PAM, NIS, LDAP, „Kerberos“, DS ir „Samba 4 AD-DC“ - SMB tinklai

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Sveiki draugai ir draugai!

Šiuo straipsniu atsisveikinu su Bendruomene DesdeLinux. Ypatingas atsisveikinimas su ypatinga bendruomene. Nuo šiol aš dalyvausiu savo asmeniniame projekte, kurį galite pamatyti adresu http://www.gigainside.com.

Pagrindinis posto tikslas yra pasiūlyti «Didelė nuotrauka»Apie mūsų turimas autentifikavimo paslaugas naudojant nemokamą programinę įrangą. Bent jau tai yra mūsų ketinimas. Todėl tai bus ilga, nepaisant to, kad žinome, kad tai prieštarauja bendrosioms straipsnių rašymo taisyklėms. Tikimės, kad sistemos administratoriai tai įvertins.

Norime pažymėti, kad daugelio šiuolaikinių autentifikavimo sistemų bendrasis protokolas yra LDAPir kad nėra dykos atidžiai ją išstudijuoti iš tyrimo medžiagos, kurią rasime oficialioje svetainėje http://www.openldap.org/.

Mes nepateiksime išsamių apibrėžimų ar nuorodų apie aspektus, nagrinėtus ankstesniuose straipsniuose, arba apie tuos, kurių aprašymas gali būti lengvai pasiekiamas Vikipedijoje ar kitose interneto svetainėse ar straipsniuose, kad neprarastume norimo pranešimo objektyvumo. duoti. Mes taip pat naudosime galiojantį vardų derinį anglų ir ispanų kalbomis, nes manome, kad dauguma sistemų gimė su pavadinimais anglų kalba, o „Sysadmin“ yra labai naudinga juos įsisavinti originalo kalba.

• PAM: Prijungiamas autentifikavimo modulis.
• NNV: Tinklo_informacijos_paslauga.
• LDAP: lengvas katalogų prieigos protokolas.
• Kerberos: Saugos protokolas, skirtas vartotojams, kompiuteriams ir paslaugoms autentifikuoti centralizuotai tinkle, tikrinant jų kredencialus pagal esamus „Kerberos“ duomenų bazės įrašus.
• DS: Katalogų serveris arba Katalogų tarnyba
• AD–DC: „Active Directory“ - domeno valdiklis

PAM

Šiam lokalaus autentifikavimo tipui skiriame nedidelę seriją, kurią kasdien pastebėsite, kad ji yra plačiai naudojama, kai, pavyzdžiui, prisijungiame prie darbo vietos prie domeno valdiklio ar „Active Directory“; atvaizduoti vartotojus, saugomus išorinėse LDAP duomenų bazėse, tarsi jie būtų vietiniai vartotojai; susieti vartotojus, saugomus „Active Directory“ domeno valdiklyje, tarsi jie būtų vietiniai vartotojai ir pan.

• „Squid + PAM“ autentifikavimas „CentOS 7“.
• Vietinis vartotojų ir grupių valdymas
• Autoritetingas DNS serveris NSD + „Shorewall“
• Prosody IM ir vietiniai vartotojai
• „Postfix“ + „Dovecot“ + „Squirrelmail“ ir vietiniai vartotojai
  

NNV

De ':

• Tinklo informacinė sistema (žinoma sutrumpinimu NIS, o tai ispanų kalba reiškia tinklo informacinę sistemą) yra „Sun Microsystems“ sukurto kliento ir serverio katalogų paslaugų protokolo pavadinimas, skirtas konfigūracijos duomenims siųsti paskirstytose sistemose, pavyzdžiui, vartotojų ir kompiuterių vardai tarp kompiuterių tinkle.NIS remiasi ONC RPC ir susideda iš serverio, kliento bibliotekos ir įvairių administravimo įrankių.

  Iš pradžių NIS buvo vadinamas geltonaisiais puslapiais arba YP, kuris vis dar naudojamas jam nurodyti. Deja, šis vardas yra „British Telecom“ prekės ženklas, dėl kurio „Sun“ turėjo numesti šį vardą. Tačiau YP išlieka priešdėlis daugumos su NIS susijusių komandų, tokių kaip ypserv ir ypbind, pavadinimuose.

  DNS teikia ribotą informacijos diapazoną, svarbiausia - atitikimas tarp mazgo pavadinimo ir IP adreso. Kitos rūšies informacijai tokios specializuotos paslaugos nėra. Kita vertus, jei valdote tik mažą LAN be interneto ryšio, neatrodo verta nustatyti DNS. Štai kodėl „Sun“ sukūrė tinklo informacinę sistemą (NIS). NIS teikia bendras prieigos prie duomenų bazės galimybes, kurios gali būti naudojamos paskirstant, pavyzdžiui, informaciją, esančią „passwd“, ir grupuojant failus į visus jūsų tinklo mazgus. Dėl to tinklas atrodo kaip viena sistema, kurioje visuose mazguose yra tos pačios paskyros. Panašiai, NIS gali būti naudojama paskirstant mazgų pavadinimų informaciją, esančią / etc / hosts, visoms tinklo mašinoms.

  Šiandien NIS yra praktiškai visuose „Unix“ paskirstymuose ir yra net nemokamų diegimų. „BSD Net-2“ paskelbė tokį, kuris buvo gautas iš „Sun“ dovanotos viešosios nuorodos įgyvendinimo. Šios versijos kliento dalies bibliotekos kodas jau seniai egzistuoja GNU / Linux libc, o administravimo programas į GNU / Linux perkėlė Swen Thümmler. Tačiau įgyvendinant nuorodą trūksta NIS serverio.

  Peteris Erikssonas sukūrė naują diegimą, pavadintą NYS. Jis palaiko tiek pagrindinę NIS, tiek patobulintą „Sun NIS +“ versiją. [1] NYS suteikia ne tik daugybę NIS įrankių ir serverį, bet ir prideda visiškai naują bibliotekos funkcijų rinkinį, kurį turite sukompiliuoti į savo libc, jei norite jais naudotis. Tai apima naują mazgo pavadinimo skiriamosios gebos konfigūravimo schemą, kuri pakeis dabartinę schemą, kurią naudoja failas „host.conf“.

  GNU libc, GNU / Linux bendruomenėje žinomas kaip libc6, apima atnaujintą tradicinės NIS palaikymo versiją, kurią sukūrė Thorstenas Kukukas. Jis palaiko visas bibliotekos funkcijas, kurias teikia NYS, taip pat naudoja išplėstinę NYS konfigūravimo schemą. Įrankiai ir serveris vis dar reikalingi, tačiau naudojant GNU libc sutaupoma bibliotekos lopymo ir kompiliavimo problemų

  .

Kompiuterio ir domeno vardas, tinklo sąsaja ir sprendėjas

• Mes pradedame nuo švaraus Debian 8 „Jessie“ diegimo - be grafinės sąsajos.. Domenas swl.fan reiškia „Laisvos programinės įrangos gerbėjai“. Koks geresnis vardas už šį?.

root @ master: ~ # pagrindinio kompiuterio vardas
meistras
root @ master: ~ # pagrindinio kompiuterio vardas -f
meistras.suk.fanas

root @ master: ~ # ip addr 1: lo: „mtu 65536 qdisc noqueue state“ Nežinoma grupės numatytoji nuoroda / atgalinis ryšys 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 taikymo sritis pagrindinė kompiuterio svetainė 6/1 apimties priegloba valid_lft forever prefer_lft forever 128: eth2: „mtu 0 qdisc pfifo_fast“ būsena UP grupės numatytasis „qlen 1500“ ryšys / eteris 1000: 00c: 0: 29c: 4: d76 brd ff: ff: ff: ff: ff: ff inet 9/192.168.10.5 brd 24 taikymo sritis „global eth192.168.10.255 valid_lft“ visiems laikams prefer_lft amžinai inet0 fe6 :: 80c: 20ff: fe29c: 4d76 / 9 taikymo srities nuoroda valid_lft forever prefer_lft forever

root @ master: ~ # cat /etc/resolv.conf 
ieškoti swl.fan vardų serveris 127.0.0.1

„Bind9“, „isc-dhcp-server“ ir „ntp“ diegimas

surišti9

root @ master: ~ # aptitude įdiegti bind9 privalomas9-doc nmap
root @ master: ~ # systemctl būsenos surišimas9

root @ master: ~ # nano /etc/bind/named.conf
įtraukti „/etc/bind/named.conf.options“; įtraukti „/etc/bind/named.conf.local“; įtraukti „/etc/bind/named.conf.default-zones“;

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
parinktys {katalogas "/ var / cache / bind"; // Jei tarp jūsų ir vardų serverių, su kuriais norite // kalbėtis, yra užkarda, gali tekti pataisyti užkardą, kad būtų galima kalbėti keliems // prievadams. Pamatyti http://www.kb.cert.org/vuls/id/800113

        // Jei jūsų IPT pateikė vieną ar daugiau IP adresų stabiliems // vardų serveriams, tikriausiai norite juos naudoti kaip ekspeditorius. // Nepakomentuokite šio bloko ir įterpkite adresus, pakeisdami // all-0 vietos rezervavimo ženklą. // ekspeditoriai {// 0.0.0.0; //}; // ================================================= = ==================== $ // Jei „BIND“ užregistruos klaidos pranešimus apie pagrindinio rakto galiojimo pabaigą, // turėsite atnaujinti raktus. Pamatyti https://www.isc.org/bind-keys
        // ================================================= = ==================== $ // Mes nenorime DNSSEC
        dnssec-enable ne;
        // dnssec-validation auto; auth-nxdomain Nr; # atitinka RFC1035 klausytis-v6 {bet koks; }; // „localhost“ ir „sysadmin“ patikrinimams // per dig swl.fan axfr // Mes neturime „Slave DNS“ ... iki šiol
        leisti-perkelti {localhost; 192.168.10.1; };
}; root @ master: ~ # named-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Bendra adresų erdvė (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFC 3927, 5735 ir 6303)
zona "254.169.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// IETF protokolo priskyrimai (RFC 5735 ir 5736)
zona "0.0.192.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// TEST-NET- [1-3] dokumentacijai (RFCs 5735, 5737 ir 6303)
zona "2.0.192.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "113.0.203.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// IPv6 dokumentacijos pavyzdžių diapazonas (RFC 3849 ir ​​6303)
zona "8.bd0.1.0.0.2.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// Domenų vardai dokumentacijai ir testavimui (BCP 32)
zonos "testas" {tipo meistras; failas "/etc/bind/db.empty"; }; zonos "pavyzdys" {tipo meistras; failas "/etc/bind/db.empty"; }; zone "invalid" {type master; failas "/etc/bind/db.empty"; }; zona „pavyzdys.com“ {tipo meistras; failas "/etc/bind/db.empty"; }; zona "pavyzdys.net" {tipo meistras; failas "/etc/bind/db.empty"; }; zone "example.org" {type master; failas "/etc/bind/db.empty"; };

// Maršrutizatoriaus etalono testavimas (RFC 2544 ir 5735)
zona "18.198.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// IANA rezervuota - senoji E klasės erdvė (RFC 5735)
zona "240.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "242.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "243.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "244.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "245.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "246.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "247.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "248.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "249.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "250.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "251.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "252.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "253.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "254.in-addr.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// nepriskirti „IPv6“ adresai (RFC 4291)
zona "1.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "4.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "5.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "6.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "7.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "8.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "9.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "a.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "b.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "c.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "d.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "e.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "0.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "1.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "2.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "3.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "4.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "5.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "6.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "7.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "8.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "9.f.ip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "afip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "bfip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "0.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "1.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "2.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "3.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "4.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "5.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "6.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "7.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 ir 6303)
zona "cfip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "dfip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// „IPv6 Link Local“ (RFC 4291 ir 6303)
zona "8.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "aefip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "befip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// „IPv6“ nebenaudojami vietiniai vietiniai adresai (RFC 3879 ir 6303)
zona "cefip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "defip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "eefip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; }; zona "fefip6.arpa" {tipo meistras; failas "/etc/bind/db.empty"; };

// IP6.INT nebenaudojamas (RFC 4159)
zona "ip6.int" {type master; failas "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Čia atlikite bet kokią vietinę konfigūraciją // // Apsvarstykite galimybę čia pridėti 1918 m. Zonas, jei jos nenaudojamos jūsų // organizacijoje, įtraukite „/etc/bind/zones.rfc1918“;
įtraukti „/etc/bind/zones.rfcFreeBSD“;

// DNS įrašų zonų pavadinimo, tipo, vietos ir atnaujinimo leidimo // deklaravimas // Abi zonos yra MASTER zonos „swl.fan“ {tipo šablonas; failas "/var/lib/bind/db.swl.fan"; }; zona "10.168.192.in-addr.arpa" {tipo meistras; byla "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # named-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. šaknis.master.swl.fan. (1; serijinis 1D; atnaujinkite 1H; bandykite dar kartą 1W; galiojimo laikas baigsis 3H); mažiausiai arba; Neigiamas talpyklos laikas gyventi; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT „Laisvos programinės įrangos gerbėjams“; sysadmin IN A 192.168.10.1 failų serveris A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN 192.168.10.6 tinklaraštis IN A 192.168.10.7 ftpserver IN A 192.168.10.8 paštas IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. šaknis.master.swl.fan. (1; serijinis 1D; atnaujinkite 1H; bandykite dar kartą 1W; galiojimo laikas baigsis 3H); mažiausiai arba; Neigiamas talpyklos laikas gyventi; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR failų serveris.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
zona swl.fan/IN: pakrautas 1 serija Gerai
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zona 10.168.192.in-addr.arpa/IN: pakrautas 1 serija Gerai

root @ master: ~ # named-checkconf -zp
root @ master: ~ # systemctl paleiskite iš naujo bind9.service
root @ master: ~ # systemctl būsena bind9.service

Bind9 čekiai

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb pagrindinio kompiuterio root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Pradėti Nping 0.6.47 ( http://nmap.org/nping ) 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Maks. Rtt: N / A | Min. Rtt: Nėra | Vid. Rtt: Netaikyti žaliaviniai paketai: 84 (0B) | Rcvd: 0 (3B) | Prarasta: 100.00 (1%) „Nping“ atliktas: 3.01 IP adresas per pingavo per XNUMX sekundės 

isc-dhcp-serveris

root @ master: ~ # aptitude įdiegti isc-dhcp-serverį
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Kokiose sąsajose DHCP serveris (dhcpd) turėtų teikti DHCP užklausas? # Atskirkite kelias sąsajas su tarpais, pvz., „Eth0 eth1“.
SĄSAJOS = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n VARTOTOJAS dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777. privatus 
Privataus rakto formatas: v1.3 algoritmas: 157 (HMAC_MD5) Raktas: Ba9GVadq4vOCixjPN94dCQ == Bitai: AAA = Sukurta: 20170527133656 Paskelbti: 20170527133656 Suaktyvinti: 20170527133656

root @ master: ~ # nano dhcp.key
raktas dhcp-raktas {
        algoritmas hmac-md5;
        slapta “Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key šaknis @ master: ~ # nano /etc/bind/named.conf.local
įtraukti „/etc/bind/dhcp.key“;

zona "swl.fan" {tipo meistras; failas "/var/lib/bind/db.swl.fan";
        leisti atnaujinti {raktas dhcp-raktas; };
}; zona "10.168.192.in-addr.arpa" {tipo meistras; byla "/var/lib/bind/db.10.168.192.in-addr.arpa";
        leisti atnaujinti {raktas dhcp-raktas; };
};

root @ master: ~ # named-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
„ddns-update“ stiliaus tarpinis; ddns-atnaujinimai; ddns-domainname "swl.fan"; ddns-rev-domainname "in-addr.arpa."; ignoruoti kliento atnaujinimus; atnaujinimo optimizavimas klaidingas # Gali būti reikalaujama naudojant „Debian“ autoritetą; parinktis „ip-forwarding off“; parinkties domeno vardas „swl.fan“; įtraukti „/etc/dhcp/dhcp.key“; zona swl.fanas. {pirminis 127.0.0.1; raktas dhcp-raktas; } zona 10.168.192.in-addr.arpa. {pirminis 127.0.0.1; raktas dhcp-raktas; } shared-network redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {option routers 192.168.10.1; parinkties potinklio kaukė 255.255.255.0; parinkties transliacijos adresas 192.168.10.255; parinkties domeno vardo serveriai 192.168.10.5; parinktis netbios-name-serveriai 192.168.10.5; parinktis ntp-serveriai 192.168.10.5; pasirinkimo laiko serveriai 192.168.10.5; diapazonas 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Interneto sistemų konsorciumas DHCP Server 4.3.1 Autorių teisės 2004–2014 m. Interneto sistemų konsorciumas. Visos teisės saugomos. Norėdami gauti informacijos, apsilankykite https://www.isc.org/software/dhcp/
Konfigūruoti failą: /etc/dhcp/dhcpd.conf Duomenų bazės failas: /var/lib/dhcp/dhcpd.leasing PID failas: /var/run/dhcpd.pid

root @ master: ~ # systemctl paleiskite iš naujo bind9.service 
root @ master: ~ # systemctl būsena bind9.service 

root @ master: ~ # systemctl paleisti isc-dhcp-server.service
root @ master: ~ # systemctl būsena isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 apriboti -4 numatytasis kod notrap nomodify nopeer noquery apribojimas -6 numatytasis kod notrap nomodify nopeer noquery apribojimas 127.0.0.1 apribojimas :: 1 transliacija 192.168.10.255

root @ master: ~ # systemctl paleiskite iš naujo ntp.service 
root @ master: ~ # systemctl būsena ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
Gegužės 27 d. 10:04:01 ntpdate [18769]: koreguokite laiko serverio 192.168.10.1 poslinkį 0.369354 sek.

Visuotinai tikrinami ntp, bind9 ir isc-dhcp-serveriai

Iš „Linux“, BSD, „Mac OS“ ar „Windows“ kliento patikrinkite, ar laikas tinkamai sinchronizuotas. Kad jis įgauna dinamišką IP adresą ir kad to pagrindinio kompiuterio vardas bus išspręstas atliekant tiesiogines ir atvirkštines DNS užklausas. Pakeiskite kliento vardą ir perdarykite visus čekius. Negalima tęsti tol, kol nesate tikri, kad iki šiol įdiegtos paslaugos veikia tinkamai. Mes parašėme visus straipsnius apie DNS ir DHCP Kompiuteriniai tinklai MVĮ.

NIS serverio diegimas

root @ master: ~ # gabumų rodymas nis
Nesuderinama su: netstd (<= 1.26) Aprašymas: tinklo informacijos tarnybos (NIS) klientai ir demonai. Šiame pakete pateikiami įrankiai, skirti nustatyti ir palaikyti NIS domeną. NIS, iš pradžių žinomas kaip geltonieji puslapiai (YP), dažniausiai naudojamas tam, kad keli tinklo įrenginiai galėtų naudoti tą pačią paskyros informaciją, pavyzdžiui, slaptažodžio failą.

root @ master: ~ # aptitude install nis
Paketo konfigūracija ┌────────────────────────── Nis konfigūracija ─────────┐ │ Pasirinkite NIS „domeno vardą“ šiai sistemai. Jei norite, kad ši mašina būtų tik klientas, turėtumėte įvesti NIS domeno, prie kurio norite prisijungti, pavadinimą. Arba, jei ši mašina turi būti NIS serveris, galite │ │ įvesti naują NIS „domeno vardą“ arba esamo NIS │ │ domeno pavadinimą. IS │ │ │ NIS domenas: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ─────────────────────────────┘  

Tai užtruks jūsų, nes paslaugos konfigūracijos nėra. Palaukite, kol procesas bus baigtas.

root @ master: ~ # nano / etc / default / nis
Ar mes esame NIS serveris ir jei taip, kokio tipo (reikšmės: false, slave, master)?
NISSERVER = meistras

root @ master: ~ # nano /etc/ypserv.securenets # securenets Šis failas apibrėžia jūsų NIS serverio # prieigos teises NIS klientams (ir vergų serveriams - ypxfrd taip pat naudoja šį # failą). Šiame faile yra tinklo kaukės / tinklo poros. # Kliento IP adresas turi sutapti su bent vienu iš jų. # # Galima naudoti žodį „host“, o ne tinklo maską iš # 255.255.255.255. Šiame # faile leidžiami tik IP adresai, o ne pagrindinio kompiuterio pavadinimai. # # Visada leisti naudotis „localhost“ 255.0.0.0 127.0.0.0 # Ši linija suteikia prieigą visiems. PRAŠAU TIKSTI! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Ar turėtume sulieti slaptažodžio failą su šešėliniu failu? # MERGE_PASSWD = tiesa | klaidinga
MERGE_PASSWD = tiesa

# Ar turėtume sujungti grupės failą su gshadow failu? # MERGE_GROUP = tiesa | klaidinga
MERGE_GROUP = tiesa

Kuriame NIS duomenų bazę

root @ master: ~ # / usr / lib / yp / ypinit -m
Šiuo metu turime sudaryti kompiuterių, kurie veiks NIS serverius, sąrašą. master.swl.fan yra NIS serverio kompiuterių sąraše. Toliau pridėkite kitų kompiuterių pavadinimus, po vieną kiekvienoje eilutėje. Kai baigsite sąrašą, įveskite a . kitas pridedamas kompiuteris: master.swl.fan kitas pridedamas kompiuteris: Dabartinis NIS serverių sąrašas atrodo taip: master.swl.fan Ar tai teisinga? [y / n: y] Mums reikia kelių minučių, kad sukurtume duomenų bazes ... . Dabar jūs galite paleisti ypinit -s master.swl.fan visame vergo serveryje.

root @ master: ~ # systemctl paleiskite iš naujo nis
root @ master: ~ # systemctl būsena nis

Pridedame vietinius vartotojus

root @ master: ~ # adduser bilbo
Vartotojo „bilbo“ pridėjimas ... Naujos grupės „bilbo“ (1001) įtraukimas ... Naujo vartotojo „bilbo“ (1001) pridėjimas su grupe „bilbo“ ... Namų katalogo „home / bilbo“ kūrimas ... Kopijuojami failai iš `/ etc / skel '... Įveskite naują UNIX slaptažodį: Pakartotinai įveskite naują UNIX slaptažodį: slaptažodis: slaptažodis atnaujintas teisingai Bilbo vartotojo informacijos keitimas Įveskite naują reikšmę arba paspauskite ENTER, kad naudotumėte numatytasis vardas ir pavardė []: Bilbo Bagins kambario numeris []: darbo telefonas []: namų telefonas []: kitas []: ar informacija teisinga? [Taip / Ne]

root @ master: ~ # adduser žingsniai root @ master: ~ # adduser legolas

ir taip toliau.

root @ master: ~ # piršto legolas
Prisijungimas: legolas Vardas: Legolas Archer katalogas: / home / legolas Shell: / bin / bash Niekada neprisijungiau. Pašto nėra. Jokio plano.

Atnaujiname NIS duomenų bazę

root @ master: / var / yp # make
make [1]: Įvedamas katalogas '/var/yp/swl.fan' Atnaujinamas passwd.byname ... Atnaujinamas passwd.byuid ... Atnaujinamas group.byname ... Atnaujinamas group.bygid ... Atnaujinamas netid.byname. .. Atnaujinamas „shadow.byname“ ... Nepaisoma -> sujungta su „passwd make“ [1]: išeinama iš „/var/yp/swl.fan“

Pridedame NIS parinktis prie isc-dhcp-serverio

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
„ddns-update“ stiliaus tarpinis; ddns-atnaujinimai; ddns-domainname "swl.fan"; ddns-rev-domainname "in-addr.arpa."; ignoruoti kliento atnaujinimus; atnaujinimo optimizavimas klaidingas; autoritetingas; parinktis „ip-forwarding off“; parinkties domeno vardas „swl.fan“; įtraukti „/etc/dhcp/dhcp.key“; zona swl.fanas. {pirminis 127.0.0.1; raktas dhcp-raktas; } zona 10.168.192.in-addr.arpa. {pirminis 127.0.0.1; raktas dhcp-raktas; } shared-network redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {option routers 192.168.10.1; parinkties potinklio kaukė 255.255.255.0; parinkties transliacijos adresas 192.168.10.255; parinkties domeno vardo serveriai 192.168.10.5; parinktis netbios-name-serveriai 192.168.10.5; parinktis ntp-serveriai 192.168.10.5; pasirinkimo laiko serveriai 192.168.10.5;
                parinktis nis-domain "swl.fan";
                parinktis nis-serveriai 192.168.10.5;
                diapazonas 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl paleiskite iš naujo isc-dhcp-server.service

NIS kliento diegimas

• Mes pradedame nuo švaraus Debian 8 „Jessie“ diegimo - be grafinės sąsajos..

root @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip adresas
2: eth0: „mtu 1500 qdisc pfifo_fast“ būsena UP grupės numatytasis „qlen 1000“ ryšys / eteris 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 taikymo sritis global eth0

root @ mail: ~ # tinkamumas diegti nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf „ypbind“ proceso konfigūracijos failas. Čia galite rankiniu būdu apibrėžti # NIS serverius, jei jų negalima rasti # transliuojant vietiniame tinkle (tai yra numatytasis nustatymas). # # Žr. Ypbind vadovą puslapyje, kur rasite šio failo sintaksę. # # SVARBU: Norėdami naudoti „ypserver“, naudokite IP adresus arba įsitikinkite, kad # pagrindinis kompiuteris yra aplanke / etc / hosts. Šis failas interpretuojamas tik # kartą ir, jei DNS nepasiekiamas, dar negalima išspręsti „ypserver“ ir „ypbind“ niekada nesusijungs su serveriu. # ypserver ypserver.network.com ypserver master.swl.fan domenas swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU vardų tarnybos jungiklio funkcijų konfigūracijos pavyzdys. # Jei turite įdiegtus „glibc-doc-reference“ ir „info“ paketus, pabandykite: # „info libc„ Name Service Switch ““, kad gautumėte informacijos apie šį failą. „passwd“: „COMPIS NIS“ grupė: „COMPIS NIS“ šešėlis: „COMPIS NIS GSHADOW“: failų pagrindiniai kompiuteriai: failai dns nis tinklai: failų protokolai: db failų paslaugos: db failų eteriai: db failai rpc: db failai tinklo grupė: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8), jei reikia išsamios informacijos.
sesija pasirenkama pam_mkhomedir.so skel = / etc / skel umask = 077
# čia yra pakuotės moduliai (blokas „Pagrindinis“)

root @ mail: ~ # systemctl būsena nis
root @ mail: ~ # systemctl paleiskite iš naujo nis

Uždarome sesiją ir pradedame ją iš naujo, bet naudodami NIS duomenų bazėje registruotą vartotoją meistras.suk.fanas.

root @ mail: ~ # exit
atsijungti Prisijungimas prie pašto uždarytas.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail slaptažodis: Katalogo „/ home / legolas“ kūrimas. Programos, įtrauktos į „Debian GNU / Linux“ sistemą, yra nemokama programinė įranga; tikslūs kiekvienos programos platinimo terminai aprašyti atskiruose failuose, esančiuose / usr / share / doc / * / copyright. „Debian GNU / Linux“ tiekiama su absoliučiai jokia garantija, kiek leidžia galiojantis įstatymas.
legolas @ mail: ~ $ pwd
/ namai / legolas
legolas @ paštas: ~ $ 

Pakeičiame „legolas“ vartotojo slaptažodį ir patikriname

legolas @ mail: ~ $ yppasswd 
„Legolas“ NIS paskyros informacijos keitimas master.swl.fan. Įveskite seną slaptažodį: legolas NIS slaptažodžio keitimas legolas svetainėje master.swl.fan. Įveskite naują slaptažodį: archer Slaptažodis turi būti sudarytas iš didžiųjų ir mažųjų raidžių arba be raidžių. Įveskite naują slaptažodį: Arquero2017 Prašome iš naujo įvesti naują slaptažodį: Arquero2017 NIS slaptažodis pakeistas master.swl.fan.

legolas @ mail: ~ $ exit
atsijungti Prisijungimas prie pašto uždarytas.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail slaptažodis: Arquero2017

Programos, įtrauktos į „Debian GNU / Linux“ sistemą, yra nemokama programinė įranga; tikslūs kiekvienos programos platinimo terminai aprašyti atskiruose failuose, esančiuose / usr / share / doc / * / copyright. „Debian GNU / Linux“ tiekiama su absoliučiai jokia garantija tiek, kiek leidžia taikomi įstatymai. Paskutinis prisijungimas: 27 m. Gegužės 12 d. 51:50:2017 iš sysadmin.swl.fan
legolas @ paštas: ~ $

NIS tarnyba, įdiegta serverio ir kliento lygiu, veikia tinkamai.

LDAP

Iš Vikipedijos:

• LDAP yra „Lightweight Directory Access Protocol“ (ispaniškai „Lengvasis / supaprastintas prieigos prie katalogų protokolas“) trumpinys, nurodantis programos lygio protokolą, leidžiantį pasiekti užsakytą ir paskirstytą katalogų paslaugą, norint ieškoti įvairios informacijos aplinkos tinkle. LDAP taip pat laikoma duomenų baze (nors jos saugojimo sistema gali būti kitokia), kuriai galima pateikti užklausą.Katalogas yra objektų rinkinys, kurio atributai sutvarkyti logiškai ir hierarchiškai. Dažniausias pavyzdys yra telefonų katalogas, kurį sudaro vardų (asmenų ar organizacijų) serijos, išdėstytos abėcėlės tvarka, prie kiekvieno vardo pridedamas adresas ir telefono numeris. Norint geriau suprasti, tai yra knyga ar aplankas, į kurį įrašomi žmonių vardai, telefonų numeriai ir adresai, jie išdėstyti abėcėlės tvarka.

  LDAP katalogų medis kartais atspindi įvairias politines, geografines ar organizacines ribas, atsižvelgiant į pasirinktą modelį. Dabartiniai LDAP diegimai dažniausiai naudoja domenų vardų sistemos (DNS) vardus, kad struktūrizuotų aukštesnius hierarchijos lygius. Judant žemyn kataloge, gali pasirodyti įrašai, atstovaujantys žmonėms, organizaciniams vienetams, spausdintuvams, dokumentams, žmonių grupėms ar viskam, kas reiškia nurodytą medžio įrašą (arba kelis įrašus).

  Paprastai ji saugo autentifikavimo informaciją (vartotojo vardą ir slaptažodį) ir naudojama autentifikavimui, nors galima saugoti ir kitą informaciją (vartotojo kontaktinius duomenis, įvairių tinklo išteklių vietą, leidimus, sertifikatus ir kt.). Apibendrinant galima pasakyti, kad LDAP yra vieningas prieigos prie tinklo informacijos protokolas.

  Dabartinė versija yra LDAPv3 ir ji apibrėžta RFC RFC 2251 ir RFC 2256 (pagrindinis LDAP dokumentas), RFC 2829 (LDAP autentifikavimo metodas), RFC 2830 (TLS plėtinys) ir RFC 3377 (techninė specifikacija)

  .

Ilgam, LDAP protokolas ir jo duomenų bazės, suderinamos ar nesuderinamos su „OpenLDAP“, šiandien yra dažniausiai naudojamos daugumoje autentifikavimo sistemų. Kaip ankstesnio teiginio pavyzdį, žemiau pateikiame keletą sistemų - „Free“ arba „Private“ - pavadinimų, kurie naudoja LDAP duomenų bazes kaip užpakalinę dalį savo objektams saugoti:

• OpenLDAP
• „Apache“ katalogo serveris
• „Red Hat Directory Server“ - 389 DS
• „Novell Directory Services“ - el. Katalogas
• „SUN Microsystem Open DS“
• „Red Hat“ tapatybės vadybininkas
• Nemokama IPA
• „Samba NT4 Classic“ domeno valdiklis.
  Norime paaiškinti, kad šią sistemą sukūrė „Team Samba“ su „Samba 3.xxx + OpenLDAP as“ posistemės. „Microsoft“ niekada neįdiegė nieko panašaus. Iš NT 4 domeno valdiklių perėjo į savo aktyviuosius katalogus
• „Samba 4 Active Directory“ - domeno valdiklis
• ClearOS
• Zentyalas
• UCS „Uninvention“ įmonės serveris
• „Microsoft Active Directory“

Kiekvienas diegimas turi savo ypatybes, o pats standartiškiausias ir suderinamiausias yra OpenLDAP.

„Active Directory“, nesvarbu, ar tai būtų „Microsoft“, ar „Samba 4“ originalas, sudaro kelių pagrindinių komponentų, kurie yra:

• „Microsoft“ ir „Samba“ pasirinktinis LDAP.
• „Microsoft Windows“ domenas o „Windows“ domenas. Iš esmės tai yra „Microsoft“ tinklas.
• „Microsoft“ domeno valdiklis o Domeno valdiklis.
• „Kerberos“ pritaikė „Microsoft“ ir „Samba“.

Neturime painioti a Katalogų tarnyba o Katalogų tarnyba su a "Active Directory" o „Active Directory“. Pirmieji gali arba negali turėti „Kerberos“ autentifikavimą, tačiau jie nesiūlo „Microsoft“ tinklo paslaugos, kurią teikia „Windows“ domenas, taip pat neturi „Windows“ domeno valdiklio.

Katalogų tarnyba arba katalogų paslauga gali būti naudojama naudotojų autentiškumui patvirtinti mišriame tinkle su UNIX / Linux ir Windows klientais. Pastarajam kiekvienam klientui turi būti įdiegta programa, kuri veikia kaip tarpininkas tarp katalogų tarnybos ir pačios „Windows“ kliento, pavyzdžiui, nemokama programinė įranga. puslapis.

Katalogų tarnyba su „OpenLDAP“

• Mes pradedame nuo švaraus Debian 8 „Jessie“ diegimo - be grafinės sąsajos., su tuo pačiu mašinos pavadinimu „master“, naudojamu diegiant NIS, taip pat konfigūruojant jo tinklo sąsają ir /etc/resolv.conf failą. Mes įdiegėme NTP, bind9 ir isc-dhcp-serverį šiam naujam serveriui, nepamiršdami visuotinio trijų ankstesnių paslaugų tinkamo veikimo patikrinimo.

root @ master: ~ # aptitude įdiegti slapd ldap-utils

Paketo konfigūracija

┌─────────────────────┤ Slapd konfigūracija ├──────────────────────┐┐ Įveskite savo LDAP katalogo administratoriaus įrašo slaptažodį. │ │ │ │ Administratoriaus slaptažodis: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────┘

Mes patikriname pradinę konfigūraciją

root @ master: ~ # slapcat
dn: dc = swl, dc = ventiliatorius
objectclass: top objectClass: dcObject objectClass: organizacija o: swl.fan dc: swl structureObjectClass: organizacijos įrašasUUID: c8510708-da8e-1036-8fe1-71d022a16904 kūrėjaiPavadinimas: cn = admin, dc = swl, dc = ventiliatoriaus įrašas createTimestamp20170531205219: : 20170531205219.833955ZN000000 įrašas Z # 000 # 000000 # 20170531205219 modifikatoriai Pavadinimas: cn = admin, dc = swl, dc = ventiliatorius modifikuoti Laiko žymė: XNUMXZ

dn: cn = administratorius, dc = swl, dc = ventiliatorius
objectClass: simpleSecurityObject objectClass: organizationalRole CN: Admin aprašymas: LDAP administratorius UserPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e-da8fe1036e-entrySw8d-2-dm71c-022-entrySw16904e-da20170531205219fe-20170531205219.834422-pradinio 000000-fancimes-c000emp000000a20170531205219-entrySwXNUMX -cXNUMXempXNUMXeXNUMXpmTmlYOVhKSUXNUMX-entry-XNUMXc-XNUMX-f-XNUMX-entry-XNUMX-c-XNUMX-fcf-XNUMX-entry-XNUMX-cXNUMX-daXNUMXfe-XNUMX-entry-XNUMX-fancimes-entry-XNUMX-entry-ufr-ole - įrašas: XNUMXZ # XNUMX # XNUMX # XNUMX modifikatoriai Pavadinimas: cn = admin, dc = swl, dc = ventiliatorius modifikuoti Laiko žymė: XNUMXZ

Mes keičiame failą /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
PAGRINDAS dc = swl, dc = ventiliatoriaus URI    ldap: // localhost

Organizaciniai vienetai ir bendrosios grupės «vartotojai»

Pridedame būtiniausius organizacinius vienetus, taip pat „Posix“ grupės „vartotojus“, prie kurių visus vartotojus padarysime, sekdami daugelio grupes turinčių sistemų pavyzdžiu «Vartotojai«. Mes įvardijame jį „vartotojų“ vardu, kad nekiltų galimų konfliktų su grupe «vartotojas"sistemos.

root @ master: ~ # nano bazė.dif
dn: ou = žmonės, dc = swl, dc = ventiliatoriaus objektas: klasė: organizacinis vienetas ou: žmonės dn: ou = grupės, dc = swl, dc = ventiliatoriaus objektas: klasė: organizacinis vienetas ou: grupės dn: cn = vartotojai, ou = grupės, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = administratorius, dc = swl, dc = ventiliatorius -W -f base.ldif
Įveskite LDAP slaptažodį: pridedant naują įrašą "ou = žmonės, dc = swl, dc = ventiliatorius" pridedant naują įrašą "ou = grupės, dc = swl, dc = ventiliatorius"

Mes patikriname pridėtus įrašus

root @ master: ~ # ldapsearch -x ou = žmonės
# žmonės, swl.fan dn: ou = žmonės, dc = swl, dc = ventiliatoriaus objektasKlasė: organizacinisVienybės ou: žmonės

root @ master: ~ # ldapsearch -x ou = grupės
# grupės, swl.fan dn: ou = grupės, dc = swl, dc = ventiliatoriaus objektasKlasė: organizacijosUnit ou: grupės

root @ master: ~ # ldapsearch -x cn = vartotojai
# vartotojai, grupės, swl.fan dn: cn = vartotojai, ou = grupės, dc = swl, dc = ventiliatoriaus objektasKlasė: posixGroup cn: users gidNumber: 10000

Pridedame kelis vartotojus

Slaptažodį, kurį turime deklaruoti LDAP, reikia gauti naudojant komandą slappasswd, kuris grąžina SSHA užšifruotą slaptažodį.

Vartotojo žingsnių slaptažodis:

root @ master: ~ # slappasswd 
Naujas slaptažodis: iš naujo įveskite naują slaptažodį: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Vartotojo legolas slaptažodis

root @ master: ~ # slappasswd 
Naujas slaptažodis: iš naujo įveskite naują slaptažodį: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Vartotojo gandalf slaptažodis

root @ master: ~ # slappasswd 
Naujas slaptažodis: iš naujo įveskite naują slaptažodį: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano vartotojai.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 paštas: striders@swl.fan
gecos: „Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Archer vartotojas Slaptažodis: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 paštas: legolas@swl.fan
„gecos“: „Legolas Archer“ prisijungimas „Shell“: / bin / bash homeKatalogas: / home / legolas dn: uid = gandalf, ou = žmonės, dc = swl, dc = ventiliatoriaus objektasKlasė: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: vedlio vartotojas {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 paštas: gandalf@swl.fan
„gecos“: „Gandalf Wizard“ prisijungimas „Shell“: / bin / bash homeKatalogas: / home / gandalfas

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventiliatorius -W -f vartotojai.ldif
Įveskite LDAP slaptažodį: pridedant naują įrašą "uid = strides, ou = people, dc = swl, dc = fan" pridedamas naujas įrašas "uid = legolas, ou = žmonės, dc = swl, dc = fan" pridedamas naujas įrašas "uid = gandalfas, ou = žmonės, dc = swl, dc = ventiliatorius "

Mes patikriname pridėtus įrašus

root @ master: ~ # ldapsearch -x cn = žingsniai
root @ master: ~ # ldapsearch -x uid = žingsniai

Mes valdome slpad duomenų bazę su konsolės paslaugomis

Mes pasirenkame paketą užrašai tokiai užduočiai atlikti. Diegimo ir konfigūravimo procedūra yra tokia:

root @ master: ~ # aptitude įdiegti ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = ventiliatorius' GSUFFIX = 'ou = grupės' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP kliento komandos LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGrate "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT etc / GRUPE" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT / etcixgroup" # UT / etcixgroup "# UT etc / GRUPP" . /ldapadduser.template "PASSWORDGEN =" aidas% u "

Atkreipkite dėmesį, kad scenarijai naudoja paketo komandas ldap-utils. Bėk dpkg -L ldap-utils | grep / bin žinoti, kas jie yra.

root @ master: ~ # sh -c "echo -n 'administratoriaus slaptažodis'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: duotas vardas: sn: rodomas pavadinimas: uidNumber: „gidNumber“: 10000 namų Katalogas: loginShell: Paštas: @ swl.fan geckos: aprašymas: Vartotojo paskyra
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## pašaliname komentarą UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Pridedame vartotoją „bilbo“ ir padarome jį grupės „vartotojai“ nariu

root @ master: ~ # ldapadduser bilbo vartotojai
[dn: uid = bilbo, ou = žmonės, dc = swl, dc = ventiliatorius] Įveskite „givenName“ vertę: Bilbo [dn: uid = bilbo, ou = žmonės, dc = swl, dc = ventiliatorius] Įveskite reikšmę „ sn ": Baginsas [dn: uid = bilbo, ou = žmonės, dc = swl, dc = ventiliatorius] Įveskite„ displayName “reikšmę: Bilbo Bagins Sėkmingai pridėtas vartotojo bilbo prie LDAP Sėkmingai nustatytas vartotojo bilbo slaptažodis

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeKatalogas: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: bilbo description: Vartotojo paskyra

Norint pamatyti bilbo vartotojo slaptažodžio maišos funkciją, būtina atlikti užklausą su autentifikavimu:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = ventiliatorius -W uid = bilbo

Norėdami ištrinti „bilbo“ vartotoją, kurį vykdome:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = ventiliatorius -W uid = bilbo, ou = žmonės, dc = swl, dc = ventiliatorius
Įveskite LDAP slaptažodį:

root @ master: ~ # ldapsearch -x uid = bilbo

Mes valdome slapd duomenų bazę per žiniatinklio sąsają

Mes turime funkcinę katalogų tarnybą ir norime ją lengviau valdyti. Yra daug šiai užduočiai skirtų programų, tokių kaip phpldapadmin, „ldap“ paskyros valdytojasir kt., kuriuos galite gauti tiesiogiai iš saugyklų. Katalogų tarnybą taip pat galime valdyti per „Apache“ katalogo studija, kurią turime atsisiųsti iš interneto.

Norėdami gauti daugiau informacijos, apsilankykite https://blog.desdelinux.net/ldap-introduccion/ir šiuos 6 straipsnius.

LDAP klientas

Etapas:

Tarkime, kad turime komandą mail.swl.fan kaip pašto serveris, įgyvendintas taip, kaip matėme straipsnyje „Postfix“ + „Dovecot“ + „Squirrelmail“ ir vietiniai vartotojai, nors ir sukurta „CentOS“, gali būti naudinga kaip „Debian“ ir daugelio kitų „Linux“ distributorių vadovas. Mes norime, kad, be jau deklaruotų vietinių vartotojų, vartotojai, saugomi „OpenLDAP“ duomenų bazėje, esančioje meistras.suk.fanas. Norėdami pasiekti pirmiau minėtus dalykus, turimežemėlapis»LDAP vartotojams kaip vietiniams vartotojams serveryje mail.swl.fan. Šis sprendimas taip pat galioja visoms paslaugoms, pagrįstoms PAM autentifikavimu. Bendroji procedūra debianyra toks:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌─────────────────────┤ Konfigūruoti libnss-ldap ├──────────────────────│┐ Įveskite LDAP serverio URI („Uniform Resource Identifier“ arba „form │ Uniform Resource Identifier“). Ši eilutė yra panaši į │ │ «LDAP: //: / ». Taip pat galite │ │ naudoti «ldaps: // » arba „ldapi: //“. Prievado numeris neprivalomas. Avoid │ │ │ Rekomenduojama naudoti IP adresą, kad būtų išvengta gedimo, kai domeno vardo paslaugos nėra prieinamos. AP │ │ │ LDAP serverio URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────┘┘┘┌───────┌┌┌┌┌┌ ┤ konfigūracija libnss-ldap ├───────────────────────┐┐ │ Įveskite išskiriamą LDAP paieškos bazės pavadinimą (DN). Daugelis svetainių šiam tikslui naudoja domeno vardo komponentus. Pavyzdžiui, domenas „example.net“ kaip išskirtinį paieškos bazės pavadinimą naudos │ │ „dc = example, dc = net“. │ │ │ │ Skirtasis paieškos bazės pavadinimas (DN): │ │ │ │ dc = swl, dc = ventiliatorius ____________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libnss-ldap ├───────────────────────┐ │ Įveskite LDAP protokolo versiją, kurią turėtų naudoti „ldapns“. │ │ rekomenduojama naudoti didžiausią galimą versijos numerį. Naudojama LDAP versija: │ │ │ │                                     3                                     2 │ │ │ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libnss-ldap ├────────────────────────┐ │ Pasirinkite, kuri paskyra bus naudojama nss užklausoms su │ │ pagrindinėmis teisėmis. │ │ │ │ Pastaba: Kad ši parinktis veiktų, paskyrai reikalingi leidimai, kad │ │ galėtų pasiekti LDAP atributus, susietus su vartotojo shadow │ „šešėliniais“ įrašais, taip pat vartotojų ir the │ grupių slaptažodžiais. . │ │ │ │ Šaknies LDAP paskyra: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libnss-ldap Įveskite slaptažodį, kuris bus naudojamas, kai „libnss-ldap“ bandys │ │ autentifikuoti LDAP katalogą naudodama šaknies LDAP abonementą. │ │ │ │ Slaptažodis bus išsaugotas atskirame faile │ │ ("/etc/libnss-ldap.secret"), prie kurio gali prisijungti tik root. │ │ │ │ Jei įvesite tuščią slaptažodį, senasis slaptažodis bus pakartotinai naudojamas. │ │ │ │ „Root LDAP“ paskyros slaptažodis: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └─────────────────------ ────────────────────────────┘┘┌┌────────┌┌┌─── Konfigūracija libnss-ldap ├──────────────────────┐ │ │ │ nsswitch.conf nėra valdomas automatiškai │ │ │ │ Turite pakeisti savo failą "/etc/nsswitch.conf "naudoti LDAP duomenų šaltinį, jei norite, kad paketas libnss-ldap veiktų. │ │ Galite naudoti failo │ │ pavyzdį „/usr/share/doc/libnss-ldap/examples/nsswitch.ldap“ kaip „nsswitch“ konfigūracijos pavyzdį arba │ │ galite nukopijuoti jį per dabartinę konfigūraciją. │ │ │ │ Atkreipkite dėmesį, kad prieš pašalinant šį paketą gali būti patogu │ │ pašalinti „ldap“ įrašus iš failo nsswitch.conf, kad pagrindinės paslaugos │ │ toliau veiktų. │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libpam-ldap ├──────────────────────┐ │ │ │ Ši parinktis leidžia slaptažodžių įrankiams, naudojantiems PAM, pakeisti vietinius slaptažodžius. │ │ │ │ LDAP administratoriaus paskyros slaptažodis bus saugomas atskirame │ │ faile, kurį gali perskaityti tik administratorius. Option │ │ │ Ši parinktis turėtų būti išjungta, jei „/ etc“ montuojate per NFS. │ │ │ account Ar norite leisti LDAP administratoriaus paskyrai elgtis kaip vietiniam administratoriui? │ │ │ │                                            │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libpam-ldap ├──────────────────────┐ │ │ │ Pasirinkite, ar LDAP serveris priverčia identifikuoti prieš gaudamas įėjimo │ įrašus. Setting │ │ │ Šis nustatymas retai reikalingas. Ar vartotojas turi prisijungti prie LDAP duomenų bazės? │ │ │ │                                               │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libpam-ldap ├────────────────────────┐ │ Įveskite LDAP administratoriaus paskyros pavadinimą. Account │ │ │ Ši paskyra bus automatiškai naudojama tvarkant duomenų bazę │ │, todėl ji turi turėti atitinkamas administratoriaus teises. │ │ │ │ LDAP administratoriaus paskyra: │ │ │ │ cn = administratorius, dc = swl, dc = ventiliatorius ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌─────────────────── Konfigūracija libpam-ldap ├───────────────────────┐ │ Įveskite administratoriaus paskyros slaptažodį. │ │ │ │ Slaptažodis bus išsaugotas faile "/etc/pam_ldap.secret". │ │ administratorius bus vienintelis, galintis perskaityti šį failą, ir leis │ │ libpam-ldap automatiškai valdyti ryšių valdymą │ │ duomenų bazėje. │ │ │ │ Jei paliksite šį lauką tuščią, vėl bus naudojamas ankstesnis išsaugotas slaptažodis │ │. │ │ │ │ LDAP administratoriaus slaptažodis: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU vardų paslaugų jungiklio funkcionalumo konfigūracijos pavyzdys. # Jei turite įdiegtus „glibc-doc-reference“ ir „info“ paketus, pabandykite: # `info libc„ Name Service Switch “, kad gautumėte informacijos apie šį failą. passwd: compat ldap
grupė: tautietis ldap
šešėlis: hon ldap
gshadow: files hosts: failai dns tinklai: failų protokolai: db failų paslaugos: db failų eteriai: db failai rpc: db failai netgroup: nis

Redaguokime failą /etc/pam.d/common-password, pereiname prie 26 eilutės ir pašaliname vertę «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - su slaptažodžiu susiję moduliai, bendri visoms paslaugoms # # Šis failas yra įtrauktas iš kitų konkrečiai tarnybai skirtų PAM konfigūracijos failų, # ir jame turėtų būti modulių, apibrėžiančių paslaugas, kurias reikia atlikti, sąrašas. # naudojamas pakeisti vartotojo slaptažodžius. Numatytasis yra pam_unix. # Pam_unix parinkčių paaiškinimas: # # Parinktis „sha512“ įgalina sūdytus SHA512 slaptažodžius. Be šios parinkties # numatytasis nustatymas yra „Unix“ kripta. Ankstesniuose leidimuose buvo naudojama parinktis „md5“. # # Parinktis „neaiški“ pakeičia seną parinktį „OBSCURE_CHECKS_ENAB“, esančią # login.defs. # # Žr. Pam_unix vadovą kitoms parinktims. # Nuo pam 1.0.1-6 šį failą pagal numatytuosius nustatymus valdo pam-auth-update. # Norėdami pasinaudoti tuo, rekomenduojama sukonfigūruoti bet kurį # vietinį modulį prieš numatytąjį bloką arba po jo ir naudoti # pam-auth-update kitų modulių pasirinkimui valdyti. Išsamesnės informacijos ieškokite # pam-auth-update (8). # čia yra paketinių modulių („Pirminio“ bloko) slaptažodis [sėkmė = 2 numatytasis = ignoruoti] pam_unix.so neaiškus sha512
slaptažodis [sėkmė = 1 user_unknown = ignoruoti numatytąjį = die] pam_ldap.so try_first_pass
# čia yra atsarginė priemonė, jei nė vienam moduliui nepavyksta įvesti slaptažodžio pam_deny.so # pradėkite rietuvę su teigiama grąžos verte, jei jos dar nėra; # taip išvengsime klaidos grąžinimo vien todėl, kad niekas nenustato sėkmės kodo # nes aukščiau esantys moduliai tiesiog pereis aplink reikalingą slaptažodį pam_permit.so # ir čia yra daugiau paketų modulių (blokas „Papildomas“) # pam- pabaiga Aut. atnauj. konfig

Jei mums to prireiks LDAP saugomų vartotojų vietinį prisijungimą ir norime, kad jų aplankai būtų sukurti automatiškai home, turime redaguoti failą /etc/pam.d/common-session ir failo pabaigoje pridėkite šią eilutę:

sesija pasirenkama pam_mkhomedir.so skel = / etc / skel umask = 077

Anksčiau sukurtame „OpenLDAP Directory Service“ pavyzdyje vienintelis sukurtas vietinis vartotojas buvo vartotojas Buzz, o LDAP mes kuriame vartotojus žingsniai, Legolas, gandalfIr Bilbo. Jei iki šiol atliktos konfigūracijos yra teisingos, turėtume galėti išvardyti vietinius vartotojus ir tuos, kurie susieti kaip vietiniai, bet saugomi nuotoliniame LDAP serveryje:

root @ mail: ~ # getent passwd 
„buzz“: x: 1001: 1001: „Buzz Debian“ pirmoji OS ,,,: / home / buzz: / bin / bash
Žingsniai: x: 10000: 10000: Strides El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / namai / legolas: / bin / bash
gandalfas: x: 10002: 10000: Gandalfo vedlys: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Po sistemos autentifikavimo pakeitimų yra tinkama iš naujo paleisti serverį, kitaip susiduriame su kritine paslauga:

root @ mail: ~ # perkraukite

Vėliau mes pradedame vietinę sesiją serveryje mail.swl.fan su vartotojo duomenimis, saugomais LDAP duomenų bazėje meistras.suk.fanas. Taip pat galime pabandyti prisijungti per SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
„gandalf @ mail“ slaptažodis: „/ home / gandalf“ katalogo kūrimas. Programos, įtrauktos į „Debian GNU / Linux“ sistemą, yra nemokama programinė įranga; tikslūs kiekvienos programos platinimo terminai aprašyti atskiruose failuose, esančiuose / usr / share / doc / * / copyright. „Debian GNU / Linux“ tiekiama su absoliučiai jokia garantija, kiek leidžia galiojantis įstatymas.
gandalf @ mail: ~ $ su
Slaptažodis:

root @ mail: / home / gandalf # getent group
„Buzz“: x: 1001: vartotojai: *: 10000:

root @ mail: / home / gandalf # exit
išeiti

gandalf @ paštas: ~ $ ls -l / home /
viso 8 drwxr-xr-x 2 buzz buzz     4096 Birželio 17 d. 12:25 „buzz drwx“ ------ 2 gandalf vartotojai 4096 Birželio 17 13:05 gandalfas

Katalogų tarnyba, įdiegta serverio ir kliento lygiu, veikia tinkamai.

Kerberos

Iš Vikipedijos:

• Yra kompiuterio tinklo autentifikavimo protokolas, sukurtas MIT tai leidžia dviem kompiuteriams, esantiems nesaugiame tinkle, saugiai įrodyti savo tapatybę. Jo dizaineriai pirmiausia sutelkė dėmesį į kliento-serverio modelį ir teikia abipusį autentifikavimą: tiek klientas, tiek serveris patikrina vienas kito tapatybę. Autentifikavimo pranešimai yra apsaugoti, kad jų nebūtų pasiklausymas y pakartoti atakas.
  
  „Kerberos“ yra pagrįsta simetriška raktų kriptografija ir reikalauja patikimos trečiosios šalies. Be to, yra protokolo plėtinių, kad būtų galima naudoti asimetrinę raktų kriptografiją.
  
  „Kerberos“ yra pagrįsta Needham-Schroeder protokolas. Tam naudojama patikima trečioji šalis, vadinama „Raktų paskirstymo centru“ (KDC), kurį sudaro dvi atskiros loginės dalys: „Autentifikavimo serveris“ (AS arba Autentifikavimo serveris) ir «Bilietų išdavimo serveris» (TGS arba Bilietų suteikimo serveris). ). „Kerberos“ dirba pagal „bilietus“, kurie padeda įrodyti vartotojų tapatybę.
  
  „Kerberos“ tvarko slaptų raktų duomenų bazę; Kiekvienas tinklo objektas - klientas ar serveris - dalijasi slaptu raktu, žinomu tik sau ir „Kerberos“. Šio rakto žinojimas padeda įrodyti subjekto tapatybę. Bendravimui tarp dviejų subjektų „Kerberos“ sugeneruoja seanso raktą, kurį gali naudoti savo problemoms apsaugoti.

„Kerberos“ trūkumai

De Išgydė:

Nors Kerberos pašalina bendrą grėsmę saugumui, ją įgyvendinti gali būti sunku dėl įvairių priežasčių:

• Vartotojo slaptažodžių perkėlimas iš standartinės slaptažodžių duomenų bazės UNIX, pvz., / etc / passwd arba / etc / shadow, „Kerberos“ slaptažodžių duomenų bazei, gali būti varginantis ir nėra greito mechanizmo šiai užduočiai atlikti.
• „Kerberos“ daro prielaidą, kad kiekvienas vartotojas yra patikimas, tačiau nepatikimame tinkle jis naudoja nepatikimą mašiną. Pagrindinis jo tikslas yra užkirsti kelią nešifruotų slaptažodžių siuntimui per tinklą. Tačiau jei bet kuris kitas vartotojas, išskyrus atitinkamą vartotoją, turi prieigą prie bilietų pardavimo aparato (KDC), kad būtų galima patvirtinti, „Kerberos“ gresia pavojus.
• Kad programa galėtų naudoti „Kerberos“, kodas turi būti modifikuotas, kad būtų galima atlikti reikiamus skambučius į „Kerberos“ bibliotekas. Tokiu būdu modifikuotos programos laikomos kerberizuotomis. Kai kurioms programoms tai gali būti per daug programavimo pastangų dėl programos dydžio ar jos dizaino. Kitų nesuderinamų programų atveju reikia pakeisti tinklo serverio ir jo klientų bendravimo būdą; vėlgi, tam gali prireikti nemažai programavimo. Paprastai uždarojo kodo programos, neturinčios „Kerberos“ palaikymo, dažniausiai kelia daugiausia problemų.
• Galiausiai, jei nuspręsite naudoti „Kerberos“ savo tinkle, turite suprasti, kad tai pasirinkimas „viskas arba nieko“. Jei nuspręsite naudoti „Kerberos“ savo tinkle, turite prisiminti, kad jei kokie nors slaptažodžiai perduodami tarnybai, kurios autentifikavimui nenaudojama „Kerberos“, rizikuojate, kad paketas gali būti perimtas. Taigi jūsų tinklas negaus jokios naudos iš „Kerberos“ naudojimo. Norėdami apsaugoti savo tinklą naudodami „Kerberos“, turėtumėte naudoti tik kerberizuotas visų kliento / serverio programų versijas, kurios siunčia nešifruotus slaptažodžius arba nenaudoja nė vienos iš šių programų tinkle..

Rankinis „OpenLDAP“ įdiegimas ir konfigūravimas kaip „Kerberos Back-End“ nėra lengva užduotis. Tačiau vėliau pamatysime, kad „Samba 4 Active Directory - Domain Controller“ skaidriai integruoja „Sysadmin“, DNS serverį, „Microsoft“ tinklą ir jo domeno valdiklį, LDAP serverį kaip beveik visų savo objektų galinę dalį, ir „Kerberos“ pagrindu sukurta autentifikavimo paslauga kaip pagrindiniai „Microsoft“ stiliaus „Active Directory“ komponentai.

Iki šiol mums nebuvo poreikio įdiegti „Kerberized Network“. Štai kodėl mes nerašėme, kaip įgyvendinti „Kerberos“.

„Samba 4 Active Directory“ - domeno valdiklis

Svarbu:

Nėra geresnių dokumentų nei svetainė wiki.samba.org. Save gerbiantis „Sysadmin“ turėtų apsilankyti toje svetainėje - anglų kalba - ir naršyti daugybę „Samba 4“ skirtų puslapių, kuriuos parašė pats „Team Samba“. Nemanau, kad internete yra prieinamų dokumentų. Beje, stebėkite apsilankymų skaičių, atsispindintį kiekvieno puslapio apačioje. To pavyzdys yra tas, kad buvo aplankytas jūsų pagrindinis puslapis arba «Pagrindinis puslapis» 276,183 kartus nuo 20 m. birželio 2017 d. 10 val. Rytų standartiniu laiku. Be to, dokumentai yra nuolat atnaujinami, nes tas puslapis buvo pakeistas birželio 10 d.

Iš Vikipedijos:

„Samba“ yra nemokamas „Microsoft Windows“ failų bendrinimo protokolo (anksčiau vadinamo SMB, neseniai pervadinto į CIFS) diegimas UNIX tipo sistemoms. Tokiu būdu gali būti, kad kompiuteriai su GNU / Linux, „Mac OS X“ ar „Unix“ apskritai atrodo kaip serveriai arba veikia kaip klientai „Windows“ tinkluose. „Samba“ taip pat leidžia patvirtinti vartotojus kaip pirminį domeno valdiklį (PDC), kaip domeno narį ir net kaip „Windows“ tinklų „Active Directory“ domeną; be galimybės aptarnauti spausdinimo eiles, bendrinamus katalogus ir autentifikuoti savo vartotojo archyve.

Tarp „Unix“ tipo sistemų, kuriose galima paleisti „Samba“, yra GNU / Linux paskirstymai, „Solaris“ ir skirtingi BSD variantai tarp kad galime rasti „Apple“ „Mac OS X Server“.

„Samba 4 AD-DC“ su savo vidiniu DNS

• Mes pradedame nuo švaraus Debian 8 „Jessie“ diegimo - be grafinės sąsajos..

Pirminiai patikrinimai

root @ master: ~ # pagrindinio kompiuterio vardas
meistras
root @ master: ~ # hostname --fqdn
meistras.suk.fanas
root @ master: ~ # ip adresas
1: kas: mtu 65536 qdisc noqueue state Nežinoma grupės numatytoji nuoroda / atgalinis ryšys 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 „inet 127.0.0.1/8“ taikymo sritis pagrindinis kompiuteris lo valid_lft forever prefer_lft forever inet6 :: 1/128 apimties priegloba valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state Nežinoma grupės numatytoji qlen 1000 nuoroda / eteris 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 taikymo sritis global eth0
       valid_lft forever prefer_lft forever inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 scope link valid_lft forever prefer_lft forever
root @ master: ~ # cat /etc/resolv.conf
ieškoti swl.fan vardų serveris 127.0.0.1

• Su kuriuo deklaruojame šaką pagrindinis tik tai daugiau nei pakankamai mūsų tikslams.

root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie pagrindinis
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / atnaujinimai pagrindinis

„Postfix“ pagal „Exim“ ir komunalines paslaugas

root @ master: ~ # aptitude install postfix htop mc deborphan

  ┌────────────────────────┤ Postfix konfigūracija ────┐ │ Pasirinkite pašto serverio konfigūracijos tipą, kuris geriausiai atitiks jūsų │ │ poreikius. Configuration │ │ │ Nėra konfigūracijos: │ │ Išlaiko dabartinę konfigūraciją. │ │ Interneto svetainė: │ │ Laiškai siunčiami ir gaunami tiesiogiai naudojant SMTP. │ │ Internetas su „smarthost“: │ │ Paštas gaunamas tiesiogiai naudojant SMTP arba naudojant tokį įrankį kaip „como fetchmail“. Siunčiami laiškai siunčiami naudojant „smarthost“. │ │ Tik vietinis paštas: │ │ Vienintelis pristatomas paštas skirtas vietiniams vartotojams. Ne │ │ yra tinklas. │ │ │ │ Bendras pašto konfigūracijos tipas: │ │ │ │ Nėra konfigūracijos │ │ Interneto svetainė │ │ Internetas su „smarthost“ │ │ Palydovinė sistema │ │                         Tik vietinis paštas                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────────── ────────────────────────────┘┘┌┌────────┌┌┌─── ─────┤ „Postfix“ konfigūracija ├─────────────────────────┐ │ „Pašto sistemos pavadinimas“ yra domeno, kuris │ │ naudojamas „kvalifikuoti“ _ALL_ el. Pašto adresus be domeno pavadinimo. Tai apima laiškus iš „root“ ir iš „root“: neverskite │ machine jūsų mašinos siųsti el. Laiškus iš root@example.org iki │ │ mažiau nei root@example.org - paklausė. │ │ │ │ Kitos programos naudos šį pavadinimą. Tai turi būti unikalus │ │ kvalifikuotas domeno vardas (FQDN). │ │ │ │ Todėl, jei el. Pašto adresas vietiniame kompiuteryje yra │ │ kažkas@pavyzdys.org, teisinga šios parinkties reikšmė bus example.org. │ │ │ │ Pašto sistemos pavadinimas: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ─────────────────────────────┘  

Mes valome

root @ master: ~ # tinkamumo valymas ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # gabumas švarus
root @ master: ~ # aptitude autoclean

Mes įdiegiame reikalavimus sudaryti „Samba 4“ ir kitos būtinos pakuotės

root @ master: ~ # aptitude install acl attr autoconf bizonas \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-vartotojas libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduliai pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ „Kerberos“ autentifikavimo konfigūravimas ├────────────────┐ │ Kai vartotojai bando naudoti „Kerberos“ ir nurodyti vardą │ │ pagrindinis ar vartotojas, neišaiškinęs, kuriam „Kerberos“ domenui priklauso pagrindinis │ │, sistema perima numatytąją sritį │ │.  Numatytoji sritis taip pat gali būti naudojama kaip vietinėje mašinoje veikiančios „Kerberos“ paslaugos │ │ sritis.  │ │ Paprastai numatytoji sritis yra vietinio DNS │ │ domeno didžiosios raidės pavadinimas.  „Kerberos“ 5 versijos numatytoji sritis: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └─────────────────------ ──────────────────────────────┘ ┌──────────────── authent „Kerberos“ autentifikavimo konfigūravimas ├───────────────┐ │ Įveskite „Kerberos“ serverių pavadinimus į „Kerberos“ SWL.FAN karalystę, atskirtus tarpais.  „Kerberos“ serveriai jūsų karalystei: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────── ──────────────────────────────┘ ┌──────────────── authent „Kerberos“ autentifikavimo konfigūravimas ├───────────────┐ │ Įveskite „Kerberos SWL.FAN“ srities administracinio serverio pavadinimą (slaptažodžio pakeitimas) │ │.   

Ankstesnis procesas užtruko šiek tiek laiko, nes dar neturime įdiegtos jokios DNS paslaugos. Tačiau pagal failo parametrus domeną pasirinkote teisingai / Etc / hosts. Nepamirškite to byloje / Etc / resolv.conf mes deklaravome kaip domenų vardų serverį IP 127.0.0.1.

Dabar sukonfigūruojame failą / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
PAGRINDAS dc = swl, dc = ventiliatoriaus URI ldap: //master.swl.fan

Užklausoms naudojant komandą ldapsearch pagaminti iš šakninio vartotojo yra tokio tipo ldapsearch -x -W cn = xxxx, turime sukurti failą /root/.ldapsearch turinį:

root @ master: ~ # nano .ldaprc
BINDDN CN = administratorius, CN = vartotojai, DC = swl, DC = ventiliatorius

Failų sistema turi palaikyti ACL - prieigos kontrolės sąrašą

root @ master: ~ # nano / etc / fstab
# / etc / fstab: statinės failų sistemos informacija. # # Naudokite „blkid“, kad išspausdintumėte unikalų # įrenginio identifikatorių; tai gali būti naudojama su UUID = kaip patikimesnis būdas pavadinti įrenginius #, kurie veikia, net jei diskai yra pridėti ir pašalinti. Žr. Fstab (5). # # # / buvo įjungtas / dev / sda1 diegiant UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, barjeras = 1, bet kuriuo metu, klaidos = remount-ro 0 1
# swap buvo įjungtas / dev / sda5 diegiant UUID = cb73228a-615d-4804-9877-3ec225e3ae32 niekas nepakeitė sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 vartotojas, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n user.test -v test testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# failas: testing_acl.txt user.test = "testas"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# file: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # savininkas: root # group: root vartotojas :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Gauname „Samba 4“ šaltinį, sukompiliuojame ir įdiegiame

Labai rekomenduojama atsisiųsti versijos šaltinio failą Stabilus iš svetainės https://www.samba.org/. Mūsų pavyzdyje mes atsisiųsime versiją samba-4.5.1.tar.gz link aplanko / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Konfigūracijos parinktys

Jei norime pritaikyti konfigūracijos parinktis, vykdome:

root @ master: /opt/samba-4.5.1# ./konfigūruoti - pagalba

ir labai atidžiai pasirinkite mums reikalingus. Patartina patikrinti, ar atsisiųstą paketą galima įdiegti naudojamame „Linux“ paskirstyme, kuris mūsų atveju yra „Debian 8.6 Jessie“:

root @ master: /opt/samba-4.5.1# . / Configure patikrinti

Konfigūruojame, kompiliuojame ir įdiegiame samba-4.5.1

• Iš anksčiau įdiegtų reikalavimų ir 8604 failų (sudarančių kompaktišką samba-4.5.1.tar.gz), sveriančių apie 101.7 megabaito, įskaitant „source3“ ir „source4“ aplankus, kurie sveria apie 61.1 megabaitą, gausime „Microsoft“ stiliaus „Active Directory“, kurio kokybė ir stabilumas yra daugiau nei priimtinas bet kuriai gamybos aplinkai. Turime pabrėžti „Samba“ komandos darbą pristatant nemokamą programinę įrangą „Samba 4“.

Žemiau pateiktos komandos yra klasikinės, skirtos paketams kompiliuoti ir įdiegti iš jų šaltinių. Turime būti kantrūs, kol trunka visas procesas. Tai vienintelis būdas gauti teisingus ir teisingus rezultatus.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd - išimamos taurės
root @ master: /opt/samba-4.5.1# padaryti
root @ master: /opt/samba-4.5.1# make install

Komandos proceso metu padaryti, matome, kad sudaryti „Samba 3“ ir „Samba 4“ šaltiniai. Štai kodėl „Team Samba“ patvirtina, kad jos 4 versija yra natūralus 3 versijos atnaujinimas tiek domenų valdikliams, kurių pagrindas yra „Samba 3 + OpenLDAP“, tiek failų serveriams arba senesniems. „Samba 4“ versijos.

Aprūpinimas Samba

Mes naudosime kaip DNS SAMBA_INTERNAL. Į https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End rasime daugiau informacijos. Kai jie prašo mūsų administratoriaus vartotojo slaptažodžio, turime įvesti vieną iš mažiausiai 8 simbolių ilgio, taip pat su raidėmis - didžiosiomis ir mažosiomis raidėmis ir skaičiais.

Prieš pereinant prie aprūpinimo ir palengvinant gyvenimą, pridedame kelias mūsų faile esančių „Samba“ vykdomųjų failų .bashrcTada mes užsidarome ir vėl prisijungiame.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: įvykdė bash (1) ne prisijungimo kriauklėms. # Pastaba: PS1 ir umask jau nustatyti / etc / profile. Jums nereikės to # reikalauti, nebent norite skirtingų numatytųjų šaknų. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Galite atšaukti šias eilutes, jei norite, kad „ls“ būtų nuspalvintas: # export LS_OPTIONS = '- spalva = auto '# eval "" dircolors "" # alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Dar keli slapyvardžiai, kad išvengtumėte klaidų: # pseudonimas rm = 'rm -i' # pseudonimas cp = 'cp -i' # pseudonimas mv = 'mv -i'
paskelbti -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # išeiti iš atsijungimo Ryšys su valdikliu uždarytas. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-tool domeno nuostata --use-rfc2307 --interactive
Karalystė [SWL.FAN]: SWL.FAN
 Domenas [SWL]: SWL
 Serverio vaidmuo (dc, narys, atskiras) [dc]: dc
 DNS užpakalinė dalis (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, Nėra) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 DNS ekspeditoriaus IP adresas (parašykite „nėra“, kad išjungtumėte persiuntimą) [192.168.10.5]: 8.8.8.8
Administratoriaus slaptažodis: „TuPassword2017“
Pakartokite slaptažodį: „TuPassword2017“
IPv4 adresų paieška IPv6 adresų paieška IPv6 adresas nebus priskirtas Nustatyti share.ldb Nustatyti secrets.ldb Registro nustatymas Nustatyti privilegijų duomenų bazę Nustatyti idmap db Nustatyti SAM db Nustatyti sam.ldb skaidinius ir parametrus Nustatyti up sam.ldb rootDSE „Samba 4“ ir „AD“ schemos išankstinis įkėlimas „DomainDN“ pridėjimas: DC = swl, DC = ventiliatorius Konfigūracijos konteinerio pridėjimas Sam.ldb schemos nustatymas sam.ldb konfigūracijos duomenų nustatymas Ekrano specifikacijų nustatymas Ekrano specifikacijų modifikavimas Vartotojų konteinerio pridėjimas Vartotojų konteinerio modifikavimas Kompiuterių konteinerio modifikavimas Kompiuterių konteinerio modifikavimas Sam.ldb duomenų nustatymas Gerai žinomų saugumo principų nustatymas Sam.ldb vartotojų ir grupių nustatymas Savarankiško prisijungimo nustatymas DNS paskyrų pridėjimas CN = MicrosoftDNS, CN = System, DC = swl, DC sukūrimas = ventiliatorius „DomainDnsZones“ ir „ForestDnsZones“ skaidinių kūrimas „DomainDnsZones“ ir „ForestDnsZones“ skaidinių užpildymas Nustatant sam.ldb rootDSE žymėjimą kaip sinchronizuotą Taisymo nuostatų GUID„Kerberos“ konfigūracija, tinkama „Samba 4“, buvo sukurta adresu /usr/local/samba/private/krb5.conf Padirbtų yp serverio nustatymų nustatymas Įdiegus aukščiau nurodytus failus, jūsų „Samba4“ serveris bus pasirengęs naudoti „Server Role: active directory domain“ valdiklio pagrindinio kompiuterio pavadinimas: pagrindinis „NetBIOS“ domenas: SWL DNS domenas: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Nepamirškime nukopijuoti „Kerberos“ konfigūracijos failo, kaip parodyta Atidėjiniai:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Nenurodyti komandos samba-įrankis su jūsų visu vardu sukuriame simbolinę nuorodą su trumpuoju vardu įrankis:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Mes įdiegiame NTP

Pagrindinis „Active Directory“ elementas yra tinklo laiko tarnyba. Kadangi autentifikavimas atliekamas per „Kerberos“ ir jos bilietus, laiko sinchronizavimas su „Samba 4 AD-DC“ yra gyvybiškai svarbus.

root @ master: ~ # aptitude įdiegti ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd Statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegenstats file clockstats clock type day enable server 192.168.10.1 apribojimas -4 numatytasis kod notrap nomodify nopeer noquery apribojimas -6 numatytasis kod notrap nomodify nopeer noquery apribojimas numatytasis mssntp apribojimas 127.0.0.1 apribojimas :: 1 transliacija 192.168.10.255

root @ master: ~ # service ntp paleiskite iš naujo
root @ master: ~ # paslaugos ntp būsena

root @ master: ~ # tail -f / var / log / syslog

Jei nagrinėjant sistemos dienoraštis naudojant komandą aukščiau arba naudojant Journalctl -f gauname pranešimą:

Birželio 19 d. 12:13:21 meistras ntpd_intres [1498]: tėvas mirė, kol mes baigėme, išeidami

turime iš naujo paleisti paslaugą ir bandyti dar kartą. Dabar mes kuriame aplanką ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
Ls: / usr / local / samba / var / lib / ntp_signd negalima pasiekti: Failo ar katalogo nėra

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Kaip reikalaujama samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 šaknis ntp 4096 birželio 19 d. 12:21 / usr / local / samba / var / lib / ntp_signd

Mes sukonfigūruojame „Samba“ pradėjimą naudoti „systemd“

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Paslauga] Tipas = šakojantis PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Įdiegti] WantedBy = kelių naudotojų.target

root @ master: ~ # systemctl įgalinti samba-ad-dc
root @ master: ~ # perkraukite

root @ master: ~ # systemctl būsena samba-ad-dc
root @ master: ~ # systemctl būsena ntp

„Samba 4 AD-DC“ failų vietos

VISI -atėmus naujai sukurtą samba-ad-dc.paslaugą- failai yra:

root @ master: ~ # ls -l / usr / local / samba /
viso 32 drwxr-sr-x 2 šakniniai darbuotojai 4096 Birželio 19 11:55 jusu siuksliu
drwxr-sr-x 2 šakninis personalas 4096 Birželio 19 11:50 tt
drwxr-sr-x 7 šakninis personalas 4096 Birželio 19 11:30 įtraukti
drwxr-sr-x 15 šakninis personalas 4096 Birželio 19 11:33 lib
drwxr-sr-x 7 šakninis personalas 4096 Birželio 19 12:40 privatus
drwxr-sr-x 2 šakninis personalas 4096 Birželio 19 11:33 sbin
drwxr-sr-x 5 šakninis personalas 4096 Birželio 19 11:33 share
drwxr-sr-x 8 šakninis personalas 4096 Birželio 19 12:28 buvo

geriausiu UNIX stiliumi. Visada patartina naršyti skirtinguose aplankuose ir ištirti jų turinį.

/Usr/local/samba/etc/smb.conf failas

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Visuotiniai parametrai [globalus] netbios name = MASTER sritis = SWL.FAN darbo grupė = SWL DNS ekspeditorius = 8.8.8.8 serverio paslaugos = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns serverio vaidmuo = aktyvus katalogo domeno valdiklis leidžia dns atnaujinimus = saugo tik idmap_ldb: naudokite rfc2307 = taip idmap config *: backend = tdb idmap config *: diapazonas = 1000000-1999999 null [netlogon] kelias = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Ne [sysvol] kelias = / usr / local / samba / var / spynos / sysvol tik skaitymas = ne

root @ master: ~ # testparm
Įkelti smb konfigūracijos failus iš /usr/local/samba/etc/smb.conf Apdorojimo skyrius "[netlogon]" Apdorojimo skyrius "[sysvol]" Įkeltų paslaugų failas gerai. Serverio vaidmuo: ROLE_ACTIVE_DIRECTORY_DC Paspauskite klavišą Enter, kad pamatytumėte savo paslaugų apibrėžimų # Visuotiniai parametrai [globalus] sritis = SWL.FAN darbo grupė = SWL dns ekspeditorius = 192.168.10.1 ldap serveris reikalauja stipraus auth = Nėra passdb backend = samba_dsdb serverio vaidmuo = aktyvus katalogas domeno valdiklis rpc_server: tcpip = no rpc_daemon: spoolssd = embedded rpc_server: spoolss = embedded rpc_server: winreg = embedded rpc_server: ntsvcs = embedded rpc_server: eventlog = embedded rpc_verver = rdc : išoriniai vamzdžiai = true idmap config *: range = 1000000-1999999 idmap_ldb: use rfc2307 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = Yes vfs objects = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / scripts only read = No [sysvol] path = / usr / local / samba / var / locks / sysvol read only = Ne

Minimalūs patikrinimai

root @ master: ~ # įrankio domeno lygio šou
Domeno ir miško funkcijos lygis „DC = swl, DC = ventiliatorius“ Miško funkcijos lygis: (Windows) 2008 R2 Domeno funkcijos lygis: (Windows) 2008 R2 Žemiausias nuolatinės srovės funkcijos lygis: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # įrankis dbcheck
Tikrinti 262 objektai Tikrinti 262 objektai (0 klaidų)

root @ master: ~ # kinit administratorius
Slaptažodis Administratorius@SWL.FAN: 
root @ master: ~ # klist -f
Bilietų talpykla: Failas: / tmp / krb5cc_0
Pagrindinis numatytasis nustatymas: Administratorius@SWL.FAN

Galioja pradedant Pasibaigia Paslaugos pagrindinis 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    atnaujinti iki 20-06-17 12:53:18, Vėliavos: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Nepavyko rasti kredencialų talpyklos failo „/ tmp / krb5cc_0“

root @ master: ~ # smbclient -L localhost -U%
Domenas = [SWL] OS = [Windows 6.1] Serveris = [Samba 4.5.1] Bendrinamojo vardo tipo komentaras --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC „Service“ („Samba 4.5.1“) domenas = [SWL] OS = [Windows 6.1] serveris = [Samba 4.5.1] serverio komentaras --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Įveskite administratoriaus slaptažodį: Domenas = [SWL] OS = [Windows 6.1] Serveris = [Samba 4.5.1]. D 0 pirmadienis birželio 19 11:50:52 2017 .. D 0 pirmadienis birželio 19 11:51:07 2017 19091584 blokai, kurių dydis 1024. 16198044 blokai galimi

root @ master: ~ # įrankis dns serverinfo master -U administratorius

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan turi SRV įrašą 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan turi SRV rekordą 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
master.swl.fan adresas yra 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
swl.fan turi SOA įrašų master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
vardo serverio pagrindinis.swl.fan.

root @ master: ~ # host -t MX swl.fan
„swl.fan“ neturi MX įrašo

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # įrankio vartotojų sąrašas
Administratorius krbtgt Svečias

root @ master: ~ # įrankių grupių sąrašas
# Išvestis yra krūva grupių. ;-)

Tvarkome naujai įdiegtą „Samba 4 AD-DC“

Jei norime pakeisti administratoriaus slaptažodžio galiojimo laiką dienomis; slaptažodžių sudėtingumas; minimalus slaptažodžio ilgis; minimali ir maksimali slaptažodžio trukmė - dienomis; ir pakeisti administratoriaus slaptažodį, deklaruotą per Atidėjiniai, mes turime vykdyti šias komandas naudodami vertės, pritaikytos jūsų poreikiams:

root @ master: ~ # įrankis
Naudojimas: samba-tool Pagrindinis sambos administravimo įrankis. Parinktys: -h, --help rodyti šį pagalbos pranešimą ir išeiti iš versijos parinkčių: -V, --version Rodyti versijos numerį Galimos pakomandos: dbcheck - Patikrinkite, ar vietinėje AD duomenų bazėje nėra klaidų. delegavimas - delegacijos valdymas. dns - domenų vardų tarnybos (DNS) valdymas. domenas - domeno valdymas. drs - Katalogų replikavimo paslaugų (DRS) valdymas. dsacl - DS ACL manipuliavimas. fsmo - lanksčios pavienių pagrindinių operacijų (FSMO) vaidmenų valdymas. gpo - „Group Policy Object“ (GPO) valdymas. grupė - grupės valdymas. ldapcmp - palyginkite dvi ldap duomenų bazes. NTACL - NT ACL manipuliavimas. procesai - išvardykite procesus (kad būtų lengviau derinti sistemas be setproctitle). rodc - tik skaitymo domeno valdiklio (RODC) valdymas. svetainės - svetainių valdymas. spn - paslaugos pagrindinio vardo (SPN) valdymas. testparm - sintaksė patikrina konfigūracijos failą. laikas - gaukite laiką serveryje. vartotojas - Vartotojo valdymas. Norėdami gauti daugiau pagalbos dėl konkretaus potvarkio, įveskite: samba-tool (-h | --pagalba)

root @ master: ~ # įrankio vartotojo setexpiry administratorius - noexpiry
root @ master: ~ # įrankio domeno slaptažodžių nustatymai - min-pwd-length = 7
root @ master: ~ # įrankio domeno slaptažodžių nustatymai - min-pwd-age = 0
root @ master: ~ # įrankio domeno slaptažodžių nustatymai - max-pwd-age = 60
root @ master: ~ # tool user setpassword --filter = samaccountname = Administrator --newpassword = Passw0rD

Pridedame kelis DNS įrašus

root @ master: ~ # įrankis dns
Naudojimas: samba-tool dns Domeno vardo paslaugos (DNS) valdymas. Parinktys: -h, --help parodyti šį pagalbos pranešimą ir išeiti iš galimų pakomandų: pridėti - pridėti DNS įrašo ištrynimą - ištrinti DNS įrašo užklausą - pateikti užklausą vardui. Roothints - Užklausos šaknies užuominos. serverinfo - serverio informacijos užklausa. atnaujinti - atnaujinti DNS įrašo zonos sukūrimą - sukurti zoną. zonedelete - ištrinti zoną. zoneinfo - informacijos apie zoną užklausa. zonelist - zonų užklausa. Norėdami gauti daugiau pagalbos dėl konkretaus potvarkio, įveskite: samba-tool dns (-h | --pagalba)

Pašto serveris

root @ master: ~ # tool dns add master swl.fan mail A 192.168.10.9 -U administratorius
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U administratorius

Fiksuotas kitų serverių IP

root @ master: ~ # tool dns add master swl.fan sysadmin A 192.168.10.1 -U administratorius
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U administratorius
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U administratorius
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U administratorius

Atvirkštinė zona

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U administratorius
Slaptažodis [SWL \ administratoriui]: 10.168.192.in-addr.arpa zona sėkmingai sukurta

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Administratorius
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Administratorius
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Administratorius
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Administratorius
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Administratorius
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Administratorius

Patikrinimai

root @ master: ~ # tool dns query master swl.fan mail ALL -U administratorius
[SWL \ administratoriaus] slaptažodis: vardas =, įrašai = 1, vaikai = 0 A: 192.168.10.9 (vėliavos = f0, nuoseklus = 2, ttl = 900)

root @ master: ~ # pagrindinis kompiuteris
master.swl.fan adresas yra 192.168.10.5
root @ master: ~ # host sysadmin
sysadmin.swl.fan adresas yra 192.168.10.1
root @ master: ~ # pagrindinis paštas
mail.swl.fan adresas yra 192.168.10.9
root @ master: ~ # priimančiosios pokalbis
chat.swl.fan adresas yra 192.168.10.12
root @ master: ~ # proxy host
„proxy.swl.fan“ adresas yra 192.168.10.11
root @ master: ~ # pagrindinio failo serveris
fileserver.swl.fan adresas yra 192.168.10.10
root @ master: ~ # pagrindinis kompiuteris 192.168.10.1
1.10.168.192.in-addr.arpa domeno vardo rodyklė sysadmin.swl.fan.
root @ master: ~ # pagrindinis kompiuteris 192.168.10.5
5.10.168.192.in-addr.arpa domeno vardo rodyklė master.swl.fan.
root @ master: ~ # pagrindinis kompiuteris 192.168.10.9
9.10.168.192.in-addr.arpa domeno vardo rodyklė mail.swl.fan.
root @ master: ~ # pagrindinis kompiuteris 192.168.10.10
10.10.168.192.in-addr.arpa domeno vardo rodyklė fileserver.swl.fan.
root @ master: ~ # pagrindinis kompiuteris 192.168.10.11
11.10.168.192.in-addr.arpa domeno vardo rodyklė proxy.swl.fan.
root @ master: ~ # pagrindinis kompiuteris 192.168.10.12
12.10.168.192.in-addr.arpa domeno vardo žymeklis chat.swl.fan.

Smalsiems

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Pridedame vartotojų

root @ master: ~ # įrankio vartotojas
Naudojimas: samba įrankio vartotojas Vartotojo valdymas. Parinktys: -h, --help parodyti šį pagalbos pranešimą ir išeiti iš galimų pakomandų: pridėti - sukurti naują vartotoją. sukurti - sukurti naują vartotoją. ištrinti - ištrinti vartotoją. išjungti - išjungti vartotoją. įjungti - įjungti vartotoją. getpassword - gaukite vartotojo / kompiuterio paskyros slaptažodžių laukus. sąrašas - išvardykite visus vartotojus. slaptažodis - pakeisti vartotojo abonemento slaptažodį (tą, kuris pateiktas autentifikavimo metu). setexpiry - nustatykite vartotojo abonemento galiojimo laiką. setpassword - nustatykite arba iš naujo nustatykite vartotojo abonemento slaptažodį. sinchronizuoti slaptažodžius - sinchronizuoti vartotojo abonementų slaptažodį. Norėdami gauti daugiau pagalbos dėl konkretaus potvarkio, įveskite: samba-tool user (-h | --pagalba)

root @ master: ~ # įrankio vartotojas sukuria „Trancos Trancos01“
Vartotojas „trancos“ sėkmingai sukurtas
root @ master: ~ # įrankio vartotojas sukuria gandalfą Gandalf01
Vartotojas „gandalf“ sėkmingai sukurtas
root @ master: ~ # įrankio vartotojas sukuria legolas Legolas01
Vartotojas „legolas“ sėkmingai sukurtas
root @ master: ~ # įrankio vartotojų sąrašas
Administratorius gandalfas legolas žengia krbtgt Svečias

Administravimas per grafinę sąsają arba per interneto klientą

Apsilankykite wiki.samba.org, jei norite gauti išsamesnės informacijos, kaip įdiegti „Microsoft RSAT“ o Nuotolinio serverio administravimo įrankiai. Jei jums nereikia klasikinės „Microsoft Active Directory“ siūlomos strategijos, galite įdiegti paketą „ldap“ paskyros valdytojas kuri siūlo paprastą sąsają administravimui per interneto naršyklę.

• Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

• Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

• Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

• "Windows Vista": http://www.microsoft.com/en-us/download/details.aspx?id=21090

„Microsoft“ nuotolinio serverio administravimo įrankių (RSAT) programų rinkinys yra įtrauktas į „Windows Server“ operacines sistemas.

Prisijungiame prie domeno prie „Windows 7“ kliento, pavadinto „septyni“

Kadangi mes neturime DHCP serverio tinkle, pirmas dalykas, kurį turime padaryti, yra sukonfigūruoti kliento tinklo kortelę su fiksuotu IP, paskelbti, kad pagrindinis DNS bus samba-ad-dcir patikrinkite, ar aktyvuota parinktis „Užregistruoti šio ryšio adresą DNS“. Nenaudojama tikrinti, ar pavadinimas «septyni»Dar nėra registruotas„ Samba “vidiniame DNS.

Prisijungę prie kompiuterio prie domeno ir paleisdami jį iš naujo, pabandykime prisijungti prie vartotojo «žingsniai«. Mes patikrinsime, ar viskas veikia gerai. Taip pat rekomenduojama patikrinti „Windows Client“ žurnalus ir teisingai sinchronizuoti laiką.

Administratoriai, turintys tam tikrą „Windows“ patirtį, pastebės, kad bet kokie kliento patikrinimai duos patenkinamus rezultatus.

Santrauka

Tikiuosi, kad straipsnis bus naudingas bendruomenės skaitytojams. DesdeLinux.

Sudie!