PAM, NIS, LDAP, Kerberos, DS un Samba 4 AD-DC - SMB tīkli

Sērijas vispārējais indekss: Datoru tīkli MVU: Ievads

Sveiki draugi un draugi!

Con éste artículo digo Adiós a la Comunidad DesdeLinux. Una especial despedida para una Especial Comunidad. Desde ahora estaré en mi proyecto personal el cual puedes conocer en http://www.gigainside.com.

Amata galvenais mērķis ir piedāvāt «Liela bilde»Par mūsu rīcībā esošajiem autentifikācijas pakalpojumiem ar bezmaksas programmatūru. Vismaz tas ir mūsu nodoms. Tāpēc tas būs garš, neskatoties uz to, ka mēs zinām, ka tas ir pretrunā ar vispārējiem rakstu rakstīšanas noteikumiem. Mēs ceram, ka sistēmas administratori to novērtēs.

Mēs vēlamies norādīt, ka kopīgs protokols daudzām mūsdienu autentifikācijas sistēmām ir LDAPun ka nav dīkstāvē to rūpīgi izpētīt, izmantojot mācību materiālu, kuru atradīsim oficiālajā vietnē http://www.openldap.org/.

Mēs nesniegsim detalizētas definīcijas - vai saites - par aspektiem, kas aplūkoti iepriekšējos rakstos, vai par tiem, kuru apraksts ir viegli pieejams Wikipedia vai citās vietnēs vai rakstos internetā, lai nezaudētu vēlamā ziņojuma objektivitāti dot. Mēs izmantosim arī derīgu nosaukumu kombināciju angļu un spāņu valodā, jo uzskatām, ka lielākā daļa sistēmu ir dzimušas ar nosaukumiem angļu valodā, un Sysadmin ir ļoti izdevīgi tos asimilēt to oriģinālvalodā..

  • PAM: Pievienojams autentifikācijas modulis.
  • NIS: Tīkla_informācijas_pakalpojums.
  • LDAP: viegls direktorijas piekļuves protokols.
  • Kerberos: Drošības protokols lietotāju, datoru un pakalpojumu autentificēšanai centrāli tīklā, pārbaudot viņu akreditācijas datus, salīdzinot ar esošajiem ierakstiem Kerberos datu bāzē.
  • DS: Direktoriju serveris vai direktoriju pakalpojums
  • AD–DC: Active Directory - domēna kontrolleris

PAM

Šim lokālās autentifikācijas veidam mēs veltām nelielu sēriju, kuru ikdienas praksē redzēsiet, ka tā tiek plaši izmantota, ja, piemēram, pievienojamies darbstacijai domēna kontrolierim vai Active Directory; kartēt ārējās LDAP datu bāzēs saglabātos lietotājus tā, it kā viņi būtu vietējie lietotāji; lai kartētu Active Directory domēna kontrolierī glabātos lietotājus tā, it kā viņi būtu vietējie lietotāji utt.

NIS

De Wikipedia:

  • Tīkla informācijas sistēma (pazīstama ar akronīmu NIS, kas spāņu valodā nozīmē Tīkla informācijas sistēma) ir klienta-servera direktoriju pakalpojumu protokola nosaukums, ko izstrādājusi Sun Microsystems konfigurācijas datu nosūtīšanai izplatītās sistēmās, piemēram lietotāju un resursdatoru vārdi starp datoriem tīklā.NIS pamatā ir ONC RPC, un to veido serveris, klienta bibliotēka un dažādi administrēšanas rīki.

    NIS sākotnēji sauca par dzeltenajām lapām jeb YP, ko joprojām izmanto, lai uz to atsauktos. Diemžēl šis nosaukums ir British Telecom preču zīme, kurai Sun vajadzēja nomest šo vārdu. Tomēr YP joprojām ir prefikss lielākās daļas ar NIS saistīto komandu nosaukumos, piemēram, ypserv un ypbind.

    DNS apkalpo ierobežotu informācijas diapazonu, vissvarīgākais ir atbilstība starp mezgla nosaukumu un IP adresi. Attiecībā uz cita veida informāciju šāda specializēta dienesta nav. No otras puses, ja jūs pārvaldāt tikai nelielu LAN bez interneta savienojuma, šķiet, ka nav vērts iestatīt DNS. Tāpēc Sun izstrādāja Tīkla informācijas sistēmu (NIS). NIS nodrošina vispārīgas piekļuves datubāzei iespējas, kuras var izmantot, lai izplatītu, piemēram, informāciju parolē un grupas failus visos tīkla mezglos. Tādējādi tīkls izskatās kā viena sistēma, un visos mezglos ir vienādi konti. Tāpat NIS var izmantot, lai izplatītu mezgla nosaukuma informāciju, kas atrodas / etc / hosts, visām tīkla mašīnām.

    Šodien NIS ir pieejams praktiski visos Unix izplatījumos, un ir pat bezmaksas ieviešana. BSD Net-2 publicēja tādu, kas iegūts no Sun dāvinātās publiskā domēna atsauces ieviešanas. Šīs versijas klienta daļas bibliotēkas kods jau ilgu laiku pastāv GNU / Linux libc, un administrēšanas programmas uz GNU / Linux pārnesa Swen Thümmler. Tomēr atsauces ieviešanā nav NIS servera.

    Pīters Eriksons ir izstrādājis jaunu ieviešanu ar nosaukumu NYS. Tas atbalsta gan pamata NIS, gan uzlaboto Sun NIS + versiju. [1] NYS nodrošina ne tikai vairākus NIS rīkus un serveri, bet arī pievieno pilnīgi jaunu bibliotēkas funkciju komplektu, kas jums jāapkopo libc, ja vēlaties tos izmantot. Tajā ietilpst jauna mezgla nosaukuma izšķiršanas konfigurācijas shēma, kas aizstāj pašreizējo shēmu, kuru izmanto fails "host.conf".

    GNU libc, kas GNU / Linux kopienā ir pazīstams kā libc6, ietver Thorsten Kukuk izstrādātā tradicionālā NIS atbalsta atjauninātu versiju. Tas atbalsta visas NYS nodrošinātās bibliotēkas funkcijas un izmanto arī uzlaboto NYS konfigurācijas shēmu. Rīki un serveris joprojām ir nepieciešami, taču, izmantojot GNU libc, tiek ietaupītas nepatikšanas ar bibliotēkas ielāpīšanu un pārkompilēšanu

    .

Datora un domēna nosaukums, tīkla interfeiss un risinātājs

  • Mēs sākam no tīras Debian 8 "Jessie" instalēšanas bez grafiskās saskarnes.. Domēns swl.fan nozīmē "Bezmaksas programmatūras fani". Kas ir labāks vārds par šo?.
root @ master: ~ # resursdatora nosaukums
meistars
root @ master: ~ # resursdatora nosaukums -f
master.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state Nezināma grupas noklusējuma saite / atgriezeniskā saite 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 darbības joma resursdators lo valid_lft forever prefer_lft forever inet6 :: 1/128 tvēruma resursdators valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast stāvoklis UP grupa noklusējuma qlen 1000 saite / ēteris 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 darbības joma globālā eth0 valid_lft uz visiem laikiem prefer_lft uz visiem laikiem inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 tvēruma saite valid_lft uz visiem laikiem prefer_lft uz visiem laikiem

root @ master: ~ # cat /etc/resolv.conf 
meklēt swl.fan vārda serveri 127.0.0.1

Uzstādīšana bind9, isc-dhcp-server un ntp

saistošs9

root @ master: ~ # aptitude instalējiet bind9 saistošs9-dok nmap
root @ master: ~ # systemctl statusa iesiešana9

root @ master: ~ # nano /etc/bind/named.conf
ietver "/etc/bind/named.conf.options"; ietver "/etc/bind/named.conf.local"; ietver "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
opcijas {direktorija "/ var / cache / bind"; // Ja starp jums un vārda serveriem, ar kuriem vēlaties // runāt, ir ugunsmūris, jums, iespējams, būs jālabo ugunsmūris, lai ļautu sarunāties vairākiem // portiem. Skat http://www.kb.cert.org/vuls/id/800113

        // Ja jūsu interneta pakalpojumu sniedzējs ir nodrošinājis vienu vai vairākas IP adreses stabiliem // vārdu serveriem, jūs droši vien vēlaties tos izmantot kā ekspeditorus. // Noņemiet komentāru no šī bloka un ievietojiet adreses, aizstājot // visu-0 vietturi. // ekspeditori {// 0.0.0.0; //}; // ================================================= = ==================== $ // Ja BIND reģistrē kļūdas ziņojumus par saknes atslēgas derīguma termiņa beigām, // jums būs jāatjaunina atslēgas. Skat https://www.isc.org/bind-keys
        // ================================================= ====================== $ // Mēs nevēlamies DNSSEC
        dnssec-enable nē;
        // dnssec-validācija auto; auth-nxdomain nē; # atbilst RFC1035 klausīšanās v6 versijai {jebkurš; }; // Pārbaudēm no localhost un sysadmin // caur dig swl.fan axfr // Mums nav Slave DNS ... līdz šim
        atļaut-pārsūtīt {localhost; 192.168.10.1; };
}; root @ master: ~ # nosaukts-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Koplietojamo adrešu telpa (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFC 3927, 5735 un 6303)
zona "254.169.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IETF protokola piešķiršana (RFC 5735 un 5736)
zona "0.0.192.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// TEST-NET- [1-3] dokumentācijai (RFC 5735, 5737 un 6303)
zona "2.0.192.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "113.0.203.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IPv6 dokumentācijas piemēru diapazons (RFC 3849 un 6303)
zona "8.bd0.1.0.0.2.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// Domēna vārdi dokumentēšanai un testēšanai (BCP 32)
zonas "tests" {tipa meistars; fails "/etc/bind/db.empty"; }; zone "example" {type master; fails "/etc/bind/db.empty"; }; zona "nederīgs" {tipa šablons; fails "/etc/bind/db.empty"; }; zona "example.com" {type master; fails "/etc/bind/db.empty"; }; zona "example.net" {tipa meistars; fails "/etc/bind/db.empty"; }; zone "example.org" {type master; fails "/etc/bind/db.empty"; };

// Maršrutētāja etalonu pārbaude (RFC 2544 un 5735)
zona "18.198.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IANA rezervēta - E klases vecā telpa (RFC 5735)
zona "240.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "242.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "243.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "244.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "245.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "246.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "247.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "248.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "249.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "250.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "251.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "252.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "253.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "254.in-addr.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IPv6 nepiešķirtās adreses (RFC 4291)
zona "1.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "4.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "5.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "6.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "7.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "8.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "9.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "a.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "b.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "c.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "d.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "e.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "0.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "1.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "2.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "3.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "4.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "5.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "6.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "7.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "8.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "9.f.ip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "afip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "bfip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "0.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "1.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "2.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "3.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "4.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "5.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "6.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "7.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IPv6 ULA (RFC 4193 un 6303)
zona "cfip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "dfip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IPv6 saites vietējais (RFC 4291 un 6303)
zona "8.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "aefip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "befip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IPv6 novecojušas vietējo vietējo adreses (RFC 3879 un 6303)
zona "cefip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "defip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "eefip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; }; zona "fefip6.arpa" {tipa meistars; fails "/etc/bind/db.empty"; };

// IP6.INT ir novecojis (RFC 4159)
zona "ip6.int" {type master; fails "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Veiciet šeit jebkuru vietējo konfigurāciju // // Apsveriet iespēju šeit pievienot 1918. gada zonas, ja tās netiek izmantotas jūsu // organizācijā, iekļaujiet "/etc/bind/zones.rfc1918";
ietver "/etc/bind/zones.rfcFreeBSD";

// DNS ierakstu zonu nosaukuma, veida, atrašanās vietas un atjaunināšanas atļaujas deklarācija // Abas zonas ir MASTER zona "swl.fan" {tipa šablons; fails "/var/lib/bind/db.swl.fan"; }; zona "10.168.192.in-addr.arpa" {tipa meistars; fails "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # nosaukts-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš beidzas 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Bezmaksas programmatūras cienītājiem"; sysadmin IN A 192.168.10.1 failu serveris A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš beidzas 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai; @ IN NS master.swl.fan. ; 1 IN PTR sysadmin.swl.fan. 4 IN PTR failoserver.swl.fan. 5 IN PTR master.swl.fan. 6 IN PTR proxyweb.swl.fan. 7 IN PTR blog.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
zona swl.fan/IN: ielādēta 1. sērija Labi
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zona 10.168.192.in-addr.arpa/IN: ielādēta sērija 1 Labi

root @ master: ~ # nosaukts-checkconf -zp
root @ master: ~ # systemctl restartējiet bind9.service
root @ master: ~ # systemctl statuss bind9.service

Bind9 čeki

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # starpniekservera resursdators root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Sākot Nping 0.6.47 ( http://nmap.org/nping ) plkst. 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Maks. Rtt: N / A | Min. Rtt: N / A | Vid. Rtt: Nav nosūtītu neapstrādātu pakešu: 84 (0B) | Rcvd: 0 (3B) | Zaudēts: 100.00 (1%) Nping darīts: 3.01 IP adrese tika pingēta XNUMX sekundē 

isc-dhcp-serveris

root @ master: ~ # aptitude instalējiet isc-dhcp-serveri
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Kādās saskarnēs DHCP serverim (dhcpd) jāapkalpo DHCP pieprasījumi? # Atdaliet vairākas saskarnes ar atstarpēm, piemēram, "eth0 eth1".
SASKARNES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n LIETOTĀJA dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.privāts 
Privātās atslēgas formāts: v1.3 algoritms: 157 (HMAC_MD5) Atslēga: Ba9GVadq4vOCixjPN94dCQ == Biti: AAA = Izveidots: 20170527133656 Publicēt: 20170527133656 Aktivizēt: 20170527133656

root @ master: ~ # nano dhcp.key
atslēga dhcp-key {
        algoritms hmac-md5;
        slepens "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
ietver "/etc/bind/dhcp.key";

zona "swl.fan" {tipa meistars; fails "/var/lib/bind/db.swl.fan";
        atļaut atjaunināt {atslēga dhcp-atslēga; };
}; zona "10.168.192.in-addr.arpa" {tipa meistars; fails "/var/lib/bind/db.10.168.192.in-addr.arpa";
        atļaut atjaunināt {atslēga dhcp-atslēga; };
};

root @ master: ~ # nosaukts-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update stila pagaidu; ddns-atjauninājumi ieslēgti; ddns-domēna nosaukums "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorēt klienta atjauninājumus; update-optimization false; # Var būt nepieciešams Debian autoritatīvam; opcija ip-forwarding off; opcijas domēna nosaukums "swl.fan"; ietver "/etc/dhcp/dhcp.key"; zona swl.fans. {primārais 127.0.0.1; atslēga dhcp-atslēga; } zona 10.168.192.in-addr.arpa. {primārais 127.0.0.1; atslēga dhcp-atslēga; } shared-network redlocal {apakštīkls 192.168.10.0 netmask 255.255.255.0 {opciju maršrutētāji 192.168.10.1; opcijas apakštīkls-maska ​​255.255.255.0; opcijas apraides adrese 192.168.10.255; opcija domēna nosaukuma-serveri 192.168.10.5; opcija netbios-name-server 192.168.10.5; opcija ntp-serveriem 192.168.10.5; opcija laika serveri 192.168.10.5; diapazons 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Interneta sistēmu konsorcijs DHCP Server 4.3.1. Autortiesības 2004. – 2014. Gada interneta sistēmu konsorcijs. Visas tiesības aizsargātas. Lai iegūtu informāciju, lūdzu, apmeklējiet vietni https://www.isc.org/software/dhcp/
Konfigurēt failu: /etc/dhcp/dhcpd.conf Datu bāzes fails: /var/lib/dhcp/dhcpd.leasing PID fails: /var/run/dhcpd.pid

root @ master: ~ # systemctl restartējiet bind9.service 
root @ master: ~ # systemctl statuss bind9.service 

root @ master: ~ # systemctl startēt isc-dhcp-server.service
root @ master: ~ # systemctl statuss isc-dhcp-server.service

ntp

root @ master: ~ # aptitude instalējiet ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server 192.168.10.1 ierobežot -4 noklusējuma kod notrap nomodify nopeer noquery ierobežot -6 noklusējuma kod notrap nomodify nopeer noquery ierobežojums 127.0.0.1 ierobežojums :: 1 apraide 192.168.10.255

root @ master: ~ # systemctl restartējiet ntp.service 
root @ master: ~ # systemctl statuss ntp.pakalpojums
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27. maijs 10:04:01 ntpdate [18769]: pielāgojiet laika servera 192.168.10.1 nobīdi 0.369354 sek

Vispārīgi pārbauda ntp, bind9 un isc-dhcp-server

Pārbaudiet, vai laiks ir pareizi sinhronizēts, izmantojot Linux, BSD, Mac OS vai Windows klientu. Ka tā iegūst dinamisku IP adresi un ka šī resursdatora nosaukums tiek atrisināts, izmantojot tiešos un reversos DNS vaicājumus. Mainiet klienta vārdu un pārtaisiet visas pārbaudes. Turpiniet tikai tad, ja esat pārliecināts, ka līdz šim instalētie pakalpojumi darbojas pareizi. Par kaut ko mēs rakstījām visus rakstus par DNS un DHCP Datoru tīkli MVU.

NIS servera instalēšana

root @ meistars: ~ # spēju šovs nis
Konflikti ar: netstd (<= 1.26) Apraksts: klienti un tīkla informācijas dienesta (NIS) dēmoni Šī pakete nodrošina rīkus NIS domēna iestatīšanai un uzturēšanai. NIS, kas sākotnēji bija pazīstams kā dzeltenās lapas (YP), galvenokārt tiek izmantots, lai ļautu vairākām tīkla mašīnām koplietot to pašu konta informāciju, piemēram, paroles failu.

root @ master: ~ # aptitude instalēt nis
Iepakojuma konfigurācija ─────────┐ │ Izvēlieties šai sistēmai NIS "domēna vārdu". Ja vēlaties, lai šī mašīna būtu tikai klients, jums jāievada tā NIS domēna nosaukums, kuram vēlaties pievienoties. Atively │ │ │ Alternatīvi, ja šai mašīnai ir jābūt NIS serverim, varat ievadīt jaunu NIS "domēna nosaukumu" vai esoša NIS domēna nosaukumu. IS │ │ │ NIS domēns: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │││││└└────────────────── ────────────────────────  

Tas aizkavēs jūsu, jo pakalpojuma konfigurācija kā tāda neeksistē. Lūdzu, uzgaidiet, līdz process būs pabeigts.

root @ master: ~ # nano / etc / default / nis
# Vai mēs esam NIS serveris un ja jā, kāda veida (vērtības: false, slave, master)?
NISSERVER = meistars

root @ master: ~ # nano /etc/ypserv.securenets # securenets Šis fails nosaka piekļuves tiesības jūsu NIS serverim # NIS klientiem (un vergu serveriem - arī ypxfrd izmanto šo # failu). Šis fails satur tīkla maskas / tīkla pārus. # Klienta IP adresei jāsakrīt ar vismaz vienu no šīm. # # Tīkla maskas # 255.255.255.255 vietā var izmantot vārdu "resursdators". Šajā # failā ir atļautas tikai IP adreses, nevis resursdatora nosaukumi. # # Vienmēr atļaut piekļuvi localhost 255.0.0.0 127.0.0.0 # Šī līnija nodrošina piekļuvi visiem. LŪDZU, Pielāgojiet! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Vai mums jāapvieno paroles fails ar ēnu failu? # MERGE_PASSWD = true | false
MERGE_PASSWD = taisnība

# Vai grupas fails jāapvieno ar failu gshadow? # MERGE_GROUP = true | false
MERGE_GROUP = taisnība

Mēs izveidojam NIS datu bāzi

root @ master: ~ # / usr / lib / yp / ypinit -m
Šajā brīdī mums ir jāizveido saraksts ar saimniekiem, kas darbinās NIS serverus. master.swl.fan ir NIS serveru resursdatoru sarakstā. Lūdzu, turpiniet pievienot pārējo resursdatoru nosaukumus, pa vienam katrā rindā. Kad esat pabeidzis sarakstu, ierakstiet a . nākamais pievienojamais resursdators: master.swl.fan nākamais resursdators, kuru pievienot: Pašreizējais NIS serveru saraksts izskatās šādi: master.swl.fan Vai tas ir pareizi? [y / n: y] Mums ir nepieciešamas dažas minūtes, lai izveidotu datu bāzes ... make [1]: Iziešana no direktorija '/var/yp/swl.fan' master.swl.fan ir izveidota kā NIS galvenais serveris . Tagad jūs varat palaist ypinit -s master.swl.fan visos vergu serveros.

root @ master: ~ # systemctl restartējiet nis
root @ master: ~ # systemctl statuss nis

Mēs pievienojam vietējos lietotājus

root @ master: ~ # adduser bilbo
Pievieno lietotāju "bilbo" ... Pievieno jauno grupu "bilbo" (1001) ... Pievieno jauno lietotāju "bilbo" (1001) ar grupu "bilbo" ... Mājas direktorija "home / bilbo" izveide ... Notiek failu kopēšana no `/ etc / skel '... Ievadiet jauno UNIX paroli: Atkārtoti ierakstiet jauno UNIX paroli: passwd: Parole ir pareizi atjaunināta. Bilbo lietotāja informācijas maiņa Ievadiet jauno vērtību vai nospiediet ENTER, lai izmantotu noklusējuma pilnu vārdu []: Bilbo Bagins istabas numurs []: darba tālrunis []: mājas tālrunis []: cits []: vai informācija ir pareiza? [Jā / nē]

root @ master: ~ # adduser soļi root @ master: ~ # adduser legolas

un tā tālāk.

sakne @ meistars: ~ # pirkstu legolas
Pieteikšanās: legolas Nosaukums: Legolas Archer Directory: / home / legolas Shell: / bin / bash Nekad neesat pieteicies. Nav pasta. Nav plāna.

Mēs atjauninām NIS datu bāzi

root @ master: / var / yp # make
make [1]: Ievadot direktoriju '/var/yp/swl.fan' Atjaunina passwd.byname ... Atjaunina passwd.byuid ... Atjaunina group.byname ... Atjaunina group.bygid ... Atjaunina netid.byname. .. Atjaunina shadow.byname ... Ignorēts -> apvienots ar passwd make [1]: Atstājot direktoriju '/var/yp/swl.fan'

Isc-dhcp-serverim mēs pievienojam NIS opcijas

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update stila pagaidu; ddns-atjauninājumi ieslēgti; ddns-domēna nosaukums "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorēt klienta atjauninājumus; update-optimization false; autoritatīvs; opcija ip-forwarding off; opcijas domēna nosaukums "swl.fan"; ietver "/etc/dhcp/dhcp.key"; zona swl.fans. {primārais 127.0.0.1; atslēga dhcp-atslēga; } zona 10.168.192.in-addr.arpa. {primārais 127.0.0.1; atslēga dhcp-atslēga; } shared-network redlocal {apakštīkls 192.168.10.0 netmask 255.255.255.0 {opciju maršrutētāji 192.168.10.1; opcijas apakštīkls-maska ​​255.255.255.0; opcijas apraides adrese 192.168.10.255; opcija domēna nosaukuma-serveri 192.168.10.5; opcija netbios-name-server 192.168.10.5; opcija ntp-serveriem 192.168.10.5; opcija laika serveri 192.168.10.5;
                opcija nis-domain "swl.fan";
                opcija nis-serveriem 192.168.10.5;
                diapazons 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl restartējiet isc-dhcp-server.service

NIS klienta instalēšana

  • Mēs sākam no tīras Debian 8 "Jessie" instalēšanas bez grafiskās saskarnes..
root @ mail: ~ # hostname -f
mail.swl.fan

root @ pasts: ~ # ip adrese
2: eth0: mtu 1500 qdisc pfifo_fast stāvoklis UP grupa noklusējuma qlen 1000 saite / ēteris 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 darbības joma globālais eth0

root @ pasts: ~ # piemērotības instalēšana
root @ pasts: ~ # nano /etc/yp.conf # # yp.conf Konfigurācijas fails ypbind procesam. Šeit jūs varat definēt # NIS serverus manuāli, ja tos nevar atrast, izmantojot # apraidi vietējā tīklā (kas ir noklusējums). # # Skatiet ypbind rokasgrāmatas lapu par šī faila sintaksi. # # SVARĪGI: "ypserver" izmantojiet IP adreses vai pārliecinieties, vai # resursdators atrodas mapē / etc / hosts. Šis fails tiek interpretēts tikai # reizi, un, ja DNS nav sasniedzams, tomēr ypserveru nevar atrisināt # un ypbind nekad nesaistīsies ar serveri. # ypserver ypserver.network.com ypserver master.swl.fan domēns swl.fan

root @ pasts: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU nosaukuma pakalpojuma slēdža funkcionalitātes konfigurācijas piemērs. # Ja jums ir instalētas pakotnes `glibc-doc-reference 'un` info', mēģiniet: # `info libc" Name Service Switch ", lai iegūtu informāciju par šo failu. passwd: compat nis grupa: compat nis ēna: compat nis gshadow: failu saimnieki: faili dns nis tīkli: failu protokoli: db failu pakalpojumi: db failu ēteri: db faili rpc: db faili tīkla grupa: nis

root @ pasts: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8), lai iegūtu sīkāku informāciju.
sesija pēc izvēles pam_mkhomedir.so skel = / etc / skel umask = 077
# šeit ir paketes moduļi (bloks “Primārais”)

root @ mail: ~ # systemctl statuss nis
root @ mail: ~ # systemctl restartējiet nis

Mēs aizveram sesiju un sākam to vēlreiz, bet ar lietotāju, kas reģistrēts NIS datu bāzē vietnē master.swl.fan.

root @ mail: ~ # iziet
atteikšanās Savienojums ar pastu ir slēgts.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail parole: direktorija “home / legolas” izveide. Debian GNU / Linux sistēmā iekļautās programmas ir bezmaksas programmatūra; precīzie katras programmas izplatīšanas noteikumi ir aprakstīti atsevišķos failos mapē / usr / share / doc / * / copyright. Debian GNU / Linux komplektā ietilpst PILNĪGI GARANTIJAS, ciktāl to atļauj piemērojamie tiesību akti.
legolas @ pasts: ~ $ pwd
/ home / legolas
legolas @ pasts: ~ $ 

Mēs mainām legolas lietotāja paroli un pārbaudām

legolas @ mail: ~ $ yppasswd 
NIS konta informācijas mainīšana legolām vietnē master.swl.fan. Lūdzu, ievadiet veco paroli: legolas NIS paroles maiņa legolām vietnē master.swl.fan. Lūdzu, ievadiet jaunu paroli: archer Parolē jābūt gan lieliem, gan maziem burtiem vai bez burtiem. Lūdzu, ievadiet jaunu paroli: Arquero2017 Lūdzu, atkārtoti ierakstiet jauno paroli: Arquero2017 Vietnes master.swl.fan NIS parole ir mainīta.

legolas @ mail: ~ $ izeja
atteikšanās Savienojums ar pastu ir slēgts.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail parole: Arquero2017

Debian GNU / Linux sistēmā iekļautās programmas ir bezmaksas programmatūra; precīzie katras programmas izplatīšanas noteikumi ir aprakstīti atsevišķos failos mapē / usr / share / doc / * / copyright. Debian GNU / Linux komplektā ietilpst PILNĪGI GARANTIJAS, ciktāl to atļauj piemērojamie tiesību akti. Pēdējā pieteikšanās: 27. gada 12. maija pulksten 51:50:2017 no sysadmin.swl.fan
legolas @ pasts: ~ $

Servera un klienta līmenī ieviestais TID pakalpojums darbojas pareizi.

LDAP

No Vikipēdijas:

  • LDAP ir saīsinājums no Lightweight Directory Access Protocol (spāņu valodā Lightweight Directory Access Protocol), kas attiecas uz lietojumprogrammas līmeņa protokolu, kas ļauj piekļūt pasūtītam un izplatītam direktoriju pakalpojumam, lai vidē meklētu dažādu informāciju. tīklā. LDAP tiek uzskatīta arī par datu bāzi (lai gan tās glabāšanas sistēma var būt atšķirīga), par kuru var jautāt.Katalogs ir objektu kopa ar atribūtiem, kas sakārtoti loģiskā un hierarhiskā veidā. Visizplatītākais piemērs ir tālruņu katalogs, kas sastāv no vārdu (personu vai organizāciju) virknes, kas sakārtotas alfabētiskā secībā, katram vārdam pievienojot adresi un tālruņa numuru. Lai labāk saprastu, tā ir grāmata vai mape, kurā ir ierakstīti cilvēku vārdi, tālruņu numuri un adreses, un tā ir sakārtota alfabētiskā secībā.

    LDAP direktoriju koks dažkārt atspoguļo dažādas politiskās, ģeogrāfiskās vai organizatoriskās robežas atkarībā no izvēlētā modeļa. Pašreizējās LDAP izvietojumos parasti tiek izmantoti domēna vārdu sistēmas (DNS) nosaukumi, lai strukturētu augstākos hierarhijas līmeņus. Pārvietojoties lejup pa direktoriju, var parādīties ieraksti, kas apzīmē cilvēkus, organizatoriskās vienības, printerus, dokumentus, cilvēku grupas vai jebko, kas apzīmē noteiktu ierakstu kokā (vai vairākos ierakstos).

    Parasti tas glabā autentifikācijas informāciju (lietotāju un paroli) un tiek izmantots autentificēšanai, lai gan ir iespējams glabāt arī citu informāciju (lietotāja kontaktinformāciju, dažādu tīkla resursu atrašanās vietu, atļaujas, sertifikātus utt.). Kopumā LDAP ir vienots piekļuves protokols informācijas kopai tīklā.

    Pašreizējā versija ir LDAPv3, un tā ir definēta RFC RFC 2251 un RFC 2256 (LDAP pamatdokuments), RFC 2829 (LDAP autentifikācijas metode), RFC 2830 (TLS paplašinājums) un RFC 3377 (tehniskā specifikācija)

    .

IlgiLDAP protokols - un tā datu bāzes, kas ir saderīgas vai nav saderīgas ar OpenLDAP - mūsdienās ir visvairāk izmantotās autentifikācijas sistēmās. Kā piemēru iepriekšējam paziņojumam mēs sniedzam dažus sistēmu nosaukumus - Free vai Private -, kas visu objektu glabāšanai izmanto LDAP datu bāzes kā aizmuguri:

  • OpenLDAP
  • Apache direktoriju serveris
  • Red Hat direktorija serveris - 389 DS
  • Novell Directory Services - e-direktorijs
  • SUN Microsystems Open DS
  • Red Hat identitātes pārvaldnieks
  • FreeIPA
  • Samba NT4 klasiskais domēna kontrolleris.
    Mēs vēlamies precizēt, ka šo sistēmu izstrādāja Team Samba ar Samba 3.xxx + OpenLDAP as aizmugure. Microsoft nekad neko tādu nav ieviesis. Pārejis no NT 4 domēna kontrolleriem uz aktīvajiem direktorijiem
  • Samba 4 Active Directory - domēnu kontrolieris
  • ClearOS
  • zentyal
  • UCS neinvention korporatīvais serveris
  • Microsoft Active Directory

Katrai realizācijai ir savas īpatnības, un visvienkāršākā un saderīgākā ir OpenLDAP.

Active Directory, neatkarīgi no tā, vai tas ir Microsoft oriģināls vai Samba 4, veido vairāku galveno komponentu savienojumu, kas ir:

Mēs nedrīkstam jaukt a Direktoriju pakalpojums o direktoriju pakalpojums ar a Active Directory o Active Directory. Pirmie var vai nevar mitināt Kerberos autentifikāciju, taču viņi nepiedāvā Microsoft tīkla pakalpojumu, ko nodrošina Windows domēns, kā arī viņiem nav Windows domēna kontrollera.

Direktoriju pakalpojumu vai direktoriju pakalpojumu var izmantot, lai autentificētu lietotājus jauktā tīklā ar UNIX / Linux un Windows klientiem. Pēdējā gadījumā katram klientam ir jāinstalē programma, kas darbojas kā starpnieks starp direktoriju pakalpojumu un pašu Windows klientu, piemēram, bezmaksas programmatūru. lappuse.

Direktoriju pakalpojums ar OpenLDAP

  • Mēs sākam no tīras Debian 8 "Jessie" instalēšanas bez grafiskās saskarnes., ar tādu pašu mašīnas nosaukumu "master", ko izmanto NIS instalēšanai, kā arī tā tīkla saskarnes un /etc/resolv.conf faila konfigurāciju. Šim jaunajam serverim mēs instalējām ntp, bind9 un isc-dhcp-server, neaizmirstot par globālo pārbaudi par visu trīs iepriekšējo pakalpojumu pareizu darbību.
root @ master: ~ # aptitude instalējiet slapd ldap-utils

Iepakojuma konfigurācija

┌─────────────────────┤ Slapd konfigurācija ├──────────────────────┐┐ Ievadiet paroli, lai ievadītu administratora ierakstu jūsu LDAP direktorijā. │ │ │ │ Administratora parole: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │││││└└────────────────────────────── ──────────────────────┘

Mēs pārbaudām sākotnējo konfigurāciju

root @ master: ~ # slapcat
dn: dc = swl, dc = ventilators
objectClass: top objectClass: dcObject objectClass: organizācija o: swl.fan dc: swl structureObjectClass: organizācijas ierakstsUUID: c8510708-da8e-1036-8fe1-71d022a16904 radītājiNosaukums: cn = admin, dc = swl, dc = ventilatora ieraksts createTimestamp20170531205219: : 20170531205219.833955ZN000000 ieraksts Z # 000 # 000000 # 20170531205219 modifikatori Nosaukums: cn = admin, dc = swl, dc = ventilatora modifikācija Laikspiedols: XNUMXZ

dn: cn = administrators, dc = swl, dc = ventilators
objektklasi: simpleSecurityObject objektklasi: organizationalRole cn: admin Apraksts: LDAP administrators userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-ieraksts = cXNUMXe XNUMXZ # XNUMX # XNUMX # XNUMX modifikatori Nosaukums: cn = admin, dc = swl, dc = ventilatora modifikācija Laikspiedols: XNUMXZ

Mēs modificējam failu /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
PAMATOT dc = swl, dc = ventilatora URI    ldap: // localhost

Organizatoriskās vienības un vispārīgie grupas «lietotāji»

Mēs pievienojam minimāli nepieciešamās organizatoriskās vienības, kā arī Posix grupas «lietotājus», pie kuriem visus lietotājus izveidosim, sekojot daudzu sistēmu piemēram, kurām ir grupa «Lietotāji«. Mēs to saucam par «lietotāju» vārdu, lai nerastos iespējami konflikti ar grupu «lietotājs"sistēmas.

root @ master: ~ # nano base.ldif
dn: ou = cilvēki, dc = swl, dc = ventilatora objekts Klase: organizatoriskā vienība ou: cilvēki dn: ou = grupas, dc = swl, dc = ventilatora objekts Klase: organizatoriskā vienība ou: grupas dn: cn = lietotāji, ou = grupas, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventilators -W -f base.ldif
Ievadiet LDAP paroli: pievienojot jaunu ierakstu "ou = cilvēki, dc = swl, dc = ventilators", pievienojot jaunu ierakstu "ou = grupas, dc = swl, dc = ventilators"

Mēs pārbaudām pievienotos ierakstus

root @ master: ~ # ldapsearch -x ou = cilvēki
# cilvēki, swl.fan dn: ou = cilvēki, dc = swl, dc = ventilatora objekts Klase: organizatoriskā Vienība ou: cilvēki

root @ master: ~ # ldapsearch -x ou = grupas
# grupas, swl.fan dn: ou = grupas, dc = swl, dc = ventilatora objekts Klase: organizatoriskā Vienība ou: grupas

root @ master: ~ # ldapsearch -x cn = lietotāji
# lietotāji, grupas, swl.fan dn: cn = lietotāji, ou = grupas, dc = swl, dc = ventilatora objektsKlase: posixGroup cn: users gidNumber: 10000

Mēs pievienojam vairākus lietotājus

Parole, kas mums jādeklarē LDAP, jāiegūst, izmantojot komandu slappasswd, kas atgriež SSHA šifrētu paroli.

Parole lietotāja soļiem:

root @ master: ~ # slappasswd 
Jauna parole: atkārtoti ievadiet jauno paroli: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Parole lietotāja legolām

root @ master: ~ # slappasswd 
Jauna parole: atkārtoti ievadiet jauno paroli: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Parole lietotāja gandalfam

root @ master: ~ # slappasswd 
Jauna parole: atkārtoti ievadiet jauno paroli: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 pasts: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas dotsName : Legolas sn: Archer lietotājs Parole: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 pasts: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalfs sn: vedņa lietotājs Parole: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 pasts: gandalf@swl.fan
gecos: Gandalf Wizard loginShell: / bin / bash home Katalogs: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventilators -W -f lietotāji.ldif
Ievadiet LDAP paroli: pievienojot jaunu ierakstu "uid = soļi, ou = cilvēki, dc = swl, dc = ventilators", pievienojot jaunu ierakstu "uid = legolas, ou = cilvēki, dc = swl, dc = ventilators" pievienojot jaunu ierakstu "uid = gandalf, ou = cilvēki, dc = swl, dc = ventilators "

Mēs pārbaudām pievienotos ierakstus

root @ master: ~ # ldapsearch -x cn = soļi
root @ master: ~ # ldapsearch -x uid = soļi

Mēs pārvaldām slpad datu bāzi ar konsoles utilītprogrammām

Mēs izvēlamies paketi apraksti šādam uzdevumam. Instalēšanas un konfigurēšanas procedūra ir šāda:

root @ master: ~ # aptitude instalējiet ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = ventilators' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = ventilators' GSUFFIX = 'ou = grupas' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP klienta komandas LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# UT utt. ldapadduser.template "PASSWORDGEN =" atbalss% u "

Ievērojiet, ka skripti izmanto pakotnes komandas ldap-utils. Palaist dpkg -L ldap-utils | grep / bin zināt, kas tie ir.

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: vārds: sn: displayName: uidNumber: gidNumber: 10000 mājas direktorijs: loginShell: pasts: @ swl.fan geckos: apraksts: Lietotāja konts
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## mēs noņemam komentāru UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Pievienojiet lietotāju "bilbo" un padariet viņu par grupas "lietotāji" dalībnieku

root @ master: ~ # ldapadduser bilbo lietotāji
[dn: uid = bilbo, ou = cilvēki, dc = swl, dc = ventilators] Ievadiet vērtības vārdam "givenName": Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Ievadiet vērtību sn ": Bagins [dn: uid = bilbo, ou = cilvēki, dc = swl, dc = ventilators] Ievadiet vērtību" displayName ": Bilbo Bagins Veiksmīgi pievienots lietotāja bilbo LDAP. Sekmīgi iestatīts lietotāja bilbo parole

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 mājas direktorijs: / home / bilbo login Shell: / bin / bash mail: bilbo@swl.fan
gecos: bilbo description: Lietotāja konts

Lai redzētu bilbo lietotāja paroles jaukšanu, vaicājums jāveic ar autentifikāciju:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = ventilators -W uid = bilbo

Lai izdzēstu izpildīto bilbo lietotāju:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = ventilators -W uid = bilbo, ou = cilvēki, dc = swl, dc = ventilators
Ievadiet LDAP paroli:

root @ master: ~ # ldapsearch -x uid = bilbo

Mēs pārvaldām slapd datu bāzi, izmantojot tīmekļa saskarni

Mums ir funkcionāls direktoriju pakalpojums, un mēs vēlamies to vieglāk pārvaldīt. Šim uzdevumam ir paredzētas daudzas programmas, piemēram, phpldapadmin, ldap-konta pārvaldnieksutt., kas ir pieejami tieši krātuvēs. Mēs varam arī pārvaldīt direktoriju pakalpojumu, izmantojot Apache direktoriju studija, kas mums jāielādē no interneta.

Lai iegūtu vairāk informācijas, lūdzu, apmeklējiet vietni https://blog.desdelinux.net/ldap-introduccion/, un sekojošie 6 raksti.

LDAP klients

Scenārijs:

Sakiet, ka mums ir komanda mail.swl.fan kā pasta serveris, kas ieviests tā, kā redzējām rakstā Postfix + Dovecot + Squirrelmail un vietējie lietotāji, kas, lai arī izstrādāts CentOS, var noderēt kā ceļvedis Debian un daudziem citiem Linux distros. Mēs vēlamies, lai papildus vietējiem lietotājiem, kurus mēs jau esam deklarējuši, lietotājiem, kas saglabāti OpenLDAP datu bāzē, kas pastāv master.swl.fan. Lai sasniegtu iepriekš minēto, mums irkartēt»LDAP lietotājiem kā vietējiem lietotājiem serverī mail.swl.fan. Šis risinājums ir derīgs arī jebkuram pakalpojumam, kura pamatā ir PAM autentifikācija. Vispārējā procedūra Debian, ir šāds:

root @ mail: ~ # aptitude instalēt libnss-ldap libpam-ldap ldap-utils

  Iguration───────────────---- libnss-ldap ├──────────────────────┐┐ Ievadiet LDAP servera URI (“Uniform Resource Identifier” vai “form │ Uniform Resource Identifier”). Šī virkne ir līdzīga │ │ «ldap: //: / ». Varat arī izmantot «│ldaps: // » vai "ldapi: //". Porta numurs nav obligāts. Avoid │ │ │ Lai izvairītos no kļūmēm, ja domēna vārdu pakalpojumi │ │ nav pieejami, ieteicams izmantot IP adresi. LDAP servera URI: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │││││└└────────────────── ─────────────────────────---- ┤ Konfigurācija libnss-ldap ├───────────────────────┐┐ Ievadiet LDAP meklēšanas bāzes atšķirīgo nosaukumu (DN). Daudzas vietnes šim nolūkam izmanto domēna vārda komponentus. Piemēram, domēns "example.net" kā atšķirīgu meklēšanas bāzes nosaukumu izmantotu │ │ "dc = example, dc = net". │ │ │ │ Meklēšanas bāzes atšķirīgais nosaukums (DN): │ │ │ │ dc = swl, dc = ventilators ____________________________________________________________ │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤. Konfigurācija libnss-ldap ├───────────────────────┐┐ Ievadiet LDAP protokola versiju, kas ldapns jāizmanto. Ieteicams izmantot augstāko pieejamo versijas numuru. Izmantojamā LDAP versija: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤. Konfigurācija libnss-ldap ├───────────────────────┐┐ Izvēlieties, kuru kontu izmantosiet NSS vaicājumiem ar │ │ root tiesībām. │ │ │ │ Piezīme: Lai šī opcija darbotos, kontam ir nepieciešamas atļaujas, lai │ │ varētu piekļūt LDAP atribūtiem, kas saistīti ar lietotāja │ │ "ēnu" ierakstiem, kā arī lietotāju un │ │ grupu parolēm. . │ │ │ │ LDAP konts saknei: │ │ │ │ cn = admin, dc = swl, dc = ventilators ___________________________________________________ │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤. Konfigurācija libnss-ldap Ievietojiet paroli, kas jāizmanto, kad libnss-ldap mēģina autentificēties LDAP direktorijā ar LDAP root saknes kontu. │ │ │ │ Parole tiks saglabāta atsevišķā failā │ │ ("/etc/libnss-ldap.secret"), kuram piekļūt var tikai root. │ │ │ │ Ja ievadīsit tukšu paroli, vecā parole tiks atkārtoti izmantota. │ │ │ │ LDAP saknes konta parole: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │││││└└────────────────────────────── ─────────────────────────────┘ ┌──────────────────── ─┤. Konfigurācija libnss-ldap ├──────────────────────┐ │ │ │ nsswitch.conf netiek automātiski pārvaldīts │ │ │ │ Jums ir jāpārveido fails "/etc/nsswitch.conf "lai izmantotu LDAP datu avotu, ja vēlaties, lai pakete libnss-ldap darbotos. │ │ Varat izmantot faila │ │ piemēru mapē "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" kā nsswitch konfigurācijas piemēru vai │ │ varat to nokopēt pa pašreizējo konfigurāciju. │ │ │ │ Ņemiet vērā, ka pirms šīs pakotnes noņemšanas var būt ērti │ │ noņemt “ldap” ierakstus no faila nsswitch.conf, lai pamata pakalpojumi │ │ turpinātu darboties. │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘ ┌───────---- ──┤. Konfigurācija libpam-ldap ├────────────────────── allows │ │ │ Šī opcija ļauj paroļu rīkiem, izmantojot PAM, mainīt vietējās paroles. │ │ │ │ LDAP administratora konta parole tiks saglabāta atsevišķā │ │ failā, kuru var lasīt tikai administrators. Mounting │ │ │ Šī opcija ir jāatspējo, ja "/ etc" instalējat caur NFS. │ │ │ │ Vai vēlaties ļaut LDAP administratora kontam rīkoties kā vietējam administratoram? │ │ │ │                                            │││││└└────────────────────────────── ──────────────────────────────┘ ┌───────────── ──┤. Konfigurācija libpam-ldap ├──────────────────────┐ │ │ │ Izvēlieties, vai LDAP serveris piespiež identificēt, pirms tiek iegūti ieraksti │. Setting │ │ │ Šis iestatījums ir reti nepieciešams. │ │ │ │ Vai lietotājam ir jāpiekļūst LDAP datu bāzei? │ │ │ │                                               │││││└└────────────────── ──────────────────────────---- ──┤. Konfigurācija libpam-ldap ├────────────────────────┐ │ Ievadiet LDAP administratora konta nosaukumu. │ │ │ │ Šis konts tiks automātiski izmantots datu bāzes pārvaldībai, un tam jābūt ar atbilstošām administratīvajām tiesībām. │ │ │ │ LDAP administratora konts: │ │ │ │ cn = admin, dc = swl, dc = ventilators ___________________________________________________ │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘ ┌─────────────────── ──┤. Konfigurācija libpam-ldap ├───────────────────────┐┐ Ievadiet administratora konta paroli. │ │ │ │ Parole tiks saglabāta failā "/etc/pam_ldap.secret". Administrators būs vienīgais, kurš varēs lasīt šo failu, un ļaus │ │ libpam-ldap automātiski kontrolēt savienojumu pārvaldību datubāzē. │. You │ │ │ Ja atstājat šo lauku tukšu, atkal tiks izmantota iepriekšējā saglabātā parole │ │. │ │ │ │ LDAP administratora parole: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │││││└└────────────────────────────── ─────────────────────────────  

root @ pasts: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # GNU nosaukuma pakalpojuma slēdža funkcionalitātes konfigurācijas piemērs. # Ja jums ir instalētas pakotnes `glibc-doc-reference 'un` info', mēģiniet: # `info libc" Name Service Switch ", lai iegūtu informāciju par šo failu. passwd: compat ldap
grupa: tautietis ldap
ēna: taut ldap
gshadow: files hosts: faili dns tīkli: failu protokoli: db failu pakalpojumi: db failu ēteri: db faili rpc: db faili netgroup: nis

Rediģēsim failu /etc/pam.d/common-password, mēs ejam uz 26. rindu un izslēdzam vērtību «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - visiem pakalpojumiem kopīgi ar paroli saistīti moduļi # # Šis fails ir iekļauts no citiem pakalpojumam raksturīgiem PAM konfigurācijas failiem, # un tajā jāietver moduļu saraksts, kas nosaka veicamos pakalpojumus # tiek izmantots, lai mainītu lietotāju paroles. Noklusējums ir pam_unix. # Pam_unix opciju skaidrojums: # # Opcija "sha512" ļauj sālītas SHA512 paroles. Bez šīs opcijas # noklusējums ir Unix kriptēšana. Iepriekšējos izlaidumos tika izmantota opcija "md5". # # Opcija "neskaidra" aizstāj veco opciju "OBSCURE_CHECKS_ENAB" sadaļā # login.defs. # # Citas iespējas skatiet pam_unix manpage. # Sākot ar pam 1.0.1-6, šo failu pēc noklusējuma pārvalda pam-auth-update. # Lai to izmantotu, ieteicams pirms vai pēc noklusējuma bloķēt jebkurus # lokālos moduļus un izmantot # pam-auth-update, lai pārvaldītu citu moduļu izvēli. Sīkāku informāciju skatiet # pam-auth-update (8). # šeit ir paketes moduļu ("Primārā" bloka) parole [panākums = 2 noklusējums = ignorēšana] pam_unix.so neskaidrs sha512
parole [panākumi = 1 user_unknown = ignorēt noklusējumu = die] pam_ldap.so try_first_pass
# šeit ir atkāpšanās, ja nevienam modulim neizdodas paroli pieprasīt pam_deny.so # gruntējiet ar pozitīvu atgriešanās vērtību, ja tādas vēl nav; # tas ļauj mums neatgriezt kļūdu tikai tāpēc, ka nekas nenosaka veiksmes kodu # jo iepriekš minētie moduļi katrs vienkārši leks pa vajadzīgo paroli pam_permit.so # un šeit ir vairāk pakotnes moduļu ("Papildu" bloks) # pam- beigas aut. atjaun. konfigur

Gadījumā, ja mums tas ir vajadzīgs LDAP saglabāto lietotāju vietējā pieteikšanās un mēs vēlamies, lai viņu mapes tiktu izveidotas automātiski mājas, mums ir jārediģē fails /etc/pam.d/common-session un faila beigās pievienojiet šādu rindu:

sesija pēc izvēles pam_mkhomedir.so skel = / etc / skel umask = 077

Iepriekš izstrādātajā OpenLDAP direktorija pakalpojuma piemērā vienīgais vietējais lietotājs, kas tika izveidots, bija lietotājs baumas, savukārt LDAP mēs izveidojam lietotājus soļi, Legolas, Gandalf, Un Bilbo. Ja līdz šim veiktās konfigurācijas ir pareizas, mums jāspēj uzskaitīt vietējie lietotāji un tie, kas kartēti kā lokāli, bet saglabāti attālajā LDAP serverī:

root @ pasts: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Strides: x: 10000: 10000: Strides El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / mājas / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalfs vednis: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Pēc izmaiņām sistēmas autentifikācijā ir derīgi restartēt serveri, ja mēs nesaskaramies ar kritisku pakalpojumu:

root @ mail: ~ # atsāknēšana

Vēlāk mēs sākam vietējo sesiju serverī mail.swl.fan ar lietotāja akreditācijas datiem, kas saglabāti LDAP datu bāzē master.swl.fan. Mēs varam arī mēģināt pieteikties, izmantojot SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
gandalf @ mail parole: direktorija “home / gandalf” izveide. Debian GNU / Linux sistēmā iekļautās programmas ir bezmaksas programmatūra; precīzie katras programmas izplatīšanas noteikumi ir aprakstīti atsevišķos failos mapē / usr / share / doc / * / copyright. Debian GNU / Linux komplektā ietilpst PILNĪGI GARANTIJAS, ciktāl to atļauj piemērojamie tiesību akti.
gandalf @ mail: ~ $ su
Parole:

root @ mail: / home / gandalf # getent grupa
buzz: x: 1001: lietotāji: *: 10000:

root @ mail: / home / gandalf # exit
izeja

gandalf @ mail: ~ $ ls -l / home /
kopā 8 drwxr-xr-x 2 buzz buzz     4096 17. jūnijs 12:25 buzz drwx ------ 2 gandalf lietotāji 4096 17. jūnijs 13:05 gandalf

Direktorija pakalpojums, kas ieviests servera un klienta līmenī, darbojas pareizi.

Kerberos

No Vikipēdijas:

  • Kerberos ir datortīkla autentifikācijas protokols, ko izveidojis MIT kas ļauj diviem datoriem nedrošā tīklā droši apliecināt viens otram savu identitāti. Tās dizaineri vispirms koncentrējās uz klienta-servera modeli, un tas nodrošina savstarpēju autentifikāciju: gan klients, gan serveris pārbauda viens otra identitāti. Autentifikācijas ziņojumi ir aizsargāti, lai tos novērstu noklausīšanās y atkārtot uzbrukumus.

    Kerberos pamatā ir simetriska atslēgas kriptogrāfija, un tai ir nepieciešama uzticama trešā puse. Turklāt protokolam ir paplašinājumi, lai varētu izmantot asimetrisko atslēgu kriptogrāfiju.

    Kerberos pamatā ir Needham-Schroeder protokols. Tajā tiek izmantota uzticama trešā puse, saukta par "Key Distribution Center" (KDC), kas sastāv no divām atsevišķām loģiskām daļām: "Authentication Server" (AS vai Authentication Server) un "biļešu izsniegšanas serveris" (TGS vai Biļešu piešķiršanas serveris). Kerberos strādā, pamatojoties uz "biļetēm", kas kalpo, lai pierādītu lietotāju identitāti.

    Kerberos uztur slepeno atslēgu datu bāzi; Katra tīkla entītija - neatkarīgi no tā, vai tā ir klients vai serveris - koplieto slepeno atslēgu, kas pazīstama tikai pašai un Kerberos. Zināšanas par šo atslēgu kalpo, lai pierādītu entītijas identitāti. Komunikācijai starp divām entītijām Kerberos ģenerē sesijas atslēgu, kuru viņi var izmantot savu problēmu novēršanai.

Kerberos trūkumi

De Ekurēta:

Kaut gan Kerberos novērš kopēju drošības apdraudējumu, to var būt grūti īstenot dažādu iemeslu dēļ:

  • Lietotāju paroļu migrēšana no paroļu standarta datu bāzes UNIX, piemēram, / etc / passwd vai / etc / shadow, Kerberos paroļu datu bāzei, var būt garlaicīgs, un nav ātru mehānismu, lai veiktu šo uzdevumu.
  • Kerberos pieņem, ka katram lietotājam ir uzticība, bet viņš neuzticamā tīklā izmanto neuzticamu mašīnu. Tās galvenais mērķis ir novērst nešifrētu paroļu sūtīšanu pa tīklu. Tomēr, ja jebkuram citam lietotājam, izņemot atbilstošo lietotāju, ir piekļuve biļešu automātam (KDC), lai veiktu autentifikāciju, Kerberos būtu pakļauts riskam.
  • Lai lietojumprogramma varētu izmantot Kerberos, kods ir jāmaina, lai veiktu atbilstošos zvanus uz Kerberos bibliotēkām. Šādi modificētas lietojumprogrammas tiek uzskatītas par kerberizētām. Dažām lietojumprogrammām tas var būt pārmērīgs programmēšanas darbs lietojumprogrammas lieluma vai noformējuma dēļ. Attiecībā uz citām nesaderīgām lietojumprogrammām ir jāveic izmaiņas tīkla servera un tā klientu saziņā; atkal tas var prasīt diezgan daudz programmēšanas. Parasti visproblemātiskākās ir slēgta pirmkoda lietojumprogrammas, kurām nav Kerberos atbalsta.
  • Visbeidzot, ja jūs nolemjat izmantot Kerberos savā tīklā, jums jāapzinās, ka tā ir izvēle par visu vai neko. Ja jūs nolemjat izmantot Kerberos savā tīklā, jums jāatceras, ka, ja kādas paroles tiek nodotas pakalpojumam, kura autentifikācijai neizmanto Kerberos, jūs riskējat, ka pakete var tikt pārtverta. Tādējādi jūsu tīkls negūs nekādu labumu no Kerberos izmantošanas. Lai aizsargātu savu tīklu, izmantojot Kerberos, izmantojiet tikai visu klienta / servera lietojumprogrammu kerberizētās versijas, kas sūta nešifrētas paroles vai neizmanto nevienu no šīm lietojumprogrammām tīklā.

Manuāli ieviest un konfigurēt OpenLDAP kā Kerberos Back-End nav viegls uzdevums. Tomēr vēlāk mēs redzēsim, ka Samba 4 Active Directory - domēna kontrolleris pārredzamā veidā integrējas Sysadmin, DNS serverim, Microsoft tīklam un tā domēna kontrolierim, LDAP serverim kā gandrīz visu tā objektu aizmugurē un Kerberos balstīts autentifikācijas pakalpojums kā Microsoft stila Active Directory pamatkomponenti.

Līdz šim mums nav bijusi vajadzība ieviest "Kerberized Network". Tāpēc mēs nerakstījām par to, kā ieviest Kerberos.

Samba 4 Active Directory - domēna kontrolleris

Svarīgi:

Labākas dokumentācijas par vietni nav wiki.samba.org. Sevis cienošajam Sysadmin vajadzētu apmeklēt šo vietni - angļu valodā - un pārlūkot lielo lapu skaitu, kas pilnībā veltīta Samba 4, un ko sarakstījis pats komandas Samba. Es nedomāju, ka internetā ir pieejama dokumentācija, kas to aizstātu. Starp citu, novērojiet apmeklējumu skaitu, kas atspoguļots katras lapas apakšdaļā. Piemērs tam ir tas, ka tika apmeklēta jūsu galvenā lapa vai «Galvenā lapa» 276,183 līdz šodienai 20. gada 2017. jūnijā plkst. 10 no Austrumu standarta laika. Turklāt dokumentācija tiek ļoti atjaunināta, jo šī lapa tika mainīta 10. jūnijā.

No Vikipēdijas:

Samba ir Microsoft Windows failu koplietošanas protokola (agrāk saukts par SMB, nesen pārdēvēts par CIFS) bezmaksas ieviešana UNIX līdzīgām sistēmām. Tādā veidā ir iespējams, ka datori ar GNU / Linux, Mac OS X vai Unix kopumā izskatās kā serveri vai darbojas kā klienti Windows tīklos. Samba arī ļauj lietotājiem apstiprināt kā primārā domēna kontrolleri (PDC), kā domēna locekli un pat kā Active Directory domēnu Windows balstītiem tīkliem; izņemot iespēju apkalpot drukāšanas rindas, koplietotus direktorijus un autentificēties ar savu lietotāju arhīvu.

Starp Unix līdzīgajām sistēmām, kurās Samba var darboties, starp GNU / Linux izplatījumiem, Solaris un dažādiem BSD variantiem starp ka mēs varam atrast Apple Mac OS X serveri.

Samba 4 AD-DC ar iekšējo DNS

  • Mēs sākam no tīras Debian 8 "Jessie" instalēšanas bez grafiskās saskarnes..

Sākotnējās pārbaudes

root @ master: ~ # resursdatora nosaukums
meistars
root @ master: ~ # resursdatora nosaukums --fqdn
master.swl.fan
root @ master: ~ # ip adrese
1: kas: mtu 65536 qdisc noqueue state Nezināma grupas noklusējuma saite / atgriezeniskā saite 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 darbības joma resursdators lo valid_lft forever prefer_lft forever inet6 :: 1/128 tvēruma resursdators valid_lft forever prefer_lft forever 2: eth0: mtu 1500 qdisc pfifo_fast state Nezināms grupas noklusējums qlen 1000 saite / ēteris 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 darbības joma globālais eth0
       valid_lft uz visiem laikiem prefered_lft uz visiem laikiem inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 darbības joma
root @ master: ~ # cat /etc/resolv.conf
meklēt swl.fan vārda serveri 127.0.0.1
  • Ar kuru mēs paziņojam zaru galvenais tikai tas ir vairāk nekā pietiekami mūsu mērķiem.
root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie galvenais
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / atjauninājumi galvenais

Postfix by Exim un utilītas

root @ master: ~ # aptitude instalējiet postfix htop mc deborphan

  ┌────────────────────────┤ Postfix konfigurācija ├────────────────────── ────┐ │ Izvēlieties sava pasta servera konfigurācijas veidu, kas vislabāk atbilst jūsu │ │ vajadzībām. Configuration │ │ │ Nav konfigurācijas: │ │ Patur pašreizējo konfigurāciju neskartu. │ │ Interneta vietne: │ │ Pasts tiek nosūtīts un saņemts tieši, izmantojot SMTP. │ │ Internets ar "smarthost": │ │ Pasts tiek saņemts tieši, izmantojot SMTP, vai palaižot │ │ rīku, piemēram, "fetchmail". Izejošais pasts tiek nosūtīts, izmantojot smart │ "viedo hostu". │ │ Tikai vietējais pasts: │ │ Vienīgais piegādātais pasts ir paredzēts tikai vietējiem lietotājiem. Nē │ │ ir tīkls. │ │ │ │ Vispārīgs pasta konfigurācijas veids: │ │ │ │ Nav konfigurācijas │ │ Interneta vietne │ │ Internets ar "smarthost" │ │ Satelītu sistēma │ │                         Tikai vietējais pasts                                │ │ │ │ │ │                                     │││││└└────────────────────────────── ─────────────────────────────┘ ┌───────────────────── ─────┤ Postfix konfigurācija ├──────────────────────────┐ mail "Pasta sistēmas nosaukums" ir tā domēna nosaukums, kurš │ │ tiek izmantots, lai "kvalificētu" _ALL_ e-pasta adreses bez domēna nosaukuma. Tas ietver pastu uz un no "root": lūdzu, nelieciet máquina, ka jūsu mašīna sūta e-pastus no root@example.org līdz │ │ mazāk nekā root@example.org prasīja. │ │ │ │ Citas programmas izmantos šo nosaukumu. Tam jābūt unikālam │ │ kvalificētam domēna vārdam (FQDN). │ │ │ │ Tādēļ, ja e-pasta adrese lokālajā mašīnā ir │ │ something@example.org, šīs opcijas pareizā vērtība būs example.org. │ │ │ │ Pasta sistēmas nosaukums: │ │ │ │ master.swl.fan ___________________________________________________________________ │ │ │ │ │││││└└────────────────────────────── ──────────────────────────────┘  

Mēs tīrām

root @ master: ~ # spēju tīrīšana ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # spēja tīra
root @ master: ~ # spēja autoklean

Mēs instalējam prasības, lai apkopotu Samba 4 un citi nepieciešamie iepakojumi

root @ master: ~ # aptitude install acl attr autoconf bison \
build-essential debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-lietotājs libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduļi pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Kerberos autentifikācijas konfigurēšana ├─────────────────┐ │ │ galvenais vai lietotājs, nepaskaidrojot, kuram administratīvajam Kerberos domēnam pieder galvenais │ │, sistēma pārņem noklusējuma │ │ valstību.  Noklusējuma valstību var izmantot arī kā Kerberos pakalpojuma │ running valstību, kas darbojas lokālajā mašīnā.  │ │ Parasti noklusējuma valstība ir vietējā DNS │ │ domēna lielais nosaukums.  Ber │ │ │ Kerberos 5. versijas noklusējuma valstība: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │││││└└──────────────────────────── ───────────────────────────────┘ ┌────────────────┤ Autentifikācijas konfigurēšana Kerberos ├────────────────┐ │ Ievadiet Kerberos serveru nosaukumus Kerberos SWL.FAN valstībā, atdalot tos ar atstarpēm.  │ │ │ │ Kerberos serveri jūsu valstībai: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │││││└└──────────────────────────── ──────────────────────────────┘ ┌────────────────┤ Kerberos ├────────────────┐ │ Ievadiet Kerberos SWL.FAN valstībai administratīvā servera nosaukumu (paroles maiņa).   

Iepriekš minētais process aizņēma mazliet laika, jo mums vēl nav instalēti DNS pakalpojumi. Tomēr faila iestatījumos jūs pareizi izvēlējāties domēnu / Etc / hosts. Atcerieties to failā / Etc / resolv.conf mēs esam deklarējuši kā domēna vārdu serveri IP 127.0.0.1.

Tagad mēs konfigurējam failu / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
PAMATOT dc = swl, dc = ventilatora URI ldap: //master.swl.fan

Vaicājumiem, izmantojot komandu ldapsearch izgatavoti no saknes lietotāja ir šāda veida ldapsearch -x -W cn = xxxx, mums ir jāizveido fails /aknis/.ldapsearc ar šādu saturu:

root @ master: ~ # nano .ldaprc
BINDDN CN = administrators, CN = lietotāji, DC = swl, DC = ventilators

Failu sistēmai jāatbalsta ACL - piekļuves kontroles saraksts

root @ master: ~ # nano / etc / fstab
# / etc / fstab: statiskās failu sistēmas informācija. # # Izmantojiet 'blkid', lai izdrukātu universāli unikālu identifikatoru # ierīcei; to var izmantot ar UUID = kā drošāku veidu, kā nosaukt ierīces #, kas darbojas pat tad, ja tiek pievienoti un noņemti diski. Skatīt fstab (5). # # # / bija ieslēgts / dev / sda1 instalēšanas laikā UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, barjera = 1, noatime, kļūdas = remount-ro 0 1
Instalēšanas laikā # swap bija ieslēgts / dev / sda5

root @ master: ~ # mount -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n user.test -v tests testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# fails: testing_acl.txt user.test = "tests"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# fails: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # īpašnieks: root # grupa: root lietotājs :: rw- group :: r-- group: adm: rwx maska ​​:: rwx other :: r--

Mēs iegūstam Samba 4 avotu, apkopojam un instalējam

Ir ļoti ieteicams lejupielādēt versijas avota failu Stabils no vietnes https://www.samba.org/. Mūsu piemērā mēs lejupielādējam versiju samba-4.5.1.tar.gz uz mapi /izvēlēties.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Konfigurācijas iespējas

Ja mēs vēlamies pielāgot konfigurācijas opcijas, mēs izpildām:

root @ master: /opt/samba-4.5.1# ./configure --help

un ar lielu rūpību atlasiet mums vajadzīgos. Ieteicams pārbaudīt, vai lejupielādēto pakotni var instalēt mūsu izmantotajā Linux izplatīšanā, kas mūsu gadījumā ir Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / Konfigurēt pārbaudīt

Mēs konfigurējam, apkopojam un instalējam samba-4.5.1

  • No iepriekš instalētajām prasībām un 8604 failiem (kas veido kompakto samba-4.5.1.tar.gz), kuru svars ir aptuveni 101.7 megabaiti, ieskaitot avota3 un avota4 mapes, kuru svars ir aptuveni 61.1 megabaits, mēs iegūsim aizstājēju Microsoft stila Active Directory kvalitāte un stabilitāte ir vairāk nekā pieņemama jebkurai ražošanas videi. Mums ir jāuzsver komandas Samba darbs, piegādājot bezmaksas programmatūru Samba 4.

Tālāk norādītās komandas ir klasiskās pakotņu apkopošanai un instalēšanai no to avotiem. Mums jābūt pacietīgiem, kamēr viss process ilgst. Tas ir vienīgais veids, kā iegūt derīgus un pareizus rezultātus.

root @ master: /opt/samba-4.5.1# ./konfigurēt-ar sistēmu --izmantojamie kausi
root @ master: /opt/samba-4.5.1# padarīt
root @ master: /opt/samba-4.5.1# padarīt instalēt

Komandu procesa laikā padarīt, mēs varam redzēt, ka Samba 3 un Samba 4 avoti ir apkopoti. Tāpēc Team Samba apstiprina, ka tā 4. versija ir dabisks 3. versijas atjauninājums gan domēna kontrolleriem, kuru pamatā ir Samba 3 + OpenLDAP, gan failu serveri vai vecākas Samba 4 versijas.

Nodrošina Samba

Mēs izmantosim kā DNS SAMBA_INTERNAL. uz https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End mēs atradīsim vairāk informācijas. Kad viņi mums prasa administratora lietotāja paroli, mums jāievada viena no minimālajām 8 rakstzīmēm, kā arī ar burtiem - lielajiem un mazajiem burtiem - un cipariem.

Pirms turpināt nodrošināšanu un atvieglot dzīvi, mēs pievienojam taka no mūsu failā esošajiem Samba izpildāmajiem failiem .bashrcTad mēs aizveramies un atkal piesakāmies.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: izpilda bash (1) čaulām, kas nav pieteikšanās. # Piezīme: PS1 un umask jau ir iestatīti mapē / etc / profile. Jums tas nevajadzētu #, ja vien nevēlaties atšķirīgus saknes noklusējumus. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Ja vēlaties, lai “ls” tiktu iekrāsots, varat atcelt šīs rindiņas: # export LS_OPTIONS = '- color = auto '# eval "" dircolors "" # alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Vēl daži aizstājvārdi, lai nepieļautu kļūdas: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
paziņot -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # iziet no logout Savienojums ar master ir slēgts. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-tool domēna nodrošinājums --use-rfc2307 --interactive
Valstība [SWL.FAN]: SWL.FAN
 Domēns [SWL]: SWL
 Servera loma (dc, loceklis, savrupais) [dc]: dc
 DNS aizmugure (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NAV) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 DNS ekspeditora IP adrese (ierakstiet “nav”, lai atspējotu pārsūtīšanu) [192.168.10.5]: 8.8.8.8
Administratora parole: Tava parole2017
Atkārtoti ievadiet paroli: Tava parole2017
IPv4 adrešu meklēšana IPv6 adrešu meklēšana Netiks piešķirta IPv6 adrese. Share.ldb iestatīšana secrets.ldb reģistra iestatīšana privilēģiju datu bāzes iestatīšana idmap iestatīšana db SAM iestatīšana db sam.ldb nodalījumu un iestatījumu iestatīšana iestatīšana up sam.ldb rootDSE Samba 4 un AD shēmas iepriekšēja ielāde DomainDN pievienošana: DC = swl, DC = ventilators Konfigurācijas konteinera pievienošana sam.ldb shēmas iestatīšana Sam.ldb konfigurācijas datu iestatīšana Displeja specifikatoru iestatīšana Displeja specifikatoru mainīšana Displeja specifikatoru mainīšana Lietotāju konteinera pievienošana Lietotāju konteinera modificēšana Datoru konteinera pievienošana Datoru konteinera modificēšana Sam.ldb datu iestatīšana Pazīstamu drošības principu iestatīšana Sam.ldb lietotāju un grupu iestatīšana Pašpievienošanās iestatīšana DNS kontu pievienošana CN = MicrosoftDNS, CN = System, DC = swl, DC izveide = ventilators DomainDnsZones un ForestDnsZones nodalījumu izveide DomainDnsZones un ForestDnsZones nodalījumu aizpildīšana Sam.ldb rootDSE marķējuma kā sinhronizēta iestatīšana Noteikšanas GUIDVietnei /usr/local/samba/private/krb4.conf ir izveidota Kerberos konfigurācija, kas piemērota Samba 5, viltus yp servera iestatījumu iestatīšana Kad iepriekš minētie faili ir instalēti, jūsu Samba4 serveris būs gatavs izmantot servera lomu: aktīvā direktorija domēns kontrollera resursdatora nosaukums: galvenais NetBIOS domēns: SWL DNS domēns: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Neaizmirsīsim nokopēt Kerberos konfigurācijas failu, kā norādīts Nodrošināšanas:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Lai komandu neievadītu samba-rīks ar pilnu vārdu mēs izveidojam simbolisku saiti ar īso vārdu instruments:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Mēs instalējam NTP

Būtisks elements Active Directory ir tīkla laika pakalpojums. Tā kā autentifikācija tiek veikta, izmantojot Kerberos un tās biļetes, laika sinhronizācija ar Samba 4 AD-DC ir būtiska.

root @ master: ~ # aptitude instalējiet ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd Statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegenstats file clockstats clock type day enable server 192.168.10.1 ierobežojums -4 noklusējuma kod notrap nomodify nopeer noquery ierobežojums -6 noklusējuma kod notrap nomodify nopeer noquery ierobežojums noklusējuma mssntp ierobežojums 127.0.0.1 ierobežojums :: 1 apraide 192.168.10.255

root @ master: ~ # servisa ntp restartēšana
root @ master: ~ # service ntp statuss

root @ master: ~ # tail -f / var / log / syslog

Ja, pārbaudot syslog izmantojot komandu iepriekš vai izmantojot Journalctl -f mēs saņemam ziņojumu:

19. jūnijs 12:13:21 meistars ntpd_intres [1498]: vecāki nomira, pirms mēs beidzām, izejot

mums ir jārestartē pakalpojums un jāmēģina vēlreiz. Tagad mēs izveidojam mapi ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
Ls: / usr / local / samba / var / lib / ntp_signd nevar piekļūt: nav faila vai direktorija

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Kā pieprasīts vietnē samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 saknes ntp 4096 19. jūnijs 12:21 / usr / local / samba / var / lib / ntp_signd

Mēs konfigurējam Samba sākt izmantot systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Service] Type = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Instalēt] WantedBy = daudzlietotāju.target

root @ master: ~ # systemctl iespējojiet samba-ad-dc
root @ master: ~ # atsāknēšana

root @ master: ~ # systemctl statuss samba-ad-dc
root @ master: ~ # systemctl statuss ntp

Samba 4 AD-DC failu atrašanās vietas

VISI -atskaitot jaunizveidoto samba-ad-dc.service- faili atrodas:

root @ master: ~ # ls -l / usr / local / samba /
kopā 32 drwxr-sr-x 2 sakņu darbinieki 4096 19. jūnijs 11:55 tīne
drwxr-sr-x 2 sakņu personāls 4096 19. jūnija 11:50 uc
drwxr-sr-x 7 sakņu personāls 4096 19. jūnija 11:30 ietvert
drwxr-sr-x 15 sakņu personāls 4096 19. jūnija 11:33 lib
drwxr-sr-x 7 sakņu personāls 4096 19. jūnija 12:40 privāts
drwxr-sr-x 2 sakņu personāls 4096 19. jūnija 11:33 sbin
drwxr-sr-x 5 sakņu personāls 4096 19. jūnija 11:33 akcija
drwxr-sr-x 8 sakņu personāls 4096 19. jūnija 12:28 VAR

vislabākajā UNIX stilā. Vienmēr ieteicams pārlūkot dažādas mapes un izpētīt to saturu.

/Usr/local/samba/etc/smb.conf fails

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Globālie parametri [globālais] netbios nosaukums = MASTER realm = SWL.FAN darbgrupa = SWL dns forwarder = 8.8.8.8 servera pakalpojumi = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , dns servera loma = aktīvais direktorija domēna kontrolleris ļauj DNS atjauninājumus = drošs tikai idmap_ldb: izmantojiet rfc2307 = jā idmap config *: backend = tdb idmap config *: diapazons = 1000000-1999999 ldap serverim ir nepieciešama spēcīga auth = nav printcap nosaukuma = / dev / null [netlogon] ceļš = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Nē [sysvol] ceļš = / usr / local / samba / var / locks / sysvol tikai lasāms = Nē

root @ master: ~ # testparm
Ielādējiet smb konfigurācijas failus no /usr/local/samba/etc/smb.conf Apstrādes sadaļa "[netlogon]" Apstrādes sadaļa "[sysvol]" Ielādēto pakalpojumu fails ir OK. Servera loma: ROLE_ACTIVE_DIRECTORY_DC Nospiediet ievadīšanas taustiņu, lai redzētu pakalpojumu definīciju izmēru # Globālie parametri [globālais] apgabals = SWL.FAN darbgrupa = SWL DNS ekspeditors = 192.168.10.1. Ldap serverim ir nepieciešama spēcīga auth = Nav passdb aizmugures = samba_dsdb servera loma = aktīvs direktorijs domēna kontrolleris rpc_server: tcpip = nav rpc_daemon: spoolssd = iegultais rpc_server: spoolss = iegultais rpc_server: winreg = iegultais rpc_server: ntsvcs = iegultais rpc_server: eventlog = embedded rpc_verver = rcverver : ārējās caurules = true idmap config *: range = 1000000-1999999 idmap_ldb: use rfc2307 = yes idmap config *: backend = tdb karšu arhīvs = Nav kartes tikai lasāms = nav veikala dos atribūtu = Jā vfs objekti = dfs_samba4 acl_xattr [netlogon] ceļš = / usr / local / samba / var / locks / sysvol / swl.fan / scripts only read = Nē [sysvol] ceļš = / usr / local / samba / var / locks / sysvol tikai lasāms = Nē

Minimālas pārbaudes

root @ master: ~ # rīka domēna līmeņa šovs
Domēna un meža funkciju līmenis domēnam 'DC = swl, DC = ventilators' Meža funkciju līmenis: (Windows) 2008 R2 domēna funkciju līmenis: (Windows) 2008 R2 Zemākais līdzstrāvas funkcijas līmenis: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # rīks dbcheck
Pārbauda 262 objektus Pārbauda 262 objektus (0 kļūdas)

root @ master: ~ # kinit administrators
Parole par Administrators@SWL.FAN: 
root @ master: ~ # klist -f
Biļešu kešatmiņa: FILE: / tmp / krb5cc_0
Galvenais noklusējums: Administrators@SWL.FAN

Derīgs sākuma termiņš: beidzas pakalpojuma galvenais 19. 06:17:12 53 24:19:06  krbtgt/SWL.FAN@SWL.FAN
    atjaunot līdz 20. 06:17:12, Karogi: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: akreditācijas datu kešatmiņas fails '/ tmp / krb5cc_0' nav atrasts

root @ master: ~ # smbclient -L localhost -U%
Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Pakalpojums (Samba 4.5.1) Domēns = [SWL] OS = [Windows 6.1] Serveris = [Samba 4.5.1] Servera komentārs --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Ievadiet administratora paroli: domēns = [SWL] OS = [Windows 6.1] serveris = [Samba 4.5.1]. D 0 pirmdien 19. jūnijā 11:50:52 2017 .. D 0 pirmdien 19. jūnijā 11:51:07 2017 19091584 1024. izmēra bloki. Pieejami 16198044 bloki.

root @ master: ~ # rīks dns serverinfo master -U administrators

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan ir SRV ieraksts 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan ir SRV ieraksts 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
master.swl.fan adrese ir 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
swl.fan ir SOA ierakstu master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
servera nosaukuma serveris master.swl.fan.

root @ master: ~ # resursdators -t MX swl.fan
swl.fan nav MX ieraksta

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # rīku lietotāju saraksts
Administrators krbtgt Viesis

root @ master: ~ # rīku grupu saraksts
# Rezultāts ir grupu kopa. ;-)

Mēs pārvaldām tikko instalēto Samba 4 AD-DC

Ja mēs vēlamies mainīt administratora paroles derīguma termiņu dienās; paroļu sarežģītība; minimālais paroles garums; minimālais un maksimālais paroles ilgums dienās; un nomainiet administratora paroli, kas deklarēta Nodrošināšanas, mums ir jāizpilda šādas komandas ar vērtības, kas pielāgotas jūsu vajadzībām:

root @ master: ~ # rīks
Lietošana: samba-tool Galvenais sambas administrēšanas rīks. Opcijas: -h, --help parādīt šo palīdzības ziņojumu un iziet no Versijas opcijas: -V, --version Parādīt versijas numuru Pieejamās apakškomandas: dbcheck - Pārbaudiet, vai vietējā AD datu bāzē nav kļūdu. delegācija - delegācijas vadība. dns - domēna vārdu pakalpojuma (DNS) pārvaldība. domēns - domēna pārvaldība. drs - direktoriju replicēšanas pakalpojumu (DRS) pārvaldība. dsacl - DS ACL manipulācija. fsmo - Elastīgas viena galvenā operācijas (FSMO) lomu pārvaldība. gpo - grupas politikas objekta (GPO) pārvaldība. grupa - grupas vadība. ldapcmp - salīdziniet divas ldap datu bāzes. ntacl - NT ACL manipulācija. procesi - uzskaitīt procesus (lai palīdzētu atkļūdot sistēmās bez setproctitle). rodc - tikai lasāma domēna kontrollera (RODC) pārvaldība. vietnes - vietņu pārvaldība. spn - pakalpojuma galvenā vārda (SPN) vadība. testparm - sintakse pārbauda konfigurācijas failu. laiks - ielādējiet laiku serverī. lietotājs - lietotāju pārvaldība. Lai iegūtu vairāk palīdzības par konkrētu apakškomandu, lūdzu, ierakstiet: samba-tool (-h | --palīdzība)

root @ master: ~ # rīka lietotāja setexpiry administrators --noexpiry
root @ master: ~ # rīka domēna paroles iestatījumu kopa --min-pwd-length = 7
root @ master: ~ # rīka domēna paroļu iestatījumu kopa --min-pwd-age = 0
root @ master: ~ # rīka domēna paroļu iestatījumu kopa --max-pwd-age = 60
root @ master: ~ # rīka lietotāja iestatīts parole --filter = samaccountname = administrators --newpassword = Passw0rD

Mēs pievienojam vairākus DNS ierakstus

root @ master: ~ # rīks dns
Lietošana: samba-tool dns Domēna vārdu pakalpojuma (DNS) pārvaldība. Iespējas: -h, --help parādīt šo palīdzības ziņojumu un iziet no Pieejamās apakškomandas: pievienot - Pievienot DNS ieraksta dzēšanu - Dzēst DNS ieraksta vaicājumu - Vaicāt vārdu. Roothints - vaicājuma saknes padomi. serverinfo - vaicājums par servera informāciju. update - atjaunināt DNS ierakstu zonecreate - izveidot zonu. zonedelete - dzēst zonu. zoneinfo - vaicājums informācijai par zonu. zonelist - vaicājums zonām. Lai iegūtu papildinformāciju par konkrētu apakškomandu, lūdzu, ierakstiet: samba-tool dns (-h | --palīdzība)

Pasta serveris

root @ master: ~ # tool dns master swl.fan mail A 192.168.10.9 -U administrators
root @ master: ~ # tool dns master swl.fan swl.fan MX "mail.swl.fan 10" -U administrators

Fiksēts citu serveru IP

root @ master: ~ # tool dns master swl.fan sysadmin A 192.168.10.1 -U administrators
root @ master: ~ # tool dns add master swl.fan failu serveris 192.168.10.10 -U administrators
root @ master: ~ # tool dns pievieno master swl.fan starpniekserveri 192.168.10.11 -U administrators
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U administrators

Reversā zona

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U administrators
Parole [SWL \ administratoram]: Zona 10.168.192.in-addr.arpa ir veiksmīgi izveidota

root @ master: ~ # rīks dns pievieno master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Administrators
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Administrators
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Administrators
root @ master: ~ # tool dns pievienot master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Administrators
root @ master: ~ # tool dns pievienot master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Administrators
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Administrators

Pārbaudes

root @ master: ~ # rīks dns query master swl.fan mail ALL -U administrators
Parole [SWL \ administratoram]: vārds =, ieraksti = 1, bērni = 0 A: 192.168.10.9 (karodziņi = f0, sērijas = 2, ttl = 900)

root @ master: ~ # resursdatora meistars
master.swl.fan adrese ir 192.168.10.5
root @ master: ~ # resursdatora sysadmin
sysadmin.swl.fan adrese ir 192.168.10.1
root @ master: ~ # resursdatora pasts
mail.swl.fan adrese ir 192.168.10.9
root @ master: ~ # resursdatora tērzēšana
chat.swl.fan adrese ir 192.168.10.12
root @ master: ~ # starpniekserveris
proxy.swl.fan adrese ir 192.168.10.11
root @ master: ~ # resursdatora failu serveris
fileserver.swl.fan ir adrese 192.168.10.10
root @ master: ~ # resursdators 192.168.10.1
1.10.168.192.in-addr.arpa domēna vārda rādītājs sysadmin.swl.fan.
root @ master: ~ # resursdators 192.168.10.5
5.10.168.192.in-addr.arpa domēna vārda rādītājs master.swl.fan.
root @ master: ~ # resursdators 192.168.10.9
9.10.168.192.in-addr.arpa domēna vārda rādītājs mail.swl.fan.
root @ master: ~ # resursdators 192.168.10.10
10.10.168.192.in-addr.arpa domēna vārda rādītājs fileserver.swl.fan.
root @ master: ~ # resursdators 192.168.10.11
11.10.168.192.in-addr.arpa domēna vārda rādītājs proxy.swl.fan.
root @ master: ~ # resursdators 192.168.10.12
12.10.168.192.in-addr.arpa domēna vārda rādītājs chat.swl.fan.

Ziņkārīgajiem

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Mēs pievienojam lietotājus

root @ master: ~ # rīka lietotājs
Lietošana: samba rīka lietotājs Lietotāju pārvaldība. Opcijas: -h, --help parādīt šo palīdzības ziņojumu un iziet no Pieejamās apakškomandas: pievienot - Izveidot jaunu lietotāju. izveidot - izveidot jaunu lietotāju. dzēst - dzēst lietotāju. atspējot - atspējojiet lietotāju. iespējot - iespējot lietotāju. getpassword - iegūstiet lietotāja / datora konta paroles laukus. saraksts - uzskaitiet visus lietotājus. parole - nomainiet paroli lietotāja kontam (autentifikācijā norādītajam). setexpiry - iestatiet lietotāja konta derīguma termiņu. setpassword - iestatiet vai atiestatiet lietotāja konta paroli. syncpasswords - sinhronizēt lietotāju kontu paroli. Lai iegūtu vairāk palīdzības par konkrētu apakškomandu, lūdzu, ierakstiet: samba-tool user (-h | --palīdzība)

root @ master: ~ # rīka lietotājs izveido Trancos Trancos01
Lietotāja 'trancos' izveidošana ir veiksmīga
root @ master: ~ # rīka lietotājs izveido Gandalf Gandalf01
Lietotājs 'gandalf' ir veiksmīgi izveidots
root @ master: ~ # rīka lietotājs izveido Legolas Legolas01
Lietotāja 'legolas' izveidošana ir veiksmīga
root @ master: ~ # rīku lietotāju saraksts
Administrators gandalf legolas soļo krbtgt Viesis

Administrēšana, izmantojot grafisko saskarni vai tīmekļa klientu

Apmeklējiet vietni wiki.samba.org, lai iegūtu detalizētu informāciju par to, kā instalēt Microsoft RSAT o Attālinātā servera administrēšanas rīki. Ja jums nav nepieciešamas klasiskās politikas, kuras piedāvā Microsoft Active Directory, varat instalēt pakotni ldap-konta pārvaldnieks kas piedāvā vienkāršu saskarni administrēšanai, izmantojot tīmekļa pārlūku.

Programmas Microsoft attālā servera administrēšanas rīki (RSAT) programma ir iekļauta operētājsistēmās Windows Server.

Mēs pievienojam domēnu Windows 7 klientam ar nosaukumu "septiņi"

Tā kā mums tīklā nav DHCP servera, vispirms ir jākonfigurē klienta tīkla karte ar fiksētu IP, jāpaziņo, ka primārais DNS būs samba-ad-dcun pārbaudiet, vai ir aktivizēta opcija "Reģistrēt šī savienojuma adresi DNS". Nav dīkstāvē pārbaudīt, vai nosaukums «septiņi»Vēl nav reģistrēts Samba iekšējā DNS.

Pēc datora pievienošanas domēnam un restartēšanas mēģināsim pieteikties ar lietotāju «soļi«. Mēs pārbaudīsim, vai viss darbojas labi. Ieteicams arī pārbaudīt Windows klienta žurnālus un pārbaudīt, kā laiks tiek pareizi sinhronizēts.

Administratori ar zināmu Windows pieredzi atradīs, ka jebkura klienta pārbaude sniegs apmierinošus rezultātus.

Kopsavilkums

Espero que sea útil el artículo a los lectores de la Comunidad DesdeLinux.

Uz redzēšanos!


8 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Gonzalo Martinez teica

    Garš, bet detalizēts raksts, ļoti labs soli pa solim, kā visu izdarīt.

    Es uzsveru NIS, patiesība ir tāda, ka, lai arī es zinu par tā pastāvēšanu, es nekad īsti nezināju, kā tas darbojas, jo, godīgi sakot, tas man vienmēr radīja iespaidu, ka tas praktiski ir miris blakus LDAP un Samba 4.

    PS: Apsveicam ar jauno personīgo projektu! Žēl, ka tu šeit negribi turpināt rakstīt, bet vismaz ir vieta, kur tev sekot.

  2.   HO2Gi teica

    Milzīga apmācība kā vienmēr maniem izlases veidiem, sveiciens Fico.
    Apsveicu ar projektu.

  3.   IWO teica

    NIS sadaļa ir lieliska, es jūtu līdzi Gonzalo Martinezam, es to īsi zināju, bet nebija ne jausmas, kā to īstenot un kādās situācijās to izmanto.
    Vienreiz paldies par milzīgu teorētiskā un praktiskā raksta "bagāžnieku".
    Visbeidzot jauni panākumi jūsu jaunajā projektā «gigainside».

  4.   Federico teica

    Liels paldies visiem par komentāriem !!!.
    Sveicieni

  5.   musols teica

    jūsu iemācītajam smb.conf nav nekādas saiknes ar LDAP, vai tas tā ir ar nolūku, vai es kaut ko atstāju?

  6.   phico teica

    mussol: Šis ir Samba 4 Active Directory domēna kontrolleris, kuram jau ir iebūvēts LDAP serveris.

  7.   Vincent teica

    Vai jūs varētu komentēt, kā apvienot mac (ābolu) ar samba 4 AD-DC?
    Paldies.

  8.   jramirez teica

    Kā tev iet;

    Paldies par rokasgrāmatu, tā ir lieliska. Man ir jautājums par ziņojumu, kas man parādās.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Neizdevās atrisināt norādīto resursdatora nosaukumu / IP: ad.rjsolucionessac.com. Ņemiet vērā, ka jūs nevarat izmantot stila IP diapazonus '/ mask' AND '1-4,7,100-'
    Nevar atrast derīgu mērķi. Lūdzu, pārliecinieties, vai norādītie resursdatori ir vai nu IP adreses standarta pierakstā, vai arī saimniekdatoru nosaukumi, kurus var atrisināt ar DNS
    sakne @ AD: ~ #