Siete PAM, NIS, LDAP, Kerberos, DS a Samba 4 AD-DC - SMB

Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod

Ahojte priatelia a priatelia!

Týmto článkom sa lúčim s Komunitou DesdeLinux. Špeciálna rozlúčka pre špeciálnu komunitu. Odteraz budem v mojom osobnom projekte, ktorý môžete vidieť na http://www.gigainside.com.

Hlavným cieľom príspevku je ponúknuť «Veľký obraz»O autentifikačných službách so slobodným softvérom, ktoré máme k dispozícii. Aspoň to je náš zámer. Preto to bude trvať dlho, napriek tomu, že vieme, že je to proti všeobecným pravidlám písania článkov. Dúfame, že to správcovia systému ocenia.

Chceme zdôrazniť, že spoločným protokolom pre mnoho moderných autentifikačných systémov je protokol LDAP, a že nie je nečinné starostlivo si ju preštudovať na základe študijného materiálu, ktorý nájdeme na oficiálnej stránke http://www.openldap.org/.

Nebudeme uvádzať podrobné definície - ani odkazy - na aspekty, ktoré sú obsiahnuté v predchádzajúcich článkoch, ani na tie, ktorých popis je ľahko prístupný na Wikipédii alebo na iných stránkach alebo v článkoch na internete, aby sme nestratili objektivitu správy, ktorú chceme dať. Použijeme tiež platnú kombináciu mien v angličtine a španielčine, pretože si myslíme, že väčšina systémov sa narodila s menami v angličtine a pre Sysadmina je veľmi prospešné ich asimilovať v pôvodnom jazyku.

• PAM: Zásuvný autentifikačný modul.
• NIS: Network_Information_Service.
• LDAP: Ľahký adresárový prístupový protokol.
• Kerberos: Bezpečnostný protokol na autentifikáciu používateľov, počítačov a služieb centrálne v sieti, overovanie ich poverení proti existujúcim položkám v databáze Kerberos.
• DS: Adresárový server alebo adresárová služba
• AD–DC: Active Directory - Domain Controler

PAM

Tomuto typu lokálneho overovania venujeme malú sériu, o ktorej v každodennej praxi uvidíte, že je veľmi rozšírená, napríklad keď sa pripájame k pracovnej stanici k radiču domény alebo k Active Directory; mapovať používateľov uložených v externých databázach LDAP, akoby to boli miestni používatelia; na mapovanie používateľov uložených v radiči domény v službe Active Directory, akoby to boli miestni používatelia atď.

• Squid + PAM autentifikácia na CentOS 7.
• Správa miestnych používateľov a skupín
• Autoritatívny server DNS NSD + Shorewall
• Prozódie IM a miestni používatelia
• Postfix + Dovecot + Squirrelmail a miestni používatelia
  

NIS

De Wikipedia:

• Network Information System (známy pod skratkou NIS, čo v španielčine znamená Network Information System) je názov protokolu adresárových služieb klient-server vyvinutý spoločnosťou Sun Microsystems na odosielanie konfiguračných údajov v distribuovaných systémoch, ako sú mená používateľov a hostiteľov medzi počítačmi v sieti.NIS je založený na ONC RPC a skladá sa zo servera, knižnice na strane klienta a rôznych nástrojov na správu.

  Pôvodne sa NIS nazýval Zlaté stránky (YP) alebo YP, ktoré sa ním dodnes označujú. Toto meno je, bohužiaľ, ochrannou známkou spoločnosti British Telecom, ktorá požadovala od spoločnosti Sun toto meno. YP však zostáva predponou v názvoch väčšiny príkazov súvisiacich s NIS, ako napríklad ypserv a ypbind.

  DNS poskytuje obmedzený rozsah informácií, najdôležitejšou je korešpondencia medzi názvom uzla a IP adresou. Pre ďalšie typy informácií neexistuje žiadna takáto špecializovaná služba. Na druhej strane, ak spravujete iba malú sieť LAN bez internetového pripojenia, zdá sa, že nastavenie DNS sa neoplatí. Preto spoločnosť Sun vyvinula Sieťový informačný systém (NIS). NIS poskytuje funkcie všeobecného prístupu do databázy, ktoré sa dajú použiť na distribúciu napríklad informácií obsiahnutých v hesle passwd a zoskupení do všetkých uzlov v sieti. Vďaka tomu vyzerá sieť ako jediný systém s rovnakými účtami na všetkých uzloch. Podobne možno NIS použiť na distribúciu informácií o názvoch uzlov obsiahnutých v priečinku / etc / hosts na všetky počítače v sieti.

  Dnes je NIS k dispozícii prakticky vo všetkých distribúciách Unixu a existujú dokonca aj bezplatné implementácie. BSD Net-2 zverejnil ten, ktorý bol odvodený od verejnej referenčnej implementácie darovanej spoločnosťou Sun. Knižničný kód pre klientskú časť tejto verzie existuje v libc GNU / Linux už dlho a administračné programy do GNU / Linux preniesol Swen Thümmler. Od referenčnej implementácie však chýba server NIS.

  Peter Eriksson vyvinul novú implementáciu s názvom NYS. Podporuje základné NIS aj vylepšenú verziu Sun NIS +. [1] NYS poskytuje nielen množstvo nástrojov NIS a server, ale pridáva aj úplne novú sadu knižničných funkcií, ktoré musíte skompilovať do svojho libc, ak ich chcete používať. Zahŕňa to novú konfiguračnú schému na rozlíšenie názvu uzla, ktorá nahrádza súčasnú schému používanú v súbore „host.conf“.

  GNU libc, v komunite GNU / Linux známy ako libc6, obsahuje aktualizovanú verziu tradičnej podpory NIS vyvinutú Thorstenom Kukukom. Podporuje všetky knižničné funkcie poskytované NYS a tiež využíva pokročilú konfiguračnú schému NYS. Nástroje a server sú stále potrebné, ale použitie GNU libc šetrí problémy s opravou a prekompilovaním knižnice

  .

Názov počítača a domény, sieťové rozhranie a prekladač

• Začíname od čistej inštalácie - bez grafického rozhrania - systému Debian 8 „Jessie“. Doména swl.fan znamená „Fanúšikovia slobodného softvéru“. Aké lepšie meno ako toto?.

root @ master: ~ # názov hostiteľa
majster
root @ master: ~ # názov hostiteľa -f
majster.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc stav fronty NEZNÁMY skupina predvolené prepojenie / spätná väzba 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 rozsah hostiteľa lo valid_lft navždy preferovaný_lft navždy inet6 :: Hostiteľ 1/128 rozsahu valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state UP skupina default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 rozsah global eth0 valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 rozsah odkazu valid_lft navždy preferovaný_lft navždy

root @ master: ~ # mačka /etc/resolv.conf 
prehľadať swl.fan nameserver 127.0.0.1

Inštalácia serverov bind9, isc-dhcp-server a ntp

viazať9

root @ master: ~ # aptitude install bind9 bind9-doc nmap
root @ master: ~ # systemctl status bind9

root @ master: ~ # nano /etc/bind/named.conf
zahrnúť "/etc/bind/named.conf.options"; zahrnúť „/etc/bind/named.conf.local“; zahrnúť "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
možnosti {adresár "/ var / cache / bind"; // Ak medzi vami a mennými servermi, s ktorými chcete // hovoriť, je brána firewall, možno budete musieť bránu firewall opraviť, aby mohla hovoriť viac portov //. Pozri http://www.kb.cert.org/vuls/id/800113

        // Ak váš ISP poskytol jednu alebo viac adries IP pre stabilné // menné servery, pravdepodobne ich chcete použiť ako servery na preposielanie. // Odkomentujte nasledujúci blok a vložte adresy, ktoré nahradia // zástupný symbol all-0. // lesné traktory {// 0.0.0.0; //}; // ================================================ = ===================== $ // Ak program BIND zaznamená chybové správy o uplynutí platnosti koreňového kľúča, // budete musieť svoje kľúče aktualizovať. Pozri https://www.isc.org/bind-keys
        // ================================================= ===================== $ // Nechceme DNSSEC
        dnssec-povoliť nie;
        // dnssec-validation auto; auth-nxdomain no; # vyhovuje RFC1035 listen-on-v6 {any; }; // Pre kontroly od localhost a sysadmin // cez dig swl.fan axfr // Nemáme Slave DNS ... až doteraz
        allow-transfer {localhost; 192.168.10.1; };
}; root @ master: ~ # named-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Zdieľaný adresný priestor (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 a 6303)
zóna "254.169.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// Priradenia protokolu IETF (RFC 5735 a 5736)
zóna "0.0.192.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// TEST-NET- [1-3] pre dokumentáciu (RFC 5735, 5737 a 6303)
zóna "2.0.192.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "100.51.198.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "113.0.203.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// Príklad rozsahu IPv6 pre dokumentáciu (RFC 3849 a 6303)
zóna "8.bd0.1.0.0.2.ip6.arpa" {typ hlavný; súbor "/etc/bind/db.empty"; };

// Názvy domén pre dokumentáciu a testovanie (BCP 32)
zóna "test" {typ majster; súbor "/etc/bind/db.empty"; }; zóna „priklad“ {typ master; súbor "/etc/bind/db.empty"; }; zóna "neplatná" {typ hlavný; súbor "/etc/bind/db.empty"; }; zóna "example.com" {typ master; súbor "/etc/bind/db.empty"; }; zóna "example.net" {typ master; súbor "/etc/bind/db.empty"; }; zóna "example.org" {typ master; súbor "/etc/bind/db.empty"; };

// Testovacie testy smerovača (RFC 2544 a 5735)
zóna "18.198.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "19.198.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// IANA vyhradené - Starý priestor triedy E (RFC 5735)
zóna "240.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "241.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "242.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "243.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "244.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "245.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "246.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "247.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "248.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "249.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "250.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "251.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "252.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "253.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "254.in-addr.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// Nepriradené adresy IPv6 (RFC 4291)
zóna "1.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "3.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "4.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "5.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "6.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "7.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "8.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "9.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "a.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "b.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "c.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "d.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "e.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "0.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "1.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "2.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "3.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "4.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "5.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "6.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "7.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "8.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "9.f.ip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "afip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "bfip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "0.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "1.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "2.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "3.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "4.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "5.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "6.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "7.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// IPv6 ULA (RFC 4193 a 6303)
zóna "cfip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "dfip6.arpa" {typ master; súbor "/etc/bind/db.empty"; };

// Lokálny odkaz IPv6 (RFC 4291 a 6303)
zóna "8.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "9.efip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "aefip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "befip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// Miestne lokálne adresy nepodporované protokolom IPv6 (RFC 3879 a 6303)
zóna "cefip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "defip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "eefip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; }; zóna "fefip6.arpa" {typ majster; súbor "/etc/bind/db.empty"; };

// IP6.INT je zastaraný (RFC 4159)
zóna "ip6.int" {typ majster; súbor "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Tu môžete vykonať ľubovoľnú lokálnu konfiguráciu // // // Zvážte, či sem môžete pridať zóny 1918, ak sa nepoužívajú vo vašej // organizácii, vrátane „/etc/bind/zones.rfc1918“;
zahrnúť "/etc/bind/zones.rfcFreeBSD";

// Deklarácia názvu, typu, umiestnenia a oprávnenia na aktualizáciu // zón záznamu DNS // Obidve zóny sú hlavnou zónou „swl.fan“ {type master; súbor "/var/lib/bind/db.swl.fan"; }; zóna "10.168.192.in-addr.arpa" {typ majster; súbor "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # named-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálne alebo; Negatívny čas uloženia do vyrovnávacej pamäte; @ IN NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT „Pre fanúšikov slobodného softvéru“; sysadmin IN A 192.168.10.1 súborový server IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálne alebo; Negatívny čas na uloženie do pamäte cache; @ IN NS master.swl.fan. ; 1 V PTR sysadmin.swl.fan. 4 V PTR fileserver.swl.fan. 5 V PTR master.swl.fan. 6 V PTR proxyweb.swl.fan. 7 V PTR blog.swl.fan. 8 V PTR ftpserver.swl.fan. 9 V PTR mail.swl.fan.

root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
zóna swl.fan/IN: načítaný rad 1 OK
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zóna 10.168.192.in-addr.arpa/IN: načítaný rad 1 OK

root @ master: ~ # named-checkconf -zp
root @ master: ~ # systemctl restart bind9.service
root @ master: ~ # systemctl status bind9.service

Kontroly Bind9

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig V SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb hostiteľ root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Počiatočná dávka Nping 0.6.47 ( http://nmap.org/nping ) o 2017-05-27 09:32 EDT SENT (0.0037 s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Minimálna adresa: N / A | Priemerná hodnota: N / A Odoslané surové pakety: 84 (0B) | Rcvd: 0 (3B) | Stratené: 100.00 (1%) Nping hotový: 3.01 adresa IP pingovaná za XNUMX sekundy 

ISC-dhcp-server

root @ master: ~ # aptitude nainštalujte server isc-dhcp
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Na akých rozhraniach by mal server DHCP (dhcpd) slúžiť požiadavkám DHCP? # Oddeľte viac rozhraní medzerami, napr. „Eth0 eth1“.
ROZHRANIA = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.privátne 
Formát súkromného kľúča: v1.3 Algoritmus: 157 (HMAC_MD5) Kľúč: Ba9GVadq4vOCixjPN94dCQ == Bity: AAA = Vytvorené: 20170527133656 Zverejniť: 20170527133656 Aktivovať: 20170527133656

root @ master: ~ # nano dhcp.key
kľúč dhcp-kľúč {
        algoritmus hmac-md5;
        tajomstvo “Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
zahrnúť "/etc/bind/dhcp.key";

zóna "swl.fan" {typ majster; súbor "/var/lib/bind/db.swl.fan";
        allow-update {key dhcp-key; };
}; zóna "10.168.192.in-addr.arpa" {typ majster; súbor "/var/lib/bind/db.10.168.192.in-addr.arpa";
        allow-update {key dhcp-key; };
};

root @ master: ~ # named-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
dočasný štýl ddns-update; aktualizácie ddns; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovať aktualizácie klientov; update-optimization false; # Môže byť požadované v Debiane autoritatívne; možnosť presmerovania ip vypnutá; možnosť názov-domény "swl.fan"; zahrnúť "/etc/dhcp/dhcp.key"; zóna swl.fan. {primárne 127.0.0.1; kľúč dhcp-kľúč; } zóna 10.168.192.in-addr.arpa. {primárne 127.0.0.1; kľúč dhcp-kľúč; } redlocal zdieľanej siete {subnet 192.168.10.0 netmask 255.255.255.0 {option routery 192.168.10.1; voliteľná maska ​​podsiete 255.255.255.0; možnosť vysielacia adresa 192.168.10.255; možnosť domain-name-servery 192.168.10.5; možnosť netbios-name-servery 192.168.10.5; možnosť ntp-servery 192.168.10.5; voliteľné časové servery 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Konsorcium internetových systémov DHCP 4.3.1 Autorské práva 2004-2014 Konsorcium internetových systémov. Všetky práva vyhradené. Informácie nájdete na stránke https://www.isc.org/software/dhcp/
Konfiguračný súbor: /etc/dhcp/dhcpd.conf Databázový súbor: /var/lib/dhcp/dhcpd.lease PID súbor: /var/run/dhcpd.pid

root @ master: ~ # systemctl restart bind9.service 
root @ master: ~ # systemctl status bind9.service 

root @ master: ~ # systemctl start isc-dhcp-server.service
root @ master: ~ # systemctl status isc-dhcp-server.service

ntp

root @ master: ~ # aptitude nainštalovať ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift štatistika loopstats peerstats clockstats filegen loopstats súbor loopstats typ deň povoliť filegen peerstats súbor peerstats typ deň povoliť filegen clockstats súbor clockstats typ deň povoliť server 192.168.10.1 obmedziť -4 predvolené kod notrap nomodify nopeer žiadny dotaz obmedziť -6 predvolený kod notrap nomodify nopeer dopyt obmedziť 127.0.0.1 obmedziť :: 1 vysielanie 192.168.10.255

root @ master: ~ # systemctl reštart ntp.service 
root @ master: ~ # systemctl status ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27. mája 10:04:01 ntpdate [18769]: upraviť časový server 192.168.10.1 posun 0.369354 s

Globálna kontrola serverov ntp, bind9 a isc-dhcp

Z klienta s operačným systémom Linux, BSD, Mac OS alebo Windows skontrolujte, či je čas správne synchronizovaný. Že získava dynamickú IP adresu a že meno tohto hostiteľa je riešené priamym a reverzným DNS dotazom. Zmeňte meno zákazníka a vykonajte všetky kontroly znova. Pokračujte, až keď si budete istí, že doteraz nainštalované služby fungujú správne. Pre niečo sme napísali všetky články o DNS a DHCP Počítačové siete pre malé a stredné podniky.

Inštalácia servera NIS

root @ master: ~ # aptitude show nis
Konflikty s: netstd (<= 1.26) Popis: klienti a démoni pre sieťovú informačnú službu (NIS) Tento balík poskytuje nástroje na zriadenie a údržbu domény NIS. Služba NIS, pôvodne známa ako Zlaté stránky (YP), sa väčšinou používa na to, aby niekoľko počítačov v sieti zdieľalo rovnaké informácie o účte, napríklad súbor s heslom.

root @ master: ~ # aptitude install nis
Konfigurace balíčku ┌──────────────────────────┤┤ Konfigurace Nis ├─────────────────── ── ─────────┐ │ Vyberte pre tento systém „názov domény“ NIS. Ak chcete, aby bol tento počítač iba klientom, mali by ste zadať názov domény NIS │ │, ku ktorej sa chcete pripojiť. │ │ │ │ Alternatívne, ak má byť týmto strojom server NIS, môžete │ │ zadať nový „názov domény“ NIS alebo názov existujúcej domény NIS │ │. Domain │ │ │ NIS doména: │ │ │ │ swl.fan __________________________________________________________________________ │ │ │ │ │ │ │ └─────────τ - - - - - - - - - - - - - - - - - - - - Podozrite sa.  

To oneskorí vašu, pretože konfigurácia služby ako taká neexistuje. Počkajte prosím, kým sa proces neskončí.

root @ master: ~ # nano / etc / default / nis
# Sme server NIS a ak áno, aký druh (hodnoty: false, slave, master)?
NISSERVER = pán

root @ master: ~ # nano /etc/ypserv.securenets # securenets Tento súbor definuje prístupové práva k vášmu serveru NIS # pre klientov NIS (a podriadené servery - ypxfrd používa aj tento # súbor). Tento súbor obsahuje páry sieťová maska ​​/ sieť. # Adresa IP klienta sa musí zhodovať s aspoň jedným z nich. # # Jeden môže použiť slovo „hostiteľ“ namiesto sieťovej masky # 255.255.255.255. V tomto # súbore sú povolené iba adresy IP, nie názvy hostiteľov. # # Vždy povoliť prístup pre localhost 255.0.0.0 127.0.0.0 # Tento riadok umožňuje prístup všetkým. PROSÍM ÚPRAVU! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Mali by sme zlúčiť súbor passwd so súborom tieňov? # MERGE_PASSWD = true | false
MERGE_PASSWD = pravda

# Mali by sme zlúčiť skupinový súbor so súborom gshadow? # MERGE_GROUP = true | false
MERGE_GROUP = pravda

Budujeme databázu NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
V tomto okamihu musíme zostaviť zoznam hostiteľov, ktorí budú spúšťať servery NIS. master.swl.fan je v zozname hostiteľov servera NIS. Pokračujte v pridávaní mien ďalších hostiteľov, jedného na každý riadok. Po dokončení zoznamu zadajte a . ďalší hostiteľ na pridanie: master.swl.fan ďalší hostiteľ na pridanie: Aktuálny zoznam serverov NIS vyzerá takto: master.swl.fan Je to správne? [y / n: y] Potrebujeme niekoľko minút na vytvorenie databáz ... urobiť [1]: Odchod z adresára „/var/yp/swl.fan“ master.swl.fan bol nastavený ako hlavný server NIS . Teraz môžete spustiť ypinit -s master.swl.fan na všetkých podradených serveroch.

root @ master: ~ # systemctl restart nis
root @ master: ~ # systemctl status nis

Pridávame miestnych používateľov

root @ master: ~ # adduser bilbo
Pridanie používateľa `bilbo '... Pridanie novej skupiny` bilbo' (1001) ... Pridanie nového používateľa` bilbo '(1001) so skupinou` bilbo' ... Vytvorenie domovského adresára `/ home / bilbo ' ... Kopírovanie súborov z `/ etc / skel '... Zadajte nové heslo systému UNIX: Zadajte nové heslo systému UNIX: heslo: heslo bolo správne aktualizované Zmena informácií o používateľovi pre bilbo Zadajte novú hodnotu alebo použite kláves ENTER predvolené celé meno []: Bilbo Bagins číslo izby []: pracovný telefón []: domáci telefón []: iné []: sú informácie správne? [Á / N]

root @ master: ~ # adduser kroky root @ master: ~ # adduser legolas

a tak ďalej.

root @ master: ~ # prstové legoly
Prihlásenie: legolas Meno: Legolas Archer Adresár: / home / legolas Shell: / bin / bash Nikdy neprihlásený. Žiadna pošta. Žiadny plán.

Aktualizujeme databázu NIS

root @ master: / var / yp # značka
make [1]: Vstup do adresára '/var/yp/swl.fan' Aktualizácia passwd.byname ... Aktualizácia passwd.byuid ... Aktualizácia group.byname ... Aktualizácia group.bygid ... Aktualizácia netid.byname. .. Aktualizuje sa shadow.byname ... Ignorované -> zlúčené s passwd make [1]: Odchod z adresára '/var/yp/swl.fan'

Pridávame možnosti NIS na server isc-dhcp

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
dočasný štýl ddns-update; aktualizácie ddns; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovať aktualizácie klientov; update-optimization false; smerodajný; možnosť presmerovania ip vypnutá; možnosť názov-domény "swl.fan"; zahrnúť "/etc/dhcp/dhcp.key"; zóna swl.fan. {primárne 127.0.0.1; kľúč dhcp-kľúč; } zóna 10.168.192.in-addr.arpa. {primárne 127.0.0.1; kľúč dhcp-kľúč; } redlocal zdieľanej siete {subnet 192.168.10.0 netmask 255.255.255.0 {option routery 192.168.10.1; voliteľná maska ​​podsiete 255.255.255.0; možnosť vysielacia adresa 192.168.10.255; možnosť domain-name-servery 192.168.10.5; možnosť netbios-name-servery 192.168.10.5; možnosť ntp-servery 192.168.10.5; voliteľné časové servery 192.168.10.5;
                možnosť nis-doména "swl.fan";
                možnosť nis-servery 192.168.10.5;
                rozsah 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl reštart isc-dhcp-server.service

Inštalácia klienta NIS

• Začíname od čistej inštalácie - bez grafického rozhrania - systému Debian 8 „Jessie“.

root @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip adresa
2: eth0: mtu 1500 qdisc pfifo_fast state UP skupina default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 rozsah global eth0

root @ mail: ~ # aptitude nainštalovať nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Konfiguračný súbor pre proces ypbind. Tu môžete manuálne definovať # serverov NIS, ak ich nemožno nájsť # vysielaním v lokálnej sieti (čo je predvolené nastavenie). # # Syntax tohto súboru nájdete na manuálnej stránke ypbind. # # DÔLEŽITÉ: Pre „ypserver“ použite IP adresy alebo sa uistite, že # hostiteľ je v / etc / hosts. Tento súbor je interpretovaný # raz, a ak DNS nie je dosiahnuteľný, ypserver sa nedá # vyriešiť a ypbind sa nikdy neviaže na server. # ypserver ypserver.network.com ypserver master.swl.fan doména swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Príklad konfigurácie funkčnosti prepínača GNU Name Service Switch. # Ak máte nainštalované balíčky `glibc-doc-reference 'a` info', skúste: #` info libc "Názov prepínača služieb" ', kde nájdete informácie o tomto súbore. passwd: kompatibilná skupina nis: kompatibilná nis tieň: kompatibilná nis gshadow: súbory hostitelia: súbory dns nis siete: súbory protokoly: db súbory služby: db súbory étery: db súbory rpc: db súbory netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) pre viac informácií.
relácia voliteľná pam_mkhomedir.so skel = / etc / skel umask = 077
# tu sú moduly na balík (blok „Primárne“)

root @ mail: ~ # systemctl status nis
root @ mail: ~ # systemctl restart nis

Ukončíme reláciu a začneme ju znova, ale s používateľom zaregistrovaným v databáze NIS na adrese majster.swl.fan.

root @ mail: ~ # ukončiť
odhlásenie Pripojenie k pošte ukončené.

buzz @ sysadmin: ~ $ ssh legolas @ mail
legolas @ mail heslo: Vytvára sa adresár '/ home / legolas'. Programy zahrnuté v systéme Debian GNU / Linux sú slobodný softvér; presné podmienky distribúcie pre každý program sú opísané v jednotlivých súboroch v priečinku / usr / share / doc / * / copyright. Debian GNU / Linux prichádza S ABSOLÚTNE ŽIADNOU ZÁRUKOU, v rozsahu povolenom platným zákonom.
legolas @ mail: ~ $ pwd
/ domov / legolas
legolas @ mail: ~ $ 

Meníme heslo používateľa legolas a kontrolujeme

legolas @ mail: ~ $ yppasswd 
Zmena informácií o účte NIS pre legolas na master.swl.fan. Zadajte staré heslo: legolas Zmena hesla NIS pre legolas na master.swl.fan. Zadajte nové heslo: archer Heslo musí obsahovať veľké aj malé písmená alebo iné písmená. Zadajte nové heslo: Arquero2017 Zadajte nové heslo: Arquero2017 Heslo NIS bolo zmenené na adrese master.swl.fan.

legolas @ mail: ~ $ výstup
odhlásenie Pripojenie k pošte ukončené.

buzz @ sysadmin: ~ $ ssh legolas @ mail
heslo legolas @ mail: Arquero2017

Programy zahrnuté v systéme Debian GNU / Linux sú slobodný softvér; presné podmienky distribúcie pre každý program sú opísané v jednotlivých súboroch v priečinku / usr / share / doc / * / copyright. Debian GNU / Linux prichádza S ABSOLÚTNE ŽIADNOU ZÁRUKOU, v rozsahu povolenom platným zákonom. Posledné prihlásenie: So 27. mája 12:51:50 2017 zo stránky sysadmin.swl.fan
legolas @ mail: ~ $

Služba NIS implementovaná na úrovni servera a klienta funguje správne.

LDAP

Z Wikipédie:

• LDAP je skratka pre Lightweight Directory Access Protocol (v španielčine Lightweight Directory Access Protocol), ktorá označuje protokol na úrovni aplikácie, ktorý umožňuje prístup k objednanej a distribuovanej adresárovej službe na vyhľadávanie rôznych informácií v sieti prostredia. LDAP sa tiež považuje za databázu (aj keď sa jej úložný systém môže líšiť), na ktorú je možné dopytovať.Adresár je skupina objektov s atribútmi usporiadanými logickým a hierarchickým spôsobom. Najbežnejším príkladom je telefónny zoznam, ktorý sa skladá zo série mien (osôb alebo organizácií) usporiadaných podľa abecedy, pričom každé meno má priradenú adresu a telefónne číslo. Pre lepšie pochopenie je to kniha alebo priečinok, v ktorom sú napísané mená, telefónne čísla a adresy ľudí a sú zoradené abecedne.

  Strom adresárov LDAP niekedy odráža rôzne politické, geografické alebo organizačné hranice v závislosti od zvoleného modelu. Súčasné nasadenia LDAP majú tendenciu používať názvy systémov DNS (Domain Name System) na štruktúrovanie vyšších úrovní hierarchie. Pri prechode nadol v adresári sa môžu zobraziť položky, ktoré predstavujú ľudí, organizačné jednotky, tlačiarne, dokumenty, skupiny ľudí alebo čokoľvek, čo predstavuje danú položku v strome (alebo viac položiek).

  Spravidla ukladá autentifikačné informácie (používateľ a heslo) a slúži na autentifikáciu, aj keď je možné ukladať ďalšie informácie (kontaktné údaje používateľa, umiestnenie rôznych sieťových zdrojov, oprávnenia, certifikáty atď.). Stručne povedané, LDAP je protokol zjednoteného prístupu k množine informácií v sieti.

  Aktuálna verzia je LDAPv3 a je definovaná v RFC RFC 2251 a RFC 2256 (základný dokument LDAP), RFC 2829 (metóda autentifikácie pre LDAP), RFC 2830 (rozšírenie pre TLS) a RFC 3377 (technická špecifikácia)

  .

DlhoProtokol LDAP - a jeho databázy kompatibilné alebo nekompatibilné s OpenLDAP - je dnes najpoužívanejší vo väčšine autentifikačných systémov. Ako príklad predchádzajúceho vyhlásenia uvádzame niektoré názvy systémov - zadarmo alebo súkromne -, ktoré používajú databázy LDAP ako backend na ukladanie všetkých svojich objektov:

• OpenLDAP
• Adresárový server Apache
• Red Hat Directory Server - 389 DS
• Novell Directory Services - eDirectory
• SUN Microsystems Open DS
• Red Hat Identity Manager
• Freepa
• Klasický radič domény Samba NT4.
  Chceme objasniť, že tento systém bol vývojom tímu Samba so spoločnosťou Samba 3.xxx + OpenLDAP as backend. Microsoft nikdy nič podobné neimplementoval. Prechod z radičov domény NT 4 do ich aktívnych adresárov
• Samba 4 Active Directory - ovládač domény
• ClearOS
• zentyal
• UCS Uninvention Corporate Server
• Microsoft Active Directory

Každá implementácia má svoje vlastné charakteristiky a najštandardnejšia a najkompatibilnejšia je verzia OpenLDAP.

Active Directory, či už pôvodný Microsoft alebo Samba 4, je spojením niekoľkých hlavných komponentov, ktoré sú:

• Vlastný LDAP od spoločností Microsoft aj Samba.
• Doména Microsoft Windows o doména Windows. Je to v podstate sieť Microsoft.
• Radič domény spoločnosti Microsoft o radič domény.
• Kerberos prispôsobený spoločnosťami Microsoft a Samba.

Nesmieme si mýliť a Adresárová služba o Adresárová služba s a Active Directory o Active Directory. Prvý typ domény môže alebo nemusí byť hostiteľom autentifikácie pomocou protokolu Kerberos, ale neponúka službu Microsoft Network, ktorú poskytuje doména Windows, ani nemá samotný radič domény Windows.

Adresárovú službu alebo adresárovú službu možno použiť na autentifikáciu používateľov v zmiešanej sieti s klientmi UNIX / Linux a Windows. V prípade druhého menovaného musí byť na každom klientovi nainštalovaný program, ktorý slúži ako sprostredkovateľ medzi adresárovou službou a samotným klientom Windows, napríklad slobodný softvér. stránke.

Adresárová služba s OpenLDAP

• Začíname od čistej inštalácie - bez grafického rozhrania - systému Debian 8 „Jessie“, s rovnakým „hlavným“ počítačom, aký sa používa pri inštalácii NIS, ako aj s konfiguráciou jeho sieťového rozhrania a súboru /etc/resolv.conf. Na tento nový server inštalujeme server ntp, bind9 a isc-dhcp, bez toho, aby sme zabudli na globálne kontroly správnej činnosti troch predchádzajúcich služieb..

root @ master: ~ # aptitude nainštalovať slapd ldap-utils

Konfigurácia balíka

┌──────────────────────┤┤ Konfigurácia Slapd ├───────────────────────┐┐ │ Zadajte heslo pre vstup správcu vášho adresára LDAP │ │. │ │ │ │ Heslo správcu: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ────────────────────────┘

Skontrolujeme počiatočnú konfiguráciu

root @ master: ~ # slapcat
dn: dc = swl, dc = ventilátor
objectClass: top objectClass: dcObject objectClass: organization o: swl.fan dc: swlructuralObjectClass: organization entryUUID: c8510708-da8e-1036-8fe1-71d022a16904 creatorsName: cn = admin, dc = swl, dc = položka ventilátora createTimestamp20170531205219: 20170531205219.833955 : 000000ZN000 záznam Z # 000000 # 20170531205219 # XNUMX modifikátory Názov: cn = admin, dc = swl, dc = ventilátor upraviť Časová známka: XNUMXZ

dn: cn = admin, dc = swl, dc = ventilátor
objectClass: simpleSecurityObject objectClass: organizationalRole CN: Popis admin: administrátor LDAP userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMX-entry = cXNUMXe XNUMX Z # XNUMX # XNUMX # XNUMX modifikátory Názov: cn = admin, dc = swl, dc = ventilátor upraviť Časová pečiatka: XNUMXZ

Upravujeme súbor /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
ZÁKLAD dc = swl, dc = ventilátor URI    ldap: // localhost

Organizačné jednotky a všeobecná skupina «používatelia»

Pridávame minimálne nevyhnutné organizačné jednotky a skupinu «používateľov» skupiny Posix, do ktorej urobíme všetkých používateľov členmi, podľa príkladu mnohých systémov, ktoré majú skupinu «užívatelia«. Nazývame ho menom «používateľov», aby nedošlo k prípadným konfliktom so skupinou «užívateľ„systému.

root @ master: ~ # nano base.ldif
dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000 XNUMX

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = ventilátor -W -f base.ldif
Zadajte heslo LDAP: pridanie novej položky „ou = ľudia, dc = swl, dc = ventilátor“ pridanie novej položky „ou = skupiny, dc = swl, dc = ventilátor“

Skontrolujeme pridané položky

root @ master: ~ # ldapsearch -x ou = ľudia
# people, swl.fan dn: ou = people, dc = swl, dc = fan objekt Trieda: organizačná Jednotka ou: ľudia

root @ master: ~ # ldapsearch -x ou = skupiny
# groups, swl.fan dn: ou = groups, dc = swl, dc = fan objekt Trieda: organizačná Jednotka ou: skupiny

root @ master: ~ # ldapsearch -x cn = používatelia
# users, groups, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan object Trieda: posixGroup cn: users gidNumber: 10000 XNUMX

Pridávame niekoľko používateľov

Heslo, ktoré musíme deklarovať v LDAP, je potrebné získať pomocou príkazu slappasswd, ktorá vráti zašifrované heslo SSHA.

Heslo pre kroky používateľa:

root @ master: ~ # slappasswd 
Nové heslo: Znova zadajte nové heslo: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Heslo pre používateľa legolas

root @ master: ~ # slappasswd 
Nové heslo: Znova zadajte nové heslo: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Heslo pre používateľa gandalf

root @ master: ~ # slappasswd 
Nové heslo: Znova zadajte nové heslo: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano users.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 10000 gidNumber: XNUMX XNUMX mail: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Používateľ Archer Heslo: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 10000 gidNumber: XNUMX XNUMX mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Používateľ Sprievodcu Heslo: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 10000 gidNumber: XNUMX XNUMX mail: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash home Adresár: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f users.ldif
Zadajte heslo LDAP: pridanie nového záznamu "uid = strides, ou = people, dc = swl, dc = fan" pridanie nového záznamu "uid = legolas, ou = people, dc = swl, dc = fan" pridanie nového záznamu "uid = gandalf, ou = ľudia, dc = swl, dc = ventilátor "

Skontrolujeme pridané položky

root @ master: ~ # ldapsearch -x cn = kroky
root @ master: ~ # ldapsearch -x uid = kroky

Databázu slpad spravujeme pomocou obslužných programov pre konzoly

Vyberieme balíček ldapscripty na takúto úlohu. Postup inštalácie a konfigurácie je nasledovný:

root @ master: ~ # aptitude nainštalujte ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = skupiny' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 XNUMX # príkazov klienta OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "etc UTEMPLATE =" . /ldapadduser.template "PASSWORDGEN =" echo% u "

Všimnite si, že skripty používajú príkazy balíka ldap-utils. Bež dpkg -L ldap-utils | grep / bin vedieť, čo sú zač.

root @ master: ~ # sh -c "echo -n 'admin-heslo'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: krstné meno: sn: zobraziť meno: uidNumber: gidNumber: 10000 XNUMX domovský adresár: loginShell: mail: @ swl.fan gekoni: popis: Používateľský účet
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## odstránime komentár UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Pridáme používateľa „bilbo“ a urobíme ho členom skupiny „používatelia“

root @ master: ~ # ldapadduser používatelia bilbo
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadajte hodnotu pre „givenName“: Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadajte hodnotu pre „ sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Zadajte hodnotu pre" displayName ": Bilbo Bagins Úspešne pridal používateľa bilbo na LDAP Úspešne nastavil heslo pre používateľa bilbo

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 10000 gidNumber: XNUMX XNUMX domov Adresár: / home / bilbo prihlásenie Shell: / bin / bash mail: bilbo@swl.fan
gecos: bilbo description: Používateľský účet

Ak chcete zistiť hodnotu hash hesla používateľa bilbo, je potrebné vykonať dopyt s autentifikáciou:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = ventilátor -W uid = bilbo

Ak chcete odstrániť používateľa bilbo, vykonáme:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = ventilátor -W uid = bilbo, ou = ľudia, dc = swl, dc = ventilátor
Zadajte heslo LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

Slapd databázu spravujeme cez webové rozhranie

Máme funkčnú adresárovú službu a chceme ju spravovať jednoduchšie. Existuje veľa programov určených pre túto úlohu, napríklad phpldapadmin, ldap-správca účtuatď., ktoré sú k dispozícii priamo z archívov. Adresárovú službu môžeme spravovať aj prostredníctvom servera Apache Directory Studio, ktoré si musíme stiahnuť z internetu.

Ďalšie informácie nájdete na stránke https://blog.desdelinux.net/ldap-introduccion/a nasledujúcich 6 článkov.

Klienta LDAP

Etapa:

Povedzme, že máme tím mail.swl.fan ako poštový server implementovaný, ako sme videli v článku Postfix + Dovecot + Squirrelmail a miestni používatelia, ktorý je síce vyvinutý na platforme CentOS, ale môže slúžiť ako príručka pre Debian a mnoho ďalších linuxových distribúcií. Chceme, aby okrem miestnych používateľov, ktorých sme už deklarovali, boli aj používatelia uložení v databáze OpenLDAP, ktorá existuje v majster.swl.fan. Aby sme to dosiahli, musíme «Zmapovať»Používateľom LDAP ako lokálnym používateľom na serveri mail.swl.fan. Toto riešenie je tiež platné pre každú službu založenú na autentifikácii PAM. Všeobecný postup pre debianje toto:

root @ mail: ~ # aptitude nainštalovať libnss-ldap libpam-ldap ldap-utils

  ┌──────────────────────┤┤ Konfigurácia libnss-ldap ├───────────────────────┐ ┐ Zadajte URI („Uniform Resource Identifier“ nebo │ │ Uniform Resource Identifier) ​​serveru LDAP. Tento reťazec je podobný reťazcu │ │ «ldap: //: / ». Môžete tiež │ │ použiť «ldaps: // » alebo „ldapi: //“. Číslo portu je voliteľné. │ │ │ │ Odporúča sa používať adresu IP, aby sa zabránilo zlyhaniu, keď nie sú k dispozícii služby názvu domény │ │. U │ │ │ URI servera LDAP: │ │ │ │ ldap: //master.swl.fan__________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ? ┤ Konfigurácia libnss-ldap ├─────────────────────────┐ │ Zadejte rozlišující název (DN) vyhledávací základny LDAP. Mnoho webov na tento účel používa komponenty názvov domén. Napríklad doména „example.net“ by ako rozlišujúci názov základne vyhľadávania používala │ │ „dc = example, dc = net“. │ │ │ │ Rozlišujúci názov (DN) základne vyhľadávania: │ │ │ │ dc = swl, dc = ventilátor ____________________________________________________________________ │ │ │ │ │ │ │ └─────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libnss-ldap ├────────────────────────┐ │ Zadajte verziu protokolu LDAP, ktorú by ldapns mal používať. │ │ Odporúča sa používať najvyššie dostupné číslo verzie. │ │ │ │ Verzia LDAP, ktorá sa má použiť: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └─────────τ ───────────────────────────────┘ ──┤ Konfigurácia libnss-ldap ├─────────────────────────┐ │ Vyberte, ktorý účet bude použitý pre dotazy nss s │ │ oprávneniami root. │ │ │ │ Poznámka: Aby táto možnosť fungovala, účet potrebuje oprávnenie, aby mohol access │ mať prístup k atribútom LDAP, ktoré sú priradené k „tieňovým“ položkám používateľa, ako aj k heslám používateľov a │ │ skupín . │ │ │ │ Účet LDAP pre root: │ │ │ │ cn = admin, dc = swl, dc = ventilátor ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libnss-ldap ├───────────────────────┐ ┐ Zadajte heslo, ktoré sa použije, keď sa libnss-ldap pokúsi │ │ autentifikovať do adresára LDAP pomocou účtu LDAP root. │ │ │ │ Heslo bude uložené v samostatnom súbore │ │ („/etc/libnss-ldap.secret“), ku ktorému má prístup iba root. │ │ │ │ Ak zadáte prázdne heslo, staré heslo sa znova použije. │ │ │ │ Heslo pre koreňový účet LDAP: │ │ │ │ ******** ________________________________________________________________ │ │ │ │ │ │ │ └─────────τ ────────────────────────────── ┘ ─┤ Konfigurácia libnss-ldap ├─────────────────────────┐ │ │ │ nsswitch.conf nie je spravovaný automaticky │ │ │ │ Musíte upraviť svoj súbor "/etc/nsswitch.conf "použiť zdroj údajov LDAP, ak chcete, aby balík libnss-ldap fungoval. │ │ Vzorový súbor │ │ môžete použiť v „/usr/share/doc/libnss-ldap/examples/nsswitch.ldap“ ako príklad konfigurácie nsswitch alebo │ │ ho môžete skopírovať do svojej aktuálnej konfigurácie. │ │ │ │ Upozorňujeme, že pred odstránením tohto balíka môže byť vhodné │ │ odstrániť položky „ldap“ zo súboru nsswitch.conf, aby základné služby │ │ naďalej fungovali. │ │ │ │ │ │ │ └─────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libpam-ldap ├─────────────────────────┐ │ │ │ Táto možnosť umožňuje nástrojom na zmenu hesla pomocou PAM meniť miestne heslá. For │ │ │ Heslo účtu správcu LDAP bude uložené v samostatnom súbore that │, ktorý môže čítať iba správca. Option │ │ │ Táto možnosť by mala byť deaktivovaná, ak pripájate „/ etc“ cez NFS. │ │ │ │ Chcete povoliť, aby sa účet správcu LDAP správal ako │ │ miestny správca? │ │ │ │                                            │ │ │ └────────────────────────────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libpam-ldap ├────────────────────────┐┐ │ │ whether Vyberte, či si server LDAP vynutí identifikaci před získáním záznamů entradas │. │ │ │ │ Toto nastavenie je zriedka potrebné. │ │ │ │ Je od používateľa vyžadovaný prístup k databáze LDAP? │ │ │ │                                               │ │ │ └─────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libpam-ldap ├─────────────────────────┐ │ Zadajte názov účtu správcu LDAP. Account │ │ │ Tento účet sa automaticky použije na správu databázy │ │, takže musí mať príslušné administrátorské oprávnenia. Account │ │ │ Účet správcu LDAP: │ │ │ │ cn = admin, dc = swl, dc = ventilátor ___________________________________________________ │ │ │ │ │ │ │ └─────────τ ────────────────────────────────┘┘┘ ──┤ Konfigurácia libpam-ldap ├─────────────────────────┐ │ Zadajte heslo pre účet správcu. │ │ │ │ Heslo sa uloží do súboru „/etc/pam_ldap.secret“. Správca │ │ bude jediný, kto môže čítať tento súbor, a umožní aplikácii │ │ libpam-ldap automatickú kontrolu správy pripojení v databáze │ │. │ │ │ │ Ak ponecháte toto pole prázdne, použije sa znova predchádzajúce uložené heslo │ │. │ │ │ │ Heslo správcu LDAP: │ │ │ │ ******** _________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ─────────────────────────────────┘┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Príklad konfigurácie funkčnosti prepínača GNU Name Service Switch. # Ak máte nainštalované balíčky `glibc-doc-reference 'a` info', vyskúšajte: #` info libc "Názov prepínača služieb" 'pre informácie o tomto súbore. heslo: kompatibil ldap
skupina: kompatibil ldap
tieň: kompatibilný ldap
gshadow: hostitelia súborov: súbory dns siete: súbory protokoly: db súbory služby: db súbory étery: db súbory rpc: db súbory netgroup: nis

Upravme súbor /etc/pam.d/common-password, prejdeme na riadok 26 a vylúčime hodnotu «use_authtok,:

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - moduly spojené s heslom spoločné pre všetky služby # # Tento súbor je zahrnutý z iných konfiguračných súborov PAM špecifických pre službu, # a mal by obsahovať zoznam modulov, ktoré definujú služby, ktoré majú byť # slúži na zmenu používateľských hesiel. Predvolená hodnota je pam_unix. # Vysvetlenie možností pam_unix: # # Možnosť „sha512“ umožňuje solené heslá SHA512. Bez tejto možnosti je # predvolená hodnota Unixová krypta. Predchádzajúce vydania používali možnosť „md5“. # # Voľba „temný“ nahrádza starú možnosť „OBSCURE_CHECKS_ENAB“ v # login.defs. # # Ďalšie informácie nájdete na stránke pam_unix. # Od verzie pam 1.0.1-6 je tento súbor predvolene spravovaný pam-auth-update. # Aby ste to využili, odporúča sa nakonfigurovať ľubovoľné # miestne moduly pred alebo po predvolenom bloku a pomocou # pam-auth-update spravovať výber ďalších modulov. Podrobnosti nájdete v časti # pam-auth-update (8). # tu sú heslo pre jednotlivé balíky (blok „Primárny“) heslo [success = 2 default = ignore] pam_unix.so temný sha512
heslo [success = 1 user_unknown = ignore default = die] pam_ldap.so try_first_pass
# tu je záložné riešenie, ak žiadny modul nenasleduje požadované heslo pam_deny.so # pripravte zásobník s pozitívnou návratovou hodnotou, ak ešte neexistuje; # toto nám zabráni vrátiť chybu len preto, že nič nenastavuje úspešný kód #, pretože moduly vyššie budú iba skákať okolo hesla požadovaného pam_permit.so # a tu je viac modulov na balík (blok „Dodatočné“) # koniec pam- auth-update config

Pre prípad potreby lokálne prihlásenie používateľov uložených v LDAP a chceme, aby sa ich priečinky vytvorili automaticky domov, musíme súbor upraviť /etc/pam.d/common-session a pridajte nasledujúci riadok na koniec súboru:

relácia voliteľná pam_mkhomedir.so skel = / etc / skel umask = 077

V príklade adresárovej služby OpenLDAP, ktorý bol vyvinutý skôr, bol jediným vytvoreným lokálnym používateľom používateľ bzučať, zatiaľ čo v LDAP vytvárame používateľov kroky, Legolas, GandalfA Bilbo. Ak sú doteraz vykonané konfigurácie správne, mali by sme byť schopní uviesť zoznam miestnych používateľov a tých, ktorí sú namapovaní ako miestni, ale sú uložení na vzdialenom serveri LDAP:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian Prvý OS ,,,: / home / buzz: / bin / bash
Kroky: x: 10000 10000: XNUMX XNUMX: Kroky El Rey: / home / kroky: / bin / bash
legolas: x: 10001: 10000 XNUMX: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000 XNUMX: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000 XNUMX: bilbo: / home / bilbo: / bin / bash

Po zmenách v autentifikácii systému je platné reštartovať server, inak čelíme kritickej službe:

root @ mail: ~ # reštart

Neskôr začneme lokálnu reláciu na serveri mail.swl.fan s povereniami používateľa uloženými v databáze LDAP servera majster.swl.fan. Môžeme tiež vyskúšať prihlásenie cez SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
heslo gandalf @ mail: Vytvára sa adresár '/ home / gandalf'. Programy zahrnuté v systéme Debian GNU / Linux sú slobodný softvér; presné podmienky distribúcie pre každý program sú opísané v jednotlivých súboroch v priečinku / usr / share / doc / * / copyright. Debian GNU / Linux prichádza S ABSOLÚTNE ŽIADNOU ZÁRUKOU, v rozsahu povolenom platným zákonom.
gandalf @ mail: ~ $ su
heslo:

root @ mail: / home / gandalf # getent skupina
buzz: x: 1001: users: *: 10000 XNUMX:

root @ mail: / home / gandalf # ukončiť
výjazd

gandalf @ mail: ~ $ ls -l / domov /
spolu 8 drwxr-xr-x 2 buzz buzz     4096 17. júna, 12:25 buzz drwx ------ 2 gandalf užívatelia 4096 17. júna 13:05 gandalf

Adresárová služba implementovaná na úrovni servera a klienta funguje správne.

Kerberos

Z Wikipédie:

• Kerberos je počítačový sieťový autentifikačný protokol vytvorený serverom S ktorá umožňuje dvom počítačom v nezabezpečenej sieti navzájom si navzájom bezpečne preukázať svoju totožnosť. Jeho dizajnéri sa najskôr zamerali na model klient-server a poskytuje vzájomné overovanie: klient aj server si navzájom overujú identitu. Autentifikačné správy sú chránené, aby sa zabránilo odpočúvania y opakované útoky.
  
  Kerberos je založený na kryptografii symetrických kľúčov a vyžaduje dôveryhodnú tretiu stranu. Okrem toho existujú rozšírenia protokolu, aby bolo možné používať kryptografiu asymetrických kľúčov.
  
  Kerberos je založený na Needham-Schroederov protokol. Používa dôveryhodnú tretiu stranu s názvom „Centrum distribúcie kľúčov“ (KDC), ktoré sa skladá z dvoch samostatných logických častí: „autentifikačný server“ (AS alebo autentifikačný server) a „server vydávajúci lístky“ (TGS alebo Ticket Granting Server) ). Kerberos funguje na základe „lístkov“, ktoré slúžia na preukázanie totožnosti používateľov.
  
  Kerberos udržuje databázu tajných kľúčov; Každá entita v sieti - či už je to klient alebo server - zdieľa tajný kľúč, ktorý pozná iba ona a server Kerberos. Znalosť tohto kľúča slúži na preukázanie totožnosti subjektu. Pre komunikáciu medzi dvoma entitami generuje Kerberos kľúč relácie, ktorý môžu použiť na zabezpečenie svojich problémov.

Nevýhody protokolu Kerberos

De Vyliečil sa:

Aj keď Kerberos odstraňuje bežnú bezpečnostnú hrozbu, môže byť ťažké ho implementovať z rôznych dôvodov:

• Migrácia hesiel používateľov zo štandardnej databázy hesiel UNIX, ako napríklad / etc / passwd alebo / etc / shadow, do databázy hesiel protokolu Kerberos, môže byť zdĺhavé a na splnenie tejto úlohy neexistuje rýchly mechanizmus.
• Kerberos predpokladá, že každý používateľ je dôveryhodný, ale používa nedôveryhodný počítač v nedôveryhodnej sieti. Jeho hlavným cieľom je zabrániť odosielaniu nezašifrovaných hesiel cez sieť. Ak má však prístup k automatu na vydávanie lístkov (KDC) na overenie totožnosti ktorýkoľvek iný používateľ, okrem príslušného používateľa, bol by Kerberos v ohrození.
• Aby mohla aplikácia používať protokol Kerberos, musí sa kód upraviť, aby sa mohli volať do knižníc protokolu Kerberos správne. Aplikácie, ktoré sú takto upravené, sa považujú za kerberizované. Pre niektoré aplikácie to môže byť nadmerné programovacie úsilie kvôli veľkosti aplikácie alebo jej dizajnu. V prípade iných nekompatibilných aplikácií je potrebné vykonať zmeny v spôsobe komunikácie sieťového servera a jeho klientov; opäť to môže trvať dosť programovania. Všeobecne sú najproblematickejšie aplikácie s uzavretým zdrojom, ktoré nemajú podporu protokolu Kerberos.
• Nakoniec, ak sa rozhodnete pre použitie siete Kerberos vo svojej sieti, musíte si uvedomiť, že je to všetko alebo nič. Ak sa rozhodnete pre použitie siete Kerberos vo svojej sieti, musíte si uvedomiť, že ak sa heslá odovzdajú službe, ktorá nepoužíva na autentifikáciu Kerberos, riskujete, že bude paket zachytený. Vaša sieť teda nebude mať z používania protokolu Kerberos žiadne výhody. Na zabezpečenie svojej siete protokolom Kerberos by ste mali používať iba verzované verzie všetkých aplikácií klient / server, ktoré odosielajú nezašifrované heslá, alebo nepoužívať žiadnu z týchto aplikácií v sieti..

Ručná implementácia a konfigurácia OpenLDAP ako back-endu Kerberos nie je ľahká úloha. Neskôr však uvidíme, že Samba 4 Active Directory - radič domény sa transparentným spôsobom integruje do systému Sysadmin, servera DNS, siete Microsoft a jej radiča domény, servera LDAP ako back-end takmer všetkých jeho objektov a služba overovania na základe protokolu Kerberos ako základné komponenty služby Active Directory v štýle Microsoftu.

Doteraz sme nemali potrebu implementovať „Kerberized Network“. Preto sme nepísali o tom, ako implementovať protokol Kerberos.

Samba 4 Active Directory - radič domény

Dôležité:

Neexistuje lepšia dokumentácia ako stránka wiki.samba.org. Rešpektujúci Sysadmin by mal navštíviť tento web - v angličtine - a prezerať si veľké množstvo stránok venovaných výlučne Sambe 4, ktoré napísal sám tím Samba. Neverím, že na internete je k dispozícii dokumentácia, ktorá by ju mohla nahradiť. Mimochodom, sledujte počet návštev zobrazený v dolnej časti každej stránky. Príkladom toho je, že bola navštívená vaša hlavná stránka alebo «hlavná stránka» 276,183 krát k dnešnému dňu 20. júna 2017 o 10:10 východného štandardného času. Dokumentácia je navyše udržiavaná veľmi aktuálna, pretože táto stránka bola upravená 6. júna.

Z Wikipédie:

Samba je bezplatná implementácia protokolu Microsoft Windows File Sharing Protocol (predtým nazývaného SMB, nedávno premenovaného na CIFS) pre systémy podobné systému UNIX. Týmto spôsobom je možné, že počítače so systémami GNU / Linux, Mac OS X alebo Unix všeobecne vyzerajú ako servery alebo fungujú ako klienti v sieťach Windows. Samba tiež umožňuje používateľom overiť sa ako primárny radič domény (PDC), ako člen domény a dokonca ako doména služby Active Directory pre siete založené na systéme Windows; okrem toho, že dokáže obsluhovať tlačové fronty, zdieľané adresáre a autentifikáciu pomocou vlastného archívu používateľov.

Medzi unixové systémy, na ktorých je možné spustiť Sambu, patria distribúcie GNU / Linux, Solaris a rôzne varianty BSD medzi že nájdeme Apple Mac OS X Server.

Samba 4 AD-DC s interným serverom DNS

• Začíname od čistej inštalácie - bez grafického rozhrania - systému Debian 8 „Jessie“.

Počiatočné kontroly

root @ master: ~ # názov hostiteľa
majster
root @ master: ~ # názov hostiteľa --fqdn
majster.swl.fan
root @ master: ~ # ip adresa
1: čo: mtu 65536 qdisc stav fronty NEZNÁMY skupina predvolené prepojenie / spätná väzba 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 rozsah hostiteľa lo valid_lft navždy preferovaný_lft navždy inet6 :: Hostiteľ rozsahu 1/128 valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state NEZNAMNE predvolene skupiny qlen 1000 link / ether 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 rozsah global eth0
       valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 rozsah odkazu valid_lft navždy preferovaný_lft navždy
root @ master: ~ # mačka /etc/resolv.conf
prehľadať swl.fan nameserver 127.0.0.1

• Čím deklarujeme pobočku hlavné iba je to viac ako dosť pre naše účely.

root @ master: ~ # cat /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie hlavné
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / aktualizácie hlavné

Postfix podľa Exim a pomocné programy

root @ master: ~ # aptitude nainštalovať postfix htop mc deborphan

  ┌────────────────────────── ────┐ │ Vyberte si typ konfigurácie poštového servera, ktorý najlepšie vyhovuje vašim potrebám. │ │ │ │ Žiadna konfigurácia: │ │ Zachová aktuálnu konfiguráciu nedotknutú. │ │ Internetová stránka: │ │ Pošta sa odosiela a prijíma priamo pomocou protokolu SMTP. │ │ Internet s „smarthost“: │ │ Pošta sa prijíma priamo pomocou SMTP alebo spustením │ │ nástroja ako „fetchmail“. Odchádzajúca pošta sa odosiela pomocou │ │ „inteligentného hostiteľa“. │ │ Iba miestna pošta: │ │ Jediný doručený e-mail je pre miestnych používateľov. Nie │ │ neexistuje sieť. │ │ │ │ Všeobecný typ konfigurácie pošty: │ │ │ │ Žiadna konfigurácia │ │ Internetová stránka │ │ Internet pomocou „smarthost“ │ │ Satelitný systém │ │                         Iba miestna pošta                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────τ ────────────────────────────── ┘ ─────┤ Postfix Configuration ├─────────────────────────────┐ ┐ „Názov poštového systému“ je názov domény, ktorá │ │ sa používa na „kvalifikáciu“ _ALL_ e-mailových adries bez názvu domény. To zahŕňa poštu do a z koreňového adresára: prosím, nedovoľte, aby vaše zariadenie odosievalo e-maily z root@example.org do │ │ menej ako root@example.org spýtal sa. │ │ │ │ Ostatné programy budú používať tento názov. Musí to byť jedinečný │ │ kvalifikovaný názov domény (FQDN). │ │ │ │ Preto, ak je e-mailová adresa na miestnom počítači │ │ nieco@example.org, správna hodnota pre túto možnosť bude example.org. │ │ │ │ Názov poštového systému: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ - - - - - - - - - - - - - - - - - - - - Podozrite sa.  

Upratujeme

root @ master: ~ # vyčistenie aptitude ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # aptitude clean
root @ master: ~ # aptitude autoclean

Inštalujeme požiadavky na kompiláciu Samba 4 a ďalšie potrebné balíčky

root @ master: ~ # aptitude install acl attr autoconf bison \
základný debhelper dnsutils docbook-xml docbook-xsl flex gdb \
užívateľ krb5 libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-moduly pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌────────────────┤ Konfigurácia autentifikácie Kerberos ├──────────────────┐ ┐ Keď sa používatelia pokúsia použiť Kerberos a zadať meno │ │ principál alebo užívateľ bez objasnenia, do ktorej administratívnej domény Kerberos principál os │ patrí, systém použije predvolenú │ │ sféru.  Predvolenú sféru je možné použiť aj ako sféru │ │ služby Kerberos bežiacej na lokálnom počítači.  │ │ Predvolená sféra je zvyčajne veľké meno miestnej domény DNS │ │.  Default │ │ │ Kerberos verzia 5 predvolená oblasť: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ────────────────────────────────┘┘ ┌─────────────────── ├────────────────┐ ┐ Zadajte názvy serverov Kerberos do sféry SWL.FAN │ │ Kerberos, oddelené medzerami.  Servers │ │ │ Servery Kerberos pre vašu oblasť: │ │ │ │ master.swl.fan _________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────τ ────────────────────────────────┘┘ ┌─────────────────── ├────────────────┐ ┐ Zadajte názov administratívneho servera (zmena hesla) │ │ pre oblasť Kerberos SWL.FAN.   

Vyššie uvedený proces trval trochu času, pretože zatiaľ nemáme nainštalovanú žiadnu službu DNS. Doménu ste si však vybrali správne v nastaveniach súboru / Etc / hosts. Pamätajte, že v spise / Etc / resolv.conf deklarovali sme ako server názvov domén na IP 127.0.0.1.

Teraz nakonfigurujeme súbor / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
ZÁKLAD dc = swl, dc = ventilátor URI ldap: //master.swl.fan

Pre dotazy pomocou príkazu ldapsearch vyrobené používateľom root sú typu ldapsearch -x -W cn = xxxx, musíme vytvoriť súbor /root/.ldapsarc s nasledujúcim obsahom:

root @ master: ~ # nano .ldaprc
BINDDN CN = administrátor, CN = používatelia, DC = swl, DC = ventilátor

Súborový systém musí podporovať ACL - Access Control List

root @ master: ~ # nano / etc / fstab
# / etc / fstab: statické informácie o systéme súborov. # # Použite „blkid“ na vytlačenie univerzálneho jedinečného identifikátora # zariadenia; toto je možné použiť s UUID = ako robustnejší spôsob pomenovania zariadení #, ktorý funguje, aj keď sú disky pridávané a odoberané. Pozri fstab (5). # # # / bolo zapnuté / dev / sda1 počas inštalácie UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, bariéra = 1, noatime, chyby = remount-ro 0 1
# swap bol zapnutý / dev / sda5 počas inštalácie UUID = cb73228a-615d-4804-9877-3ec225e3ae32 žiadny swap sw 0 0 / dev / sr0 / media / cdrom0 udf, užívateľ iso9660, noauto 0 0

root @ master: ~ # mount -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n user.test -v test testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d testing_acl.txt
# file: testing_acl.txt user.test = "test"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# file: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Získame zdroj Samba 4, skompilujeme ho a nainštalujeme

Dôrazne sa odporúča stiahnuť zdrojový súbor verzie Stabilné z webu https://www.samba.org/. V našom príklade si stiahneme verziu samba-4.5.1.tar.gz smerom k priečinku / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Možnosti konfigurácie

Ak chceme prispôsobiť možnosti konfigurácie, vykonáme:

root @ master: /opt/samba-4.5.1# ./configure --help

a s veľkou starostlivosťou vyberte tie, ktoré potrebujeme. Je vhodné skontrolovať, či je možné stiahnutý balík nainštalovať na nami používanú distribúciu Linuxu, ktorou je v našom prípade Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / Configure kontrola na diaľku

Konfigurujeme, kompilujeme a inštalujeme sambu-4.5.1

• Z predtým nainštalovaných požiadaviek a 8604 súborov (ktoré tvoria kompaktný samba-4.5.1.tar.gz) s hmotnosťou približne 101.7 MB - vrátane priečinkov source3 a source4 s hmotnosťou približne 61.1 megabajtov - získame náhradu produktu Microsoft Štýl Active Directory s kvalitou a stabilitou viac ako prijateľnou pre akékoľvek produkčné prostredie. Musíme vyzdvihnúť prácu tímu Samba pri poskytovaní slobodného softvéru Samba 4.

Nižšie uvedené príkazy sú klasickými príkazmi na kompiláciu a inštaláciu balíkov z ich zdrojov. Kým celý proces trvá, musíme byť trpezliví. Je to jediný spôsob, ako získať platné a správne výsledky.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd --vyraditeľné poháre
root @ master: /opt/samba-4.5.1# činiť
root @ master: /opt/samba-4.5.1# make install

Počas procesu príkazu činiť, vidíme, že sú kompilované zdroje Samba 3 a Samba 4. Preto Team Samba potvrdzuje, že jeho verzia 4 je prirodzenou aktualizáciou verzie 3, a to pre radiče domény založené na Samba 3 + OpenLDAP, ako aj pre súborové servery alebo staršie verzie Samba 4.

Poskytovanie prostriedkov Samba

Ako DNS použijeme SAMBA_INTERNÁL. V https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End nájdeme viac informácií. Keď od nás požadujú heslo správcu, musíme napísať jeden s minimálnou dĺžkou 8 znakov a tiež s písmenami - veľkými a malými písmenami - a číslami.

Pred pristúpením k zaisteniu a uľahčeniu života pridávame cesta spustiteľných súborov Samba v našom súbore .bashrcPotom zatvoríme a znova sa prihlásime.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: vykonaný programom bash (1) pre neprihlasovacie škrupiny. # Poznámka: PS1 a umask sú už nastavené v / etc / profile. Toto by ste # nemali potrebovať, pokiaľ pre root nechcete iné predvolené hodnoty. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Nasledujúce riadky môžete odkomentovať, ak chcete, aby bol „ls“ zafarbený: # export LS_OPTIONS = '- color = auto '# eval "' dircolors`" # alias ls = 'ls $ LS_OPTIONS' # alias ll = 'ls $ LS_OPTIONS -l' # alias l = 'ls $ LS_OPTIONS -lA' # # Niektoré ďalšie aliasy, aby sa zabránilo chybám: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
vyhlásiť -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # odhlásenie odchodu Pripojenie k serveru master ukončené. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # zabezpečenie domény samba-tool --use-rfc2307 --interactive
Ríša [SWL.FAN]: SWL.FAN
 Doména [SWL]: SWL
 Rola servera (dc, člen, samostatný) [dc]: dc
 Backend DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNÁL
 IP adresa servera na preposielanie DNS (pre deaktiváciu preposielania zadajte „žiadny“) [192.168.10.5]: 8.8.8.8
Heslo správcu: Vaše heslo2017
Znova napíš heslo: Vaše heslo2017
Vyhľadanie adries IPv4 Vyhľadanie adries IPv6 Nebude pridelená žiadna adresa IPv6. Nastavenie share.ldb, nastavenie secrets.ldb, nastavenie registra, nastavenie databázy privilégií, nastavenie idmap db, nastavenie SAM db, nastavenie oddielov a nastavení sam.ldb, nastavenie up sam.ldb rootDSE Predbežné načítanie schémy Samba 4 a AD Pridanie doményDN: DC = swl, DC = ventilátor Pridanie konfiguračného kontajnera Nastavenie schémy sam.ldb Nastavenie konfiguračných údajov sam.ldb Nastavenie špecifikátorov displeja Úprava špecifikátorov displeja Pridanie kontajnera používateľov Úprava kontajnera používateľov Pridanie kontajnera počítačov Úprava kontajnerov počítačov Nastavenie údajov sam.ldb Nastavenie známych principálov zabezpečenia Nastavenie používateľov a skupín sam.ldb Nastavenie samostatného pripojenia Pridanie účtov DNS Vytvorenie CN = MicrosoftDNS, CN = Systém, DC = swl, DC = ventilátor Vytváranie oddielov DomainDnsZones a ForestDnsZones Naplnenie oddielov DomainDnsZones a ForestDnsZones Nastavenie synchronizovaného označenia root.EHS Sam.ldb Oprava poskytovania identifikátorov GUIDKonfigurácia Kerberos vhodná pre Samba 4 bola vygenerovaná na /usr/local/samba/private/krb5.conf Nastavenie falošných nastavení servera yp Po nainštalovaní vyššie uvedených súborov bude váš server Samba4 pripravený na použitie serverovej role: doména aktívneho adresára radič Názov hostiteľa: hlavný Doména NetBIOS: Doména SWL DNS: swl.fan SID DOMÉNY: S-1-5-21-32182636-2892912266-1582980556

Nezabudnite skopírovať konfiguračný súbor Kerberos, ako naznačuje výstup z provisioning:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Ak chcete príkaz nezadať nástroj samba s vaším celým menom, vytvoríme symbolický odkaz s krátkym menom náradie:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Nainštalujeme NTP

Základným prvkom v službe Active Directory je služba Network Time Service. Pretože sa autentifikácia vykonáva prostredníctvom protokolu Kerberos a jeho lístkov, je nevyhnutná synchronizácia času so serverom Samba 4 AD-DC.

root @ master: ~ # aptitude nainštalovať ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd štatistika loopstats peerstats clockstats filegen loopstats súbor loopstats typ deň povoliť filegen peerstats súbor peerstats typ deň povoliť filegenstats súbor clockstats typ hodín deň povoliť server 192.168.10.1 obmedziť -4 predvolený kod notrap nomodify nopeer noquery obmedziť -6 predvolený kod notrap nomodify nopeer noquery obmedziť predvolené mssntp obmedziť 127.0.0.1 obmedziť :: 1 vysielanie 192.168.10.255

root @ master: ~ # reštartovanie služby ntp
root @ master: ~ # stav služby ntp

root @ master: ~ # tail -f / var / log / syslog

Ak pri skúmaní syslog pomocou vyššie uvedeného príkazu alebo pomocou journalctl -f dostaneme správu:

19. júna 12:13:21 majster ntpd_intres [1498]: rodič zomrel skôr, ako sme skončili, odchádzali

musíme reštartovať službu a skúsiť to znova. Teraz vytvoríme priečinok ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: nemá prístup / usr / local / samba / var / lib / ntp_signd: súbor alebo adresár neexistuje

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Podľa žiadosti na samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 19. júna 12:21 / usr / local / samba / var / lib / ntp_signd

Konfigurujeme začiatok Samby pomocou systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Služba] Typ = rozdvojenie PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [nainštalovať] WantedBy = multi-user.target

root @ master: ~ # systemctl povoliť samba-ad-dc
root @ master: ~ # reštart

root @ master: ~ # systemctl status samba-ad-dc
root @ master: ~ # systemctl status ntp

Umiestnenia súborov Samba 4 AD-DC

ALL -mínus novovytvorená služba samba-ad-dc.service- súbory sú v:

root @ master: ~ # ls -l / usr / local / samba /
spolu 32 drwxr-sr-x 2 zamestnanci root 4096 19. júna 11:55 popolnice
drwxr-sr-x 2 koreňový personál 4096 19. júna 11:50 atď
drwxr-sr-x 7 koreňový personál 4096 19. júna 11:30 zahrnúť
drwxr-sr-x 15 zamestnancov root 4096 19. júna 11:33 lib
drwxr-sr-x 7 koreňový personál 4096 19. júna 12:40 súkromný
drwxr-sr-x 2 koreňový personál 4096 19. júna 11:33 sbin
drwxr-sr-x 5 koreňový personál 4096 19. júna 11:33 podiel
drwxr-sr-x 8 koreňový personál 4096 19. júna 12:28 var

v najlepšom štýle UNIX. Vždy je vhodné listovať v rôznych priečinkoch a preskúmať ich obsah.

Súbor /Usr/local/samba/etc/smb.conf

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Globálne parametre [global] netbios name = MASTER realm = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , role servera dns = radič domény v aktívnom adresári povoliť aktualizácie dns = zabezpečiť iba idmap_ldb: použiť rfc2307 = áno konfigurácia idmap *: backend = tdb konfigurácia idmap *: range = 1000000-1999999 server ldap vyžaduje silné overenie = žiadne meno printcap = / dev / null [netlogon] cesta = /usr/local/samba/var/locks/sysvol/swl.fan/scripts iba na čítanie = nie [sysvol] cesta = / usr / local / samba / var / locks / sysvol iba na čítanie = nie

root @ master: ~ # testparm
Načítajte konfiguračné súbory SMB z /usr/local/samba/etc/smb.conf sekcia spracovania „[netlogon]“ sekcia spracovania “[sysvol]„ Načítaný súbor služieb je v poriadku. Rola servera: ROLE_ACTIVE_DIRECTORY_DC Stlačením klávesu Enter zobrazíte výpis definícií svojich služieb. # Globálne parametre [globálne] realm = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 ldap server vyžaduje silné auth = Žiadny passdb backend = samba_dsdb role servera = aktívny adresár radič domény rpc_server: tcpip = no rpc_daemon: spoolssd = vložený rpc_server: spoolss = vložený rpc_server: winreg = vložený rpc_server: ntsvcs = vložený rpc_server: eventlog = vložený rpc_server: srvsvc = použitie rvc = použitie rvc = použitie : external pipes = true idmap config *: range = 1000000-1999999 idmap_ldb: use rfc2307 = yes idmap config *: backend = tdb map archive = No map readonly = no store dos attributes = Yes vfs objects = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / skripty iba na čítanie = nie [sysvol] cesta = / usr / local / samba / var / locks / sysvol iba na čítanie = nie

Minimálne kontroly

root @ master: ~ # nástrojová úroveň domény
Úroveň funkcií domény a doménovej štruktúry pre doménu „DC = swl, DC = ventilátor“ Úroveň funkcie doménovej štruktúry: (Windows) 2008 R2 Úroveň funkcie domény: (Windows) 2008 R2 Najnižšia funkčná úroveň servera DC: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # nástroj dbcheck
Kontrola 262 objektov Skontrolovaných 262 objektov (0 chýb)

root @ master: ~ # správca kinit
Heslo pre Administrátor@SWL.FAN: 
root @ master: ~ # klist -f
Vyrovnávacia pamäť lístkov: SÚBOR: / tmp / krb5cc_0
Primárne predvolené: Administrátor@SWL.FAN

Platné od začiatku Vyprší platnosť služby 19. 06. 17 12:53:24 19 06:17:22  krbtgt/SWL.FAN@SWL.FAN
    obnovovať do 20 06:17:12, Vlajky: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Súbor medzipamäte poverení '/ tmp / krb5cc_0' sa nenašiel

root @ master: ~ # smbclient -L localhost -U%
Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Zdieľané meno Typ Komentár --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Služba (Samba 4.5.1) Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komentár servera --------- ------- Pracovná skupina ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Zadajte heslo správcu: Doména = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 po 19. júna 11:50:52 2017 .. D 0 po 19. júna 11:51:07 2017 19091584 blokov o veľkosti 1024. K dispozícii je 16198044 blokov

root @ master: ~ # nástroj dns serverinfo master -U správca

root @ master: ~ # hostiteľ -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan má záznam SRV 0 100 389 master.swl.fan.

root @ master: ~ # hostiteľ -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan má záznam SRV 0 100 88 master.swl.fan.

root @ master: ~ # host -t Master.swl.fan
master.swl.fan má adresu 192.168.10.5

root @ master: ~ # hostiteľ -t SOA swl.fan
swl.fan má záznam SOA master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # hostiteľ -t NS swl.fan
swl.fan názov servera master.swl.fan.

root @ master: ~ # hostiteľ -t MX swl.fan
swl.fan nemá žiadny záznam MX

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # zoznam používateľov nástroja
Správca krbtgt Hosť

root @ master: ~ # zoznam skupín nástrojov
# Výstupom je skupina skupín. ;-)

Spravujeme novo nainštalovanú Sambu 4 AD-DC

Ak chceme upraviť expiráciu hesla administrátora v dňoch; zložitosť hesiel; minimálna dĺžka hesla; minimálne a maximálne trvanie hesla v dňoch; a zmeniť heslo správcu deklarované počas provisioning, musíme vykonať nasledujúce príkazy pomocou hodnoty prispôsobené vašim potrebám:

root @ master: ~ # nástroj
Použitie: nástroj samba Hlavný nástroj na správu samby. Možnosti: -h, --help zobraziť túto pomocnú správu a ukončiť Možnosti verzie: -V, --version Zobraziť číslo verzie Dostupné čiastkové príkazy: dbcheck - skontrolovať chyby v lokálnej databáze AD. delegácia - riadenie delegácie. dns - správa služby DNS (Domain Name Service). doména - správa domény. drs - správa adresárových replikačných služieb (DRS). dsacl - manipulácia s ACL DS. fsmo - flexibilná správa rolí Single Master Operations (FSMO). gpo - správa objektu skupinovej politiky (GPO). skupina - Správa skupiny. ldapcmp - porovnajte dve databázy ldap. ntacl - manipulácia s ACL NT. procesy - Zoznam procesov (na podporu ladenia v systémoch bez setproctitle). rodc - správa radiča domény iba na čítanie (RODC). weby - správa webov. spn - správa hlavného názvu služby (SPN). testparm - kontrola syntaxe konfiguračného súboru. čas - Načítanie času na serveri. užívateľ - správa používateľov. Ak potrebujete ďalšiu pomoc s konkrétnym čiastkovým príkazom, zadajte príkaz: samba-tool (-h | - pomoc)

root @ master: ~ # nástroj užívateľ setexpiry správca --noexpiry
root @ master: ~ # sada nastavení hesiel domény domény --min-pwd-length = 7
root @ master: ~ # nastavenie domény pre nastavenie hesla domény --min-pwd-age = 0
root @ master: ~ # sada nastavení hesiel domény domény --max-pwd-age = 60
root @ master: ~ # používateľ nástroja setpassword --filter = samaccountname = administrátor --newpassword = Passw0rD

Pridávame niekoľko DNS záznamov

root @ master: ~ # nástroj dns
Použitie: samba-tool dns Správa služby DNS (Domain Name Service). Možnosti: -h, --help zobraziť túto pomocnú správu a ukončiť Dostupné čiastkové príkazy: pridať - Pridať záznam DNS vymazať - Odstrániť dotaz záznamu DNS - Dotaz na meno. roothints - Tipy na koreňový dopyt. serverinfo - Dotaz na informácie o serveri. update - Aktualizácia zóny záznamu DNScreate - Vytvorenie zóny. zonedelete - Vymazať zónu. zoneinfo - Dotaz na informácie o zóne. zonelist - Dopyt pre zóny. Ak potrebujete ďalšiu pomoc s konkrétnym čiastkovým príkazom, zadajte príkaz: samba-tool dns (-h | - pomoc)

Poštový server

root @ master: ~ # nástroj dns pridať hlavný swl.fan mail Správca 192.168.10.9 -U
root @ master: ~ # nástroj dns pridať hlavný swl.fan swl.fan MX "mail.swl.fan 10" -U administrátor

Opravená IP iných serverov

root @ master: ~ # nástroj dns pridať master swl.fan sysadmin administrátor 192.168.10.1 -U
root @ master: ~ # nástroj dns pridať hlavný server súborov swl.fan Správca 192.168.10.10 -U
root @ master: ~ # nástroj dns pridať hlavný swl.fan proxy Správca 192.168.10.11 -U
root @ master: ~ # nástroj dns pridať hlavný swl.fan chat Správca 192.168.10.12 -U

Obrátená zóna

root @ master: ~ # nástroj dns zonecreate master 10.168.192.in-addr.arpa -U správca
Heslo pre [SWL \ administrator]: Zóna 10.168.192.in-addr.arpa bola úspešne vytvorená

root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Správca
root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Správca
root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Správca
root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Správca
root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Správca
root @ master: ~ # nástroj dns pridať master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Správca

Kontroly

root @ master: ~ # nástroj dns query master swl.fan mail ALL -U administrátor
Heslo pre [SWL \ administrator]: Meno =, Záznamy = 1, Deti = 0 A: 192.168.10.9 (príznaky = f0, sériové = 2, ttl = 900)

root @ master: ~ # hostiteľský master
master.swl.fan má adresu 192.168.10.5
root @ master: ~ # hostiteľský sysadmin
sysadmin.swl.fan má adresu 192.168.10.1
root @ master: ~ # hostiteľská pošta
mail.swl.fan má adresu 192.168.10.9
root @ master: ~ # hostiteľský chat
chat.swl.fan má adresu 192.168.10.12
root @ master: ~ # hostiteľ proxy
proxy.swl.fan má adresu 192.168.10.11
root @ master: ~ # hostiteľský súborový server
fileserver.swl.fan má adresu 192.168.10.10
root @ master: ~ # hostiteľ 192.168.10.1
1.10.168.192.in-addr.arpa ukazovateľ názvu domény sysadmin.swl.fan.
root @ master: ~ # hostiteľ 192.168.10.5
5.10.168.192.in-addr.arpa ukazovateľ názvu domény master.swl.fan.
root @ master: ~ # hostiteľ 192.168.10.9
9.10.168.192.in-addr.arpa ukazovateľ názvu domény mail.swl.fan.
root @ master: ~ # hostiteľ 192.168.10.10
10.10.168.192.in-addr.arpa ukazovateľ názvu domény fileserver.swl.fan.
root @ master: ~ # hostiteľ 192.168.10.11
11.10.168.192.in-addr.arpa ukazovateľ názvu domény proxy.swl.fan.
root @ master: ~ # hostiteľ 192.168.10.12
12.10.168.192.in-addr.arpa ukazovateľ názvu domény chat.swl.fan.

Pre zvedavých

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Pridávame používateľov

root @ master: ~ # používateľ nástroja
Použitie: užívateľ nástroja samba Správa užívateľov. Možnosti: -h, --help zobraziť túto pomocnú správu a ukončiť Dostupné čiastkové príkazy: pridať - Vytvoriť nového používateľa. vytvoriť - Vytvoriť nového používateľa. odstrániť - Odstráni používateľa. disable - Zakáže používateľa. enable - Povoliť používateľa. getpassword - Získajte polia hesla účtu používateľa / počítača. zoznam - Zoznam všetkých používateľov. heslo - Zmeňte heslo pre používateľský účet (ten, ktorý je uvedený v autentifikácii). setexpiry - Nastavte dobu platnosti používateľského účtu. setpassword - nastavenie alebo obnovenie hesla používateľského účtu. syncpasswords - Synchronizácia hesla používateľských účtov. Ak potrebujete ďalšiu pomoc s konkrétnym čiastkovým príkazom, zadajte príkaz: samba-tool user (-h | - pomoc)

root @ master: ~ # užívateľ nástroja na vytváranie krokov Trancos01
Užívateľ 'trancos' bol úspešne vytvorený
root @ master: ~ # užívateľ nástroja vytvoriť gandalf Gandalf01
Užívateľ 'gandalf' bol úspešne vytvorený
root @ master: ~ # používateľ nástroja vytvorí legolas Legolas01
Používateľ „legolas“ bol úspešne vytvorený
root @ master: ~ # zoznam používateľov nástroja
Správca gandalf legolas kráča krbtgt Hosť

Správa cez grafické rozhranie alebo cez webového klienta

Navštívte wiki.samba.org, kde nájdete podrobné informácie o tom, ako nainštalovať Microsoft RSAT o Nástroje na vzdialenú správu servera. Ak nepožadujete klasické zásady poskytované službou Microsoft Active Directory, môžete si balík nainštalovať ldap-správca účtu ktorá ponúka jednoduché rozhranie pre správu cez webový prehliadač.

• Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

• Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

• Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

• Windows Vista: http://www.microsoft.com/en-us/download/details.aspx?id=21090

Programový balík Microsoft Remote Server Administration Tools (RSAT) je súčasťou operačných systémov Windows Server.

Pripojili sme doménu k klientovi Windows 7 s názvom „seven“

Pretože v sieti nemáme server DHCP, musíme najskôr nakonfigurovať sieťovú kartu klienta s pevnou adresou IP a vyhlásiť, že primárnym serverom DNS bude adresa IP samba-ad-dc, a skontrolujte, či je aktivovaná možnosť „Zaregistrovať adresu tohto spojenia v DNS“. Nie je nečinné kontrolovať, či meno «sedem»Zatiaľ nie je zaregistrovaný v internom serveri DNS spoločnosti Samba.

Po pripojení počítača k doméne a jeho reštartovaní sa pokúsme prihlásiť pomocou používateľa «kroky«. Skontrolujeme, či je všetko v poriadku. Odporúča sa tiež skontrolovať protokoly klienta systému Windows a skontrolovať, či je čas správne synchronizovaný.

Správcovia, ktorí majú skúsenosti so systémom Windows, zistia, že akékoľvek kontroly vykonané na klientovi prinesú uspokojivé výsledky.

Zhrnutie

Dúfam, že článok bude užitočný pre čitateľov komunity. DesdeLinux.

Zbohom!