PAM, NIS, LDAP, Kerberos, DS dhe Samba 4 AD-DC - Rrjetet SMB

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Përshëndetje miq dhe miq!

Me këtë artikull i them lamtumirë Komunitetit DesdeLinux. Një lamtumirë e veçantë për një komunitet të veçantë. Tani e tutje do të jem në projektin tim personal të cilin mund ta shihni http://www.gigainside.com.

Objektivi kryesor i postit është të ofrojë një «Tablo e madhe»Rreth Shërbimeve të Vërtetimit me Softuer të Lirë që kemi në dispozicion. Të paktën ky është qëllimi ynë. Prandaj do të jetë e gjatë, pavarësisht nga fakti që ne e dimë se është kundër rregullave të përgjithshme të shkrimit të artikujve. Shpresojmë që Administratorët e Sistemit ta vlerësojnë atë.

Ne duam të theksojmë se protokolli i përbashkët për shumë prej sistemeve moderne të vërtetimit është LDAP, dhe se nuk është boshe për ta studiuar me kujdes, nga materiali studimor që do të gjejmë në faqen zyrtare http://www.openldap.org/.

Ne nuk do të japim përkufizime të hollësishme - ose lidhje - për aspektet e trajtuara në artikujt e mëparshëm, ose për ata që përshkrimi i tyre mund të jetë lehtësisht i arritshëm në Wikipedia ose në faqe ose artikuj të tjerë në internet, në mënyrë që të mos humbasim objektivitetin e mesazhit që duam të japim. Ne gjithashtu do të përdorim një përzierje të vlefshme të emrave në anglisht dhe spanjisht, pasi konsiderojmë se shumica e sistemeve kanë lindur me emra në anglisht dhe është shumë e dobishme për një Sysadmin t'i asimilojë ato në gjuhën e tyre origjinale.

• Pam: Moduli i Vërtetimit Pluggable.
• NIS: Shërbimi_Informacion_Rrjeti.
• LDAP: Protokoll i lehtë i hyrjes në direktori.
• Kerberos: Protokolli i sigurisë për të vërtetuar përdoruesit, kompjuterët dhe shërbimet në mënyrë qendrore në një rrjet, duke verifikuar kredencialet e tyre kundrejt shënimeve ekzistuese në bazën e të dhënave Kerberos.
• DS: Serveri i drejtorive ose Shërbimi i direktorive
• AD–DC: Direktoria Active - Kontrolluesi i domenit

Pam

Ne i kushtojmë një seri të vogël këtij lloji të vërtetimit lokal, të cilin do ta shihni në praktikën e përditshme që përdoret gjerësisht kur, për shembull, bashkojmë një stacion pune në një Domain Controller ose Active Directory; të hartëzojë përdoruesit e ruajtur në bazat e të dhënave të jashtme LDAP sikur të ishin përdorues vendas; për të hartuar përdoruesit e ruajtur në Domain Controller të një Active Directory sikur të ishin përdorues vendas, etj.

• Vërtetimi i Squid + PAM në CentOS 7.
• Menaxhimi lokal i përdoruesit dhe grupit
• Serveri DNS Autoritar i NSD + Shorewall
• Miratimi i prozodisë dhe përdoruesit lokalë
• Postfix + Dovecot + Squirrelmail dhe përdoruesit lokalë
  

NIS

De wikipedia:

• Sistemi i informacionit të rrjetit (i njohur me shkurtesën e tij NIS, që në spanjisht do të thotë Sistemi i informacionit të rrjetit), është emri i një protokolli shërbimesh drejtori klient-server i zhvilluar nga Sun Microsystems për dërgimin e të dhënave të konfigurimit në sistemet e shpërndara si p.sh. emrat e përdoruesve dhe hostave midis kompjuterëve në një rrjet.NIS është i bazuar në ONC RPC, dhe përbëhet nga një server, një bibliotekë nga klienti dhe mjete të ndryshme administrimi.

  NIS u quajt fillimisht Faqet e Verdha, ose YP, i cili përdoret akoma për t'iu referuar asaj. Fatkeqësisht, ky emër është një markë tregtare e British Telecom, i cili kërkoi që Sun të hiqte këtë emër. Sidoqoftë, YP mbetet një parashtesë në emrat e komandave më të lidhura me NIS, të tilla si ypserv dhe ypbind.

  DNS shërben për një gamë të kufizuar informacioni, më e rëndësishmja është korrespondenca midis emrit të nyjes dhe adresës IP. Për llojet e tjera të informacionit, nuk ka një shërbim të tillë të specializuar. Nga ana tjetër, nëse menaxhohet vetëm një LAN i vogël pa lidhje interneti, nuk duket se ia vlen të konfiguroni DNS. Kjo është arsyeja pse Sun zhvilloi Sistemin e Informacionit të Rrjetit (NIS). NIS ofron aftësi gjenerike të hyrjes në bazën e të dhënave që mund të përdoren për të shpërndarë, për shembull, informacionin që përmbahet në passwd dhe grupon skedarët në të gjitha nyjet në rrjetin tuaj. Kjo e bën rrjetin të duket si një sistem i vetëm, me të njëjtat llogari në të gjitha nyjet. Në mënyrë të ngjashme, NIS mund të përdoret për të shpërndarë informacionin e emrit të nyjes që përmbahet në / etc / host në të gjitha makineritë në rrjet.

  Sot NIS është në dispozicion në pothuajse të gjitha shpërndarjet Unix, dhe madje ka implementime falas. BSD Net-2 publikoi një që është nxjerrë nga një zbatim i referencës së domenit publik dhuruar nga Sun. Kodi i bibliotekës për pjesën klient të këtij versioni ka qenë në libn GNU / Linux për një kohë të gjatë dhe programet e administratës u transferuan në GNU / Linux nga Swen Thümmler. Sidoqoftë, një server NIS mungon për implementimin e referencës.

  Peter Eriksson ka zhvilluar një zbatim të ri të quajtur NYS. Ai mbështet si NIS bazë ashtu edhe versionin e përmirësuar të Sun NIS +. [1] NYS jo vetëm që ofron një numër mjetesh NIS dhe një server, por gjithashtu shton një seri krejt të re funksionesh bibliotekare që ju duhet të përpiloni në libc tuaj nëse doni t'i përdorni ato. Kjo përfshin një skemë të re konfigurimi për zgjidhjen e emrit të nyjes që zëvendëson skemën aktuale të përdorur nga skedari "host.conf".

  GNU libc, i njohur si libc6 në bashkësinë GNU / Linux, përfshin një version të azhurnuar të mbështetjes tradicionale të NIS të zhvilluar nga Thorsten Kukuk. Ai mbështet të gjitha funksionet e bibliotekës të ofruara nga NYS, dhe gjithashtu përdor skemën e përparuar të konfigurimit të NYS. Mjetet dhe serveri janë ende të nevojshëm, por përdorimi i libc GNU kursen mundimin e rregullimit dhe rikompilimit të bibliotekës

  .

Emri i kompjuterit dhe domenit, ndërfaqja e rrjetit dhe zgjidhësi

• Ne fillojmë nga një instalim i pastër - pa ndërfaqe grafike - i një Debian 8 "Jessie". Domeni swl.fan do të thotë "Tifozë të Software-it të Lirë". Çfarë emri më të mirë se ky?.

root @ master: ~ # emër host
mjeshtër
root @ master: # emri i hostit -f
master. swl.fan

root @ master: ~ # ip addr 1: ja: mtu 65536 qdisc noqueue state UNKNOWN grupi i parazgjedhur link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 host host lo valid_lft forever preferuar_lft përgjithmonë inet6 :: 1/128 strehuesi i fushës valid_lft përgjithmonë i preferuar_lft përgjithmonë 2: eth0: mtu 1500 qdisc pfifo_ fast shtet UP i paracaktuar grupi qlen 1000 lidhje / eter 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 fushë globale eth0 e vlefshme_lft përgjithmonë e preferuar_lft përgjithmonë inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 lidhja e fushës valid_lft përgjithmonë e preferuar_lft përgjithmonë

rrënja @ master: cat # cat /etc/resolv.conf 
kërko swl.fan nameserver 127.0.0.1

Instalimi i serverit bind9, isc-dhcp-server dhe ntp

lidhin9

root @ master: install # aftësia instaloni bind9 bind9-dok harta
root @ master: ~ # statusctl statuslidhja9

root @ master: # nano /etc/bind/named.conf
përfshijnë "/etc/bind/named.conf.options"; përfshijnë "/etc/bind/named.conf.local"; përfshijnë "/etc/bind/named.conf.default-zones";

root @ master: # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: # nano /etc/bind/named.conf.options
opsionet {direktoria "/ var / cache / bind"; // Nëse ekziston një firewall midis jush dhe serverëve të emrave me të cilët dëshironi // të flisni, mund t'ju duhet të rregulloni firewall-in për të lejuar që të flasin shumë porta //. Shiko http://www.kb.cert.org/vuls/id/800113

        // Nëse ISP-ja juaj ofroi një ose më shumë adresa IP për serverë // të qëndrueshëm të emrave, ju ndoshta dëshironi t'i përdorni ato si transferues. // Shkyçni bllokun e mëposhtëm dhe vendosni adresat duke zëvendësuar // mbajtësin e vendndodhjes të të gjitha-0. // përcjellësit {// 0.0.0.0; //}; // =============================================== ======================= $ // Nëse BIND regjistron mesazhe gabimi në lidhje me çelësin rrënjë që skadon, // do t'ju duhet të azhurnoni çelësat tuaj. Shiko https://www.isc.org/bind-keys
        // =============================================== ======================= $ // Ne nuk duam DNSSEC
        dnssec-enable jo;
        // automatizimi i vërtetimit të dnssec; auth-nxdomain nr; # konform RFC1035 dëgjim-në-v6 {ndonjë; }; // Për kontrolle nga localhost dhe sysadmin // through dig swl.fan axfr // Ne nuk kemi skllav DNS ... deri tani
        lejo-transfero {localhost; 192.168.10.1; };
}; root @ master: ~ # me emër-kontroll

root @ master: # nano /etc/bind/zones.rfcFreeBSD
// Hapësira e përbashkët e adresave (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFC-të 3927, 5735 dhe 6303)
zona "254.169.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// Detyrat e protokollit IETF (RFCs 5735 dhe 5736)
zona "0.0.192.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// TEST-NET- [1-3] për dokumentacionin (RFCs 5735, 5737 dhe 6303)
zona "2.0.192.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "113.0.203.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// Diapazoni i Shembujve IPv6 për Dokumentim (RFC 3849 dhe 6303)
zona "8.bd0.1.0.0.2.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// Emrat e Domenit për Dokumentimin dhe Testimin (BCP 32)
zone "test" {tip master; skedari "/etc/bind/db.empty"; }; zona "shembull" {tipi master; skedari "/etc/bind/db.empty"; }; zona "e pavlefshme" {tip master; skedari "/etc/bind/db.empty"; }; zona "example.com" {tipi master; skedari "/etc/bind/db.empty"; }; zona "example.net" {tipi master; skedari "/etc/bind/db.empty"; }; zona "shembull.org" {tipi master; skedari "/etc/bind/db.empty"; };

// Testimi i Benchmarkut të Routerit (RFC 2544 dhe 5735)
zona "18.198.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// IANA Rezervuar - Klasa e Vjetër E Hapësirë ​​(RFC 5735)
zona "240.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "242.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "243.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "244.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "245.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "246.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "247.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "248.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "249.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "250.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "251.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "252.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "253.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "254.in-addr.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// Adresat e Pa Caktuara IPv6 (RFC 4291)
zona "1.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "4.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "5.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "6.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "7.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "8.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "9.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "a.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "b.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "c.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "d.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "e.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "0.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "1.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "2.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "3.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "4.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "5.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "6.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "7.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "8.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "9.f.ip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "afip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "bfip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "0.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "1.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "2.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "3.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "4.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "5.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "6.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "7.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// IPv6 ULA (RFC-të 4193 dhe 6303)
zona "cfip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "dfip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// Lidhja Lokale IPv6 (RFC 4291 dhe 6303)
zona "8.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "aefip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "befip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// IPv6 Adresuar - Adresat Lokale të Faqes (RFCs 3879 dhe 6303)
zona "cefip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "defip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "eefip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; }; zona "fefip6.arpa" {tipi master; skedari "/etc/bind/db.empty"; };

// IP6.INT është anuluar (RFC 4159)
zona "ip6.int" {tipi master; skedari "/etc/bind/db.empty"; };

root @ master: # nano /etc/bind/named.conf.local
// // Bëni ndonjë konfigurim lokal këtu // // Merrni parasysh shtimin e zonave 1918 këtu, nëse ato nuk përdoren në organizatën tuaj // përfshini "/etc/bind/zones.rfc1918";
përfshijnë "/etc/bind/zones.rfcFreeBSD";

// Deklarata e emrit, llojit, vendndodhjes dhe lejes së azhurnimit // të Zonave të Regjistrimit DNS // Të dy Zonat janë zona MASTER "swl.fan" {tip master; skedari "/var/lib/bind/db.swl.fan"; }; zona "10.168.192.in-addr.arpa" {tipi master; skedari "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # me emër-kontroll

root @ master: # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. rrënjë.mjeshtër. swl.fan. (1; serial 1D; rifreskoni 1H; riprovoni 1W; skadon 3H); minimale ose; Koha e caching negativ për të jetuar; @ NS NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Për Tifozët e Softuerit të Lirë"; sysadmin IN A 192.168.10.1 server server skedari IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 blog IN A 192.168.10.8 ftpserver IN A 192.168.10.9 mail IN A XNUMX

root @ master: # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. rrënjë.mjeshtër. swl.fan. (1; seriali 1D; rifreskoni 1H; riprovoni 1W; skadon 3H); minimale ose; Koha e caching-it negativ për të jetuar; @ NS NS master.swl.fan. ; 1 N P PTR sysadmin.swl.fan. 4 N P PTR server.swl.fan. 5 N master master PTR. swl.fan. 6 N P proxyweb.swl.fan në PTR. 7 N P PTR blog.swl.fan. 8 N P PTR ftpserver.swl.fan. 9 N P PTR mail.swl.fan.

root @ master: ~ # name-checkzone swl.fan /var/lib/bind/db.swl.fan
zona swl.fan/IN: seriali i ngarkuar 1 OK
root @ master: ~ # zone-kontrolluar me emrin 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zona 10.168.192.in-addr.arpa/IN: seriali i ngarkuar 1 OK

root @ master: ~ # quajtur-checkconf -zp
root @ master: ~ # systemctl rinis lidhjen9.shërbim
root @ master: ~ # systemctl status bind9.shërbim

Kontrollet Bind9

root @ master: # gërmoj swl.fan axfr
root @ master: # dig 10.168.192.in-addr.arpa axfr
root @ master: # gërmoni në SOA swl.fan
root @ master: # gërmoj NS swl.fan
root @ master: # gërmoni në MX swl.fan
root @ master: ~ # proxyweb host root @ master: # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: # nping --udp -p 53 -c 3 master.swl.fan
Duke filluar Nping 0.6.47 ( http://nmap.org/nping ) në 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 DENTRGUAR (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min. Rtt: N / A | Mesatarja e rtt: N / A Paketat e para të dërguara: 84 (0B) | Rcvd: 0 (3B) | Humbur: 100.00 (1%) Përfundimi u krye: 3.01 adresë IP e fiksuar në XNUMX sekonda 

server isc-dhcp

root @ master: ~ # aftësia instalon serverin isc-dhcp
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Në cilat ndërfaqe serveri DHCP (dhcpd) duhet të shërbejë kërkesat e DHCP? # Ndani ndërfaqe të shumëfishta me hapësira, p.sh. "eth0 eth1".
NDERRFAQSIT "=" eth0 "

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # cat Kdhcp-key. +157 + 51777.private 
Formati i çelësit privat: v1.3 Algoritmi: 157 (HMAC_MD5) Çelësi: Ba9GVadq4vOCixjPN94dCQ == Pjesët: AAA = Krijuar: 20170527133656 Publikimi: 20170527133656 Aktivizo: 20170527133656

rrënjë @ master: # nano dhcp.key
çelësi dhcp-kyç {
        algoritmi hmac-md5;
        sekret "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: # nano /etc/bind/named.conf.local
përfshijnë "/etc/bind/dhcp.key";

zona "swl.fan" {tipi master; skedari "/var/lib/bind/db.swl.fan";
        lejoni-azhurnoni {çelësin dhcp-çelës; };
}; zona "10.168.192.in-addr.arpa" {tipi master; skedari "/var/lib/bind/db.10.168.192.in-addr.arpa";
        lejoni-azhurnoni {çelësin dhcp-çelës; };
};

root @ master: ~ # me emrin-kontrolloj

root @ master: # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: # nano /etc/dhcp/dhcpd.conf
e përkohshme në stilin e azhurnimit; ddns-azhurnimet më; ddns-domain name "swl.fan."; ddns-rev-domain name "in-addr.arpa."; injoroni azhurnimet e klientit; azhurnimi i optimizimit false; # Mund të kërkohet nga autoriteti i Debian; çaktivizimi i ip-it të opsionit; emri i domenit të opsionit "swl.fan"; përfshijnë "/etc/dhcp/dhcp.key"; zona swl.fan. {parësore 127.0.0.1; çelësi dhcp; } zona 10.168.192.in-addr.arpa. {parësore 127.0.0.1; çelësi dhcp; } shared-network redlocal {nënrrjet 192.168.10.0 maskë neto 255.255.255.0 {rutera opsionesh 192.168.10.1; opsioni nën-maskë 255.255.255.0; adresa e transmetimit të opsionit 192.168.10.255; server-opsione domain name-name 192.168.10.5; opsionet netbios-name-servera 192.168.10.5; opsionet ntp-servera 192.168.10.5; serverat me kohë të opsioneve 192.168.10.5; diapazoni 192.168.10.30 192.168.10.250; }}

root @ master: # dhcpd -t
Konsorciumi i Sistemeve të Internetit DHCP Server 4.3.1 E drejta e autorit 2004-2014 Konsorciumi i Sistemeve të Internetit. Të gjitha të drejtat e rezervuara. Për informacion, ju lutem vizitoni https://www.isc.org/software/dhcp/
Skedari konfigurues: /etc/dhcp/dhcpd.conf Skedari i bazës së të dhënave: /var/lib/dhcp/dhcpd.leases skedarin PID: /var/run/dhcpd.pid

root @ master: ~ # systemctl rinis lidhjen9.shërbim 
root @ master: ~ # systemctl status bind9.shërbim 

root @ master: ~ # systemctl start isc-dhcp-server.service
root @ master: ~ # statusi systemctl isc-dhcp-server.service

ntp

root @ master: ~ # aftësia instaloni ntp ntpdate
root @ master: # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistikat loopstats peerstats clockstats filegen loopstats file loopstats type day aktivizoni filegen peerstats file peerstats type type aktivizoni filegen clockstats skedari clockstats lloji day aktivizoni serverin 192.168.10.1 kufizoni -4 parazgjedhur kodin notrap nomodifikoni noopeer noquery limit -6 parazgjedhur kod notrap nomodify nopeer noquery restric 127.0.0.1 limit ... 1 transmetim 192.168.10.255

root @ master: ~ # systemctl rinisni ntp.service 
rrënja @ master: ~ # statusi systemctl ntp.service
root @ master: # ntpdate -u sysadmin.swl.fan
27 maj 10:04:01 ntpdate [18769]: rregulloni serverin kohë 192.168.10.1 kompensuar 0.369354 sek

Kontrollet globale për serverin ntp, bind9 dhe isc-dhcp

Nga një klient Linux, BSD, Mac OS ose Windows kontrolloni që koha të sinkronizohet si duhet. Që ajo të marrë një adresë IP dinamike dhe që emri i atij host të zgjidhet përmes pyetjeve direkte dhe të kundërta të DNS. Ndryshoni emrin e klientit dhe ribëni të gjitha kontrollet. Mos vazhdoni derisa të jeni i sigurt se shërbimet e instaluara deri më tani po funksionojnë si duhet. Për diçka, ne i kemi shkruar të gjithë artikujt në lidhje me DNS dhe DHCP në Rrjetet kompjuterike për NVM-të.

Instalimi i serverit NIS

root @ master: ~ # aftësi tregojnë nis
Konfliktet me: netstd (<= 1.26) Përshkrimi: klientët dhe demonët për Shërbimin e Informacionit të Rrjetit (NIS) Kjo paketë ofron mjete për vendosjen dhe mirëmbajtjen e një domaini NIS. NIS, i njohur fillimisht si Faqet e Verdha (YP), përdoret kryesisht për të lejuar që disa makineri në një rrjet të ndajnë të njëjtat informacione të llogarisë, siç është skedari i fjalëkalimit.

root @ master: install # aftësia instaloni nis
Konfigurimi i Paketës ┌─────────────────────────┤ Konfigurimi i Nishit │ │ Zgjidhni "emrin e domain" NIS për këtë sistem. Nëse dëshironi që kjo makinë to të jetë thjesht një klient, duhet të futni emrin e domenit IS │ NIS që dëshironi të bashkoheni. Përndryshe, nëse kjo makinë do të jetë një server NIS, ju mund të │ │ të futni një "emër domain" të ri NIS ose emrin e një domeni ekzistues NIS │. Domain IS │ │ │ NIS: │ │ │ │ swl.fan __________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Do të vonojë tuajin sepse konfigurimi i shërbimit nuk ekziston si i tillë. Ju lutemi prisni që procesi të përfundojë.

root @ master: # nano / etc / default / nis
# A jemi ne një server NIS dhe nëse po çfarë lloji (vlerat: false, skllav, master)?
NISSERVER = zotëri

root @ master: ~ # nano /etc/ypserv.securenets # safenets Kjo skedar përcakton të drejtat e hyrjes në serverin tuaj NIS # për klientët NIS (dhe serverat skllavë - ypxfrd përdor edhe këtë # skedar). Kjo skedar përmban çifte maskë / rrjeti. # Një adresë IP e klientëve duhet të përputhet me të paktën një # prej tyre. # # Dikush mund të përdorë fjalën "host" në vend të një maskara neto prej # 255.255.255.255. Në këtë skedar lejohen vetëm adresat IP, jo emrat e hostit. # # Gjithmonë lejoni hyrjen për localhost 255.0.0.0 127.0.0.0 # Kjo linjë i jep qasje të gjithëve. JU LUTEM RREGULLONI! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # A duhet ta bashkojmë skedarin passwd me skedarin hije? # MERGE_PASSWD = e vërtetë | e gabuar
MERGE_PASSWD = e vërtetë

# A duhet ta bashkojmë skedarin e grupit me skedarin gshadow? # MERGE_GROUP = e vërtetë | false
MERGE_GROUP = e vërtetë

Ne ndërtojmë bazën e të dhënave NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
Në këtë pikë, ne duhet të ndërtojmë një listë të hostëve që do të ekzekutojnë serverat NIS. master.swl.fan është në listën e hostëve të serverave NIS. Ju lutemi vazhdoni të shtoni emrat për hostët e tjerë, një për çdo rresht. Kur të keni mbaruar me listën, shtypni a . hosti tjetër për të shtuar: master.swl.fan hosti tjetër për të shtuar: Lista aktuale e serverave NIS duket si kjo: master.swl.fan A është e saktë? [y / n: y] Na duhen disa minuta për të ndërtuar bazat e të dhënave ... bëj [1]: Lënia e drejtorisë '/var/yp/swl.fan' master.swl.fan është vendosur si një server kryesor NIS . Tani mund të ekzekutoni ypinit -s master.swl.fan në të gjithë serverin skllav.

root @ master: ~ # systemctl rinisni nis
root @ master: status # statusctctl status nis

Ne shtojmë përdorues vendas

rrënjë @ master: ~ # adduser bilbo
Shtimi i përdoruesit "bilbo" ... Shtimi i grupit të ri "bilbo" (1001) ... Shtimi i përdoruesit të ri "bilbo" (1001) me grupin "bilbo" ... Krijimi i direktorisë në shtëpi `/ home / bilbo ' ... Kopjimi i skedarëve nga `` / etc / skel '... Vendosni fjalëkalimin e ri UNIX: Rishkruani fjalëkalimin e ri UNIX: passwd: fjalëkalimi është azhurnuar si duhet Ndryshimi i informacionit të përdoruesit për bilbo Futni vlerën e re, ose shtypni ENTER për të përdorur parazgjedhur Emri i plotë []: Bilbo Bagins Numri i dhomës []: Telefoni i punës []: Telefoni i shtëpisë []: Tjetër []: A është informacioni i saktë? [Y / n]

root @ master: ~ # adduser bën hapa root @ master: # legues adduser

etj.

root @ master: leg # gishta legolas
Login: legolas Emri: Legolas Archer Directory: / home / legolas Shell: / bin / bash Asnjëherë nuk je i regjistruar. Nuk ka postë. Asnjë plan.

Ne azhurnojmë bazën e të dhënave NIS

root @ master: / var / yp # bëj
bëj [1]: Hyrja në direktori '/var/yp/swl.fan' Përditësimi i passwd.byname ... Përditësimi i passwd.byuid ... Përditësimi i group.byname ... Përditësimi i group.bygid ... Përditësimi i netid.byname. .. Përditësimi i shadow.byname ... Ignored -> bashkuar me passwd make [1]: Lënia e drejtorisë '/var/yp/swl.fan'

Ne shtojmë opsionet NIS në serverin isc-dhcp

root @ master: # nano /etc/dhcp/dhcpd.conf
e përkohshme në stilin e azhurnimit; ddns-azhurnimet më; ddns-domain name "swl.fan."; ddns-rev-domain name "in-addr.arpa."; injoroni azhurnimet e klientit; azhurnimi i optimizimit false; autoritare; çaktivizimi i ip-it të opsionit; emri i domenit të opsionit "swl.fan"; përfshijnë "/etc/dhcp/dhcp.key"; zona swl.fan. {parësore 127.0.0.1; çelësi dhcp; } zona 10.168.192.in-addr.arpa. {parësore 127.0.0.1; çelësi dhcp; } shared-network redlocal {nënrrjet 192.168.10.0 maskë neto 255.255.255.0 {rutera opsionesh 192.168.10.1; opsioni nën-maskë 255.255.255.0; adresa e transmetimit të opsionit 192.168.10.255; server-opsione domain name-name 192.168.10.5; opsionet netbios-name-servera 192.168.10.5; opsionet ntp-servera 192.168.10.5; serverat me kohë të opsioneve 192.168.10.5;
                opsioni nis-domain "swl.fan";
                opsioni nis-servera 192.168.10.5;
                diapazoni 192.168.10.30 192.168.10.250; }}

root @ master: # dhcpd -t
root @ master: ~ # systemctl rinis isc-dhcp-server.servis

Instalimi i klientit NIS

• Ne fillojmë nga një instalim i pastër - pa ndërfaqe grafike - i një Debian 8 "Jessie".

root @ mail: ~ # emri i hostit -f
postë.svl.fan

root @ mail:. # ip shtues
2: eth0: mtu 1500 qdisc pfifo_ gjendje e shpejtë Grupi i parazgjedhur qlen 1000 lidhje / eter 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 prd 192.168.10.255 fushëveprimi i etikës globale0

root @ mail: ~ # aftësia instaloni nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Skedari i konfigurimit për procesin ypbind. Ju mund të përcaktoni # servera NIS manualisht këtu nëse nuk mund të gjenden duke # transmetuar në rrjetin lokal (i cili është i paracaktuar). # # Shikoni faqen manuale të ypbind për sintaksën e kësaj skedari. # # E RNDSISHME: Për "ypserver", përdorni adresat IP, ose sigurohuni që # host të jetë në / etc / host. Kjo skedar interpretohet vetëm # një herë, dhe nëse DNS nuk është e arritshme, serveri yps nuk mund të zgjidhet # dhe ypbind nuk do të lidhet kurrë me serverin. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Shembull konfigurimi i funksionalitetit të ndërrimit të shërbimit të emrit GNU. # Nëse keni të instaluara paketat "glibc-doc-reference" dhe "info", provoni: # "info libc" Name Service Switch "për informacion në lidhje me këtë skedar. passwd: grupi i compat nis: hija e compat nis: compat nis gshadow: hostet e skedarëve: skedarët rrjete dns nis: protokollet e skedarëve: shërbimet e skedarëve db: eteret e skedarëve db: skedarët db rpc: skedarët db netgrup: nis

root @ mail: n # nano /etc/pam.d/comess-session
# pam-auth-azhurnim (8) për detaje.
sesion opsional pam_mkhomedir.so skel = / etc / skel umask = 077
# këtu janë modulet për paketë (blloku "Primar")

root @ mail: status # statusctctl status nis
root @ mail: ~ # systemctl rinisni nis

Ne e mbyllim sesionin dhe e fillojmë përsëri por me një përdorues të regjistruar në bazën e të dhënave NIS në master. swl.fan.

root @ mail:. # dalje
dalja Lidhja me postën u mbyll.

buzz @ sysadmin:. $ ssh legolas @ postë
legolas @ fjalëkalimi i postës: Krijimi i direktorisë '/ home / legolas'. Programet e përfshira në sistemin Debian GNU / Linux janë softuer falas; kushtet e sakta të shpërndarjes për secilin program përshkruhen në skedarët individualë në / usr / share / doc / * / e drejta e autorit. Debian GNU / Linux vjen me JO GARANCI PSRDORIMISHT, në masën e lejuar nga ligji në fuqi.
legolas @ mail: ~ $ pwd
/ shtëpi / legola
legolas @ mail: ~ $ 

Ne ndryshojmë fjalëkalimin e përdoruesit të legolas dhe kontrollojmë

legolas @ mail: y $ yppasswd 
Ndryshimi i informacionit të llogarisë NIS për legolas në master.swl.fan. Ju lutemi shkruani fjalëkalimin e vjetër: legolas Ndryshimi i fjalëkalimit të NIS për legolas në master.swl.fan. Ju lutemi shkruani fjalëkalimin e ri: shigjetari Fjalëkalimi duhet të ketë shkronja të mëdha dhe të vogla, ose jo-shkronja. Ju lutemi shkruani fjalëkalimin e ri: Arquero2017 Ju lutemi rishkruani fjalëkalimin e ri: Arquero2017 Fjalëkalimi NIS është ndryshuar në master.swl.fan.

legolas @ mail: exit $ dalje
dalja Lidhja me postën u mbyll.

buzz @ sysadmin:. $ ssh legolas @ postë
legolas @ fjalëkalimi i postës: Arquero2017

Programet e përfshira në sistemin Debian GNU / Linux janë softuer falas; kushtet e sakta të shpërndarjes për secilin program përshkruhen në skedarët individualë në / usr / share / doc / * / e drejta e autorit. Debian GNU / Linux vjen me JO GARANCI PSRDORIMISHT, në masën e lejuar nga ligji në fuqi. Identifikimi i fundit: Sht 27 maj 12:51:50 2017 nga sysadmin.swl.fan
legolas @ mail: ~ $

Shërbimi NIS i implementuar në nivelin e serverit dhe klientit funksionon si duhet.

LDAP

Nga Wikipedia:

• LDAP është akronimi për Protokollin e Hyrjes në Direktorinë e Lehtë (në Spanjisht Protokoll i Lehtësisë / Thjeshtë i Hyrjes në Direktori) që i referohet një protokolli të nivelit të aplikimit që lejon hyrjen në një shërbim direktorie të renditur dhe të shpërndarë për të kërkuar informacione të ndryshme në një mjedis rrjeti LDAP konsiderohet gjithashtu një bazë e të dhënave (edhe pse sistemi i tij i ruajtjes mund të jetë i ndryshëm) që mund të kërkohet.Direktoria është një grup i objekteve me atribute të organizuara në një mënyrë logjike dhe hierarkike. Shembulli më i zakonshëm është direktoria telefonike, e cila përbëhet nga një seri emrash (persona ose organizata) që janë rregulluar në mënyrë alfabetike, me secilin emër që ka një adresë dhe një numër telefoni të bashkangjitur me të. Për ta kuptuar më mirë, është një libër ose dosje, në të cilin janë shkruar emrat, numrat e telefonit dhe adresat e njerëzve, dhe është rregulluar alfabetikisht.

  Një pemë e drejtorive LDAP ndonjëherë reflekton kufij të ndryshëm politikë, gjeografikë ose organizativë, në varësi të modelit të zgjedhur. Vendosjet aktuale të LDAP tentojnë të përdorin emrat e Sistemit të Emrave të Domenit (DNS) për të strukturuar nivelet më të larta të hierarkisë. Ndërsa lëvizni poshtë drejtorisë, mund të shfaqen shënime që përfaqësojnë njerëz, njësi organizative, printerë, dokumente, grupe njerëzish ose gjithçka që përfaqëson një hyrje të dhënë në pemë (ose shënime të shumta).

  Zakonisht, ai ruan informacionet e vërtetimit (përdorues dhe fjalëkalim) dhe përdoret për të vërtetuar, megjithëse është e mundur të ruhen informacione të tjera (të dhënat e kontaktit të përdoruesit, vendndodhja e burimeve të ndryshme të rrjetit, lejet, certifikatat, etj.). Në përmbledhje, LDAP është një protokoll i unifikuar i hyrjes në një grup informacioni në një rrjet.

  Versioni aktual është LDAPv3, dhe përcaktohet në RFC RFC 2251 dhe RFC 2256 (dokumenti bazë i LDAP), RFC 2829 (metoda e vërtetimit për LDAP), RFC 2830 (zgjerimi për TLS) dhe RFC 3377 (specifikimi teknik)

  .

Për shumë kohë, protokolli LDAP - dhe bazat e të dhënave të tij të pajtueshme ose jo me OpenLDAP - është më i përdorur në shumicën e sistemeve të vërtetimit sot. Si një shembull i deklaratës së mëparshme, ne japim më poshtë disa emra të sistemeve - Falas ose Private - që përdorin bazat e të dhënave LDAP si mbështetëse për të ruajtur të gjitha objektet e tyre:

• OpenLDAP
• Serveri i Drejtorisë Apache
• Serveri i Direktorive të Red Hat - 389 DS
• Shërbimet e Drejtorisë Novell - eDirectory
• SUN Mikrosistemi i Hapur DS
• Menaxheri i Identitetit të Red Hat
• Pa pagesë IPA
• Kontrolluesi i domenit klasik Samba NT4.
  Ne duam të sqarojmë se ky sistem u zhvillua nga Ekipi Samba me Samba 3.xxx + OpenLDAP si backend. Microsoft asnjëherë nuk implementoi diçka të ngjashme me të. U hodh nga Kontrolluesit e Domenit NT 4 në Drejtoritë e tyre Aktive
• Samba 4 Active Directory - Kontrolluesi i domenit
• Pastro OS
• Zental
• Serveri i Korporatave të Uninvention UCS
• Drejtoria Active e Microsoft

Çdo zbatim ka karakteristikat e veta, dhe më standarde dhe e përputhshme është ajo OpenLDAP.

Active Directory, qoftë origjinali nga Microsoft apo ai nga Samba 4, përbëjnë një bashkim të disa përbërësve kryesorë që janë:

• LDAP i personalizuar nga Microsoft dhe Samba.
• Domain i Microsoft Windows o Domeni i Windows. Në thelb është Rrjeti i Microsoft-it.
• Kontrolluesi i domenit Microsoft o Kontrolluesi i domenit.
• Kerberos i personalizuar nga Microsoft dhe Samba.

Ne nuk duhet të ngatërrojmë a Shërbimi i Drejtorisë o Shërbimi i Drejtorive me një Active Directory o Drejtoria Aktive. E para mund ose nuk mund të presë vërtetimin e Kerberos, por ato nuk ofrojnë shërbimin e Rrjetit Microsoft që ofron një Domain Windows, dhe as nuk kanë një Kontrollues të Domainit të Windows si të tillë.

Një Shërbim Direktorie ose Shërbim Drejtorie mund të përdoret për të vërtetuar përdoruesit në një rrjet të përzier me klientë të UNIX / Linux dhe Windows. Për këtë të fundit, duhet të instalohet një program në secilin klient që vepron si ndërmjetës midis Shërbimit të Direktorisë dhe vetë klientit të Windows, siç është Softueri i Lirë. faqe.

Shërbimi i direktorisë me OpenLDAP

• Ne fillojmë nga një instalim i pastër - pa ndërfaqe grafike - i një Debian 8 "Jessie", me të njëjtin emër makine "master" të përdorur për instalimin e NIS, si dhe konfigurimin e ndërfaqes së saj të rrjetit dhe skedarin /etc/resolv.conf. Në këtë server të ri ne instalojmë serverin ntp, bind9 dhe isc-dhcp, pa harruar kontrollet globale të funksionimit korrekt të tre shërbimeve të mëparshme.

root @ master: ~ # aftësi instaloni slapd ldap-utils

Konfigurimi i paketës

┌────────────────────┤ Konfigurimi i slapd │ │ Vendosni fjalëkalimin për hyrjen e administratorit në drejtorinë tuaj LDAP. Password │ │ password Fjalëkalimi i administratorit: │ │ │ │ ******** ___________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

Ne kontrollojmë konfigurimin fillestar

root @ master: # slapcat
dn: dc = swl, dc = tifoz
objectClass: top objectClass: dcObject objectClass: organizimi o: swl.fan dc: swl strukturaObjectClass: hyrja e organizatësUUID: c8510708-da8e-1036-8fe1-71d022a16904 krijuesit Emri: cn = administratori, dc = swl, dc = hyrja e tifozëve krijoniTimestamp20170531205219 20170531205219.833955 Z # 000000 # 000 # 000000 modifikues Emri: cn = administratori, dc = swl, dc = modifikimi i tifozit Vula kohore: 20170531205219Z

dn: cn = administratori, dc = swl, dc = tifoz
objectClass: simpleSecurityObject objectClass: organizationalRole CN: Përshkrimi admin: LDAP administrator userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-hyrje = cXNUMXe XNUMX Z # XNUMX # XNUMX # XNUMX modifikues Emri: cn = administratori, dc = swl, dc = modifikimi i tifozit Vula kohore: XNUMXZ

Ne modifikojmë skedarin /etc/ldap/ldap.conf

root @ master: # nano /etc/ldap/ldap.conf
BAZA dc = swl, dc = tifoz URI    ldap: // localhost

Njësitë organizative dhe grupi i përgjithshëm «përdoruesit»

Ne shtojmë njësitë minimale të nevojshme organizative, si dhe grupin Posix «përdorues» në të cilin do t'i bëjmë anëtarë të gjithë përdoruesit, duke ndjekur shembullin e shumë sistemeve që kanë grupin «përdoruesit« Ne e quajmë atë me emrin e «përdoruesve» në mënyrë që të mos hyjmë në konflikte të mundshme me grupin «përdorues"i sistemit.

root @ master: # nano base.ldif
dn: ou = njerëz, dc = swl, dc = objekt tifoz Klasa: organizativeNjësia e njësisë: njerëzit dn: ou = grupe, dc = swl, dc = objekt tifoz Klasa: organizativeNjësia e njësive: grupet dn: cn = përdoruesit, ou = grupet, dc = swl, dc = objekt i tifozit Klasa: posixGroup cn: përdoruesit gidNumri: 10000

root @ master: # ldapadd -x -D cn = administratori, dc = swl, dc = tifoz -W -f bazë.ldif
Vendosni fjalëkalimin LDAP: shtimi i hyrjes së re "ou = njerëz, dc = swl, dc = tifoz" duke shtuar hyrjen e re "ou = grupe, dc = swl, dc = tifoz"

Ne kontrollojmë shënimet e shtuara

rrënjë @ master: ~ # ldapsearch -x ou = njerëz
# njerëz, swl.fan dn: ou = njerëz, dc = swl, dc = objekt tifoz Klasa: organizativeNjësia e njësisë: njerëzit

root @ master: ~ # ldapsearch -x ou = grupe
# grupe, swl.fan dn: ou = grupe, dc = swl, dc = objekt tifoz Klasa: organizativeNjësia e njësive: grupe

root @ master: ~ # ldapsearch -x cn = përdorues
# përdorues, grupe, swl.fan dn: cn = përdorues, ou = grupe, dc = swl, dc = objekt i tifozit Klasa: posixGroup cn: users gidNumber: 10000

Ne shtojmë disa përdorues

Fjalëkalimi që duhet të deklarojmë në LDAP duhet të merret përmes komandës përplasem, i cili kthen një fjalëkalim të koduar SSHA.

Fjalëkalimi për hapat e përdoruesit:

root @ master: # slappasswd 
Fjalëkalimi i ri: Fut përsëri fjalëkalimin e ri: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Fjalëkalimi për legolas të përdoruesit

root @ master: # slappasswd 
Fjalëkalimi i ri: Fut përsëri fjalëkalimin e ri: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Fjalëkalimi për përdoruesin gandalf

root @ master: # slappasswd 
Fjalëkalimi i ri: Fut përsëri fjalëkalimin e ri: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: # përdoruesit e nano.ldif
dn: uid = hapa, ou = njerëz, dc = swl, dc = objekt i tifozit Klasa: inetOrgPerson objektKlasa: posixArjedha e llogarisëKlasa: hijeLlogaria uid: hapat cn: hapat e dhënëName: Strides sn: El Rey përdoruesiPasfjalë: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 mail: striders@swl.fan
gecos: Identifikimi i Strider El Rey Shell: / bin / bash home Direktoria: / home / strider dn: uid = legolas, ou = njerëz, dc = swl, dc = objekt i tifozit Klasa: inetOrgOrg Objekti Person Klasa: posixAccount llogariClass: shadowAccount uid: legolas cn: legolas dhënë : Legolas sn: Përdoruesi i Shigjetarit Fjalëkalimi: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 mail: legolas@swl.fan
gecos: Identifikimi i Legolas Archer Shell: / bin / bash home Direktoria: / shtëpi / legolas dn: uid = gandalf, ou = njerëz, dc = swl, dc = objekt i tifozit Klasa: inetOrgPerson personiKlasa: posixAccount countClass: shadowAccount uid: gandalf cn: gandalf dhënë Gandalf sn: Përdoruesi i Wizard Fjalëkalimi: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
gecos: Gandalf The Wizard hyrja Shell: / bin / bash home Direktoria: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = administratori, dc = swl, dc = tifoz -W -f përdorues.ldif
Vendosni fjalëkalimin LDAP: shtimi i hyrjes së re "uid = hapa, ou = njerëz, dc = swl, dc = tifoz" duke shtuar hyrjen e re "uid = legolas, ou = njerëz, dc = swl, dc = tifoz" duke shtuar hyrjen e re "uid = gandalf, ou = njerëz, dc = swl, dc = tifoz "

Ne kontrollojmë shënimet e shtuara

root @ master: # ldapsearch -x cn = hapa
root @ master: # ldapsearch -x uid = hapa hapa

Ne menaxhojmë bazën e të dhënave slpad me shërbimet e tastierës

Ne zgjedhim paketën dorëshkrime për një detyrë të tillë. Procedura e instalimit dhe konfigurimit është si më poshtë:

root @ master: ~ # aftësi instaloni ldapscript
 
root @ master: # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.origjinale
 
root @ master: # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = administratori, dc = swl, dc = tifoz' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = grupet' USUFFIX = 'ou = njerëz' # MSUFFIX = 'ou = Kompjuter' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # komandat e klientit OpenLDAP LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEB / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup etj "/" Grupi posix / / etj "/" etj /ldapadduser.template "PASSWORDGEN =" echo% u "

Vini re se skriptet përdorin komandat e paketës ldap-utils. Vrapo dpkg -L ldap-utils | grep / kosh të dijë se cilat janë ato.

root @ master: # sh -c "echo -n 'fjalëkalimi i administratorit"> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount countClass: shadowAccount uid: cn: emri i dhënë: sn: shfaq Emrin: uidNumri: gidNumber: 10000 home Direktoria: hyrja Shell: posta: @ swl.fan geckos: përshkrimi: Llogaria e përdoruesit
 
root @ master: # nano /etc/ldapscripts/ldapscripts.conf
## ne heqim komentin UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Ne shtojmë përdoruesin "bilbo" dhe e bëjmë atë anëtar të grupit "përdorues"

root @ master: ~ # përdorues bilbo të ldapadduser
[dn: uid = bilbo, ou = njerëz, dc = swl, dc = fan] Vendos vlerën për "dhënë emrin": Bilbo [dn: uid = bilbo, ou = njerëzit, dc = swl, dc = fan] Vendos vlerën për " sn ": Bagins [dn: uid = bilbo, ou = njerëz, dc = swl, dc = fan] Vendos vlerën për" displayName ": Bilbo Bagins Shtoi me sukses përdoruesi bilbo në LDAP Vendosi me sukses fjalëkalimin për përdoruesin bilbo

root @ master: # ldapsearch -x uid = bilbo
# bilbo, njerëz, swl.fan dn: uid = bilbo, ou = njerëz, dc = swl, dc = objekt tifoz Class: inetOrgPerson personClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo dhënëName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo hyrja Shell: / bin / bash mail: bilbo@swl.fan
gecos: përshkrimi i bilbo: Llogaria e përdoruesit

Për të parë hash-in e fjalëkalimit të përdoruesit të bilbo, është e nevojshme të kryeni pyetjen me vërtetim:

root @ master: # ldapsearch -x -D cn = administratori, dc = swl, dc = tifoz -W uid = bilbo

Për të fshirë përdoruesin e bilbo ekzekutojmë:

root @ master: ~ # ldapdelete -x -D cn = administrator, dc = swl, dc = tifoz -W uid = bilbo, ou = njerëz, dc = swl, dc = fan
Vendosni fjalëkalimin LDAP:

root @ master: # ldapsearch -x uid = bilbo

Ne menaxhojmë bazën e të dhënave slapd përmes një ndërfaqeje në internet

Ne kemi një Shërbim Direktorial funksional dhe duam ta menaxhojmë atë më lehtë. Ka shumë programe të dizajnuara për këtë detyrë, të tilla si phpldapadmin, menaxheri i llogarisë ldap, etj., të cilat janë në dispozicion direkt nga depot. Ne gjithashtu mund të menaxhojmë një Shërbim Direktorie përmes Studio Apache Directory, të cilën duhet ta shkarkojmë nga interneti.

Për më shumë informacion, ju lutemi vizitoni https://blog.desdelinux.net/ldap-introduccion/, dhe 6 artikujt vijues.

Klienti LDAP

Fazë:

Thuaj se kemi ekipin postë.svl.fan si një server postë i implementuar siç e pamë në artikull Postfix + Dovecot + Squirrelmail dhe përdoruesit lokalë, i cili edhe pse është zhvilluar në CentOS, mund të shërbejë si një udhëzues për Debian dhe shumë distros të tjera Linux. Ne duam që, përveç përdoruesve lokalë që tashmë kemi deklaruar, përdoruesit e ruajtur në bazën e të dhënave OpenLDAP që ekzistojnë në master. swl.fan. Për ta arritur këtë ne duhet «jashte harte»Për përdoruesit e LDAP si përdorues lokalë në server postë.svl.fan. Kjo zgjidhje është e vlefshme edhe për çdo shërbim të bazuar në vërtetimin e PAM. Procedura e përgjithshme për Debian, është si më poshtë:

root @ mail: ~ # aftësia instaloni libnss-ldap libpam-ldap ldap-utils

  ┌────────────────────┤ Konfigurimi i libnss-ldap │ │ Futni URI ("Identifikuesi Uniform i Burimeve", ose │ entif Identifikuesi Uniform i Burimeve) të serverit LDAP. Kjo varg është e ngjashme me │ «ldap: //: / ». Ju gjithashtu mund të │ │ përdorni «ldaps: // » ose "ldapi: //". Numri i portit është opsional. │ │ │ │ Rekomandohet të përdorni një adresë IP për të shmangur dështimin kur shërbimet e emrave të domain │ │ nuk janë të disponueshme. URI i serverit D │ │ │ LDAP: │ │ │ │ ldap: //master.swl.fan__________________________________________________ │ │ │ │ │ └────────────────────────────────────────────── ┌───────────────────── ┤ Konfigurimi i libnss-ldap │ │ Vendosni emrin e dalluar (DN) të bazës së kërkimit LDAP. Shumë faqe përdorin përbërësit e emrit të domain-it për këtë qëllim. Për shembull, domeni "example.net" do të përdorte │ │ "dc = shembull, dc = net" si emrin e dalluar të bazës së kërkimit. Name │ │ name Emri i dalluar (DN) i bazës së kërkimit: │ │ │ │ dc = swl, dc = tifoz ____________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libnss-ldap │ │ Futni versionin e protokollit LDAP që duhet të përdorin ldapns. Rekomandohet të përdorni numrin më të lartë të mundshëm të versionit. Version │ │ │ Versioni LDAP për të përdorur: │ │ │                                     3                                     │ 2 │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libnss-ldap │ │ Zgjidhni cilën llogari do të përdoret për pyetjet nss me privilegjet │ │ root. Shënim: Që ky opsion të funksionojë, llogaria ka nevojë për leje që │ │ të ketë mundësi të hyjë në atributet LDAP që shoqërohen me përdoruesit e hyrjeve "hije" si dhe fjalëkalimet e përdoruesve dhe grupeve │ . Llogaria LDAP për rrënjë: │ │ │ │ cn = administrator, dc = swl, dc = tifoz ___________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libnss-ldap │ │ Vendosni fjalëkalimin që do të përdoret kur libnss-ldap përpiqet të icate icate vërtetojë në drejtorinë LDAP me llogarinë rrënjësore LDAP. │ │ │ │ Fjalëkalimi do të ruhet në një skedar të veçantë │ │ ("/etc/libnss-ldap.secret") që mund të arrihet vetëm nga root. You │ │ │ Nëse futni një fjalëkalim të zbrazët, fjalëkalimi i vjetër do të ripërdoret. │ │ │ │ Fjalëkalimi për llogarinë rrënjësore LDAP: │ │ │ │ ******** ______________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌──────────────────── ─┤ Konfigurimi i libnss-ldap Ss │ │ │ nsswitch.conf nuk menaxhohet automatikisht │ │ │ │ Duhet të modifikoni skedarin tuaj "/etc/nsswitch.conf" për të përdorur një burim të dhënash LDAP nëse dëshironi që paketa libnss-ldap të funksionojë. │ │ Mund të përdorni skedarin shembull │ │ te "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" si një shembull i konfigurimit të nsswitch ose │ │ mund ta kopjoni atë mbi konfigurimin tuaj aktual. │ │ │ │ Vini re se para se të hiqni këtë paketë mund të jetë e përshtatshme të │ │ hiqni shënimet "ldap" nga skedari nsswitch.conf në mënyrë që shërbimet themelore │ │ të vazhdojnë të funksionojnë. │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libpam-ldap Option │ │ │ Ky opsion lejon mjetet e fjalëkalimit duke përdorur PAM për të ndryshuar fjalëkalimet lokale. │ │ │ │ Fjalëkalimi për llogarinë e administratorit LDAP do të ruhet në një skedar të veçantë │ that që mund të lexohet vetëm nga administratori. Option │ │ │ Ky opsion duhet të çaktivizohet, nëse monton "/ etj" përmes NFS. │ │ │ │ A doni të lejoni që llogaria e administratorit LDAP të sillet si rator │ administratori lokal? │ │ │                                            │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libpam-ldap │ │ │ │ Zgjidhni nëse serveri LDAP detyron identifikimin para se të marrë shënimet e hyrjeve. Setting │ │ │ Ky cilësim është rrallë i nevojshëm. Required │ │ │ A kërkohet nga një përdorues për të hyrë në bazën e të dhënave LDAP? │ │ │                                               │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libpam-ldap │ │ Vendosni emrin e llogarisë së administratorit LDAP. Account automatically │ │ Kjo llogari do të përdoret automatikisht për menaxhimin e bazës së të dhënave, │ │ duhet të ketë privilegjet e duhura administrative. Account │ │ account Llogaria e administratorit LDAP: │ │ in │ cn = administratori, dc = swl, dc = tifozi ___________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurimi i libpam-ldap │ │ Vendosni fjalëkalimin për llogarinë e administratorit. │ │ │ │ Fjalëkalimi do të ruhet në skedarin "/etc/pam_ldap.secret". Administratori │ will do të jetë i vetmi që mund të lexojë këtë skedar dhe do të lejojë │ │ libpam-ldap të kontrollojë automatikisht menaxhimin e lidhjeve në bazën e të dhënave │. You │ │ │ Nëse e lini bosh këtë fushë, fjalëkalimi i mëparshëm i ruajtur │ │ do të përdoret përsëri. Password │ │ password Fjalëkalimi i administratorit të LDAP: │ │ │ │ ******** _______________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Shembull konfigurimi i funksionalitetit të ndërrimit të shërbimit të emrit GNU. # Nëse keni të instaluara paketat "glibc-doc-reference" dhe "info", provoni: # "info libc" Name Service Switch "për informacion në lidhje me këtë skedar. passwd: kompat ldap
grupi: kompat ldap
hije: kompat ldap
gshadow: skedarët host: skedarët rrjete dns: protokollet e skedarëve: shërbimet e skedarëve db: eteret e skedarëve db: skedarët db rpc: skedarët db netgrupi: nis

Le të ndryshojmë skedarin /etc/pam.d/ fjalëkalim i zakonshëm, ne shkojmë në rreshtin 26 dhe eleminojmë vlerën «përdor_authtok':

root @ mail: # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - module të lidhura me fjalëkalimin të përbashkët për të gjitha shërbimet # # Ky skedar përfshihet nga skedarët e tjerë të konfigurimit të PAM-it specifik të shërbimit, # dhe duhet të përmbajë një listë të moduleve që përcaktojnë shërbimet që duhet të jenë # përdoret për të ndryshuar fjalëkalimet e përdoruesit. Parazgjedhur është pam_unix. # Shpjegimi i opsioneve pam_unix: # # Opsioni "sha512" mundëson fjalëkalimet e kripura të SHA512. Pa këtë mundësi, # e parazgjedhura është kriptë Unix. Publikimet e mëparshme përdorën opsionin "md5". # # Opsioni "i paqartë" zëvendëson opsionin e vjetër "OBSCURE_CHECKS_ENAB" në # login.defs. # # Shikoni faqen e pam_unix për mundësi të tjera. # Nga pam 1.0.1-6, kjo skedar menaxhohet nga pam-auth-azhurnimi si parazgjedhje. # Për të përfituar nga kjo, rekomandohet që të konfiguroni çdo # modul lokal ose para ose pas bllokut të paracaktuar, dhe të përdorni # pam-auth-azhurnim për të menaxhuar zgjedhjen e moduleve të tjerë. Shihni # pam-auth-azhurnim (8) për detaje. # këtu janë modulet për pako (blloku "Primar") fjalëkalimi [suksesi = 2 parazgjedhje = injoro] pam_unix.so sha512 i paqartë
fjalëkalimi [suksesi = 1 përdorues_i panjohur = injoro parazgjedhjen = vdes] pam_ldap.prandaj provo_kalimin e parë
# këtu është rikthimi nëse asnjë modul nuk arrin fjalëkalimin e nevojshëm pam_deny.so # kryeministrin pirgun me një vlerë kthyese pozitive nëse nuk ka një tashmë; # kjo na shmang kthimin e një gabimi vetëm sepse asgjë nuk përcakton një kod suksesi # pasi që modulet e mësipërme secili thjesht hidhet rreth fjalëkalimit të kërkuar pam_permit.so # dhe këtu janë më shumë module për paketë (blloku "Shtesë") konfigurimi i azhurnimit auth

Në rast se kemi nevojë Hyrja Lokale e përdoruesve të ruajtur në LDAP, dhe ne duam që dosjet e tyre të krijohen automatikisht shtëpi, ne duhet të editojmë skedarin /etc/pam.d/comance-session dhe shtoni rreshtin e mëposhtëm në fund të skedarit:

sesion opsional pam_mkhomedir.so skel = / etc / skel umask = 077

Në shembullin e Shërbimit të Drejtorisë OpenLDAP të zhvilluar më herët, përdoruesi i vetëm lokal që u krijua ishte përdoruesi lëvizje, ndërsa në LDAP krijojmë përdoruesit hapa hapa përpara, legola, Gandalf, Dhe bilbo. Nëse konfigurimet e bëra deri më tani janë të sakta, atëherë duhet të jemi në gjendje të rendisim përdoruesit lokalë dhe ata të shënjuar si lokalë, por të ruajtur në serverin e largët LDAP:

root @ mail: # getent passwd 
gumëzhitje: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Shëtitjet: x: 10000: 10000: Shëtitjet El Rey: / shtëpi / hapa: / shporta / bash
legolas: x: 10001: 10000: Legolas Archer: / shtëpi / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Pas ndryshimeve në vërtetimin e sistemit, është e vlefshme të rindizni serverin nëse nuk përballemi me një shërbim kritik:

root @ mail: ~ # reboot

Më vonë ne fillojmë një sesion lokal në server postë.svl.fan me kredencialet e një përdoruesi të ruajtur në bazën e të dhënave LDAP të master. swl.fan. Ne gjithashtu mund të provojmë të identifikohemi përmes SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ postë
gandalf @ fjalëkalimi i postës: Krijimi i direktorisë '/ home / gandalf'. Programet e përfshira në sistemin Debian GNU / Linux janë softuer falas; kushtet e sakta të shpërndarjes për secilin program përshkruhen në skedarët individualë në / usr / share / doc / * / e drejta e autorit. Debian GNU / Linux vjen me JO GARANCI PSRDORIMISHT, në masën e lejuar nga ligji në fuqi.
gandalf @ mail: ~ $ su
Fjalekalimi:

root @ mail: / home / gandalf # grupi i marrjes
gumëzhitje: x: 1001: përdoruesit: *: 10000:

root @ mail: / home / gandalf # dalje
dalje

gandalf @ mail: l $ ls -l / shtëpi /
gjithsej 8 drwxr-xr-x 2 gumëzhimë gumëzhitje     4096 Qershor 17 12:25 gumëzhij drwx ------ 2 përdoruesit e gandalfit 4096 17 qershor 13:05 gandalf

Shërbimi i Drejtorive i zbatuar në nivelin e serverit dhe klientit, funksionon si duhet.

Kerberos

Nga Wikipedia:

• Kerberos është një protokoll vërtetimi i rrjetit kompjuterik i krijuar nga ME që lejon që dy kompjuterë në një rrjet të pasigurt të provojnë në mënyrë të sigurt identitetin e tyre me njëri-tjetrin. Projektuesit e saj u përqëndruan së pari në një model klient-server dhe siguron vërtetim të ndërsjellë: si klienti ashtu edhe serveri verifikojnë identitetin e njëri-tjetrit. Mesazhet e vërtetimit mbrohen për të parandaluar përgjimi y sërish sulmet.
  
  Kerberos bazohet në kriptografinë kyçe simetrike dhe kërkon një palë të tretë të besueshme. Përveç kësaj, ka shtesa të protokollit për të qenë në gjendje të përdorin kriptografinë e çelësit asimetrik.
  
  Kerberos është i bazuar në Protokolli Needham-Schroeder. Përdor një palë të tretë të besuar, të quajtur "Qendra kryesore e shpërndarjes" (KDC), e cila përbëhet nga dy pjesë logjike të ndara: një "Server Vërtetimi" (AS ose Server Vërtetimi) dhe një "server lëshues biletash" (TGS ose Server për Dhënien e Biletave) ) Kerberos punon në bazë të "biletave", të cilat shërbejnë për të provuar identitetin e përdoruesve.
  
  Kerberos mban një bazë të dhënash të çelësave sekretë; Çdo entitet në rrjet - qoftë klient apo server - ndan një çelës sekret të njohur vetëm për veten dhe Kerberos. Njohja e këtij çelësi shërben për të provuar identitetin e entitetit. Për një komunikim midis dy njësive, Kerberos gjeneron një çelës sesioni, të cilin ata mund ta përdorin për të siguruar problemet e tyre.

Disavantazhet e Kerberos

De I ecur:

Edhe pse Kerberos heq një kërcënim të përbashkët sigurie, mund të jetë i vështirë për t'u zbatuar për një sërë arsyesh:

• Migrimi i fjalëkalimeve të përdoruesve nga një bazë e të dhënave standarde për fjalëkalimet UNIX, të tilla si / etc / passwd ose / etc / shadow, në një bazë të dhënash fjalëkalimesh Kerberos, mund të jetë e lodhshme dhe nuk ka asnjë mekanizëm të shpejtë për të përmbushur këtë detyrë.
• Kerberos supozon që secili përdorues është i besuar, por po përdor një makinë të pabesuar në një rrjet të pasigurt. Objektivi kryesor i tij është të parandalojë që fjalëkalimet e pakriptuara të dërgohen në rrjet. Sidoqoftë, nëse ndonjë përdorues tjetër, përveç përdoruesit të duhur, ka qasje në makinerinë e biletave (KDC) për vërtetim, Kerberos do të ishte në rrezik.
• Që një aplikacion të përdorë Kerberos, kodi duhet të modifikohet për të bërë thirrjet e duhura në bibliotekat e Kerberos. Aplikimet që modifikohen në këtë mënyrë konsiderohen të kerberizuara. Për disa aplikacione, kjo mund të jetë një përpjekje e tepruar programuese, për shkak të madhësisë së aplikacionit ose Projektimit të tij. Për aplikacione të tjera të papajtueshme, duhet të bëhen ndryshime në mënyrën e komunikimit të serverit të rrjetit dhe klientëve të tij; përsëri, kjo mund të marrë mjaft programim. Në përgjithësi, aplikacionet me burim të mbyllur që nuk kanë mbështetje Kerberos janë zakonisht më problematiket.
• Më në fund, nëse vendosni të përdorni Kerberos në rrjetin tuaj, duhet të kuptoni se është një zgjedhje e të gjitha ose asgjë. Nëse vendosni të përdorni Kerberos në rrjetin tuaj, duhet të mbani mend se nëse ndonjë fjalëkalim i kalohet një shërbimi që nuk përdor Kerberos për tu vërtetuar, ju rrezikoni që paketa të përgjohet. Kështu, rrjeti juaj nuk do të përfitojë nga përdorimi i Kerberos. Për të siguruar rrjetin tuaj me Kerberos, duhet të përdorni vetëm versionet e kerberizuara të të gjitha aplikacioneve të klientit / serverit që dërgojnë fjalëkalime të pakriptuara ose të mos përdorni ndonjë nga këto aplikacione në rrjet.

Zbatimi dhe konfigurimi manual i OpenLDAP si Kerberos Back-End nuk është një detyrë e lehtë. Sidoqoftë, më vonë do të shohim se Samba 4 Active Directory - Domain Controller integron në një mënyrë transparente për Sysadmin, një server DNS, Rrjetin Microsoft dhe Domain Controller, serverin LDAP si Back-End të pothuajse të gjitha objekteve të tij, dhe shërbimi i vërtetimit i bazuar në Kerberos si përbërësit themelorë të një Direktori Aktive të stilit Microsoft.

Deri më sot nuk kemi pasur nevojë për të zbatuar një "Rrjet të Karbuarizuar". Kjo është arsyeja pse ne nuk kemi shkruar se si të zbatojmë Kerberos.

Samba 4 Active Directory - Kontrollues Domain

Rëndësishme:

Nuk ka dokumentacion më të mirë se faqja wiki.samba.org. Sysadmin me vlerë të kripës së tij duhet të vizitojë atë faqe - në anglisht - dhe të shfletojë numrin e madh të faqeve kushtuar plotësisht Samba 4, të shkruara nga vetë Ekipi Samba. Nuk besoj se ka dokumentacion të disponueshëm në Internet për ta zëvendësuar atë. Nga rruga, vëzhgoni numrin e vizitave të pasqyruara në fund të secilës faqe. Një shembull i kësaj është që faqja juaj kryesore ose «Faqja Kryesore» është vizituar 276,183 herë deri më sot 20 Qershor 2017 në 10:10 Ora Standarde Lindore. Përveç kësaj, dokumentacioni mbahet shumë i azhurnuar, pasi ajo faqe është modifikuar më 6 qershor.

Nga Wikipedia:

Samba është një implementim falas i protokollit të ndarjes së skedarëve Microsoft Windows (i quajtur më parë SMB, i riemëruar kohët e fundit CIFS) për sistemet e ngjashme me UNIX. Në këtë mënyrë, është e mundur që kompjuterët me GNU / Linux, Mac OS X ose Unix në përgjithësi të duken si servera ose të veprojnë si klientë në rrjetet e Windows. Samba lejon gjithashtu vlerësimin e përdoruesve si një Kontrollues Primar i Domenit (PDC), si një anëtar domeni dhe madje si një domain Active Directory për rrjetet e bazuara në Windows; përveç që është në gjendje të shërbejë radhë të shtypura, direktori të përbashkëta dhe vërtetuar me arkivin e vet të përdoruesit.

Ndër sistemet e ngjashme me Unix në të cilat mund të drejtohet Samba janë shpërndarjet GNU / Linux, Solaris dhe variantet e ndryshme BSD midis që mund të gjejmë Serverin Mac OS X të Apple.

Samba 4 AD-DC me DNS-në e saj të Brendshme

• Ne fillojmë nga një instalim i pastër - pa ndërfaqe grafike - i një Debian 8 "Jessie".

Kontrollet fillestare

root @ master: ~ # emër host
mjeshtër
root @ master: # emri i hostit --fqdn
master. swl.fan
root @ master:. # ip shtues
1: çfarë: mtu 65536 qdisc noqueue state UNKNOWN grupi i parazgjedhur link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 host host lo valid_lft forever preferuar_lft përgjithmonë inet6 :: 1/128 strehuesi i fushës valid_lft përgjithmonë i preferuar_lft përgjithmonë 2: eth0: mtu 1500 qdisc pfifo_ gjendje e shpejtë E panjohur grupi parazgjedhur qlen 1000 lidhje / eter 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 prd 192.168.10.255 fushëveprimi i etikës globale0
       valid_lft përgjithmonë preferuar_lft përgjithmonë inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 lidhja e fushës valid_lft përgjithmonë e preferuar_lft përgjithmonë
rrënja @ master: cat # cat /etc/resolv.conf
kërko swl.fan nameserver 127.0.0.1

• Me të cilën ne deklarojmë degën kryesor vetëm, është më se e mjaftueshme për qëllimet tona.

root @ master: # cat /etc/apt/sources.list
debutuese http://192.168.10.1/repos/jessie-8.6/debian/ Jessie kryesor
debutuese http://192.168.10.1/repos/jessie-8.6/debian/security/ xhesi / azhurnime kryesor

Postfix nga Exim dhe shërbimet

root @ master: ~ # aftësi instaloni postfix htop mc deborphan

  Conf Konfigurimi i Postfix ────┐ │ Zgjidhni llojin e konfigurimit të serverit të postës që i përshtatet më mirë nevojave tuaja. Conf │ │ │ Pa konfigurim: │ │ Mban konfigurimin aktual të paprekur. Site site Faqja në internet: │ │ Posta dërgohet dhe merret direkt duke përdorur SMTP. │ │ Internet me «smarthost»: │ │ Posta merret drejtpërdrejt duke përdorur SMTP ose duke ekzekutuar një mjet como like si «fetchmail». Posta dalëse dërgohet duke përdorur "│ një" smarthost ". Mail only Vetëm posta lokale: │ │ E vetmja postë që dorëzohet është për përdoruesit lokalë. Jo │ │ ka një rrjet. Type │ │ type Lloji gjenerik i konfigurimit të postës: │ │ │ │ Pa konfigurim │ site Sajt në Internet │ │ Internet me "smarthost" │ system Sistemi satelitor │                         Vetëm posta lokale                                │ │ │ │ │                                     │ │ └────────────────────────────────────────────── ┌──────────────────── Conf Konfigurimi i Postfix ├─────────────────────────┐ │ "Emri i sistemit të postës" është emri i domenit që │ │ përdoret për të "kualifikuar" _ALL_ adresat e postës elektronike pa një emër domain. Kjo përfshin postën në dhe nga "root": ju lutemi mos bëni machine machine makineria juaj të dërgojë email nga root@example.org të │ më pak se root@example.org pyeti. Programs │ use programs Programet e tjera do të përdorin këtë emër. Duhet të jetë një emër unik i kualifikuar domain domain (FQDN). │ │ │ │ Prandaj, nëse një adresë emaili në makinerinë lokale është │ diçka@hembull.org, vlera e saktë për këtë opsion do të jetë shembull.org. │ │ │ name Emri i sistemit të postës: │ │ │ │ master. swl.fan ___________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Ne pastrojmë

root @ master: pur # spastrimi i aftësisë ~ c
root @ master: install # instalimi i aftësisë -f
root @ master: ~ # aftësi e pastër
root @ master: ~ # aftësi autoklene

Ne instalojmë kërkesa për të përpiluar Samba 4 dhe pako të tjera të nevojshme

root @ master: ~ # aftësi instaloni acl attr autoconf bison \
ndërtuar-thelbësor debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-përdorues libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl-module perl pkg-config \
python-all-dev python-dev python-dnspython python-kripto \
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev konfigurimi ldap-utils krb5

 ┌───────────────┤ Konfigurimi i vërtetimit të Kerberos ├───────────────┐ │ Kur përdoruesit përpiqen të përdorin Kerberos dhe specifikojnë një emër Al │ kryesor ose përdorues pa sqaruar se cilës domain administrativ Kerberos i takon │ al kryesor, sistemi merr fushën e paracaktuar │.  Mbretëria e paracaktuar mund të përdoret gjithashtu si sfera of of e një shërbimi Kerberos që funksionon në makinerinë lokale.  Në mënyrë tipike, sfera e paracaktuar është emri i madh i domenit lokal DNS.  Ber │ │ │ Mbretëria e paracaktuar e versionit 5 të Kerberos: │ │ │ │ SWL.FAN __________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌───────────────┤ ┌───────────────┤ Konfigurimi i vërtetimit Kerberos ├───────────────┐ │ Vendosni emrat e serverave Kerberos në fushën SWL.FAN të ber │ Kerberos, të ndara me hapësira.  Ser │ │ vers Serverët Kerberos për fushën tuaj: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌───────────────┤ ┌───────────────┤ Konfigurimi i vërtetimit Kerberos ├───────────────┐ │ Vendosni emrin e serverit administrativ (ndryshimi i fjalëkalimit) │ për fushën Kerberos SWL.FAN.   

Procesi i mësipërm zgjati pak kohë sepse ende nuk kemi të instaluar ndonjë shërbim DNS. Sidoqoftë, ju zgjodhët domenin si duhet nga cilësimet e skedarit / Etc / hosts. Mos harroni se në dosje /etc/resolv.conf ne kemi deklaruar si server me emër domain në IP 127.0.0.1.

Tani konfigurojmë skedarin / etc / ldap / ldap / conf

root @ master: # nano /etc/ldap/ldap.conf
BAZA dc = swl, dc = tifoz URI ldap: //master.swl.fan

Për pyetje duke përdorur komandën ldapsearch të bëra nga përdoruesi rrënjë janë të llojit ldapsearch -x -W cn = xxxx, ne duhet të krijojmë skedarin /roza/.ldapsearc me përmbajtjen vijuese:

root @ master: # nano .ldaprc
BINDDN CN = Administratori, CN = Përdoruesit, DC = swl, DC = tifoz

Sistemi i skedarëve duhet të mbështesë ACL - Lista e Kontrollit të Hyrjes

root @ master: # nano / etc / fstab
# / etc / fstab: informacioni statik i sistemit të skedarëve. # # Përdorni 'blkid' për të shtypur identifikuesin unik universal për një pajisje #; kjo mund të përdoret me UUID = si një mënyrë më e fortë për të emëruar pajisjet # që funksionon edhe nëse disqet shtohen dhe hiqen. Shikoni fstab (5). # # # / ishte në / dev / sda1 gjatë instalimit UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, pengesë = 1, noatime, gabime = remount-ro 0 1
# swap ishte aktiv / dev / sda5 gjatë instalimit UUID = cb73228a-615d-4804-9877-3ec225e3ae32 asnjë swap sw 0 0 / dev / sr0 / media / cdrom0 udf, përdorues i iz9660, noauto 0 0

root @ master: # mal -a

root @ master: # testimi i prekjes_acl.txt
root @ master: # setfattr -n user.test -v testimi i testit_v test_acl.txt
root @ master: # setfattr -n sigurisë.test -v test2 testimi_acl.txt
root @ master: # getfattr -d testimi_acl.txt
# skedar: testing_acl.txt user.test = "provë"

root @ master: # getfattr -n sigurinë.test -d testimin_acl.txt
# skedar: testing_acl.txt security.test = "test2"

root @ master: # setfacl -mg: adm: rwx testing_acl.txt

root @ master: # getfacl testing_acl.txt
# skedar: testimi_acl.txt # pronari: rrënja # grupi: përdoruesi i rrënjës: rw- grupi: r-- grupi: adm: maska ​​rwx :: rwx tjetër :: r--

Ne marrim burimin Samba 4, e përpilojmë dhe e instalojmë

Rekomandohet shumë të shkarkoni skedarin burim të versionit I qëndrueshëm nga faqja https://www.samba.org/. Në shembullin tonë ne shkarkojmë versionin samba-4.5.1.tar.gz drejt dosjes / opt.

root @ master: # cd / zgjedh
root @ master: / zgjedh # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / zgjedhni # cd samba-4.5.1 /

Opsionet e konfigurimit

Nëse duam të rregullojmë opsionet e konfigurimit, ekzekutojmë:

root @ master: /opt/samba-4.5.1# ./konfiguro - ndihmo

dhe me shumë kujdes zgjidhni ato që na duhen. Këshillohet të kontrolloni nëse pakoja e shkarkuar mund të instalohet në shpërndarjen Linux që po përdorim, e cila në rastin tonë është Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / Configure zgjedhje

Ne konfigurojmë, përpilojmë dhe instalojmë samba-4.5.1

• Nga kërkesat e instaluara më parë dhe skedarët 8604 (që përbëjnë samba-4.5.1.tar.gz kompakt) që peshojnë rreth 101.7 megabajt - duke përfshirë dosjet burim3 dhe burim4 që peshojnë rreth 61.1 megabajt - ne do të marrim një zëvendësim për një Active Directory i stilit Microsoft, i një cilësie dhe stabiliteti më shumë se i pranueshëm për çdo mjedis prodhimi. Ne duhet të nxjerrim në pah punën e Ekipit Samba në shpërndarjen e Softuerit të Lirë Samba 4.

Komandat më poshtë janë ato klasike për përpilimin dhe instalimin e paketave nga burimet e tyre. Ne duhet të jemi të durueshëm për sa kohë që zgjat i gjithë procesi. Isshtë mënyra e vetme për të marrë rezultate të vlefshme dhe korrekte.

root @ master: /opt/samba-4.5.1# ./konfiguro - me-sistemd - gota të çaktivizueshme
root @ master: /opt/samba-4.5.1# bërë
root @ master: /opt/samba-4.5.1# make install

Gjatë procesit të komandimit bërë, ne mund të shohim se burimet Samba 3 dhe Samba 4. Janë përpiluar. Kjo është arsyeja pse Ekipi Samba pohon se versioni i tij 4 është azhurnimi natyror i versionit 3, si për Kontrolluesit e Domainit bazuar në Samba 3 + OpenLDAP, dhe serverat e skedarëve, ose më të vjetër versionet e Samba 4.

Sigurimi i Sambës

Ne do të përdorim si DNS SAMBA_INTERNAL. Në https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End do të gjejmë më shumë informacion. Kur ata na kërkojnë fjalëkalimin e përdoruesit të Administratorit, ne duhet të shkruajmë një me një gjatësi minimale prej 8 karakteresh dhe gjithashtu, me shkronja - të mëdha dhe të vogla - dhe numra.

Para se të vazhdojmë me sigurimin dhe për ta bërë jetën më të lehtë, ne shtojmë rrugë të ekzekutuesve Samba në dosjen tonë .BashrcPastaj mbyllemi dhe futemi përsëri.

root @ master: # nano .bashrc
# ~ / .bashrc: ekzekutuar nga bash (1) për predhat jo-identifikuese. # Shënim: PS1 dhe umask janë vendosur tashmë në / etc / profile. Ju nuk duhet # të keni nevojë për këtë nëse nuk doni parazgjedhje të ndryshme për root. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Ju mund të mos komentoni rreshtat e mëposhtëm nëse dëshironi që "ls" të ngjyrosen: # eksport LS_OPTIONS = '- ngjyra = automatik '# eval "" dircolors "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Disa pseudonime të tjera për të shmangur gabimet : # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
deklarojë -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # dilni nga dalja Lidhja me masterin u mbyll. xeon @ sysadmin: root $ ssh root @ master

root @ master: provision # samba-mjet sigurimi i domenit --use-rfc2307 --interaktive
Mbretëria [SWL.FAN]: SWL.FAN
 Fusha [SWL]: SWL
 Roli i serverit (DC, anëtar, i pavarur) [DC]: dc
 Mbështetja e DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, ASNJ) [SAMBA_INTERNAL]: SAMBA_INTERNAL
 Adresa IP e DNS forwarder (shkruaj 'asnjë' për të çaktivizuar përcjelljen) [192.168.10.5]: 8.8.8.8
Fjalëkalimi i administratorit: Fjalëkalimi juaj 2017
Rishkruaje fjalëkalimin: Fjalëkalimi juaj 2017
Kërkimi i adresave IPv4 Kërkimi i adresave IPv6 Asnjë adresë IPv6 nuk do të caktohet Vendosja e share.ldb Vendosja e sekreteve.ldb Vendosja e regjistrit Vendosja e bazës së të dhënave të privilegjeve Vendosja e idmap db Vendosja e SAM db Vendosja e ndarjeve dhe cilësimet sam.ldb Vendosja deri në rrënjën sam.ldbDSE Para-ngarkimi i skemës Samba 4 dhe AD Shtimi i DomenitDN: DC = swl, DC = tifoz Shtimi i kontejnerit të konfigurimit Vendosja e skemës sam.ldb Vendosja e të dhënave të konfigurimit sam.ldb Vendosja e specifikuesve të ekranit Modifikimi i specifikuesve të ekranit Shtimi i kontejnerëve të përdoruesve Modifikimi i kontejnerëve të përdoruesve Shtimi i kontejnerëve të kompjuterëve Modifikimi i kontejnerëve të kompjuterëve Vendosja e të dhënave sam.ldb Vendosja e parimeve të njohura të sigurisë Vendosja e përdoruesve dhe grupeve të sam.ldb Vendosja e vetë bashkimit Shtimi i llogarive DNS Krijimi i CN = MicrosoftDNS, CN = Sistemi, DC = swl, DC = tifoz Krijimi i ndarjeve të DomainDnsZones dhe ForestDnsZones Popullimi i ndarjeve DomainDnsZones dhe ForestDnsZones Vendosja e shënimit të root.db sam.ldb si GUID të parashikimit të sinkronizuar të rregullimitNjë konfigurim Kerberos i përshtatshëm për Samba 4 është gjeneruar në /usr/local/samba/private/krb5.conf Vendosja e cilësimeve të rreme të serverit yp Pasi të instalohen skedarët e mësipërm, serveri juaj Samba4 do të jetë gati për të përdorur Rolin e serverit: domeni aktiv i direktorisë kontrollues Emri i hostit: Domain master NetBIOS: SWL DNS Domain: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Le të mos harrojmë të kopjojmë skedarin e konfigurimit të Kerberos siç tregohet nga rezultati i Provigjionet:

root @ master: # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Për të mos shtypur komandën samba-mjet me emrin tuaj të plotë, ne krijojmë një lidhje simbolike me emrin e shkurtër mjet:

root @ master: # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / mjet

Ne instalojmë NTP

Një pjesë themelore në një Direktori Active është Shërbimi Koha e Rrjetit. Ndërsa vërtetimi bëhet përmes Kerberos dhe Biletave të tij, sinkronizimi i kohës me Samba 4 AD-DC është jetik.

root @ master: install # aftësia instaloni ntp
root @ master: # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd statistikat loopstats peerstats clockstats filegen loopstats file loopstats type type aktivizoni filegen peerstats skedarin peerstats lloji ditë mundësoni filegenstats skedari ora 192.168.10.1 kufizo -4 parazgjedhur kod notrap nomodifikoj nopeer kufizoj pyetjen kufizo -6 kod kodin parazgjedhur nomodifiko nopeer noquery kufizo parazgjedhur mssntp kufizoj 127.0.0.1 kufizo :: 1 transmetim 192.168.10.255

root @ master: ~ # shërbim ntp rinisni
root @ master:. # statusi i shërbimit ntp

root @ master: # tail -f / var / log / syslog

Nëse kur shqyrton syslog duke përdorur komandën e mësipërme ose duke përdorur ditarctl -f ne marrim mesazhin:

Qershor 19 12:13:21 master ntpd_intres [1498]: prindi vdiq para se të mbaronim, duke dalë

ne duhet të rifillojmë shërbimin dhe të provojmë përsëri. Tani krijojmë dosjen ntp_sign:

root @ master: # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd nuk mund të aksesohet: Skedari ose drejtoria nuk ekziston

root @ master: # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: root # rrënjë chown: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ch # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Siç kërkohet në samba.wiki.org
root @ master: # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 rrënjë ntp 4096 Qershor 19 12:21 / usr / local / samba / var / lib / ntp_signd

Ne konfigurojmë fillimin e Samba duke përdorur systemd

root @ master: vice # nano /lib/systemd/system/samba-ad-dc.service
[Shërbimi] Lloji = pirun PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Install] WantedBy = multi-user.target

root @ master: ~ # systemctl mundëson samba-ad-dc
root @ master: ~ # reboot

root @ master: ~ # statusi systemctl statusi samba-ad-dc
root @ master: status # statusctctl statusi ntp

Vendndodhjet e skedarëve Samba 4 AD-DC

ALL -minus shërbimin e sapokrijuar samba-ad-dc.- skedarët janë në:

root @ master: # ls -l / usr / local / samba /
gjithsej 32 drwxr-sr-x 2 personel rrënjë 4096 Qer 19 11:55 bin
drwxr-sr-x 2 personeli rrënjë 4096 Qershor 19 11:50 etj
drwxr-sr-x 7 personeli rrënjë 4096 Qershor 19 11:30 përfshin
drwxr-sr-x 15 stafi rrënjor 4096 Qershor 19 11:33 lib
drwxr-sr-x 7 personeli rrënjë 4096 Qershor 19 12:40 privat
drwxr-sr-x 2 personeli rrënjë 4096 Qershor 19 11:33 sbin
drwxr-sr-x 5 personeli rrënjë 4096 Qershor 19 11:33 pjesë
drwxr-sr-x 8 personeli rrënjë 4096 Qershor 19 12:28 ishte

në stilin më të mirë UNIX. Alwaysshtë gjithmonë e këshillueshme që të kërkoni nëpër dosje të ndryshme dhe të shqyrtoni përmbajtjen e tyre.

Skedari /usr/local/samba/etc/smb.conf

root @ master: # nano /usr/local/samba/etc/smb.conf 
# Parametrat globalë [emri global] i netbios = MASTER realm = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 shërbime server = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , roli i serverit dns = kontrollori aktiv i domenit të direktorisë lejon azhurnimet e dns = siguro vetëm idmap_ldb: përdorni rfc2307 = po konfigurimin idmap *: backend = tdb konfigurimin idmap *: diapazoni = 1000000-1999999 serveri ldap kërkon auth të fortë = nuk ka emër të shtypur të shtypur = / dev / null [netlogon] shtegu = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = Jo [sysvol] shtegu = / usr / local / samba / var / kyçet / sysvol lexo vetëm = Jo

root @ master: # testparm
Ngarko skedarët e konfigurimit smb nga /usr/local/samba/etc/smb.conf Seksioni i përpunimit "[netlogon]" Seksioni i përpunimit "[sysvol]" Skedari i ngarkuar i shërbimeve është në rregull. Roli i serverit: ROLE_ACTIVE_DIRECTORY_DC Shtypni enter për të parë një depozitë të përkufizimeve të shërbimit tuaj # Parametrat globalë [global] realm = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 serveri ldap kërkon auth të fortë = Pa backendb passendb = samba_dsdb role server = direktori aktive kontrolluesi i fushës rpc_server: tcpip = nuk ka rpc_daemon: spoolssd = ngulitur rpc_server: spoolss = i ngulitur rpc_server: winreg = i ngulitur rpc_server: ntsvcs = i ngulitur rpc_server: ngjarja e ngjarjes = i jashtëm i rspc_serv_serv = rrs_serv_serv = rrs_serv_serv = rr_serv_serv = srv server_rct = srv server_rct = rrc_serv_serv = rrc_serv_serv = rrc_serv_serv = rrc_serv = rrc_serv : tuba të jashtëm = konfigurimi i vërtetë i idmap *: diapazoni = 1000000-1999999 idmap_ldb: përdorni rfc2307 = po konfigurimi idmap *: backend = arkivi i hartës tdb = Nuk ka hartë vetëm për leximin = nuk ka atribute të dyqaneve dosje = Po objekte vfs = dfs_samba4 acl_xattr [netlogon] rruga = / usr / local / samba / var / locks / sysvol / swl.fan / skriptet lexohen vetëm = Jo [sysvol] shtegu = / usr / local / samba / var / flokët / sysvol lexo vetëm = Jo

Kontrollet minimale

root @ master: ~ # shfaqje e nivelit të domenit të mjetit
Niveli i funksionit të domenit dhe pyllit për domenin 'DC = swl, DC = fan' Niveli i funksionit Forest: (Windows) 2008 R2 Niveli i funksionit të domenit: (Windows) 2008 R2 Niveli më i ulët i funksionit të një DC: (Windows) 2008 R2

root @ master: # ldapsearch -x -W

root @ master: tool # mjet dbcheck
Kontrollimi i 262 objekteve Kontrollimi i 262 objekteve (0 gabime)

root @ master: kin # administratori kinit
Fjalëkalimi për Administratori@SWL.FAN: 
root @ master: # klist -f
Memoria e biletave: DOSJE: / tmp / krb5cc_0
Default kryesor: Administratori@SWL.FAN

Fillimi i vlefshëm Skadon Shërbimi kryesor 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    rinovohet deri më 20 06:17:12 PM, Flamujt: RIA

root @ master: # kdestroy
root @ master: # klist -f
klist: Skedari i memorjes së kredencialeve '/ tmp / krb5cc_0' nuk u gjet

root @ master: # smbclient -L localhost -U%
Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Sharename Type Koment --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Shërbimi (Samba 4.5.1) Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komenti i Serverit --------- ------- Master i Grupit të Punës ---- ----- -------

root @ master: # smbclient // localhost / netlogon -UAdministrator -c 'ls'
Vendosni fjalëkalimin e administratorit: Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 Mon Qershor 19 11:50:52 2017 .. D 0 Mon Qershor 19 11:51:07 2017 19091584 blloqe me madhësi 1024. 16198044 blloqe në dispozicion

root @ master: ~ # mjet dns serverinfo master - administrator U

root @ master: # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan ka rekord SRV 0 100 389 master.swl.fan.

root @ master: # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan ka rekord SRV 0 100 88 master.swl.fan.

root @ master: # host -t Një master.swl.fan
master.swl.fan ka adresë 192.168.10.5

root @ master: # host -t SOA swl.fan
swl.fan ka SOA master record.swl.fan. hostmaster.svl.fan. 1 900 600 86400 3600

root @ master: # host -t NS swl.fan
emri i serverit swl.fan master.swl.fan.

root @ master: # host -t MX swl.fan
swl.fan nuk ka rekord MX

root @ master: # samba_dnsupdate --verbose

root @ master: ~ # listë e përdoruesve të mjeteve
Administrator krbtgt Vizitor

root @ master: ~ # lista e grupeve të mjeteve
# Prodhimi është një bandë e grupeve. ;-)

Ne menaxhojmë Samba 4 AD-DC të sapo instaluar

Nëse duam të modifikojmë skadimin në ditë të fjalëkalimit të Administratorit; kompleksiteti i fjalëkalimeve; gjatësia minimale e fjalëkalimit; kohëzgjatja minimale dhe maksimale - brenda ditëve - e fjalëkalimit; dhe ndryshoni fjalëkalimin e administratorit të deklaruar gjatë Provigjionet, ne duhet të ekzekutojmë komandat e mëposhtme me vlera të përshtatura për nevojat tuaja:

root @ master: ~ # mjet
Përdorimi: samba-mjet Mjeti kryesor i administrimit të sambës. Opsionet: -h, --ndihmoni të tregoni këtë mesazh ndihme dhe dilni nga Opsionet e Versionit: -V, --version Shfaq numrin e versionit Nënkomandat e disponueshme: dbcheck - Kontrolloni bazën e të dhënave lokale AD për gabime. delegacioni - Menaxhimi i delegacionit. dns - Menaxhimi i Shërbimit të Emrit të Domenit (DNS). domain - Menaxhimi i domenit. drs - Menaxhimi i Shërbimeve të Replikimit të Direktorisë (DRS). dsacl - manipulimi i DS ACLs. fsmo - Menaxhimi i roleve fleksibile të një operacioni të vetëm (FSMO) gpo - Menaxhimi i Objektit të Politikës së Grupit (GPO). grupi - Menaxhimi i grupit. ldapcmp - Krahasoni dy baza të të dhënave ldap. ntacl - manipulim i NT ACLs. proceset - Renditni proceset (për të ndihmuar korrigjimin e gabimeve në sisteme pa setproctitle). rodc - Menaxhimi i Kontrolluesit të Domenit Vetëm i Lexuar (RODC). faqet - Menaxhimi i faqeve. spn - Menaxhimi i Emrit Kryesor të Shërbimit (SPN). testparm - Sintaksa kontrollon skedarin e konfigurimit. time - Merrni kohën në një server. përdoruesi - Menaxhimi i përdoruesit. Për më shumë ndihmë për një nënkomandë specifike, ju lutemi shkruani: samba-tool (-h | --ndihmë)

root @ master: ~ # përdoruesi i mjetit administratori i vendosjes së skadimit - skadimi
root @ master: set # vendosni cilësimet e fjalëkalimeve të domenit të mjetit - gjatësia -min-pwd = 7
root @ master: set # vendosni cilësimet e fjalëkalimeve të domenit të mjetit --min-pwd-age = 0
root @ master: set # vendosni cilësimet e fjalëkalimeve të domenit të mjetit --max-pwd-age = 60
root @ master: user # përdoruesi i mjetit setpassword - filtri = samaccountname = administratori --newpassword = Passw0rD

Ne shtojmë disa rekorde DNS

root @ master: tool # mjet dns
Përdorimi: samba-mjet dns Menaxhimi i Shërbimit të Emrit të Domenit (DNS). Opsionet: -h, --ndihmoni shfaqjen e këtij mesazhi të ndihmës dhe dilni nga nënkomandat e disponueshme: shtoni - Shtoni një fshirje të rekordit DNS - Fshini një pyetje rekord DNS - Kërkoni një emër. roothints - Lë të kuptohet se: serverinfo - Kërkesë për informacionin e serverit. azhurnimi - Azhurnoni krijimin e zonës së rekordit DNS - Krijoni një zonë. zonedelete - Fshi një zonë. zoneinfo - Kërkesë për informacionin e zonës. zonelist - Kërkesë për zona. Për më shumë ndihmë për një nënkomandë specifike, ju lutemi shkruani: samba-tool dns (-h | --ndihmë)

Serveri i postës

root @ master: ~ # mjet dns shtoni master swl.fan mail Një administrator 192.168.10.9 -U
root @ master: ~ # mjet dns shtoni master swl.fan swl.fan MX "mail.swl.fan 10" -U administrator

IP e fiksuar e serverave të tjerë

root @ master: ~ # mjet dns shtoni master swl.fan sysadmin A 192.168.10.1 -U administrator
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U administrator
root @ master: ~ # mjet dns shtoni master swl.fan proxy A 192.168.10.11 -U administrator
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U administrator

Zona e kundërt

root @ master: ~ # mjet dns zon krijoni master 10.168.192.in-addr.arpa -U administrator
Fjalëkalimi për [SWL \ administrator]: Zona 10.168.192.in-addr.arpa u krijua me sukses

root @ master: ~ # mjet dns add master 10.168.192.in-addr.arpa 5 master PTR.swl.fan. -Administrator
root @ master: ~ # mjet dns shtoni master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Administrator
root @ master: ~ # mjet dns shtoni master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Administrator
root @ master: ~ # mjet dns shtoni master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Administrator
root @ master: ~ # mjet dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Administrator
root @ master: ~ # mjet dns shtoni master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Administrator

Çeqe

root @ master: ~ # mjet dns query master swl.fan postë ALL -U administrator
Fjalëkalimi për [SWL \ administrator]: Emri =, Regjistrat = 1, Fëmijët = 0 A: 192.168.10.9 (flamuj = f0, serial = 2, ttl = 900)

root @ master: ~ # master host
master.swl.fan ka adresë 192.168.10.5
root @ master: host # host sysadmin
sysadmin.swl.fan ka adresë 192.168.10.1
root @ master: ~ # postë pritëse
mail.swl.fan ka adresë 192.168.10.9
root @ master: ~ # bisedë pritëse
chat.swl.fan ka adresë 192.168.10.12
root @ master: ~ # pritës i përfaqësuesit
proxy.swl.fan ka adresë 192.168.10.11
root @ master: ~ # serveri i skedarëve të hostit
fileserver.swl.fan ka adresën 192.168.10.10
root @ master: # host 192.168.10.1
1.10.168.192.in-addr.arpa tregues i emrit të domain sysadmin.swl.fan.
root @ master: # host 192.168.10.5
5.10.168.192.in-addr.arpa tregues master name.swl.fan domain name.
root @ master: # host 192.168.10.9
9.10.168.192.in-addr.arpa tregues i emrit të domain mail.swl.fan.
root @ master: # host 192.168.10.10
10.10.168.192.in-addr.arpa tregues i emrit të domain-it fileserver.swl.fan.
root @ master: # host 192.168.10.11
11.10.168.192.in-addr.arpa treguesi i emrit të domainit proxy.swl.fan.
root @ master: # host 192.168.10.12
12.10.168.192.in-addr.arpa tregues i emrit të domain chat.swl.fan.

Për kuriozët

root @ master: # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Ne shtojmë përdorues

root @ master: ~ # përdorues i mjetit
Përdorimi: përdorues i mjetit samba Menaxhimi i përdoruesit. Opsionet: -h, --ndihmoni shfaqjen e këtij mesazhi ndihme dhe dilni nga nënkomandat e disponueshme: shtoni - Krijoni një përdorues të ri. krijoni - Krijoni një përdorues të ri. fshi - Fshi një përdorues. çaktivizo - Çaktivizo një përdorues. mundësojë - Aktivizoni një përdorues. getpassword - Merrni fushat e fjalëkalimit të një llogarie përdoruesi / kompjuteri. lista - Renditni të gjithë përdoruesit. fjalëkalimi - Ndryshoni fjalëkalimin për një llogari përdoruesi (ai i dhënë në vërtetim). setexpiry - Vendos skadimin e llogarisë së përdoruesit. setpassword - Vendosni ose rivendosni fjalëkalimin e një llogarie përdoruesi. syncpasswords - Sinkronizoni fjalëkalimin e llogarive të përdoruesit. Për më shumë ndihmë për një nënkomandë specifike, ju lutemi shkruani: përdorues i mjetit samba (-h | --ndihmë)

root @ master: ~ # përdoruesi i mjetit krijon trancos Trancos01
'Trancos' i përdoruesit u krijua me sukses
root @ master: user # përdoruesi i mjetit krijon gandalf Gandalf01
Përdoruesi 'gandalf' u krijua me sukses
root @ master: user # përdoruesi i mjetit krijon legolas Legolas01
Përdoruesi 'legolas' u krijua me sukses
root @ master: ~ # listë e përdoruesve të mjeteve
Administratori gandalf legolas shkel krbtgt Vizitor

Administrimi përmes ndërfaqes grafike ose përmes klientit të internetit

Vizitoni wiki.samba.org për informacion të hollësishëm se si ta instaloni Microsoft RSAT o Vegla të administrimit të serverit në distancë. Nëse nuk ju nevojiten politikat klasike të ofruara nga Microsoft Active Directory, mund ta instaloni paketën menaxheri i llogarisë ldap e cila ofron një ndërfaqe të thjeshtë për administrim përmes një shfletuesi në internet.

• Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

• Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

• Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

• Windows Vista: http://www.microsoft.com/en-us/download/details.aspx?id=21090

Paketa e programit Microsoft Remote Server Administration Tools (RSAT) është përfshirë në sistemet operative të Windows Server.

Ne bashkohemi me domenin në një klient të Windows 7 me emrin "shtatë"

Meqenëse nuk kemi një server DHCP në rrjet, gjëja e parë që duhet të bëjmë është të konfigurojmë kartën e rrjetit të klientit me një IP fikse, të deklarojmë që DNS primar do të jetë IP i samba-ad-dc, dhe kontrolloni që opsioni "Regjistro adresën e kësaj lidhjeje në DNS" është aktivizuar. Nuk është e papunë të kontrollohet nëse emri «shtatë»Nuk është regjistruar ende në Samba DNS të Brendshëm.

Pasi ta bashkojmë kompjuterin me domenin dhe ta rifillojmë, le të përpiqemi të identifikohemi me përdoruesin «hapa hapa përpara« Ne do të kontrollojmë që gjithçka funksionon mirë. Rekomandohet gjithashtu të kontrolloni regjistrat e Klientit të Windows dhe të kontrolloni se si koha është e sinkronizuar siç duhet.

Administratorët me një përvojë në Windows do të zbulojnë se çdo kontroll që ata bëjnë në klient do të japë rezultate të kënaqshme.

Përmbledhje

Shpresoj që artikulli të jetë i dobishëm për lexuesit e Komunitetit. DesdeLinux.

Mirupafshim!