артыкчылыгын пайдалануу үчүн, каалаган # жергиликтүү модулдарды демейки блокко чейин же андан кийин конфигурациялап, башка модулдарды тандоону башкаруу үчүн # pam-auth-update колдонуу сунушталат. Чоо-жайын # pam-auth-update (8) караңыз. # бул ар бир пакетке модулдар ("Негизги" блок) сырсөзү [ийгилик = 2 демейки = көрмөксөн] pam_unix.so белгисиз sha512
пароль [success = 1 user_unknown = этибарга албоо = өлүү] pam_ldap.so try_first_pass
# бул жерде эч кандай модуль ийгиликке жетише албаса, кемчилик болот pam_deny.so # эгерде андай жок болсо, стекти оң кайтаруучу маани менен баштаңыз; # бул ийгилик кодун эч нерсе койбогондуктан #, бизден ката кетпейт, себеби # жогоруда аталган модулдар pam_permit.so паролунун паролун айланып өтүшөт # жана бул жерде пакетке көбүрөөк модулдар бар ("Кошумча" блок) # pam- auth-update config

Эгер бизге керек болсо LDAP ичинде сакталган колдонуучулардын Жергиликтүү Кирүүсү жана алардын папкалары автоматтык түрдө түзүлүшүн каалайбыз үй, биз файлды түзөтүшүбүз керек /etc/pam.d/common-session жана файлдын аягына төмөнкү сапты кошуңуз:

сеанс милдеттүү эмес pam_mkhomedir.so skel = / etc / skel umask = 077

Мурда иштелип чыккан OpenLDAP каталог кызматы мисалында, жергиликтүү колдонуучу гана колдонуучу болуп түзүлгөн дырылдоо, ал эми LDAP программасында биз колдонуучуларды түзөбүз кадамдар, леголалар, Gandalfжана билбо. Эгерде ушул убакка чейин жасалган конфигурациялар туура болсо, анда биз жергиликтүү колдонуучуларды жана жергиликтүү деп картага түшкөн, бирок алыскы LDAP серверинде сакталгандарды тизмектей алышыбыз керек:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Кадамдар: x: 10000: 10000: Кадамдар Эл Рей: / үй / кадамдар: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Тутумдун аутентификациясы өзгөргөндөн кийин, эгерде бизде маанилүү кызмат жок болсо, серверди өчүрүп-күйгүзсө болот:

root @ mail: ~ # кайра жүктөө

Кийинчерээк биз серверде жергиликтүү сессияны баштайбыз mail.swl.fan нын LDAP базасында сакталган колдонуучунун грамоталары менен master.swl.fan. SSH аркылуу кирүүгө аракет кылсак болот.

 

buzz @ sysadmin: ~ $ ssh gandalf @ mail
gandalf @ mail сыр сөзү: '/ home / gandalf' каталогун түзүү. Debian GNU / Linux тутумуна кирген программалар акысыз программа болуп саналат; ар бир программа үчүн бөлүштүрүүнүн так шарттары жеке файлдарда / usr / share / doc / * / автордук укукта баяндалган. Debian GNU / Linux, колдонулуп жаткан мыйзамдар уруксат берген көлөмдө, КЕПИЛДИКТЕРДИ ТАБЫШПАЙТ.
gandalf @ mail: ~ $ su
сырсөз:

root @ mail: / home / gandalf # getent group
buzz: x: 1001: колдонуучулар: *: 10000:

root @ mail: / home / gandalf # чыгуу
чыгуу

gandalf @ mail: ~ $ ls -l / home /
бардыгы 8 drwxr-xr-x 2 buzz buzz     4096 17-июнь 12:25 buzz drwx ------ 2 gandalf колдонуучулары 4096 17-июнь 13:05 gandalf

Серверде жана кардардын деңгээлинде иштелип чыккан Каталог кызматы туура иштейт.

Kerberos

Википедиядан:

  • Kerberos - тарабынан түзүлгөн компьютердик тармактын аутентификация протоколу MIT кооптуу тармакта жайгашкан эки компьютерге бири-бирине өздүгүн так далилдөөгө мүмкүнчүлүк берет. Анын дизайнерлери алгач кардар-сервер моделине көңүл бурушкан жана ал өз ара аутентификацияны камсыз кылат: кардар дагы, сервер дагы бири-биринин ким экендигин тастыкташат. Аутентификация билдирүүлөрү алдын алуу үчүн корголгон тыңшоо y кайра чабуулдар.

    Kerberos симметриялык ачкыч криптографиясына негизделген жана ишенимдүү үчүнчү жак талап кылынат. Мындан тышкары, протоколго асимметриялык ачкыч криптографиясын колдоно турган кеңейтүүлөр бар.

    Керберос негизделген Needham-Schroeder протоколу. Бул жерде эки башка логикалык бөлүктөн турган "Ачкыч Дистрибютор Борбору" (KDC) деп аталган ишенимдүү үчүнчү жак колдонулат: "Аутентификация сервери" (AS же Authentication Server) жана "билет берүүчү сервер" (TGS же билет берүүчү сервер) ). Kerberos колдонуучулардын инсандыгын далилдөө үчүн кызмат кылган "билеттердин" негизинде иштейт.

    Kerberos жашыруун ачкычтар базасын жүргүзөт; Тармактын ар бир объектиси - кардар же сервер болсун - өзү жана Kerberos гана белгилүү болгон жашыруун ачкычты бөлүшөт. Бул ачкычты билүү субъекттин инсандыгын далилдөөгө кызмат кылат. Эки жактын ортосундагы байланыш үчүн Kerberos сессия көйгөйүн чечүү үчүн сессия ачкычын жаратат.

Керберостун кемчиликтери

De Ишенимдүү:

да Kerberos жалпы коопсуздук коркунучун жок кылат, ар кандай себептерден улам аны ишке ашыруу кыйынга турат:

  • Колдонуучунун сырсөздөрүн кадимки сырсөз базасынан көчүрүү UNIX, / etc / passwd же / etc / shadow сыяктуу Kerberos сырсөз базасына, тажатма болушу мүмкүн жана бул тапшырманы аткаруунун тез механизми жок.
  • Kerberos ар бир колдонуучу ишенимдүү деп эсептейт, бирок ишенимсиз тармакта ишенимсиз машинаны колдонуп жатат. Анын негизги максаты - шифрленбеген сырсөздөрдүн тармак аркылуу жөнөтүлүшүн алдын алуу. Бирок, эгерде башка колдонуучу, тийиштүү колдонуучудан тышкары, аныктыгын текшерүү үчүн билет сатуучу машинага (KDC) кире алса, Kerberos тобокелге салмак.
  • Kerberos колдонмосун колдонуу үчүн, код Kerberos китепканаларына тийиштүү чалууларды жүргүзүү үчүн өзгөртүлүшү керек. Ушундай жол менен өзгөртүлгөн тиркемелер kerberized деп эсептелет. Айрым колдонмолор үчүн, бул программанын көлөмүнө же анын Дизайнына байланыштуу ашыкча программалоо аракети болушу мүмкүн. Башка туура келбеген тиркемелер үчүн тармак серверинин жана анын кардарларынын байланыш ыкмасына өзгөртүүлөр киргизилиши керек; дагы, бул программалоонун бир аз талап кылынышы мүмкүн. Жалпысынан, Kerberos колдоосу жок жабык булактуу тиркемелер эң көйгөйлүү болуп саналат.
  • Акыры, Kerberosту өз тармагыңызда колдонууну чечсеңиз, анда ал эч нерсе эмес экендигин түшүнүшүңүз керек. Эгер сиз Kerberosту өз тармагыңызда колдонууну чечсеңиз, анда Kerberosту тастыктоо үчүн колдонулбаган кызматка кандайдыр бир сырсөздөр өтүп кетсе, анда пакетти тосуп алуу коркунучу бар экендигин унутпаңыз. Ошентип, сиздин тармак Kerberosту колдонуудан эч кандай пайда ала албайт. Тармагыңызды Kerberos менен камсыздоо үчүн, шифрленбеген сырсөздөрдү жөнөтүүчү бардык кардар / сервер тиркемелеринин kerberized версияларын гана колдонушуңуз керек же тармакта ушул колдонмолордун бирин колдонбошуңуз керек..

OpenLDAPты Kerberos Back-End катары кол менен орнотуу жана жөндөө оңой иш эмес. Бирок, кийинчерээк биз көрөбүз Samba 4 Active Directory - Домен контроллери Sysadmin, DNS сервери, Microsoft Network жана анын домен контроллери, LDAP сервери дээрлик бардык объектилеринин Back-End катарында жана Microsoft стилиндеги Active Directory каталогунун негизги компоненттери катары Kerberos негизделген аутентификация кызматы.

Бүгүнкү күнгө чейин бизде "Керберизацияланган Тармакты" ишке ашыруу зарылдыгы болгон жок. Ушул себептен Kerberosту кантип ишке ашыруу керектиги жөнүндө жазган жокпуз.

Samba 4 Active Directory - домен контроллери

маанилүү:

Сайттан өткөн мыкты документ жок wiki.samba.org. Өзүн сыйлаган Sysadmin сайтка англис тилинде кирип, Samba Team өзү жазган Самба 4кө арналган көптөгөн баракчаларды карап чыгышы керек. Интернетте анын ордун толтура турган документтер бар деп ишенбейм. Баса, ар бир барактын ылдый жагында канча жолу киргенин байкаңыз. Буга мисал катары, сиздин башкы баракчаңызга же «Башкы бетке» киргенсиз 276,183 20-жылдын 2017-июнунда, саат 10: 10до Чыгыш Стандарттык убактысы боюнча. Мындан тышкары, документтер 6-июнда өзгөртүлгөндүктөн, документтер абдан актуалдуу болуп турат.

Википедиядан:

Samba - Microsoft Windows File Sharing Protocol (мурун SMB деп аталып, жакында CIFS деп аталып калган) UNIX сыяктуу системалар үчүн акысыз жүзөгө ашырылат. Ушундай жол менен GNU / Linux, Mac OS X же Unix тутуму бар компьютерлер серверлерге окшошуп же Windows тармактарында кардарлардын ролун аткарышы мүмкүн. Samba ошондой эле колдонуучуларды Негизги Домен контроллери (PDC), домен мүчөсү, ал тургай Windows негизделген тармактар ​​үчүн Active Directory домени катары текшерүүгө мүмкүнчүлүк берет; басып чыгаруу кезектерин тейлөөдөн тышкары, жалпы каталогдор жана өзүнүн колдонуучу архиви менен аныктыгын текшерүү.

Samba иштетиле турган Unix сыяктуу системалардын катарына GNU / Linux дистрибутивдери, Solaris жана BSDдин ар кандай варианттары кирет. Apple компаниясынын Mac OS X Серверин таба алабыз.

Samba 4 AD-DC ички DNS менен

  • Debian 8 "Jessie" графикалык интерфейссиз таза орнотуудан баштайбыз.

Баштапкы текшерүүлөр

root @ master: ~ # хосттун аты
кожоюн
root @ master: ~ # хост аты --fqdn
master.swl.fan
root @ master: ~ # ip addr
1: эмне: mtu 65536 qdisc noqueue state БЕЛГИСИЗ топтун демейки шилтемеси / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 kapsam хосту lo valid_lft forever prefer_lft forever inet6 :: 1/128 масштабдагы хост valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state БЕЛГИСИЗ топтун демейки qlen 1000 шилтемеси / эфир 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 global global eth0
       жарактуу_lft түбөлүккө артыкчылыктуу_lft түбөлүк inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 чөйрөсү шилтеме жарактуу_lft түбөлүккө артыкчылыктуу_lft түбөлүккө
root @ master: ~ # cat /etc/resolv.conf
swl.fan nameserver издөө 127.0.0.1
  • Биз анын филиалын жарыялайбыз негизги гана, бул биздин максаттарга жетиштүү.
root @ master: ~ # cat /etc/apt/sources.list
Деб http://192.168.10.1/repos/jessie-8.6/debian/ Jessie негизги
Деб http://192.168.10.1/repos/jessie-8.6/debian/security/ джесси / жаңыртуулар негизги

Exim жана коммуналдык кызматтардын постфикси

root @ master: ~ # жөндөмдү орнотуу postfix htop mc deborphan

  ┌────────────────────────┤ Postfix Конфигурациясы ├───────────────────── ────┐ │ Сиздин │ │ муктаждыктарыңызга ылайык келген почта серверинин конфигурациясынын түрүн тандаңыз. Configuration │ │ │ Конфигурация жок: │ │ Учурдагы конфигурацияны сактап калат. │ │ Интернет сайты: │ │ Почта SMTP аркылуу түздөн-түз жөнөтүлөт жана алынат. Smart │ Интернет «smarthost» менен: │ │ Почта түздөн-түз SMTP аркылуу же «fetchmail» сыяктуу комо куралды иштетүү аркылуу алынат. Чыгуучу почта "smarthost" аркылуу жөнөтүлөт. │ │ Жергиликтүү почта гана: │ │ Жеткирилген бир гана кат жергиликтүү колдонуучулар үчүн. Жок │ │ тармак жок. │ │ │ │ Почта конфигурациясынын жалпы түрү: │ │ │ │ Конфигурациясы жок │ │ Интернет сайты │ │ "smarthost" орнотулган интернет │ │ Спутник системасы │ │                         Жергиликтүү почта гана                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────────────────── ────────────────────────────┘ ┌──────────────────── ─────┤ Postfix Конфигурациясы ├─────────────────────────┐ │ "Почта тутумунун аталышы" - бул домендин аты │ домендик аты жок _ALL_ электрондук почта даректерин "квалификациялоо" үчүн колдонулат. Бул "тамырга" жана андан келген каттарды камтыйт: сураныч, машинаңыздан электрондук почта билдирүүлөрүн жөнөтүп турбаңыз root@example.org │ │ аз root@example.org - деп сурады. │ │ │ │ Бул атты башка программалар колдонушат. Бул уникалдуу │ │ квалификациялуу домен аты (FQDN) болушу керек. │ │ │ │ Демек, жергиликтүү машинада электрондук почта дареги │ │ болсо something@example.org, бул параметрдин туура мааниси example.org болот. │ │ │ │ Почта тутумунун аталышы: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Биз тазалайбыз

root @ master: ~ # жөндөмдүүлүктү тазалоо ~ c
root @ master: ~ # жөндөмдү орнотуу -f
root @ master: ~ # жөндөм таза
root @ master: ~ # көндүм автоклеан

Samba 4 жана компиляциялоо үчүн талаптарды орнотобуз башка зарыл пакеттер

root @ master: ~ # жөндөмдү орнотуу acl attr autoconf бизон \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-колдонуучу libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev lijjson-perl \
libldap2-dev libncurses5-dev lippam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-модулдары pkg-config \
python-all-dev python-dev python-dnspython python-крипто \
xsltproc zlib1g-dev liggpgme11-dev python-gpgme python-m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Kerberos аутентификациясын конфигурациялоо ├───────────────┐ users Колдонуучулар Kerberos колдонуп, атын көрсөтүүгө аракет кылышканда │ │ негизги же колдонуучу негизги административдик Kerberos доменине таандык экендигин тактабастан │ │, система the │ демейки чөйрөсүн алат.  Демейки аймак жергиликтүү машинада иштеп жаткан Kerberos кызматынын │ │ чөйрөсү катары колдонсо болот.  │ │ Адатта, демейки чөйрө жергиликтүү DNS │ │ доменинин чоң аталышы болуп саналат.  │ │ │ │ Kerberos версиясынын 5-демейки чөйрөсү: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── Ker ┌───────────────┤ Керберостун аныктыгын текшерүүнү конфигурациялоо ├───────────────┐ │ Kerberos серверлеринин аттарын ber │ Kerberosтун SWL.FAN чөйрөсүнө боштук менен бөлүп киргизиңиз.  Your │ │ │ Сиздин чөйрөңүз үчүн Kerberos серверлери: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── Ker ┌───────────────┤ Kerberos аныктыгын текшерүүнү конфигурациялоо ├───────────────┐ │ Kerberos SWL.FAN чөйрөсү үчүн административдик сервердин атын (паролду өзгөртүү) │ │ киргизиңиз.   

Жогорудагы процесс бир аз убакытты талап кылды, анткени бизде азырынча орнотулган DNS кызматы жок. Бирок, файлдын орнотуулары боюнча доменди туура тандадыңыз / Александр Барыкин / өтүүдө. Файлда ушуну эсиңизден чыгарбаңыз /etc/resolv.conf биз IP 127.0.0.1 домендик аталыштын сервери деп жарыяладык.

Азыр / etc / ldap / ldap / conf файлын конфигурациялайбыз

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = күйөрман URI ldap: //master.swl.fan

Буйрукту колдонуп суроолор боюнча ldapsearch тамыр колдонуучусунан жасалган типтеги ldapsearch -x -W cn = xxxx, биз файлды түзүшүбүз керек /root/.ldapsearc төмөнкүдөй мазмун менен:

root @ master: ~ # nano .ldaprc
BINDDN CN = Администратор, CN = Users, DC = swl, DC = fan

Файл тутуму ACL - Кирүүнү Башкаруу Тизмесин колдошу керек

root @ master: ~ # nano / etc / fstab
# / etc / fstab: статикалык файл тутуму жөнүндө маалымат. # # # Түзмөк үчүн универсалдуу уникалдуу идентификаторду басып чыгаруу үчүн 'blkid' баскычын колдонуңуз; муну UUID = дисктерди кошуп, алып салса дагы иштей турган шаймандарды # атоонун ишенимдүү жолу катары колдонсо болот. Fstab (5) караңыз. # # # / орнотулганда / dev / sda1 UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, тосмо = 1, noatime, каталар = remount-ro 0 1
# алмашуу орнотулганда / dev / sda5 орнотулганда UUID = cb73228a-615d-4804-9877-3ec225e3ae32 эч ким алмашкан жок 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 колдонуучу, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # touch sinov_acl.txt
root @ master: ~ # setfattr -n user.test -v test test_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 test_acl.txt
root @ master: ~ # getfattr -d test_acl.txt
# файл: testing_acl.txt user.test = "тест"

root @ master: ~ # getfattr -n security.test -d test_acl.txt
# файл: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl test_acl.txt
# файл: testing_acl.txt # ээси: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Samba 4 булагын алабыз, түзүп, орнотобуз

Версиянын баштапкы файлын жүктөп алуу сунушталат бекем сайттан https://www.samba.org/. Биздин мисалда версиясын жүктөп алабыз samba-4.5.1.tar.gz папканы көздөй / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Тарам параметрлери

Эгер конфигурациянын параметрлерин жөндөп алгыбыз келсе, анда төмөнкүнү аткарабыз:

root @ master: /opt/samba-4.5.1# ./configure --help

жана бизге кылдаттык менен тандоо. Жүктөлүп алынган пакетти биз колдонуп жаткан Linux дистрибутивине орнотууга болоорун текшерүү сунушталат, бул биздин учурда Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# ./configure бөлүштүрүү

Samba-4.5.1ди конфигурациялайбыз, Компиляциялайбыз жана Орнотобуз

  • Мурда орнотулган талаптардан жана салмагы 8604 мегабайтты түзгөн 4.5.1 файлдардан (салмагы samba-101.7.tar.gz), салмагы 3 мегабайт болгон булак4 жана source61.1 папкаларын кошкондо, биз Microsoftтун алмаштыруучусун алабыз - ар кандай өндүрүш чөйрөсү үчүн кабыл алынгыс сапаттагы жана туруктуулуктагы Active Directory. Акысыз Программа Samba 4 жеткирүүдө Samba командасынын ишин баса белгилеп кетишибиз керек.

Төмөндөгү буйруктар булактардан топтомдорду топтоо жана орнотуу үчүн классикалык буйрук болуп саналат. Баардык процесс жүрүп жатканда биз сабырдуу болушубуз керек. Бул туура жана туура натыйжаларды алуунун бирден-бир жолу.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd --disable-чөйчөктөр
root @ master: /opt/samba-4.5.1# жасоо
root @ master: /opt/samba-4.5.1# орнотуу кылабыз

Буйрук берүү учурунда жасоо, биз Samba 3 жана Samba 4 булактары топтолгонун көрө алабыз.Ошондуктан Team Samba анын 4-версиясы Samba 3 + OpenLDAP домен контроллерлери үчүн дагы, ошондой эле файл серверлери үчүн дагы, 3-нусканын табигый жаңылануусу экендигин тастыктайт. Samba 4 версиялары.

Самбаны камсыздоо

Биз DNS катары колдонобуз SAMBA_INTERNAL. En https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End кошумча маалымат таба алабыз. Алар бизден Администратордун колдонуучусунун сыр сөзүн сураганда, биз эң аз дегенде 8 белгиден турган бирөөнү, ошондой эле тамгалар менен - ​​чоң жана кичине тамгалар менен жана сандарды теришибиз керек.

Камсыз кылууну улантуудан мурун жана жашоону жеңилдетүү үчүн, биз кошобуз жол Биздин файлдагы Samba аткарылуучу файлдарынын .bashrc, Андан кийин биз дагы бир жолу жабылып, киребиз.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: кирбей турган кабыктар үчүн bash (1) тарабынан аткарылган. # Эскертүү: PS1 жана umask мурунтан эле / etc / профилинде орнотулган. Сиз root үчүн ар кандай демейки шарттарды каалабасаңыз, сизге бул # керек эмес. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # "ls" түстүү болушун кааласаңыз, төмөнкү саптарга комментарий бере аласыз: # export LS_OPTIONS = '- color = auto '# eval "" dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Кээ бир каталарга жол бербөө үчүн дагы башка лакап аттар: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
-x PATH жарыяла = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # чыгуудан чыгуу Чеберге туташуу жабык. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-курал домендик камсыздоо --use-rfc2307 - интерактивдүү
Падышалык [SWL.FAN]: SWL.FAN
 Домен [SWL]: SWL
 Сервердин ролу (dc, мүчө, өз алдынча) [dc]: dc
 DNS арткы (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 DNS экспедиторунун IP дареги (багыттоону өчүрүү үчүн "жок" деп жазыңыз) [192.168.10.5]: 8.8.8.8
Администратордун сыр сөзү: TuPassword2017
Сыр сөздү кайра терүү: TuPassword2017
IPv4 даректерин издөө IPv6 даректерин издөө IPv6 дареги берилбейт. Орнотуу share.ldb. Secret.ldb орнотуу Реестрди орнотуу Артыкчылыктар базасын орнотуу idmap db орнотуу SAM db орнотуу sam.ldb бөлүктөрүн жана орнотууларды орнотуу up sam.ldb rootDSE Samba 4 жана AD схемасын алдын-ала жүктөө DomainDN кошуу: DC = swl, DC = күйөрман Конфигурация контейнерин кошуу sam.ldb схемасын орнотуу sam.ldb конфигурациясынын дайындарын орнотуу Дисплей спецификаторлорун жөндөө Колдонуучулар контейнерин кошуу Колдонуучулардын контейнерин өзгөртүү Компьютерлердин контейнерин өзгөртүү Компьютерлердин контейнерин өзгөртүү sam.ldb дайындарын орнотуу Белгилүү болгон коопсуздук принциптерин орнотуу sam.ldb колдонуучуларын жана топторун орнотуу Өз алдынча кошулуу DNS эсептерин кошуу CN = MicrosoftDNS, CN = System, DC = swl, DC түзүү = күйөрман DomainDnsZones жана ForestDnsZones бөлүктөрүн түзүү DomainDnsZones жана ForestDnsZones бөлүктөрүн толтуруу sam.ldb rootDSE белгилөөсүн синхрондуу катары орнотуу Бекитүү жөнүндө GUID аныктамаларын орнотууSamba 4 үчүн ылайыктуу Kerberos конфигурациясы /usr/local/samba/private/krb5.conf дарегинде түзүлгөн, жасалма yp сервердин орнотууларын орнотуу Жогорудагы файлдар орнотулгандан кийин, Samba4 сервериңиз Server Role: активдүү каталог доменин колдонууга даяр болот контроллер Хост аты: Master NetBIOS Домени: SWL DNS Домени: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Kerberos конфигурация файлын. Жыйынтыгы менен көрсөтүлгөндөй көчүрүүнү унутпайлы камсыздоо:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Буйрукту тербөө үчүн samba-курал толук аты-жөнүңүз менен, кыска аты менен символикалык шилтеме түзөбүз курал:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Биз NTPди орнотобуз

Активдүү каталогдогу фундаменталдуу тармак - бул Тармактагы убакыт кызматы.Аутентификация Kerberos жана анын билеттери аркылуу жүргүзүлүп жаткандыктан, Samba 4 AD-DC менен убакытты синхрондоштуруу абдан маанилүү.

root @ master: ~ # жөндөмдү орнотуу ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd статистикасы loopstats peerstats clockstats filegen loopstats файл loopstats түрү күнү күйгүзүү filegen peerstats файл peerstats түрү күнү күйгүзүү filegenstats файл сааты түрү күнү иштетүү 192.168.10.1 чектөө -4 default kod notrap nomodify nopeer noquery чектөө -6 default kod notrap nomodify nopeer noquery чектөө default default mssntp чектөө 127.0.0.1 чектөө :: 1 Broadcast 192.168.10.255

root @ master: ~ # service ntp өчүрүп-күйгүзүү
root @ master: ~ # service ntp абалы

root @ master: ~ # tail -f / var / log / syslog

Эгерде текшерип жатканда syslog жогорудагы буйрукту колдонуу же колдонуу journalctl -f биз кабар алабыз:

19 Июнь 12:13:21 master ntpd_intres [1498]: ата-эне биз чыгып бүтө электе каза болуп калды

кызматты өчүрүп-күйгүзүп, дагы бир жолу аракет кылышыбыз керек. Азыр биз папканы түзөбүз ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd кире албайсыз: Файл же каталог жок

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Samba.wiki.org сайтынан сурангандай
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19-июнь 12:21 / usr / local / samba / var / lib / ntp_signd

Samba системасын колдонуп баштайбыз

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Кызмат] Түр = форкинг PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Install] WantedBy = multi-user.target

root @ master: ~ # systemctl samba-ad-dc иштетүү
root @ master: ~ # кайра жүктөө

root @ master: ~ # systemctl абалы samba-ad-dc
root @ master: ~ # systemctl абалы ntp

Samba 4 AD-DC файл жайгашкан жерлер

ALL -минус жаңы түзүлгөн samba-ad-dc.service- файлдар төмөнкүлөрдө:

root @ master: ~ # ls -l / usr / local / samba /
бардыгы 32 drwxr-sr-x 2 root staff 4096 19 июнь 11:55 жатам
drwxr-sr-x 2 root staff 4096 19 июнь 11:50 жана башкалар
drwxr-sr-x 7 root staff 4096 19 июнь 11:30 камтыйт
drwxr-sr-x 15 root staff 4096 19 июнь 11:33 lib
drwxr-sr-x 7 root staff 4096 19 июнь 12:40 жеке
drwxr-sr-x 2 root staff 4096 19 июнь 11:33 sbin
drwxr-sr-x 5 root staff 4096 19 июнь 11:33 үлүшү
drwxr-sr-x 8 root staff 4096 19 июнь 12:28 бар

мыкты UNIX стилинде. Ар дайым ар кандай папкаларды карап чыгып, алардын мазмунун карап чыгуу сунушталат.

/Usr/local/samba/etc/smb.conf файлы

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Глобалдык параметрлер [глобалдык] netbios аты = MASTER чөйрөсү = SWL.FAN жумушчу тобу = SWL dns экспедитору = 8.8.8.8 сервер кызматтары = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns сервердин ролу = активдүү каталог домен контроллери dns жаңыртууларына уруксат = idmap_ldb коопсуздугун камсыз кылуу: rfc2307 колдонуу = ооба idmap config *: backend = tdb idmap config *: range = 1000000-1999999 ldap server күчтүү auth талап кылат = printcap аты жок = / dev / null [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts only read = No [sysvol] path = / usr / local / samba / var / locks / sysvol only read = Жок

root @ master: ~ # testparm
Smus config файлдарын /usr/local/samba/etc/smb.conf жүктөө бөлүмүнөн "[netlogon]" Иштөө бөлүмү ”[sysvol]" Жүктөлгөн кызматтар файлы ОК. Сервердин ролу: ROLE_ACTIVE_DIRECTORY_DC Сиздин кызматтык аныктамаларыңыздын төгүндүсүн көрүү үчүн enter пернесин басыңыз # Глобалдык параметрлер [глобалдык] чөйрө = SWL.FAN жумушчу тобу = SWL dns экспедитору = 192.168.10.1 лдап сервер күчтүү auth талап кылат = Жок passdb backend = samba_dsdb сервер ролу = активдүү каталог домен контроллери rpc_server: tcpip = жок rpc_daemon: spoolssd = камтылган rpc_server: spoolss = камтылган rpc_server: winreg = камтылган rpc_server: ntsvcs = камтылган rpc_server: eventlog = камтылган rpc_server: svv_server тышкы: тышкы түтүктөрдү колдонуу = чыныгы idmap конфигурациясы *: диапазону = 1000000-1999999 idmap_ldb: колдонуу rfc2307 = ооба idmap конфигурациясы *: backend = tdb карта архиви = Окуу карта жок = Дос атрибуттары жок = Ооба vfs объекттери = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / скрипттер гана окулат = Жок [sysvol] path = / usr / local / samba / var / locks / sysvol only read = Жок

Минималдуу текшерүүлөр

root @ master: ~ # курал домен деңгээлин көрсөтүү
'DC = swl, DC = fan' домени үчүн домен жана токой функцияларынын деңгээли Токой функцияларынын деңгээли: (Windows) 2008 R2 Домен функцияларынын деңгээли: (Windows) 2008 R2 DCнин функцияларынын эң төмөнкү деңгээли: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # курал dbcheck
262 объектти текшерүү 262 объектти текшерүү (0 ката)

root @ master: ~ # kinit Администратор
Үчүн пароль Administrator@SWL.FAN: 
root @ master: ~ # klist -f
Билеттин кэши: FILE: / tmp / krb5cc_0
Негизги демейки: Administrator@SWL.FAN

Жарактуу башталуунун мөөнөтү бүтөт Кызматтын негизги күнү 19 06:17:12 53 24:19:06  krbtgt/SWL.FAN@SWL.FAN
    жаңылоо 20 06:17:12, Желектер: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: '/ tmp / krb5cc_0' ишеним каттарынын кэш файлы табылган жок

root @ master: ~ # smbclient -L localhost -U%
Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Service (Samba 4.5.1) Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Server Comment --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Администратордун сыр сөзүн киргизиңиз: Домен = [SWL] OS = [Windows 6.1] Сервер = [Samba 4.5.1]. D 0 Дүйшөмбү 19 Июнь 11:50:52 2017 .. Д Дүйшө Июнь 0 19:11:51 07 2017 көлөмү 19091584 блок. 1024 блок бар

root @ master: ~ # курал dns serverinfo мастер -U администратору

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan SRV рекордуна ээ 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan SRV рекордуна ээ 0 100 88 master.swl.fan.

root @ master: ~ # host -t А master.swl.fan
master.swl.fan дареги 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
swl.fan SOA рекордунун master.swl.fan жазуусуна ээ. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan аты сервер master.swl.fan.

root @ master: ~ # host -t MX swl.fan
swl.fanда MX жазуусу жок

root @ master: ~ # samba_dnsupdate - артыкчылык

root @ master: ~ # курал колдонуучулар тизмеси
Администратор krbtgt Конок

root @ master: ~ # куралдар тобунун тизмеси
# Чыгым - бул топтордун тобу. ;-)

Жаңы орнотулган Samba 4 AD-DCди башкарабыз

Эгерде биз администратордун сырсөзүнүн жарактуулук мөөнөтүн бир нече күндүн ичинде өзгөрткүбүз келсе; паролдордун татаалдыгы; сыр сөздүн минималдуу узундугу; сыр сөздүн минималдуу жана максималдуу узактыгы - күндөрү; жана учурунда жарыяланган Администратордун сыр сөзүн өзгөртүү камсыздоо, менен төмөнкү буйруктарды аткарышыбыз керек муктаждыктарыңызга ылайыкташтырылган баалуулуктар:

root @ master: ~ # курал
Колдонуу: samba-курал Негизги самба башкаруу куралы. Жолдор: -h, --help бул жардам билдирүүсүн көрсөтүп, Версия Жолдорунан чыккыла: -V, --version Версиянын номерин көрсөтүү Жеткиликтүү подкомандалар: dbcheck - Жергиликтүү AD маалымат базасын каталарга текшерип алыңыз. делегация - Делегацияны башкаруу. dns - Домендик аталыштар кызматы (DNS) башкаруу. домен - Домендерди башкаруу. drs - Каталогду көчүрүү кызматтарын (DRS) башкаруу. dsacl - DS ACLs манипуляциясы. fsmo - Flexible Single Master Operations (FSMO) ролдорду башкаруу. gpo - Group Policy Object (GPO) башкаруу. топ - Топту башкаруу. ldapcmp - эки лдап маалымат базасын салыштырыңыз. ntacl - NT ACLs манипуляциясы. процесстер - Тизмелер процесси (setproctitle жок тутумдарда мүчүлүштүктөрдү оңдоо үчүн). rodc - Окууга гана арналган домен контроллери (RODC) башкаруу. сайттар - сайттарды башкаруу. spn - Кызматтын Негизги Аты (SPN) башкаруу. testparm - Синтаксис тарам файлын текшерүү. убакыт - Сервердеги убакытты алуу. колдонуучу - Колдонуучуну башкаруу. Белгилүү бир подкомандда көбүрөөк жардам алуу үчүн, сураныч: samba-tool деп териңиз (-h | --help)

root @ master: ~ # курал колдонуучунун setexpiry администратору --noexpiry
root @ master: ~ # курал доменинин пароль орнотуулары --min-pwd-length = 7
root @ master: ~ # курал доменинин пароль орнотуулары --min-pwd-age = 0
root @ master: ~ # инструменттин доменинин сырсөз орнотуулары --max-pwd-age = 60
root @ master: ~ # курал колдонуучу setpassword --filter = samaccountname = Администратор --newpassword = Passw0rD

Биз бир нече DNS жазууларды кошобуз

root @ master: ~ # курал dns
Колдонуусу: samba-tool dns Домендик ысым кызматы (DNS) башкаруу. Жолдор: -h, --help бул жардам билдирүүсүн көрсөтүп, жеткиликтүү подкомандалардан чыгуу: кошуу - DNS жазуусун кошуу өчүрүү - DNS жазуу сурамын жок кылуу - Атын сурап алуу. roothints - Сурамжылоонун тамыр кеңештери. serverinfo - Сервер маалыматы боюнча суроо. жаңыртуу - DNS жазуусун жаңыртуу зонаны түзүү - Аймак түзүү. zonedelete - Аймакты жок кылуу. zoneinfo - зона маалыматы боюнча суроо. zonelist - зоналар боюнча суроо. Белгилүү бир подкомандда көбүрөөк жардам алуу үчүн, сураныч: samba-tool dns деп териңиз (-h | --help)

Почта сервери

root @ master: ~ # курал dns кошуу мастер swl.fan mail 192.168.10.9 -U администратору
root @ master: ~ # курал dns мастер swl.fan swl.fan MX "mail.swl.fan 10" -U администраторун кошуу

Башка серверлердин IP туруктуу

root @ master: ~ # tool dns master swl.fan sysadmin A 192.168.10.1 -U администраторун кошуу
root @ master: ~ # tool dns master swl.fan файл серверин кошуу 192.168.10.10 -U администратору
root @ master: ~ # курал dns кошуу мастер swl.fan прокси 192.168.10.11 -U администратор
root @ master: ~ # курал dns кошуу мастер swl.fan чат 192.168.10.12 -U администратор

Reverse Zone

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U администратор
[SWL \ администратору] үчүн пароль: 10.168.192.in-addr.arpa зонасы ийгиликтүү түзүлдү

root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Администратор
root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Администратор
root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Администратор
root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Администратор
root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 11 PTR прокси.swl.fan. -Администратор
root @ master: ~ # курал dns кошуу мастер 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Администратор

Чектер

root @ master: ~ # tool dns query master swl.fan mail ALL -U администратору
[SWL \ администратору] үчүн пароль: Аты =, Рекорддор = 1, Балдар = 0 А: 192.168.10.9 (желектер = f0, serial = 2, ttl = 900)

root @ master: ~ # хост кожоюн
master.swl.fan дареги 192.168.10.5
root @ master: ~ # хост sysadmin
sysadmin.swl.fan дареги 192.168.10.1
root @ master: ~ # хост почтасы
mail.swl.fan дареги 192.168.10.9
root @ master: ~ # хост баарлашуу
chat.swl.fan дареги 192.168.10.12
root @ master: ~ # прокси хост
proxy.swl.fan дареги 192.168.10.11
root @ master: ~ # хост файл сервери
fileserver.swl.fan дареги 192.168.10.10
root @ master: ~ # хост 192.168.10.1
1.10.168.192.in-addr.arpa домендик аталыш көрсөткүчү sysadmin.swl.fan.
root @ master: ~ # хост 192.168.10.5
5.10.168.192.in-addr.arpa домендик аталыш көрсөткүчү master.swl.fan.
root @ master: ~ # хост 192.168.10.9
9.10.168.192.in-addr.arpa домендик аталыш көрсөткүчү mail.swl.fan.
root @ master: ~ # хост 192.168.10.10
10.10.168.192.in-addr.arpa домендик аты көрсөткүч fileserver.swl.fan.
root @ master: ~ # хост 192.168.10.11
11.10.168.192.in-addr.arpa домендик аты көрсөткүчү proxy.swl.fan.
root @ master: ~ # хост 192.168.10.12
12.10.168.192.in-addr.arpa домендик аты көрсөткүч chat.swl.fan.

Кызык

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Биз колдонуучуларды кошобуз

root @ master: ~ # курал колдонуучу
Колдонуу: samba-курал колдонуучу Колдонуучуну башкаруу. Жолдор: -h, --help бул жардам билдирүүсүн көрсөтүп, жеткиликтүү подкомандалардан чыгуу: кошуу - Жаңы колдонуучу түзүү. түзүү - Жаңы колдонуучу түзүү. жок кылуу - Колдонуучуну жок кылуу. өчүрүү - колдонуучуну өчүрүү. иштетүү - Колдонуучуну иштетүү. getpassword - Колдонуучунун / компьютердик эсептин сырсөз талааларын алыңыз. тизме - Бардык колдонуучулардын тизмеси. сыр сөз - Колдонуучунун каттоо эсеби үчүн паролду өзгөртүү (аутентификацияда берилген). setexpiry - Колдонуучу каттоо эсебинин жарактуулук мөөнөтүн белгилөө. setpassword - Колдонуучунун каттоо эсебинин сырсөзүн коюңуз же баштапкы абалга келтириңиз. syncpasswords - колдонуучунун каттоо эсептеринин паролун шайкештештирүү. Белгилүү бир подкомандда көбүрөөк жардам алуу үчүн: samba-tool user деп териңиз (-h | --help)

root @ master: ~ # курал колдонуучусу Trancos01 кадамдарын жаратат
Колдонуучу 'trancos' ийгиликтүү түзүлдү
root @ master: ~ # курал колдонуучусу gandalf Gandalf01 түзөт
Колдонуучу 'gandalf' ийгиликтүү түзүлдү
root @ master: ~ # курал колдонуучусу legolas Legolas01 түзөт
Колдонуучу 'legolas' ийгиликтүү түзүлдү
root @ master: ~ # курал колдонуучулар тизмеси
Администратор gandalf legolas кадамдар krbtgt Конок

Графикалык интерфейс же веб-кардар аркылуу башкаруу

Wiki.samba.org сайтына кирип, орнотуу жөнүндө кененирээк маалымат алыңыз Microsoft RSAT o Серверди алыстан башкаруу куралдары. Эгер сиз Microsoft Active Directory тарабынан берилген классикалык эрежелерди талап кылбасаңыз, анда топтомду орното аласыз лдап-эсеп-менеджер веб-браузер аркылуу башкаруу үчүн жөнөкөй интерфейсти сунуш кылат.

Microsoft Remote Server Administration Tools (RSAT) программалык топтому Windows Server иштетүү тутумдарына киргизилген.

Биз доменди "жети" деп аталган Windows 7 кардарына кошобуз

Тармакта DHCP серверибиз жок болгондуктан, биринчи кезекте кардардын тармактык картасын туруктуу IP менен конфигурациялап, негизги DNS IPдин IP болоорун жарыялаңыз. samba-ad-dc, жана "Бул байланыштын дарегин DNS-ке каттатуу" параметринин жандырылгандыгын текшериңиз. «Ысымын текшерүү бекер эмесжети»Sambaнин Ички DNSинде каттала элек.

Компьютерди доменге кошуп, аны кайра иштеткенден кийин, колдонуучу менен кирүүгө аракет кылалы «кадамдар«. Баары жакшы иштеп жаткандыгын текшеребиз. Ошондой эле, Windows кардарынын журналдарын текшерип, убакыттын туура синхрондоштурулгандыгын текшерүү сунушталат.

Айрым Windows тажрыйбасы бар администраторлор кардардан текшерүүлөрдүн бардыгы канааттандырарлык натыйжаларды берерин аныкташат.

на

Макала FromLinux жамаатынын окурмандары үчүн пайдалуу болот деп ишенем.

Саламатта болуңуз!


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

8 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   Gonzalo martinez ал мындай деди:

    Узун, бирок деталдуу макала, баарын кантип жасаш керек экени боюнча кадамдар абдан жакшы.

    Мен NISти баса белгилейм, чындыгында, анын бар экендигин билгеним менен, анын иштешин эч качан билген эмесмин, анткени чындыгында ал мага LDAP жана Samba 4 жанында өлүп калгандай таасир калтырды.

    PS: Жаңы жеке долбооруңуз менен куттуктайбыз! Өкүнүчтүүсү, бул жерде жазууну уланта бербейсиң, бирок жок дегенде артыңдан ээрчий турган жер бар.

  2.   HO2Gi ал мындай деди:

    Менин сүйүктүүлөрүмө, саламдашуу Фикосуна, чоң сабак.
    Долбоор менен куттуктайм.

  3.   Ст ал мындай деди:

    NIS бөлүмү абдан сонун, мен Гонсало Мартинеске боорум ооруйт, мен аны кыскача билчүмүн, бирок аны кантип ишке ашыруу керектигин жана кандай кырдаалдарда колдонуларын билген эмесмин.
    Теориялык жана практикалык макаланын эбегейсиз "магистрали" үчүн бир жолу рахмат.
    Акыры «gigainside» жаңы долбооруңузда жаңы ийгиликтер жаралды.

  4.   Federico ал мындай деди:

    Комментарий үчүн баарыңыздарга чоң рахмат !!!.
    Урматтоо менен

  5.   муссоль ал мындай деди:

    Сиз көрсөткөн smb.conf LDAP менен байланышы жок, атайын ушундайбы же мен бир нерсе калтырдымбы?

  6.   phico ал мындай деди:

    mussol: Бул Samba 4 Active Directory домен контролеру, анын LDAP сервери орнотулган.

  7.   Vincent ал мындай деди:

    Mac (алма) samba 4 AD-DCге кантип бириктирүүгө боло тургандыгын айта аласызбы?
    рахмат.

  8.   jramirez ал мындай деди:

    Кандайсың;

    Колдонмо үчүн рахмат, сонун. Мага пайда болгон билдирүү жөнүндө суроом бар.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Берилген хост аты / IP чечилген жок: ad.rjsolucionessac.com. Сиз '/ маска' ЖАНА '1-4,7,100-' стилиндеги IP диапазондорун колдоно албай тургандыгыңызды эске алыңыз
    Жарактуу бута табылбай жатат. Сураныч, көрсөтүлгөн хосттор стандарттык нотадагы IP даректер же DNS менен чечиле турган хост аттары экендигин текшерип коюңуз
    root @ AD: ~ #