ПАМ, НИС, ЛДАП, Керберос, ДС и Самба 4 АД-ДЦ - СМБ мреже

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Здраво пријатељи и пријатељи!

Con éste artículo digo Adiós a la Comunidad DesdeLinux. Una especial despedida para una Especial Comunidad. Desde ahora estaré en mi proyecto personal el cual puedes conocer en http://www.gigainside.com.

Основни циљ поста је да понуди «Велика слика» о услугама провјере аутентичности бесплатног софтвера које имамо на располагању. Бар нам је то намера. Стога ће бити дугачак, иако знамо да се коси са општим правилима писања чланака. Надамо се да ће системски администратори то ценити.

Желимо да истакнемо да је протокол заједнички за многе модерне системе аутентификације ЛДАП, те да није беспослено пажљиво га проучити, на основу студијског материјала који ћемо пронаћи на званичном сајту http://www.openldap.org/.

Нећемо давати детаљне дефиниције – или везе – о аспектима о којима се расправљало у претходним чланцима, или о онима чији опис може бити лако доступан на Википедији или другим сајтовима или чланцима на Интернету, како не бисмо изгубили објективност поруке коју желимо да дати. Такође ћемо користити важећу мешавину имена на енглеском и шпанском, пошто сматрамо да је већина система рођена са именима на енглеском и веома је корисно да их сисадмин асимилује у њихов оригинални језик.

  • Пам: Прикључни модул за аутентификацију.
  • НИШ: Нетворк_Информатион_Сервице.
  • ЛДАП: Лигхтвеигхт Дирецтори Аццесс Протоцол.
  • Керберос: Безбедносни протокол за аутентификацију корисника, рачунара и услуга централно на мрежи, верификовање њихових акредитива у односу на постојеће уносе у Керберос бази података.
  • DS: Сервер директоријума или услуга именика
  • АД-ДЦ: Ацтиве Дирецтори – Контролер домена

Пам

Овој врсти локалне аутентификације посвећујемо малу серију, коју ћете видети у свакодневној пракси која се широко користи када, на пример, придружимо радну станицу контролору домена или активном директоријуму; мапирати кориснике ускладиштене у екстерним ЛДАП базама података као да су локални корисници; да мапирате кориснике ускладиштене на контролеру домена активног директоријума као да су локални корисници, итд.

НИШ

De Википедија:

  • Мрежни информациони систем (познат по акрониму НИС, што на шпанском значи Мрежни информациони систем) је назив протокола клијент-сервер услуга директоријума који је развио Сун Мицросистемс за слање конфигурационих података у дистрибуираним системима као што су имена корисника и хостова између рачунара преко мрежа.НИС је заснован на ОНЦ РПЦ-у и састоји се од сервера, библиотеке на страни клијента и неколико алата за управљање.

    НИС се првобитно звао Иеллов Пагес, или ИП, што се још увек користи за означавање. Нажалост, то име је заштитни знак Бритисх Телецома, због чега је Сун морао да напусти то име. Међутим, ИП остаје као префикс у именима већине команди повезаних са НИС-ом, као што су ипсерв и ипбинд.

    ДНС служи ограниченом опсегу информација, а најважнија је кореспонденција између имена чвора и ИП адресе. За остале врсте информација не постоји таква специјализована служба. С друге стране, ако управљате само малим ЛАН-ом без интернет конекције, чини се да није вредно конфигурисања ДНС-а. То је разлог зашто је Сун развио Мрежни информациони систем (НИС). НИС пружа генеричке могућности приступа бази података које се могу користити за дистрибуцију, на пример, информација садржаних у датотекама пассвд и груписања свим чворовима на вашој мрежи. Ово чини да мрежа изгледа као један систем, са истим налозима на свим чворовима. Слично, НИС се може користити за дистрибуцију информација о називу чвора садржаних у /етц/хостс свим машинама на мрежи.

    Данас је НИС доступан практично у свим Уник дистрибуцијама, а постоје чак и бесплатне имплементације. БСД Нет-2 је објавио један који је изведен из референтне имплементације јавног домена коју је донирао Сун. Код библиотеке на страни клијента за ову верзију постоји у ГНУ/Линук либц већ дуже време, а програме за управљање је пренео Свен Тхуммлер на ГНУ/Линук. Међутим, у референтној имплементацији недостаје НИС сервер.

    Петер Ериксон је развио нову имплементацију под називом НИС. Подржава и основни НИС и побољшану верзију Сун НИС+.[1] НИС не само да обезбеђује скуп НИС алата и сервер, већ додаје и читав нови скуп библиотечких функција које морате да преведете у своју либц ако желите да их користите. Ово укључује нову шему конфигурације за разрешење имена чворова која замењује тренутну шему коју користи датотека "хост.цонф".

    ГНУ либц, познат као либц6 у ГНУ/Линук заједници, укључује ажурирану верзију традиционалне НИС подршке коју је развио Тхорстен Кукук. Подржава све функције библиотеке које је НИС обезбедио, а такође користи напредну шему конфигурације НИС. И даље су вам потребни алати и сервер, али коришћење ГНУ либц-а штеди вам невоље да морате да закрпите и поново компајлирате библиотеку.

    .

Име рачунара и домен, мрежни интерфејс и резолвер

  • Почињемо са чистом инсталацијом – без графичког интерфејса – Дебиан 8 „Јессие“. Домен свл.фан значи „Љубитељи бесплатног софтвера“. Има ли бољег имена од овога?.
роот@мастер:~# име хоста
мајстор
роот@мастер:~# име хоста -ф
мастер.свл.фан

роот@мастер:~# ип адреса 1: ло: мту 65536 кдисц ноцкоут стате НЕПОЗНАТО гроуп дефаулт линк/лоопбацк 00:00:00:00:00:00 брд 00:00:00:00:00:00 инет 127.0.0.1/8 сцопе хост ло валид_лфт форевер и преферред_л :: 6/1 хост хост валид_лфт заувек преферирани_лфт заувек 128: етх2: мту 0 кдисц пфифо_фаст стање УП група подразумевана клен 1500 веза/етер 1000:00ц:0:29ц:4:д76 брд фф:фф:фф:фф:фф:фф инет 9/192.168.10.5 брд 24/192.168.10.255 брд 0. заувек преферред_лфт заувек инет6 фе80::20ц:29фф:фе4ц:76д9/64 линк домет валид_лфт заувек преферред_лфт заувек

роот@мастер:~# цат /етц/ресолв.цонф 
сеарцх свл.фан намесервер 127.0.0.1

Инсталирање бинд9, исц-дхцп-сервер и нтп

бинд9

роот@мастер:~# аптитуде инсталл бинд9 бинд9-доц нмап
роот@мастер:~# системцтл статус бинд9

роот@мастер:~# нано /етц/бинд/намед.цонф
укључити "/етц/бинд/намед.цонф.оптионс"; укључити "/етц/бинд/намед.цонф.лоцал"; укључити "/етц/бинд/намед.цонф.дефаулт-зонес";

роот@мастер:~# цп /етц/бинд/намед.цонф.оптионс \ /етц/бинд/намед.цонф.оптионс.оригинал

роот@мастер:~# нано /етц/бинд/намед.цонф.оптионс
оптионс { директоријум "/вар/цацхе/бинд"; // Ако постоји заштитни зид између вас и сервера имена са којима желите // да разговарате, можда ћете морати да поправите заштитни зид да бисте омогућили више // портова да разговарају. Види http://www.kb.cert.org/vuls/id/800113

        // Ако је ваш ИСП обезбедио једну или више ИП адреса за стабилне // сервере имена, вероватно желите да их користите као прослеђиваче. // Декоментирајте следећи блок и убаците адресе које замењују // чувар места за све 0. // прослеђивачи { // 0.0.0.0; // }; //================================================= ================ =====================$ // Ако БИНД евидентира поруке о грешци о томе да је основни кључ истекао, // мораћете да ажурирате своје кључеве. Видите https://www.isc.org/bind-keys
        //================================================= ================ ======================$ // Не желимо ДНССЕЦ
        днссец-енабле но;
        //днссец-валидатион ауто; аутх-нкдомаин бр; # у складу са РФЦ1035 листен-он-в6 { било који; }; // За провере од локалног хоста и сисадмина // користећи диг свл.фан акфр // Немамо Славе ДНС... до сада
        аллов-трансфер {лоцалхост; 192.168.10.1; };
}; роот@мастер:~# намед-цхецкцонф

роот@мастер:~# нано /етц/бинд/зонес.рфцФрееБСД
// Простор заједничке адресе (РФЦ 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Линк-лоцал / АПИПА (РФЦс 3927, 5735 и 6303)
зона "254.169.ин-аддр.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; };

// Задаци ИЕТФ протокола (РФЦс 5735 и 5736)
зона "0.0.192.ин-аддр.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; };

// ТЕСТ-НЕТ- [1-3] за документацију (РФЦс 5735, 5737 и 6303)
зона "2.0.192.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "100.51.198.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "113.0.203.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

// Пример опсега ИПв6 за документацију (РФЦс 3849 и 6303)
зона "8.бд0.1.0.0.2.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

// Имена домена за документацију и тестирање (БЦП 32)
зона "тест" {типе мастер; датотека "/етц/бинд/дб.емпти"; }; зона "пример" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "неваљано" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "екампле.цом" {типе мастер; датотека "/етц/бинд/дб.емпти"; }; зона "екампле.нет" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "екампле.орг" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

// Испитивање референтне вредности рутера (РФЦс 2544 и 5735)
зона "18.198.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "19.198.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

// ИАНА резервисана - Простор старе класе Е (РФЦ 5735)
зона "240.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "241.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "242.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "243.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "244.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "245.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "246.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "247.ин-аддр.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "248.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "249.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "250.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "251.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "252.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "253.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "254.ин-аддр.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

// Нераспоређене ИПв6 адресе (РФЦ 4291)
зона "1.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "3.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "4.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "5.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "6.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "7.ип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "8.ип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "9.ип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "а.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "б.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "ц.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "д.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "е.ип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "0.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "1.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "2.ф.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "3.ф.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "4.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "5.ф.ип6.арпа" {тип мастер; датотека "/етц/бинд/дб.емпти"; }; зона "6.ф.ип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "7.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "8.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "9.ф.ип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "афип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "бфип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "0.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "1.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "2.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "3.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "4.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "5.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "6.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "7.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; };

// ИПв6 УЛА (РФЦс 4193 и 6303)
зона "цфип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "дфип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; };

// Локални ИПв6 линк (РФЦс 4291 и 6303)
зона "8.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "9.ефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "аефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "бефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; };

// ИПв6 обустављене локалне адресе (РФЦс 3879 и 6303)
зона "цефип6.арпа" {мастер; датотека "/етц/бинд/дб.емпти"; }; зона "дефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "еефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; }; зона "фефип6.арпа" {мастер мастер; датотека "/етц/бинд/дб.емпти"; };

// ИП6.ИНТ је застарео (РФЦ 4159)
зона "ип6.инт" {тип мастер; датотека "/етц/бинд/дб.емпти"; };

роот@мастер:~# нано /етц/бинд/намед.цонф.лоцал
// // Овде урадите било коју локалну конфигурацију // // Размислите о додавању зона 1918 овде, ако се оне не користе у вашој // организацији укључују "/етц/бинд/зонес.рфц1918";
укључује "/етц/бинд/зонес.рфцФрееБСД";

// Декларација имена, типа, локације и дозволе за ажурирање // зона ДНС записа // Обе зоне су МАСТЕР зона "свл.фан" { типе мастер; фајл "/вар/либ/бинд/дб.свл.фан"; }; зона "10.168.192.ин-аддр.арпа" { типе мастер; фајл "/вар/либ/бинд/дб.10.168.192.ин-аддр.арпа"; };

роот@мастер:~# намед-цхецкцонф

роот@мастер:~# нано /вар/либ/бинд/дб.свл.фан
$ТТЛ 3Х @ ИН СОА мастер.свл.фан. роот.мастер.свл.фан. (1; серијски 1Д; освежи 1Х; покушај поново 1В; истекне 3Х); минимум или ; Негативно време кеширања за живот; @ ИН НС мастер.свл.фан. @ ИН МКС 10 маил.свл.фан. @ ИН А 192.168.10.5 @ ИН ТКСТ "За љубитеље слободног софтвера" ; сисадмин у 192.168.10.1 филесервер у 192.168.10.4 мастер у 192.168.10.5 прокивеб у 192.168.10.6 блог у 192.168.10.7 ФТПСерверу у 192.168.10.8 маилу у 192.168.10.9.

роот@мастер:~# нано /вар/либ/бинд/дб.10.168.192.ин-аддр.арпа
$ТТЛ 3Х @ ИН СОА мастер.свл.фан. роот.мастер.свл.фан. (1; серијски 1Д; освежи 1Х; покушај поново 1В; истекне 3Х); минимум или ; Негативно време кеширања за живот; @ ИН НС мастер.свл.фан. ; 1 ИН ПТР сисадмин.свл.фан. 4 ИН ПТР филесервер.свл.фан. 5 ИН ПТР мастер.свл.фан. 6 ИН ПТР прокивеб.свл.фан. 7 ИН ПТР блог.свл.фан. 8 ИН ПТР фтпсервер.свл.фан. 9 ИН ПТР маил.свл.фан.

роот@мастер:~# намед-цхецкзоне свл.фан /вар/либ/бинд/дб.свл.фан
зона свл.фан/ИН: учитан серијски 1 ОК
роот@мастер:~# намед-цхецкзоне 10.168.192.ин-аддр.арпа /вар/либ/бинд/дб.10.168.192.ин-аддр.арпа
зона 10.168.192.ин-аддр.арпа/ИН: учитан серијски 1 ОК

роот@мастер:~# намед-цхецкцонф -зп
роот@мастер:~# системцтл рестарт бинд9.сервице
роот@мастер:~# системцтл статус бинд9.сервице

бинд9 проверава

роот@мастер:~# диг свл.фан акфр
роот@мастер:~# диг 10.168.192.ин-аддр.арпа акфр
роот@мастер:~# диг У СОА свл.фан
роот@мастер:~# диг ИН НС свл.фан
роот@мастер:~# диг ИН МКС свл.фан
роот@мастер:~# веб проки хост роот@мастер:~# нпинг --тцп -п 53 -ц 3 локални хост
роот@мастер:~# нпинг --удп -п 53 -ц 3 локални хост
роот@мастер:~# нпинг --тцп -п 53 -ц 3 мастер.свл.фан
роот@мастер:~# нпинг --удп -п 53 -ц 3 мастер.свл.фан
Покретање Нпинг 0.6.47 ( http://nmap.org/nping ) на 2017-05-27 09:32 ЕДТ послато (0.0037с) УДП 192.168.10.5:53> 192.168.10.245:53 ТТЛ = 64 ИД = 20743 Иплен = 28 Послано (1.0044с) УДП 192.168.10.5:53> 192.168.10.245 .53 .64:20743 ттл=28 ид=2.0060 иплен=192.168.10.5 ПОСЛАТО (53с) УДП 192.168.10.245:53 > 64:20743 ттл=28 ид=3 Н/А | Мин ртт: Н/А | Прос. ртт: Н/А Необрађених послатих пакета: 84 (0Б) | РЦвд: 0 (3Б) | Изгубљено: 100.00 (1%) Нпинг урађено: 3.01 ИП адреса је пингована за XNUMX секунде 

исц-дхцп-сервер

роот@мастер:~# аптитуде инсталл исц-дхцп-сервер
роот@мастер:~# нано /етц/дефаулт/исц-дхцп-сервер
# На којим интерфејсима ДХЦП сервер (дхцпд) треба да служи ДХЦП захтеве? # Одвојите више интерфејса са размацима, нпр. „Етх0 етх1“.
ИНТЕРФЕЈС = "етх0"

роот@мастер:~# днссец-кеиген -а ХМАЦ-МД5 -б 128 -р /дев/урандом -н КОРИСНИК дхцп-кључ
роот@мастер:~# цат Кдхцп-кеи.+157+51777.привате 
Формат приватног кључа: в1.3 Алгоритам: 157 (ХМАЦ_МД5) Кључ: Ба9ГВадк4вОЦикјПН94дЦК== Битови: ААА= Креиран: 20170527133656 Објави: 20170527133656 Активирај

роот@мастер:~# нано дхцп.кеи
кључ дхцп-кључ {
        алгоритам хмац-мд5;
        тајна"Ба9ГВадк4вОЦикјПН94дЦК==";
}; роот@мастер:~# инсталл -о роот -г бинд -м 0640 дхцп.кеи /етц/бинд/дхцп.кеи роот@мастер:~# инсталл -о роот -г роот -м 0640 дхцп.кеи /етц/дхцп /дхцп.кеи роот@мастер:~# нано /етц/бинд/намед.цонф.лоцал
укључују "/етц/бинд/дхцп.кеи";

зона "свл.фан" { типе мастер; фајл "/вар/либ/бинд/дб.свл.фан";
        аллов-упдате {кључ дхцп-кључ; };
}; зона "10.168.192.ин-аддр.арпа" { типе мастер; фајл "/вар/либ/бинд/дб.10.168.192.ин-аддр.арпа";
        аллов-упдате {кључ дхцп-кључ; };
};

роот@мастер:~# намед-цхецкцонф

роот@мастер:~# мв /етц/дхцп/дхцпд.цонф /етц/дхцп/дхцпд.цонф.оригинал
роот@мастер:~# нано /етц/дхцп/дхцпд.цонф
дднс-упдате-стиле интерим; дднс-упдатес он; дднс-домаиннаме "свл.фан."; дднс-рев-домаиннаме "ин-аддр.арпа."; игнорисати ажурирања клијената; упдате-оптимизатион фалсе; # Може бити потребно у Дебиан-у ауторитативно; опција ИП-прослеђивање искључено; опција домен-наме "свл.фан"; укључити "/етц/дхцп/дхцп.кеи"; зона свл.фан. { примарни 127.0.0.1; кључ дхцп-кључ; } зона 10.168.192.ин-аддр.арпа. { примарни 127.0.0.1; кључ дхцп-кључ; } схаред-нетворк редлоцал { субнет 192.168.10.0 мрежна маска 255.255.255.0 { оптион роутерс 192.168.10.1; опција субнет-маск 255.255.255.0; опција емитовања-адреса 192.168.10.255; опција сервери имена домена 192.168.10.5; опција нетбиос-наме-серверс 192.168.10.5; опција нтп-серверс 192.168.10.5; опција временски сервери 192.168.10.5; опсег 192.168.10.30 192.168.10.250; } }

роот@мастер:~# дхцпд -т
Интернет Системс Цонсортиум ДХЦП Сервер 4.3.1 Ауторско право 2004-2014 Интернет Системс Цонсортиум. Сва права задржана. За информације, посетите https://www.isc.org/software/dhcp/
Конфигурациони фајл: /етц/дхцп/дхцпд.цонф Датотека базе података: /вар/либ/дхцп/дхцпд.леасес ПИД датотека: /вар/рун/дхцпд.пид

роот@мастер:~# системцтл рестарт бинд9.сервице 
роот@мастер:~# системцтл статус бинд9.сервице 

роот@мастер:~# системцтл старт исц-дхцп-сервер.сервице
роот@мастер:~# системцтл статус исц-дхцп-сервер.сервице

нтп

роот@мастер:~# аптитуде инсталл нтп нтпдате
роот@мастер:~# цп /етц/нтп.цонф /етц/нтп.цонф.оригинал
роот@мастер:~# нано /етц/нтп.цонф
дрифтфиле /вар/либ/нтп/нтп.дрифт статистицс лоопстатс пеерстатс цлоцкстатс филеген лоопстатс филе лоопстатс типе даи енабле филеген пеерстатс филе пеерстатс типе даи енабле филеген цлоцкстатс филе цлоцкстатс типе даи енабле сервер 192.168.10.1 ноодкуе лимитифи ноодкуе цоде -4 подразумевани код нотрап номодифи нопеер нокуери лимит 6 ограничи ::127.0.0.1 емитовање 1

роот@мастер:~# системцтл рестарт нтп.сервице 
роот@мастер:~# системцтл статус нтп.сервице
роот@мастер:~# нтпдате -у сисадмин.свл.фан
27. мај 10:04:01 нтпдате[18769]: подешавање времена сервера 192.168.10.1 оффсет 0.369354 сек

Глобалне провере нтп, бинд9 и исц-дхцп-сервера

Са Линук, БСД, Мац ОС или Виндовс клијента, проверите да ли је време исправно синхронизовано. То добија динамичку ИП адресу и то име хоста се решава путем ДНС упита унапред и уназад. Промените име клијента и поновите све провере. Немојте ићи напред док не будете сигурни да до сада инсталиране услуге функционишу исправно. Постоји разлог зашто пишемо све чланке о ДНС-у и ДХЦП-у Рачунарске мреже за МСП.

Инсталација НИС сервера

роот@мастер:~# аптитуде схов нис
Конфликти са: нетстд (<= 1.26) Опис: клијенти и демони за мрежни информациони сервис (НИС) Овај пакет пружа алате за подешавање и одржавање НИС домена. НИС, првобитно познат као Иеллов Пагес (ИП), се углавном користи да омогући да неколико машина у мрежи дели исте информације о налогу, као што је датотека лозинке.

роот@мастер:~# аптитуде инсталл нис
Конфигурација пакета ┌─────────────────────────┤ нис Конфигурација ├────────── ────── ── ─────────┐ │ Изаберите НИС „име домена” за овај систем. Ако желите да │ │ ова машина буде само клијент, треба да унесете назив │ │ НИС домена коме желите да се придружите. │ │ │ │ Алтернативно, ако ова машина треба да буде НИС сервер, можете │ │ унети ново НИС „име домена“ или име постојећег НИС домена. │ │ │ │ НИС Домен: │ │ │ │ свл.фан________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ──────────────────────────────┘  

То ће потрајати јер конфигурација услуге не постоји као таква. Сачекајте да се процес заврши.

роот@мастер:~# нано /етц/дефаулт/нис
# Да ли смо ми НИС сервер и ако јесте какав (вредности: фалсе, славе, мастер)?
НИССЕРВЕР=мајстор

роот@мастер:~# нано /етц/ипсерв.сецуренетс # сецуренетс Ова датотека дефинише права приступа вашем НИС серверу # за НИС клијенте (и славе сервере - ипкфрд такође користи ову # датотеку). Ова датотека садржи парове мрежна маска/мрежа. # ИП адреса клијента мора да се подудара са најмање једном од њих. # # Може се користити реч "хост" уместо мрежне маске # 255.255.255.255. У овој # датотеци су дозвољене само ИП адресе, не и имена хостова. # # Увек дозволи приступ локалном хосту 255.0.0.0 127.0.0.0 # Ова линија даје приступ свима. МОЛИМ ВАС ПОДЕШИТЕ! # 0.0.0.0 0.0.0.0
КСНУМКС КСНУМКС

роот@мастер:~# нано /вар/ип/Макефиле # Да ли треба да спојимо пассвд фајл са фајлом сенке? #МЕРГЕ_ПАССВД=труе|фалсе
МЕРГЕ_ПАССВД=тачно

# Да ли треба да спојимо групну датотеку са гсхадов датотеком? #МЕРГЕ_ГРОУП=труе|фалсе
МЕРГЕ_ГРОУП=тачно

Ми градимо НИС базу података

роот@мастер:~# /уср/либ/ип/ипинит -м
У овом тренутку морамо да направимо листу хостова који ће покретати НИС сервере. мастер.свл.фан се налази на листи хостова НИС сервера. Наставите да додајете имена за друге хостове, по једно у сваки ред. Када завршите са листом, откуцајте а . следећи хост за додавање: мастер.свл.фан следећи хост за додавање: Тренутна листа НИС сервера изгледа овако: мастер.свл.фан Да ли је ово тачно? [и/н: и] Треба нам неколико минута да направимо базе података... маке[1]: Напуштање директоријума '/вар/ип/свл.фан' мастер.свл.фан је подешено као НИС мастер сервер . Сада можете покренути ипинит -с мастер.свл.фан на свим славе серверима.

роот@мастер:~# системцтл рестарт нис
роот@мастер:~# системцтл статус нис

Додамо локалне кориснике

роот@мастер:~# аддусер билбо
Додавање корисника `билбо' ... Додавање нове групе `билбо' (1001) ... Додавање новог корисника `билбо' (1001) са групом `билбо' ... Креирање матичног директоријума `/хоме/билбо' ... Копирање датотека из `/етц/скел' ... Унесите нову УНИКС лозинку: Поново унесите нову УНИКС лозинку: пассвд: лозинка је успешно ажурирана Промена корисничких информација за билбо Унесите нову вредност или притисните ЕНТЕР да бисте користили подразумевану вредност Пуно име []: Билбо Багинс Број собе []: Телефон на послу []: Кућни телефон []: Друго []: Да ли су информације тачне? [да/не]

роот@мастер:~# аддусер кораци роот@мастер:~# аддусер леголас

и тако даље.

роот@мастер:~# прст леголас
Логин: леголас Име: Леголас Арцхер Директоријум: /хоме/леголас Схелл: /бин/басх Никада нисте пријављени. Не емаил. Не План.

Ажурирамо НИС базу података

роот@мастер:/вар/ип# маке
маке[1]: Улазак у директоријум '/вар/ип/свл.фан' Ажурирање пассвд.бинаме... Ажурирање пассвд.биуид... Ажурирање гроуп.бинаме... Ажурирање гроуп.бигид... Ажурирање нетид.бинаме. .. Ажурирање схадов.бинаме... Занемарено -> спојено са пассвд маке[1]: Напуштање директоријума '/вар/ип/свл.фан'

Додамо НИС опције на исц-дхцп-сервер

роот@мастер:~# нано /етц/дхцп/дхцпд.цонф
дднс-упдате-стиле интерим; дднс-упдатес он; дднс-домаиннаме "свл.фан."; дднс-рев-домаиннаме "ин-аддр.арпа."; игнорисати ажурирања клијената; упдате-оптимизатион фалсе; ауторитативно; опција ИП-прослеђивање искључено; опција домен-наме "свл.фан"; укључити "/етц/дхцп/дхцп.кеи"; зона свл.фан. { примарни 127.0.0.1; кључ дхцп-кључ; } зона 10.168.192.ин-аддр.арпа. { примарни 127.0.0.1; кључ дхцп-кључ; } схаред-нетворк редлоцал { субнет 192.168.10.0 мрежна маска 255.255.255.0 { оптион роутерс 192.168.10.1; опција субнет-маск 255.255.255.0; опција емитовања-адреса 192.168.10.255; опција сервери имена домена 192.168.10.5; опција нетбиос-наме-серверс 192.168.10.5; опција нтп-серверс 192.168.10.5; опција временски сервери 192.168.10.5;
                опција нис-домаин "свл.фан";
                опција нис-серверс 192.168.10.5;
                опсег 192.168.10.30 192.168.10.250; } }

роот@мастер:~# дхцпд -т
роот@мастер:~# системцтл рестарт исц-дхцп-сервер.сервице

Инсталирање НИС клијента

  • Почињемо са чистом инсталацијом – без графичког интерфејса – Дебиан 8 „Јессие“.
роот@маил:~# име хоста -ф
маил.свл.фан

роот@маил:~# ип адреса
2: етх0: мту 1500 кдисц пфифо_фаст стате УП гроуп дефаулт клен 1000 линк/етхер 00:0ц:29:25:1ф:54 брд фф:фф:фф:фф:фф:фф
    инет 192.168.10.9/24 брд 192.168.10.255 делокруг глобал етх0

роот@маил:~# аптитуде инсталл нис
роот@маил:~# нано /етц/ип.цонф # # ип.цонф Конфигурациони фајл за ипбинд процес. Овде можете ручно да дефинишете # НИС сервере ако их # не можете пронаћи емитовањем на локалној мрежи (што је подразумевано). # # Погледајте страницу приручника за ипбинд за синтаксу ове датотеке. # # ВАЖНО: За "ипсервер", користите ИП адресе, или се уверите да је # хост у /етц/хостс. Ова датотека се тумачи # само једном, и ако ДНС још увек није доступан, ипсервер не може # бити разрешен и ипбинд се никада неће везати за сервер. # ипсервер ипсервер.нетворк.цом ипсервер мастер.свл.фан домаин свл.фан

роот@маил:~# нано /етц/нссвитцх.цонф
# /етц/нссвитцх.цонф # # Пример конфигурације ГНУ Наме Сервице Свитцх функционалности. # Ако имате инсталиране пакете `глибц-доц-референце' и `инфо', покушајте: # `инфо либц "Пребацивање услуге имена"' за информације о овој датотеци. пассвд: цомпат нис група: цомпат нис сенка: цомпат нис гсхадов: фајлови хостови: фајлови днс нис мреже: фајлови протоколи: дб фајлови сервиси: дб фајлови етери: дб фајлови рпц: дб фајлови нетгроуп: нис

роот@маил:~# нано /етц/пам.д/цоммон-сессион
# пам-аутх-упдате(8) за детаље.
сесија опционо пам_мкхомедир.со скел=/етц/скел умаск=077
# ево модула по пакету („Примарни“ блок)

роот@маил:~# системцтл статус нис
роот@маил:~# системцтл рестарт нис

Затварамо сесију и поново се пријављујемо али са корисником регистрованим у бази података НИС-а мастер.свл.фан.

роот@маил:~# излаз
одјава Веза са поштом је затворена.

бузз@сисадмин:~$ ссх леголас@маил
лозинка за леголас@маил: Креирање директоријума '/хоме/леголас'. Програми укључени у Дебиан ГНУ/Линук систем су бесплатни софтвер; Тачни услови дистрибуције за сваки програм су описани у појединачним датотекама у /уср/схаре/доц/*/цопиригхт. Дебиан ГНУ/Линук долази са АПСОЛУТНО НИКАКВУ ГАРАНЦИЈУ, у мери у којој то дозвољава важећи закон.
леголас@маил:~$ пвд
/хоме/леголас
леголас@маил:~$ 

Променимо лозинку корисника леголас и проверавамо

леголас@маил:~$ иппассвд 
Промена информација о НИС налогу за леголас на мастер.свл.фан. Унесите стару лозинку: леголас Промена НИС лозинке за леголас на мастер.свл.фан. Унесите нову лозинку: аркуеро Лозинка мора имати и велика и мала слова, или не-слова. Молимо унесите нову лозинку:Аркуеро2017 Поново унесите нову лозинку:Аркуеро2017 НИС лозинка је промењена на мастер.свл.фан.

леголас@маил:~$ излаз
одјава Веза са поштом је затворена.

бузз@сисадмин:~$ ссх леголас@маил
лозинка за леголас@маил: Аркуеро2017

Програми укључени у Дебиан ГНУ/Линук систем су бесплатни софтвер; Тачни услови дистрибуције за сваки програм су описани у појединачним датотекама у /уср/схаре/доц/*/цопиригхт. Дебиан ГНУ/Линук долази са АПСОЛУТНО НИКАКВУ ГАРАНЦИЈУ, у мери у којој то дозвољава важећи закон. Последње пријављивање: Суб, 27. маја 12:51:50 2017 од сисадмин.свл.фан
леголас@маил:~$

НИС Сервис имплементиран на нивоу сервера и клијента ради коректно.

ЛДАП

Са Википедије:

  • ЛДАП је акроним за Лигхтвеигхт Дирецтори Аццесс Протоцол (на шпанском, Лигхтвеигхт/Симплифиед Дирецтори Аццесс Протоцол), који се односи на протокол на нивоу апликације који омогућава приступ уређеној и дистрибуираној услузи именика за тражење различитих информација у окружењу.мрежа. ЛДАП се такође сматра базом података (иако њен систем складиштења може бити другачији) којој се може поставити упит.Директоријум је скуп објеката са атрибутима организованим на логичан и хијерархијски начин. Најчешћи пример је телефонски именик, који се састоји од низа имена (лица или организације) који су поређани по абецеди, уз свако име уз које се налази адреса и телефонски број. Да би се то боље разумело, то је књига или фасцикла, у коју су уписана имена људи, бројеви телефона и адресе, а поређани су по абецеди.

    Стабло ЛДАП директорија понекад одражава различите политичке, географске или организационе границе, у зависности од изабраног модела. Тренутна примена ЛДАП-а обично користи имена система домена (ДНС) за структурирање виших нивоа хијерархије. Док се крећете према директоријуму, могу се појавити уноси који представљају људе, организационе јединице, штампаче, документе, групе људи или било шта друго што представља дати унос у стаблу (или више уноса).

    Обично чува податке за потврду идентитета (корисника и лозинку) и користи се за потврду идентитета, мада је могуће чувати и друге информације (подаци о контактима корисника, локација различитих мрежних ресурса, дозволе, сертификати итд.). Укратко, ЛДАП је обједињени протокол приступа скупу информација на мрежи.

    Тренутна верзија је ЛДАПв3 и дефинисана је у РФЦ-овима РФЦ 2251 и РФЦ 2256 (ЛДАП основни документ), РФЦ 2829 (метод аутентификације за ЛДАП), РФЦ 2830 (проширење за ТЛС) и РФЦ 3377 (техничка спецификација).

    .

Задуго, ЛДАП протокол - и његове базе података компатибилне или не са ОпенЛДАП - се највише користе у већини система за аутентификацију данас. Као пример претходне изјаве, у наставку наводимо нека имена система - бесплатни или приватни - који користе ЛДАП базе података као позадину за складиштење свих својих објеката:

  • ОпенЛДАП
  • Апацхе Дирецтори Сервер
  • Ред Хат Дирецтори Сервер – 389 ДС
  • Новелл Дирецтори Сервицес – еДирецтори
  • СУН Мицросистем Опен ДС
  • Ред Хат Идентити Манагер
  • ФрееИПА
  • Самба НТ4 Цлассиц Домаин Цонтроллер.
    Желимо да појаснимо да је овај систем развио Тим Самба са Самбом 3.ккк + ОпенЛДАП као позадински. Мицрософт никада није имплементирао ништа слично овоме. Скочио са НТ 4 контролера домена на ваше активне директоријуме
  • Самба 4 Ацтиве Дирецтори – Контролор домена
  • ЦлеарОС
  • Зентиал
  • УЦС Унинвентион корпоративни сервер
  • Мицрософт Ацтиве Дирецтори

Свака имплементација има своје карактеристике, а најстандарднија и најкомпатибилнија је она ОпенЛДАП.

Активни директоријуми, било да су оригинални од Мицрософта или Самбе 4, чине унију неколико главних компоненти које су:

Не смемо бркати а Услуга директорија о Служба именика са а active Дирецтори о Ацтиве Дирецтори. Први могу или не морају бити домаћини Керберос аутентификације, али не нуде услугу Мицрософт мреже која пружа Виндовс домен, нити имају Виндовс контролер домена као такав.

Услуга именика се може користити за аутентификацију корисника на мешовитој мрежи са УНИКС/Линук и Виндовс клијентима. За ово последње, на сваком клијенту мора бити инсталиран програм који делује као посредник између услуге именика и самог Виндовс клијента, као што је бесплатни софтвер. страна.

Услуга именика са ОпенЛДАП-ом

  • Почињемо са чистом инсталацијом – без графичког интерфејса – Дебиан 8 „Јессие“, са истим именом "мастер" рачунара који се користи за инсталацију НИС-а, као и конфигурацијом његовог мрежног интерфејса и датотеке /етц/ресолв.цонф. Инсталирали смо нтп, бинд9 и исц-дхцп-сервер на овом новом серверу, не заборављајући глобалне провере исправног функционисања три претходна сервиса.
роот@мастер:~# аптитуде инсталира слапд лдап-утилс

Конфигурација пакета

┌─────────────────────┤ слапд конфигурација ├────────────────────┐ │ Унесите лозинку за администраторски унос вашег │ │ ЛДАП директоријума. │ │ │ │ Лозинка администратора: │ │ │ │ ********________________________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ──────────────────────┘

Проверавамо почетну конфигурацију

роот@мастер:~# слапцат
дн: дц=свл,дц=фан
објецтЦласс: топ објецтЦласс: дцОбјецт објецтЦласс: организација о: свл.фан дц: свл струцтуралОбјецтЦласс: унос организацијеУУИД: ц8510708-да8е-1036-8фе1-71д022а16904 цреаторсНаме: цн=админ20170531205219мп,цн=админ,цн20170531205219.833955ц000000,цн=админ,цн=свл000д, 000000З уносЦСН: 20170531205219 XNUMX З#XNUMX#XNUMX#XNUMX модифиерсНаме: цн=админ,дц=свл,дц=фан модифиТиместамп: XNUMXЗ

дн: цн=админ,дц=свл,дц=фан
објецтЦласс: симплеСецуритиОбјецт објецтЦласс: ОрганизатионалРоле цн: админ опис: ЛДАП администратор усерПассворд:: е1НТСЕФ9емЈНСФУ1Р3л2ОВВЕН0пмТмлИОВхКСУФ4екИ1бУ9ИККСц= струцтуралОбјецтЦласс: органисатионРоле ентри-У851178:ОрганизатионалРоле ентри-У8 1036а8 цреаторсНаме: цн= админ,дц=свл,дц=фан цреатеТиместамп: 2З ентриЦСН: 71З#022#16904#20170531205219 модифиерсНаме: цн=админ,дц=свл,дц=фан модифиТиместамп: 20170531205219.834422З

Ми мењамо датотеку /етц/лдап/лдап.цонф

роот@мастер:~# нано /етц/лдап/лдап.цонф
БАСЕ дц=свл,дц=фан УРИ    лдап://лоцалхост

Организационе јединице и општа група "корисници"

Додали смо минимум потребних организационих јединица, као и Посик групу „корисници“ у коју ћемо све кориснике учинити члановима, по узору на многе системе који имају групу „Корисници«. Зовемо то „корисници“ како не бисмо улазили у могуће сукобе са групом.корисник„система.

роот@мастер:~# нано басе.лдиф
дн: оу=људи,дц=свл,дц=фан објецтЦласс: организациона јединица оу: људи дн: оу=групе,дц=свл,дц=фан објецтЦласс: организациона јединица оу: групе дн: цн=корисници,оу=групе,дц= свл,дц=фан објецтЦласс: посикГроуп цн: корисници гидНумбер: 10000

роот@мастер:~# лдападд -к -Д цн=админ,дц=свл,дц=фан -В -ф басе.лдиф
Унесите ЛДАП лозинку: додавањем новог уноса "оу=пеопле,дц=свл,дц=фан" додавањем новог уноса "оу=гроупс,дц=свл,дц=фан"

Проверавамо додате уносе

роот@мастер:~# лдапсеарцх -к оу=људи
# људи, свл.фан дн: оу=људи,дц=свл,дц=фан објецтЦласс: организациона јединица оу: људи

роот@мастер:~# лдапсеарцх -к оу=групе
# групе, свл.фан дн: оу=гроупс,дц=свл,дц=фан објецтЦласс: организациона јединица оу: групе

роот@мастер:~# лдапсеарцх -к цн=корисници
# корисници, групе, свл.фан дн: цн=усерс,оу=гроупс,дц=свл,дц=фан објецтЦласс: посикГроуп цн: корисници гидНумбер: 10000

Додали смо неколико корисника

Лозинка коју морамо декларисати у ЛДАП-у мора се добити помоћу команде слаппассвд, који враћа ССХА шифровану лозинку.

Лозинка за кораке корисника:

роот@мастер:~# слаппассвд 
Нова лозинка: Поново унесите нову лозинку: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Лозинка за корисника леголас

роот@мастер:~# слаппассвд 
Нова лозинка: Поново унесите нову лозинку: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Лозинка за корисника гандалф

роот@мастер:~# слаппассвд 
Нова лозинка: Поново унесите нову лозинку: 
{ССХА}оИВФелкв8ВИкЈ40р12лнх3бп+СКСГбВ+у

роот@мастер:~# нано корисници.лдиф
дн: уид=транцос,оу=пеопле,дц=свл,дц=фан објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт уид: транцос цн: транцос гивенНаме: Транцос сн: Ел Реи усерПассворд: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
уидНумбер: 10000 гидНумбер: 10000 маил: транцос@свл.фан
гецос: Транцос Ел Реи логинСхелл: /бин/басх хомеДирецтори: /хоме/транцос дн: уид=леголас,оу=пеопле,дц=свл,дц=фан објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: дато легоАццоунт цНаме: дато легоАццоунт уид : Леголас сн: Арцхер усерПассворд: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
уидНумбер: 10001 гидНумбер: 10000 маил: леголас@свл.фан
гецкос: Леголас Арцхер логинСхелл: /бин/басх хомеДирецтори: /хоме/леголас дн: уид=гандалф,оу=пеопле,дц=свл,дц=фан објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: гандаАццоунт цласс: гандаАццоунт уид: Гандалф сн: Чаробњак корисничка лозинка: {ССХА}оИВФелкв8ВИкЈ40р12лнх3бп+СКСГбВ+у
уидНумбер: 10002 гидНумбер: 10000 маил: гандалф@свл.фан
гецкос: Гандалф Тхе Визард логинСхелл: /бин/басх хомеДирецтори: /хоме/гандалф

роот@мастер:~# лдападд -к -Д цн=админ,дц=свл,дц=фан -В -ф усерс.лдиф
Унесите ЛДАП лозинку: додавање новог уноса "уид=транцос,оу=пеопле,дц=свл,дц=фан" додавање новог уноса "уид=леголас,оу=пеопле,дц=свл,дц=фан" додавање новог уноса "уид= гандалф,оу=људи,дц=свл,дц=фан"

Проверавамо додате уносе

роот@мастер:~# лдапсеарцх -к цн=кораци
роот@мастер:~# лдапсеарцх -к уид=кораци

Управљамо слпад базом података помоћу конзолних услужних програма

Ми бирамо пакет лдапсцриптс за такав задатак. Процедура инсталације и конфигурације је следећа:

роот@мастер:~# аптитуде инсталл лдапсцриптс
 
роот@мастер:~# мв /етц/лдапсцриптс/лдапсцриптс.цонф \
/етц/лдапсцриптс/лдапсцриптс.цонф.оригинал
 
роот@мастер:~# нано /етц/лдапсцриптс/лдапсцриптс.цонф
СЕРВЕР=лоцалхост БИНДДН='цн=админ,дц=свл,дц=фан' БИНДПВДФИЛЕ="/етц/лдапсцриптс/лдапсцриптс.пассвд" СУФФИКС='дц=свл,дц=фан' ГСУФФИКС='оу=гроупс' УСУФФИКС= 'оу=људи' # МСУФФИКС='оу=Рачунари' ГИДСТАРТ=10001 УИДСТАРТ=10003 # МИДСТАРТ=10000 # ОпенЛДАП клијентске команде ЛДАПСЕАРЦХБИН="/уср/бин/лдапсеарцх" ЛДАПАДДБИН="/уср/бин/лдаЕТЕБИН" ЛД /уср/бин/лдапделете" ЛДАПМОДИФИБИН="/уср/бин/лдапмодифи" ЛДАПМОДРДНБИН="/уср/бин/лдапмодрдн" ЛДАППАССВДБИН="/уср/бин/лдаппассвд" ГЦЛАСС="посикГроуп" # УТЕМПЛАТЕ="/ет /лдападдусер.темплате" ПАССВОРДГЕН="ецхо %у"

Имајте на уму да скрипте користе команде из пакета лдап-утилс. Трцати дпкг -Л лдап-утилс | греп /бин да знају шта су.

роот@мастер:~# сх -ц "ецхо -н 'админ-пассворд' > \
/етц/лдапсцриптс/лдапсцриптс.пассвд"
 
роот@мастер:~# цхмод 400 /етц/лдапсцриптс/лдапсцриптс.пассвд
 
роот@мастер:~# цп /уср/схаре/доц/лдапсцриптс/екамплес/лдападдусер.темплате.сампле \
/етц/лдапсцриптс/лдапддусер.темплате
 
роот@мастер:~# нано /етц/лдапсцриптс/лдапддусер.темплате
дн: уид= , , објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт уид: цн: име: сн: Показати име: уидНумбер: гидНумбер: 10000 хомеДирецтори: логинСхелл: емаил: @свл.фан гекони: опис: кориснички налог
 
роот@мастер:~# нано /етц/лдапсцриптс/лдапсцриптс.цонф
## уклони коментар УТЕМПЛАТЕ="/етц/лдапсцриптс/лдападдусер.темплате"

Додајемо корисника "билбо" и чинимо га чланом групе "корисници".

роот@мастер:~# лдападдусер билбо корисници
[дн: уид=билбо,оу=пеопле,дц=свл,дц=фан] Унесите вредност за "гивенНаме" : Билбо [дн: уид=билбо,оу=пеопле,дц=свл,дц=фан] Унесите вредност за " сн" : Багинс [дн: уид=билбо,оу=пеопле,дц=свл,дц=фан] Унесите вредност за "дисплаиНаме" : Билбо Багинс је успешно додао корисника билбо у ЛДАП Успешно поставио лозинку за корисника билбо

роот@мастер:~# лдапсеарцх -к уид=билбо
# билбо, људи, свл.фан дн: уид=билбо,оу=пеопле,дц=свл,дц=фан објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт уид: билбо цн: билбо гивенНаме: Билбо сн: Багинс БагинсНаме уидНумбер: 10003 гидНумбер: 10000 хомеДирецтори: /хоме/билбо логинСхелл: /бин/басх маил: билбо@свл.фан
гецос: билбо опис: кориснички налог

Да бисте видели хеш лозинке билбо корисника, потребно је извршити упит са аутентификацијом:

роот@мастер:~# лдапсеарцх -к -Д цн=админ,дц=свл,дц=фан -В уид=билбо

За брисање корисника билбо извршавамо:

роот@мастер:~# лдапделете -к -Д цн=админ,дц=свл,дц=фан -В уид=билбо,оу=људи,дц=свл,дц=фан
Унесите ЛДАП лозинку:

роот@мастер:~# лдапсеарцх -к уид=билбо

Слапд базом података управљамо преко веб интерфејса

Имамо функционалну услугу именика и желимо да њоме лакше управљамо. Постоји много програма дизајнираних за овај задатак, као нпр пхплдападмин, лдап-аццоунт-манагер, итд., који су доступни директно из спремишта. Такође можемо управљати услугом именика преко Апацхе Дирецтори Студио, који морамо преузети са Интернета.

За више информација посетите https://blog.desdelinux.net/ldap-introduccion/, и наредних 6 чланака.

ЛДАП клијент

Фаза:

Рецимо да имамо тим маил.свл.фан као сервер поште имплементиран као што смо видели у чланку Постфик + Довецот + Скуиррелмаил и локални корисници, који иако је развијен на ЦентОС-у, може добро послужити као водич за Дебиан и многе друге Линук дистрибуције. Желимо да, поред локалних корисника које смо већ декларисали, и кориснике ускладиштене у ОпенЛДАП бази података која постоји у мастер.свл.фан. Да бисмо постигли горе наведено морамо «мапирати» ЛДАП корисници као локални корисници на серверу маил.свл.фан. Ово решење важи и за све услуге засноване на ПАМ аутентификацији. Општи поступак за Дебиан, је следеће:

роот@маил:~# аптитуде инсталл либнсс-лдап либпам-лдап лдап-утилс

  ┌─────────────────────┤ Подешавања либнсс-лдап ├─────────────────────┐ │ Унесите УРИ (Униформ Ресоурце Идентифиер) ЛДАП сервера. Овај низ је сличан │ │ «лдап://: /». Такође можете │ │ користити «лдапс://» или "лдапи://". Број порта није обавезан. │ │ │ │ Препоручује се коришћење ИП адресе да бисте избегли грешке када су услуге имена домена │ │ недоступне. │ │ │ │ УРИ ЛДАП сервера: │ │ │ │ лдап://мастер.свл.фан________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ───────────────────────────┘ ┌─────────── ───────── ┤ Подешавања либнсс-лдап ├─────────────────────┐ │ Унесите препознатљиво име (ДН) ЛДАП базе за претрагу. Многи сајтови користе компоненте имена домена за ову │ │ сврху. На пример, домен „екампле.нет“ би користио │ │ „дц=екампле,дц=нет“ као разликовно име базе за претрагу. │ │ │ │ Препознатљиво име (ДН) базе за претрагу: │ │ │ │ дц=свл,дц=фан________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либнсс-лдап ├─────────────────────┐ │ Унесите верзију ЛДАП протокола коју лдапнс треба да користи. Препоручује се да користите највећи доступни број верзије. │ │ │ │ ЛДАП верзија за употребу: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либнсс-лдап ├─────────────────────┐ │ Изаберите који налог ће се користити за нсс упите са │ │ роот привилегијама. │ │ │ │ Напомена: Да би ова опција функционисала, налогу су потребне дозволе за │ │ приступ ЛДАП атрибутима који су повезани са │ │ уносима у сенци корисника, као и лозинкама корисника и │ │ група . │ │ │ │ ЛДАП налог за роот: │ │ │ │ цн=админ,дц=свл,дц=фан________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либнсс-лдап ├─────────────────────┐ │ Унесите лозинку која ће се користити када либнсс-лдап покуша да │ │ аутентификује ЛДАП директоријум помоћу основног ЛДАП налога. │ │ │ │ Лозинка ће бити сачувана у засебној датотеци │ │ (“/етц/либнсс-лдап.сецрет”) којој само роот може да приступи. │ │ │ │ Ако унесете празну лозинку, стара лозинка ће се поново користити. │ │ │ │ Лозинка за основни ЛДАП налог: │ │ │ │ ********________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ────────────────────────────┘ ┌────────── ───────── ─┤ Подешавања либнсс-лдап "/етц/ нссвитцх.цонф» да бисте користили │ │ ЛДАП извор података ако желите да пакет либнсс-лдап ради. │ │ Можете користити датотеку примера у „/уср/схаре/доц/либнсс-лдап/екамплес/нссвитцх.лдап” као пример конфигурације нссвитцх │ │ или је можете копирати преко ваше тренутне конфигурације. │ │ │ │ Имајте на уму да пре уклањања овог пакета може бити препоручљиво да │ │ уклоните „лдап” уносе из датотеке нссвитцх.цонф како би основне │ │ услуге наставиле да раде. │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либпам-лдап ├─────────────────────┐ │ │ │ Ова опција дозвољава алаткама за лозинку које користе │ │ ПАМ да мењају локалне лозинке. │ │ │ │ Лозинка администраторског налога ЛДАП биће сачувана у засебној │ │ датотеци коју само администратор може да прочита. │ │ │ │ Ову опцију треба онемогућити ако монтирате "/етц" преко НФС-а. │ │ │ │ Да ли желите да дозволите ЛДАП администраторском налогу да се понаша као локални администратор │ │? │ │ │ │                                            │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либпам-лдап ├─────────────────────┐ │ │ │ Одаберите да ли ЛДАП сервер форсира идентификацију пре него што добије │ │ уносе. │ │ │ │ Ово подешавање обично није потребно. │ │ │ │ Да ли ми је потребан корисник за приступ ЛДАП бази података? │ │ │ │                                               │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либпам-лдап ├──────────────────────┐ │ Унесите име ЛДАП администраторског налога. │ │ │ │ Овај налог ће се аутоматски користити за управљање базом података, тако да морате имати одговарајуће административне привилегије. │ │ │ │ ЛДАП администраторски налог: │ │ │ │ цн=админ,дц=свл,дц=фан________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ───────── ──┤ Подешавања либпам-лдап ├──────────────────────┐ │ Унесите лозинку администраторског налога. │ │ │ │ Лозинка ће бити сачувана у датотеци “/етц/пам_лдап.сецрет”. │ │ администратор ће бити једини који може да чита ову датотеку и дозволиће │ │ либпам-лдап да аутоматски контролише управљање везама са │ │ базом података. │ │ │ │ Ако оставите ово поље празним, поново ће се користити претходно сачувана лозинка. │ │ │ │ ЛДАП администраторска лозинка: │ │ │ │ ********________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ──────────────────────────────┘  

роот@маил:~# нано /етц/нссвитцх.цонф
# /етц/нссвитцх.цонф # # Пример конфигурације ГНУ Наме Сервице Свитцх функционалности. # Ако имате инсталиране пакете `глибц-доц-референце' и `инфо', покушајте: # `инфо либц "Пребацивање услуге имена"' за информације о овој датотеци. пассвд: цомпат лдап
група: компат лдап
сенка: компат лдап
гсхадов: фајлови хостови: фајлови днс мреже: фајлови протоколи: дб фајлови сервиси: дб фајлови етери: дб фајлови рпц: дб фајлови нетгроуп: нис

Уредимо датотеку /етц/пам.д/цоммон-пассворд, идемо на ред 26 и уклањамо вредност «усе_аутхток":

роот@маил:~# нано /етц/пам.д/цоммон-пассворд
# # /етц/пам.д/цоммон-пассворд - модули у вези са лозинком заједнички за све услуге # # Ова датотека је укључена из других ПАМ конфигурационих датотека специфичних за услугу, # и треба да садржи листу модула који дефинишу услуге које треба # се користи за промену корисничких лозинки. Подразумевано је пам_уник. # Објашњење пам_уник опција: # # "сха512" опција омогућава слане СХА512 лозинке. Без ове опције, # подразумевана је Уник крипта. Претходна издања су користила опцију "мд5". # # Опскурна опција замењује стару опцију `ОБСЦУРЕ_ЦХЕЦКС_ЕНАБ' у # логин.дефс. # # Погледајте пам_уник ман страницу за друге опције. # Од пам 1.0.1-6, овом датотеком се подразумевано управља помоћу пам-аутх-упдате. # Да бисте искористили ово, препоручује се да конфигуришете било који # локални модул пре или после подразумеваног блока и користите # пам-аутх-упдате за управљање избором других модула. Погледајте # пам-аутх-упдате(8) за детаље. # ево лозинке за модуле по пакету („Примарни“ блок) [суццесс=2 дефаулт=игноре] пам_уник.со опсцуре сха512
лозинка [суццесс=1 усер_ункновн=игноре дефаулт=дие] пам_лдап.со три_фирст_пасс
# овде је резервни део ако ниједан модул не успе за лозинку захтевану пам_дени.со # напуните стек позитивном повратном вредношћу ако већ не постоји; # ово избегава да вратимо грешку само зато што ништа не поставља шифру успеха # пошто ће сваки од горњих модула само скакати око захтеване лозинке пам_пермит.со # а ево још модула по пакету (блок "Додатни") # крај пам- аутх-упдате цонфиг

У случају да нам затреба Локално пријављивање корисника ускладиштених у ЛДАП-у и желимо да се њихови фолдери креирају аутоматски дом, морамо уредити датотеку /етц/пам.д/цоммон-сессион и додајте следећи ред на крај датотеке:

сесија опционо пам_мкхомедир.со скел=/етц/скел умаск=077

У примеру ОпенЛДАП услуге директоријума развијеном раније, једини локални корисник који је креиран био је корисник зујање, док у ЛДАП-у креирамо кориснике кораци, Леголас, Гандалф, И билбо. Ако су до сада направљене конфигурације тачне, требало би да можемо да наведемо локалне кориснике и оне који су мапирани као локални, али ускладиштени на удаљеном ЛДАП серверу:

роот@маил:~# гетент пассвд 
бузз:к:1001:1001:Бузз Дебиан Фирст ОС,,,:/хоме/бузз:/бин/басх
транцос:к:10000:10000:Транцос Ел Реи:/хоме/транцос:/бин/басх
леголас:к:10001:10000:Леголас Арцхер:/хоме/леголас:/бин/басх
гандалф:к:10002:10000:Гандалф Чаробњак:/хоме/гандалф:/бин/басх
билбо:к:10003:10000:билбо:/хоме/билбо:/бин/басх

Након промена у аутентификацији система, ваљано је поново покренути сервер ако се не бавимо критичном услугом:

роот@маил:~# поновно покретање

Касније се пријављујемо локално на сервер маил.свл.фан са акредитивима корисника ускладиштеним у ЛДАП бази података мастер.свл.фан. Такође можемо покушати да се пријавимо преко ССХ-а.

бузз@сисадмин:~$ ссх гандалф@маил
Лозинка гандалф@маил: Креирање директоријума '/хоме/гандалф'. Програми укључени у Дебиан ГНУ/Линук систем су бесплатни софтвер; Тачни услови дистрибуције за сваки програм су описани у појединачним датотекама у /уср/схаре/доц/*/цопиригхт. Дебиан ГНУ/Линук долази са АПСОЛУТНО НИКАКВУ ГАРАНЦИЈУ, у мери у којој то дозвољава важећи закон.
гандалф@маил:~$ су
лозинка:

роот@маил:/хоме/гандалф# гетент група
бузз:к:1001: корисници:*:10000:

роот@маил:/хоме/гандалф# излаз
излаз

гандалф@маил:~$ лс -л /хоме/
укупно 8 дрвкр-кр-к 2 бузз бузз     4096 Јун 17 12:25 бузз дрвк------ 2 корисници гандалфа 4096 17. јун 13:05 гандалф

Услуга именика имплементирана на нивоу сервера и клијента ради исправно.

Керберос

Са Википедије:

  • Керберос је протокол за аутентификацију рачунарске мреже који је креирао МИТ- који омогућава да два рачунара на незаштићеној мрежи безбедно докажу свој идентитет један другом. Његови дизајнери су се прво фокусирали на клијент-сервер модел, и он обезбеђује међусобну аутентификацију: и клијент и сервер верују један другог идентитета. Поруке за аутентификацију су заштићене ради спречавања прислушкивање y поновити нападе.

    Керберос је заснован на криптографији симетричног кључа и захтева трећу страну од поверења. Поред тога, постоје проширења протокола како би се могла користити асиметрична криптографија кључа.

    Керберос је заснован на Неедхам-Сцхроедер протокол. Користи трећу страну од поверења, названу „Центар за дистрибуцију кључева“ (КДЦ), који се састоји од два одвојена логичка дела: „Сервер за аутентификацију“ (АС) и „сервер за издавање улазница“ (ТГС или сервер за издавање улазница). Керберос ради на основу "тикета", које служе за доказивање идентитета корисника.

    Керберос одржава базу података тајних кључева; сваки ентитет на мрежи — било да је клијент или сервер — дели тајни кључ који је познат само њему и Керберос-у. Познавање овог кључа служи за доказивање идентитета ентитета. За комуникацију између два ентитета, Керберос генерише кључ сесије, који могу да користе да обезбеде своје проблеме..

Недостаци Кербероса

De Ецуред:

Иако Керберос елиминише уобичајену безбедносну претњу, може бити тешко применити из различитих разлога:

  • Миграција корисничких лозинки из стандардне базе података лозинки УНИКС, као што је /етц/пассвд или /етц/схадов, у Керберос базу података лозинки, може бити заморно и не постоји брзи механизам за постизање овог задатка.
  • Керберос претпоставља да је сваки корисник поуздан, али да користи непоуздану машину на непоузданој мрежи. Његов главни циљ је да спречи слање нешифрованих лозинки преко мреже. Међутим, ако било који други корисник осим одговарајућег корисника има приступ машини за продају карата (КДЦ) за аутентификацију, Керберос би био у опасности.
  • Да би апликација користила Керберос, код мора бити измењен да би упутио одговарајуће позиве Керберос библиотекама. Апликације које су модификоване на овај начин сматрају се керберизованим. За неке апликације, ово може захтевати превелики напор у програмирању због величине апликације или њеног дизајна. За друге некомпатибилне апликације, морају се извршити промене у начину на који мрежни сервер и његови клијенти комуницирају; опет, ово може укључивати доста програмирања. Генерално, апликације затвореног кода које немају Керберос подршку су обично најпроблематичније.
  • Коначно, ако одлучите да користите Керберос на својој мрежи, требало би да схватите да је то избор на све или ништа. Ако одлучите да користите Керберос на својој мрежи, треба да запамтите да преношење било које лозинке сервису који не користи Керберос за аутентификацију представља ризик да би пакет могао бити пресретнут. Дакле, ваша мрежа неће имати користи од коришћења Керберос-а. Да бисте заштитили своју мрежу помоћу Керберос-а, требало би да користите само Керберизоване верзије свих клијент/сервер апликација које шаљу нешифроване лозинке или не користите ниједну од ових апликација на мрежи..

Ручна имплементација и конфигурисање ОпенЛДАП-а као Керберос Бацк-Енд-а није лак задатак. Међутим, касније ћемо видети да се Самба 4 Ацтиве Дирецтори – Домаин Цонтроллер интегрише на транспарентан начин за Сисадмин, ДНС сервер, Мицрософт мрежу и њен контролер домена, ЛДАП сервер као позадину за скоро све своје објекте и Керберос базирану услугу аутентификације као основне компоненте активног директоријума у ​​Мицрософт стилу.

До данас нисмо имали потребу да имплементирамо „Керберизовану мрежу“. Зато не пишемо о томе како имплементирати Керберос.

Самба 4 Ацтиве Дирецтори – Контролор домена

Важно:

Не постоји боља документација од оне на сајту вики.самба.орг. Сваки Сисадмин који поштује себе треба да посети ту локацију – на енглеском – и прегледа велики број страница посвећених у потпуности Самби 4, које је написао сам Тим Самба. Мислим да на Интернету не постоји документација која би је заменила. Узгред, обратите пажњу на број посета приказан на крају сваке странице. Пример овога је да је посећена ваша главна страница или „Главна страница“. 276,183 пута од данас 20. јуна 2017. у 10:10 по источном стандардном времену. Поред тога, документација се веома ажурира, пошто је та страница измењена 6. јуна.

Са Википедије:

Самба је бесплатна имплементација Мицрософт Виндовс протокола за дељење датотека (раније назван СМБ, недавно преименован у ЦИФС) за системе сличне УНИКС-у. На овај начин је могуће да се рачунари са ГНУ/Линук-ом, Мац ОС Кс-ом или Уник-ом уопште посматрају као сервери или делују као клијенти у Виндовс мрежама. Самба вам такође омогућава да потврдите кориснике као примарни контролер домена (ПДЦ), као члан домена, па чак и као домен Ацтиве Дирецтори за мреже засноване на Виндовс-у; осим што може да опслужује редове за штампање, дељене директоријуме и аутентификује сопственим корисничким фајлом.

Међу системима типа Уник на којима се Самба може покренути, постоје ГНУ/Линук дистрибуције, Соларис и различите БСД варијанте међу да можемо пронаћи Апплеов Мац ОС Кс сервер.

Самба 4 АД-ДЦ са својим интерним ДНС-ом

  • Почињемо са чистом инсталацијом – без графичког интерфејса – Дебиан 8 „Јессие“.

Почетне провере

роот@мастер:~# име хоста
мајстор
роот@мастер:~# име хоста --фкдн
мастер.свл.фан
роот@мастер:~# ип адреса
1: шта: мту 65536 кдисц ноцкоут стате НЕПОЗНАТО гроуп дефаулт линк/лоопбацк 00:00:00:00:00:00 брд 00:00:00:00:00:00 инет 127.0.0.1/8 сцопе хост ло валид_лфт форевер и преферред_л :: 6/1 хост хост валид_лфт заувек преферирани_лфт заувек 128: етх2: мту 0 кдисц пфифо_фаст стате НЕПОЗНАТО гроуп дефаулт клен 1500 линк/етхер 1000:00ц:0:29:80б:3ф брд фф:фф:фф:фф:фф:фф
    инет 192.168.10.5/24 брд 192.168.10.255 делокруг глобал етх0
       валид_лфт заувек преферред_лфт заувек инет6 фе80::20ц:29фф:фе80:3б3ф/64 линк домет валид_лфт форевер преферред_лфт заувек
роот@мастер:~# цат /етц/ресолв.цонф
сеарцх свл.фан намесервер 127.0.0.1
  • Хајде да прогласимо грану главни само то је више него довољно за наше потребе.
роот@мастер:~# цат /етц/апт/соурцес.лист
Деб http://192.168.10.1/repos/jessie-8.6/debian/ јессие главни
Деб http://192.168.10.1/repos/jessie-8.6/debian/security/ јессие/ажурирања главни

Постфик од Еким-а и услужни програми

роот@мастер:~# аптитуде инсталл постфик хтоп мц деборпхан

  Постфик конфигурација ├──────────── ───────── ────┐ │ Одаберите тип конфигурације сервера поште који најбоље одговара вашим потребама. │ │ │ │ Без конфигурације: │ │ Одржава тренутну конфигурацију нетакнутом. │ │ Веб-сајт: │ │ Пошта се шаље и прима директно помоћу СМТП-а. │ │ Интернет са „смартхост“-ом: │ │ Пошта се прима директно помоћу СМТП-а или покретањем │ │ алата као што је „фетцхмаил“. Одлазна е-пошта се шаље помоћу │ │ паметног хоста. │ │ Само локална пошта: │ │ Једина пошта која се испоручује је локалним корисницима. Не │ │ постоји мрежа. │ │ │ │ Генерички тип конфигурације поште: │ │ │ │ Без конфигурације │ │ Интернет сајт │ │ Интернет са „смартхост” │ │ Сателитски систем │ │                         Само локална пошта                                │ │ │ │ │ │                                     │ │ │ └──────────────────────────────────── ────────── ────────────────────────────┘ ┌────────── ───────── Постфик конфигурација │ │ се користи за „квалификовање“ _СВИХ_ адреса е-поште без имена домена │ │. Ово укључује е-пошту ка и из роот-а: немојте терати да ваша машина шаље е-пошту са роот@екампле.орг до │ │ мање од роот@екампле.орг је то тражио. │ │ │ │ Други програми ће користити ово име. То мора бити јединствено │ │ квалификовано име домена (ФКДН). │ │ │ │ Стога, ако је адреса е-поште на локалној машини │ │ сометхинг@екампле.орг, исправна вредност за ову опцију ће бити екампле.орг. │ │ │ │ Име система поште: │ │ │ │ мастер.свл.фан________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ──────────────────────────────┘  

Чистимо

роот@мастер:~# аптитуде пурге ~ц
роот@мастер:~# аптитуде инсталл -ф
роот@мастер:~# аптитуде цлеан
роот@мастер:~# аптитуде аутоцлеан

Инсталирамо захтеве за компајлирање Самбе 4 и остали неопходни пакети

роот@мастер:~# аптитуде инсталл ацл аттр аутоцонф бисон \
буилд-ессентиал дебхелпер днсутилс доцбоок-кмл доцбоок-ксл флек гдб \
крб5-усер либацл1-дев либаио-дев либаттр1-дев либблкид-дев либбсд-дев \
либцап-дев либцупс2-дев либгнутлс28-дев либјсон-перл \
либлдап2-дев либнцурс5-дев либпам0г-дев либпарсе-иапп-перл \
либпопт-дев либреадлине-дев перл перл-модулес пкг-цонфиг \
питхон-алл-дев питхон-дев питхон-днспитхон питхон-црипто \
кслтпроц злиб1г-дев либгпгме11-дев питхон-гпгме питхон-м2црипто \
либгнутлс28-дбг гнутлс-дев лдап-утилс крб5-цонфиг

 ┌───────────────┤ Конфигурисање Керберос аутентикације ├───────────────┐ │ Када корисници покушају да користе Кербер ОС и наведу име │ │ принципал или корисник без појашњења којем Керберос │ │ административном домену припада принципал, систем подразумевано поставља област │ │.  Подразумевано подручје се такође може користити као │ │ област Керберос услуге која ради на локалној машини.  │ │ Типично, подразумевано подручје је велико име │ │ локалног ДНС домена.  │ │ │ │ Подразумевано подручје Керберос верзије 5: │ │ │ │ СВЛ.ФАН________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ──────┤ Конфигурисање аутентификације ├ ───────────────┐ │ Унесите имена Керберос сервера у домену СВЛ.ФАН │ │ Керберос-а, одвојена размацима.  │ │ │ │ Керберос сервери за ваше подручје: │ │ │ │ мастер.свл.фан________________________________________________________________ │ │ │ │ │ │ │ └──────────────────────────────────── ────────── ─────────────────────────────┘ ┌───────── ──────┤ Конфигурисање Керберос аутентификације ├───────────────┐ │ Унесите име административног сервера (промените лозинку) │ │ за Керберос област СВЛ.ФАН.   

Претходни процес је потрајао јер још увек немамо инсталирану ДНС услугу. Међутим, правилно сте изабрали домен због конфигурације датотеке / Етц / хостс. Сетимо се тога у фајлу / Етц / ресолв.цонф Декларисали смо ИП 127.0.0.1 као сервер имена домена..

Сада конфигуришемо датотеку /етц/лдап/лдап/цонф

роот@мастер:~# нано /етц/лдап/лдап.цонф
БАСЕ дц=свл,дц=фан УРИ лдап://мастер.свл.фан

За упите помоћу команде лдапсеарцх направљене од роот корисника су типа лдапсеарцх -к -В цн=кккк, морамо креирати датотеку /роот/.лдапсеарц са следећим садржајем:

роот@мастер:~# нано .лдапрц
БИНДДН ЦН=Администратор,ЦН=Корисници,ДЦ=свл,ДЦ=вентилатор

Систем датотека мора да подржава АЦЛ – листу контроле приступа

роот@мастер:~# нано /етц/фстаб
# /етц/фстаб: статичке информације о систему датотека. # # Користите 'блкид' да одштампате универзални јединствени идентификатор за # уређај; ово се може користити са УУИД= као робуснији начин за именовање уређаја # који ради чак и ако се дискови додају и уклањају. Види фстаб(5). # # # / је био на /дев/сда1 током инсталације УУИД=33ацб024-291б-4767-б6ф4-цф207а71060ц / ект4 усер_каттр,ацл,барриер=1,ноатиме,еррорс=ремоунт-ро 0 1
# свап је био на /дев/сда5 током инсталације УУИД=цб73228а-615д-4804-9877-3ец225е3ае32 ноне свап св 0 0 /дев/ср0 /медиа/цдром0 удф,исо9660 усер,ноауто 0 0

роот@мастер:~# моунт -а

роот@мастер:~# тоуцх тестинг_ацл.ткт
роот@мастер:~# сетфаттр -н усер.тест -в тест тестинг_ацл.ткт
роот@мастер:~# сетфаттр -н сецурити.тест -в тест2 тестинг_ацл.ткт
роот@мастер:~# гетфаттр -д тестинг_ацл.ткт
# датотека: тестинг_ацл.ткт усер.тест="тест"

роот@мастер:~# гетфаттр -н сецурити.тест -д тестинг_ацл.ткт
# датотека: тестинг_ацл.ткт сецурити.тест="тест2"

роот@мастер:~# сетфацл -мг:адм:рвк тестинг_ацл.ткт

роот@мастер:~# гетфацл тестинг_ацл.ткт
# датотека: тестинг_ацл.ткт # власник: роот # група: роот корисник::рв- гроуп::р-- гроуп:адм:рвк маска::рвк отхер::р--

Добијамо извор Самба 4, компајлирамо га и инсталирамо

Веома је препоручљиво да преузмете изворну датотеку верзије Стабилан са сајта https://www.samba.org/. У нашем примеру преузимамо верзију самба-4.5.1.тар.гз у фасциклу / опт.

роот@мастер:~# цд /опт
роот@мастер:/опт# вгет https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
роот@мастер:/опт# тар квфз самба-4.5.1.тар.гз
роот@мастер:/опт# цд самба-4.5.1/

Опције конфигурације

Ако желимо да прилагодимо опције конфигурације, извршавамо:

роот@мастер:/опт/самба-4.5.1# ./цонфигуре --хелп

и веома пажљиво бирамо оне које су нам потребне. Препоручљиво је да проверите да ли преузети пакет може да се инсталира на Линук дистрибуцију коју користимо, а то је у нашем случају Дебиан 8.6 Јессие:

роот@мастер:/опт/самба-4.5.1# / Цонфигуре. дистцхецк

Конфигуришемо, компајлирамо и инсталирамо самбу-4.5.1

  • Од претходно инсталираних захтева и 8604 датотека (које чине компактни самба-4.5.1.тар.гз) које теже око 101.7 мегабајта – укључујући фасцикле соурце3 и соурце4 које су тешке око 61.1 мегабајта – добићемо замену за Ацтиве Дирецтори у Мицрософт стилу, квалитета и стабилности више него прихватљива за свако производно окружење. Морамо истаћи рад тима Самба у испоруци бесплатног софтвера Самба 4.

Команде у наставку су класичне за компајлирање и инсталирање пакета из њихових извора. Морамо бити стрпљиви док цео процес траје. То је једини начин да се добију валидни и тачни резултати.

роот@мастер:/опт/самба-4.5.1# ./цонфигуре --витх-системд --дисабле-цупс
роот@мастер:/опт/самба-4.5.1# make (правити)
роот@мастер:/опт/самба-4.5.1# маке инсталл

Током командног процеса make (правити), можемо видети да су извори Самба 3 и Самба 4 компајлирани. Због тога Тим Самба наводи да је њена верзија 4 природно ажурирање верзије 3, како за контролере домена засноване на Самба 3 + ОпенЛДАП, тако и за фајл сервере, или претходне верзије Самбе 4.

Провисионинг Самба

Користићемо као ДНС САМБА_ИНТЕРНАЛ. у https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End Наћи ћемо више информација. Када се од нас тражи лозинка администраторског корисника, морамо да укуцамо лозинку минималне дужине од 8 карактера и такође са словима - великим и малим словима - и бројевима.

Пре него што наставимо са обезбеђивањем и да бисмо себи олакшали живот, додајемо пут Самба извршних датотека у нашој архиви .басхрц, Затим затварамо и поново се пријављујемо.

роот@мастер:~# нано .басхрц
# ~/.басхрц: извршава басх(1) за љуске без пријаве. # Напомена: ПС1 и умаск су већ постављени у /етц/профиле. Ово вам не би требало # требати осим ако не желите другачије подразумеване вредности за роот. # ПС1='${дебиан_цхроот:+($дебиан_цхроот)}\х:\в\$ ' # умаск 022 # Можете декоментирати следеће редове ако желите да `лс' буде обојен: # екпорт ЛС_ОПТИОНС='--цолор =ауто' # евал "`дирцолорс`" # алиас лс='лс $ЛС_ОПТИОНС' # алиас лл='лс $ЛС_ОПТИОНС -л' # алиас л='лс $ЛС_ОПТИОНС -лА' # # Још неколико псеудонима да не правите грешке : # алиас рм='рм -и' # алиас цп='цп -и' # алиас мв='мв -и'
децларе -к ПАТХ="/уср/лоцал/сбин:/уср/лоцал/бин:/уср/сбин:/уср/бин:\ /сбин:/бин:/уср/лоцал/самба/сбин:/уср/лоцал /самба/бин"

роот@мастер:~# екит логоут Веза са мастером је затворена. кеон@сисадмин:~$ ссх роот@мастер

роот@мастер:~# одредба домена самба-тоол --усе-рфц2307 --интерацтиве
Реалм [СВЛ.ФАН]: СВЛ.ФАН
 Домен [СВЛ]: СВЛ
 Улога сервера (дц, члан, самостална) [дц]: dc
 Бацкенд ДНС (САМБА_ИНТЕРНАЛ, БИНД9_ФЛАТФИЛЕ, БИНД9_ДЛЗ, НОНЕ) [САМБА_ИНТЕРНАЛ]: САМБА_ИНТЕРНАЛ
 ИП адреса ДНС прослеђивача (напишите 'ноне' да бисте онемогућили прослеђивање) [192.168.10.5]: 8.8.8.8
Лозинка администратора: Ваша лозинка2017
Поново унесите лозинку: Ваша лозинка2017
Тражење ИПв4 адреса Тражење ИПв6 адреса Неће бити додељена ИПв6 адреса Подешавање схаре.лдб Подешавање сецретс.лдб Подешавање регистра Подешавање базе података привилегија Подешавање идмап дб Подешавање САМ дб Подешавање сам.лдб партиција и подешавања Подешавање уп сам.лдб роотДСЕ Претходно учитавање Самба 4 и АД шеме Додавање ДомаинДН: ДЦ=свл,ДЦ=фан Додавање конфигурационог контејнера Подешавање сам.лдб шеме Подешавање сам.лдб конфигурационих података Подешавање спецификација приказа Модификација спецификација приказа Додавање контејнера корисника Измена контејнера корисника Додавање контејнера рачунара Измена контејнера рачунара Подешавање сам.лдб података Подешавање добро познатих безбедносних принципа Подешавање сам.лдб корисника и група Подешавање самопридруживања Додавање ДНС налога Креирање ЦН=МицрософтДНС,ЦН=Систем,ДЦ=свл,ДЦ =фан Креирање партиција ДомаинДнсЗонес и ФорестДнсЗонес Попуњавање партиција ДомаинДнсЗонес и ФорестДнсЗонес Подешавање означавања сам.лдб роотДСЕ као синхронизованог Поправљање ГУИД-ова одредби Керберос конфигурација погодна за Самбу 4 је генерисана на /уср/лоцал/самба/привате/секр. ип подешавања сервера Када се горе наведене датотеке инсталирају, ваш Самба5 сервер ће бити спреман за коришћење Улога сервера: активни директоријум контролер домена Име хоста: мастер НетБИОС Домен: СВЛ ДНС Домен: свл.фан СИД ДОМЕНА: С-4-1-5-21 -32182636-2892912266

Не заборавимо да копирамо Керберос конфигурациону датотеку као што је наведено у излазу Обезбеђивање:

роот@мастер:~# цп /уср/лоцал/самба/привате/крб5.цонф /етц/крб5.цонф

Да не укуцате команду самба-алатка са пуним именом, стварамо симболичку везу са кратким именом алатка:

роот@мастер:~# лн -с /уср/лоцал/самба/бин/самба-тоол /уср/лоцал/самба/бин/тоол

Инсталирамо НТП

Основни део активног директоријума је мрежна временска услуга.Пошто се аутентификација врши преко Кербероса и његових улазница, синхронизација времена са Самба 4 АД-ДЦ је од виталног значаја.

роот@мастер:~# аптитуде инсталл нтп
роот@мастер:~# мв /етц/нтп.цонф /етц/нтп.цонф.оригинал

роот@мастер:~# нано /етц/нтп.цонф
дрифтфиле /вар/либ/нтп/нтп.дрифт нтпсигндсоцкет /уср/лоцал/самба/вар/либ/нтп_сигнд статистика лоопстатс пеерстатс цлоцкстатс филеген лоопстатс фајл лоопстатс тип даи енабле филеген пеерстатс филе пеерстатс типе даи енабле сервер филеген цлоцкстат цлоцкстат 192.168.10.1 ограничење -4 подразумевано код нотрап номодифи нопеер нокуери лимитед -6 подразумевано код нотрап номодифи нопеер нокуери ограничење подразумевано мсснтп ограничење 127.0.0.1 ограничење ::1 емитовање 192.168.10.255

роот@мастер:~# рестарт сервиса нтп
роот@мастер:~# статус услуге нтп

роот@мастер:~# таил -ф /вар/лог/сислог

Ако приликом испитивања на сислог користећи претходну команду или користећи јоурналцтл -ф добијамо поруку:

19. јун 12:13:21 мастер нтпд_интрес[1498]: родитељ је умро пре него што смо завршили, излазимо

морамо поново покренути услугу и поново тестирати. Сада креирамо фасциклу нтп_сигнд:

роот@мастер:~# лс -лд /уср/лоцал/самба/вар/либ/нтп_сигнд
лс: не може приступити /уср/лоцал/самба/вар/либ/нтп_сигнд: Нема такве датотеке или директоријума

роот@мастер:~# мкдир /уср/лоцал/самба/вар/либ/нтп_сигнд
роот@мастер:~# цховн роот:нтп /уср/лоцал/самба/вар/либ/нтп_сигнд/
роот@мастер:~# цхмод 750 /уср/лоцал/самба/вар/либ/нтп_сигнд/ роот@мастер:~# цхмод гс,г+к /уср/лоцал/самба/вар/либ/нтп_сигнд/

# Као што је тражено на самба.вики.орг
роот@мастер:~# лс -лд /уср/лоцал/самба/вар/либ/нтп_сигнд
дрвкр-к--- 2 роот нтп 4096 Јун 19 12:21 /уср/лоцал/самба/вар/либ/нтп_сигнд

Конфигуришемо покретање Самбе користећи системд

роот@мастер:~# нано /либ/системд/систем/самба-ад-дц.сервице
[Сервис] Типе=форкинг ПИДФиле=/уср/лоцал/самба/вар/рун/самба.пид ЛимитНОФИЛЕ=16384 # ЕнвиронментФиле=-/етц/цонф.д/самба ЕкецСтарт=/уср/лоцал/самба/сбин/самба ЕкецРелоад =/уср/бин/килл -ХУП $МАИНПИД [Инсталирај] ВантедБи=мулти-усер.таргет

роот@мастер:~# системцтл омогући самба-ад-дц
роот@мастер:~# поновно покретање

роот@мастер:~# системцтл статус самба-ад-дц
роот@мастер:~# системцтл статус нтп

Локација Самба 4 АД-ДЦ датотека

СВЕ -минус новостворени самба-ад-дц.сервице– фајлови се налазе у:

роот@мастер:~# лс -л /уср/лоцал/самба/
укупно 32 дрвкр-ср-к 2 роот стафф 4096 19. јун 11:55 bin
дрвкр-ср-к 2 роот стафф 4096 Јун 19 11:50 итд
дрвкр-ср-к 7 роот стафф 4096 Јун 19 11:30 обухватити
дрвкр-ср-к 15 роот стафф 4096 19. јун 11:33 либ
дрвкр-ср-к 7 роот стафф 4096 Јун 19 12:40 приватан
дрвкр-ср-к 2 роот стафф 4096 Јун 19 11:33 сбин
дрвкр-ср-к 5 роот стафф 4096 Јун 19 11:33 удео
дрвкр-ср-к 8 роот стафф 4096 Јун 19 12:28 вар

у најбољем УНИКС стилу. Увек је препоручљиво да прегледате различите фасцикле и прегледате њихов садржај.

Фајл /уср/лоцал/самба/етц/смб.цонф

роот@мастер:~# нано /уср/лоцал/самба/етц/смб.цонф 
# Глобални параметри [глобални] нетбиос име = МАСТЕР област = СВЛ.ФАН радна група = СВЛ днс прослеђивач = 8.8.8.8 услуге сервера = с3фс, рпц, нбт, врепл, лдап, цлдап, кдц, дрепл, винбиндд, кццте, днсуп, , улога днс сервера = контролер домена активног директоријума дозвољава ажурирања ДНС-а = безбедно само идмап_лдб:користите рфц2307 = да идмап цонфиг * : бацкенд = тдб идмап цонфиг * : опсег = 1000000-1999999 = лдап сервер захтева јак аутх нулл [нетлогон] путања = /уср/лоцал/самба/вар/лоцкс/сисвол/свл.фан/сцриптс само за читање = Не [сисвол] путања = /уср/лоцал/самба/вар/лоцкс/сисвол само за читање = Не

роот@мастер:~# тестпарм
Учитајте смб конфигурационе датотеке из /уср/лоцал/самба/етц/смб.цонф Одељак за обраду "[нетлогон]" Одељак за обраду "[сисвол]" Учитана датотека услуга је ОК. Улога сервера: РОЛЕ_АЦТИВЕ_ДИРЕЦТОРИ_ДЦ Притисните ентер да видите депонију дефиниција ваших услуга # Глобални параметри [глобални] област = СВЛ.ФАН радна група = СВЛ днс прослеђивач = 192.168.10.1 лдап сервер захтева јаку аутх = Нема пассдб бацкенд = самба_дсдб улога сервера = активна улога сервера контролер домена рпц_сервер:тцпип = нема рпц_даемон:споолссд = уграђени рпц_сервер:споолсс = уграђени рпц_сервер:винрег = уграђени рпц_сервер:нтсвцс = уграђени рпц_сервер =споолссд рпц_сервер:ерпц_сервер:ерпц ц_сервер:свццтл = уграђени рпц_сервер:дефаулт = екстерни винбиндд: користи екстерне цеви = труе идмап цонфиг * : опсег = 1000000-1999999 идмап_лдб:усе рфц2307 = иес идмап цонфиг * : бацкенд = тдб мап арцхиве = Нема мапе само за читање = нема атрибута дос продавнице = Да / вфс_нет_ објецтсаттр = Да / вфс_неткло путања] д уср/лоцал/самба/вар/лоцкс/сисвол/свл.фан/сцриптс само за читање = Не [сисвол] путања = /уср/лоцал/самба/вар/лоцкс/сисвол само за читање = Не

Минималне провере

роот@мастер:~# приказ на нивоу домена алата
Ниво функције домена и шуме за домен 'ДЦ=свл,ДЦ=фан' Ниво функције шуме: (Виндовс) 2008 Р2 Ниво функције домена: (Виндовс) 2008 Р2 Најнижи ниво функције ДЦ: (Виндовс) 2008 Р2

роот@мастер:~# лдапсеарцх -к -В

роот@мастер:~# алатка дбцхецк
Провера 262 објекта Провера 262 објекта (0 грешака)

роот@мастер:~# кинит Администратор
Лозинка за Администратор@СВЛ.ФАН: 
роот@мастер:~# клист -ф
Кеш тикета: ФИЛЕ:/тмп/крб5цц_0
Главни подразумевани: Администратор@СВЛ.ФАН

Важећи почетак Истиче Главна услуга 19. 06:17:12 53. 24:19:06  крбтгт/СВЛ.ФАН@СВЛ.ФАН
    обнови до 20. 06:17:12, Заставе: РИА

роот@мастер:~# кдестрои
роот@мастер:~# клист -ф
клист: Датотека кеш акредитива '/тмп/крб5цц_0' није пронађена

роот@мастер:~# смбцлиент -Л локални хост -У%
Домаин=[СВЛ] ОС=[Виндовс 6.1] Сервер=[Самба 4.5.1] Схаренаме Тип Коментар --------- ---- ------- нетлогон Диск сисвол Диск ИПЦ$ ИПЦ ИПЦ Услуга (Самба 4.5.1) Домен=[СВЛ] ОС=[Виндовс 6.1] Сервер=[Самба 4.5.1] Коментар сервера --------- ------- Воркгроуп Мастер ---- ----- -------

роот@мастер:~# смбцлиент //лоцалхост/нетлогон -УАдминистратор -ц 'лс'
Унесите администраторску лозинку: Домен=[СВЛ] ОС=[Виндовс 6.1] Сервер=[Самба 4.5.1] . Д 0 Пон 19. јун 11:50:52 2017 .. Д 0 Пон 19 јун 11:51:07 2017 19091584 блокова величине 1024. Доступно 16198044 блокова

роот@мастер:~# алатка днс серверинфо мастер -У администратор

роот@мастер:~# хост -т СРВ _лдап._тцп.свл.фан
_лдап._тцп.свл.фан има СРВ запис 0 100 389 мастер.свл.фан.

роот@мастер:~# хост -т СРВ _керберос._удп.свл.фан
_керберос._удп.свл.фан има СРВ запис 0 100 88 мастер.свл.фан.

роот@мастер:~# хост -т За мастер.свл.фан
мастер.свл.фан има адресу 192.168.10.5

роот@мастер:~# хост -т СОА свл.фан
свл.фан има СОА запис мастер.свл.фан. хостмастер.свл.фан. 1 900 600 86400 3600

роот@мастер:~# хост -т НС свл.фан
свл.фан сервер имена мастер.свл.фан.

роот@мастер:~# хост -т МКС свл.фан
свл.фан нема МКС запис

роот@мастер:~# самба_днсупдате --вербосе

роот@мастер:~# листа корисника алата
Администратор крбтгт Гост

роот@мастер:~# листа група алата
# Излаз је гомила група. ;-)

Ми администрирамо новоинсталирани Самба 4 АД-ДЦ

Ако желимо да изменимо рок трајања администраторске лозинке у данима; сложеност лозинки; минимална дужина лозинке; минимално и максимално трајање - у данима - лозинке; и промените администраторску лозинку декларисану током Обезбеђивање, морамо извршити следеће команде са вредности прилагођене вашим потребама:

роот@мастер:~# алат
Употреба: самба-алатка Главни алат за администрацију самбе. Опције: -х, --хелп прикажи ову поруку помоћи и изађи Опције верзије: -В, --версион Прикажи број верзије Доступне подкоманде: дбцхецк - Проверите локалну АД базу података за грешке. делегација – Управљање делегацијом. днс – Управљање услугом имена домена (ДНС). домен - Управљање доменом. дрс - управљање услугама репликације именика (ДРС). дсацл - ДС АЦЛ манипулација. фсмо – Флексибилно управљање улогама појединачних главних операција (ФСМО). гпо – управљање објектом групне политике (ГПО). група – Управљање групом. лдапцмп - Упоредите две лдап базе података. нтацл - НТ АЦЛ манипулација. процеси - Наведите процесе (за помоћ у отклањању грешака на системима без сетпроцтитле). родц – Управљање контролером домена само за читање (РОДЦ). сајтови – Управљање сајтовима. спн - Управљање именом принципала услуге (СПН). тестпарм - Синтакса провери конфигурациону датотеку. време - Преузми време на серверу. корисник - Управљање корисницима. За додатну помоћ за одређену подкоманду, откуцајте: самба-тоол (-х|--помоћ)

роот@мастер:~# корисник алата сетекпири администратор --ноекпири
роот@мастер:~# подешавања лозинке домена алата --мин-пвд-ленгтх=7
роот@мастер:~# подешавања лозинке домена алата постављена --мин-пвд-аге=0
роот@мастер:~# подешавања лозинке домена алата --мак-пвд-аге=60
роот@мастер:~# корисник алата сетпассворд --филтер=самаццоунтнаме=Администратор --невпассворд=Пассв0рД

Додамо неколико ДНС записа

роот@мастер:~# днс алата
Употреба: самба-тоол днс Управљање услугом имена домена (ДНС). Опције: -х, --хелп прикажи ову поруку помоћи и изађи Доступне подкоманде: додај - Додај ДНС запис брисање - Избриши упит за ДНС запис - Упитај име. роотхинтс - Упитајте коренске савете. серверинфо - Упит за информације о серверу. ажурирање - Ажурирајте ДНС запис зонецреате - Креирајте зону. зонеделете - Избришите зону. зонеинфо - Упит за информације о зони. зонелист - Упит за зоне. За додатну помоћ за одређену подкоманду, откуцајте: самба-тоол днс (-х|--помоћ)

Маил сервер

роот@мастер:~# алатка днс додај мастер свл.фан пошту на 192.168.10.9 -У администратора
роот@мастер:~# алатка днс адд мастер свл.фан свл.фан МКС "маил.свл.фан 10" -У администратор

Фиксне ИП адресе других сервера

роот@мастер:~# алатка днс адд мастер свл.фан сисадмин А 192.168.10.1 -У администратор
роот@мастер:~# алатка днс адд мастер свл.фан филесервер А 192.168.10.10 -У администратор
роот@мастер:~# алатка днс додај главни свл.фан проки на 192.168.10.11 -У администратора
роот@мастер:~# алатка днс адд мастер свл.фан цхат А 192.168.10.12 -У администратор

Реверсе Зоне

роот@мастер:~# алатка днс зонецреате мастер 10.168.192.ин-аддр.арпа -У администратор
Лозинка за [СВЛ\администратор]: Зона 10.168.192.ин-аддр.арпа је успешно креирана

роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 5 ПТР мастер.свл.фан. -Уадминистратор
роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 9 ПТР маил.свл.фан. -Уадминистратор
роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 1 ПТР сисадмин.свл.фан. -Уадминистратор
роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 10 ПТР филесервер.свл.фан. -Уадминистратор
роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 11 ПТР проки.свл.фан. -Уадминистратор
роот@мастер:~# алатка днс адд мастер 10.168.192.ин-аддр.арпа 12 ПТР цхат.свл.фан. -Уадминистратор

Чекови

роот@мастер:~# алатка днс куери мастер свл.фан маил АЛЛ -У администратор
Лозинка за [СВЛ\администратор]: Име=, Записи=1, Деца=0 За: 192.168.10.9 (заставице=ф0, серијски=2, ттл=900)

роот@мастер:~# хост мастер
мастер.свл.фан има адресу 192.168.10.5
роот@мастер:~# системски администратор хоста
сисадмин.свл.фан има адресу 192.168.10.1
роот@мастер:~#хостмаил
маил.свл.фан има адресу 192.168.10.9
роот@мастер:~#хостцхат
цхат.свл.фан има адресу 192.168.10.12
роот@мастер:~# прокси хост
проки.свл.фан има адресу 192.168.10.11
роот@мастер:~#хост сервер датотека
филесервер.свл.фан има адресу 192.168.10.10
роот@мастер:~# хост 192.168.10.1
1.10.168.192.ин-аддр.арпа показивач имена домена сисадмин.свл.фан.
роот@мастер:~# хост 192.168.10.5
5.10.168.192.ин-аддр.арпа име домена показивач мастер.свл.фан.
роот@мастер:~# хост 192.168.10.9
9.10.168.192.ин-аддр.арпа име домена показивач маил.свл.фан.
роот@мастер:~# хост 192.168.10.10
10.10.168.192.ин-аддр.арпа показивач имена домена филесервер.свл.фан.
роот@мастер:~# хост 192.168.10.11
11.10.168.192.ин-аддр.арпа име домена показивач проки.свл.фан.
роот@мастер:~# хост 192.168.10.12
12.10.168.192.ин-аддр.арпа показивач имена домена цхат.свл.фан.

За радознале

роот@мастер:~# лдбсеарцх -Х /уср/лоцал/самба/привате/сам.лдб.д/\
ДЦ=ДОМАИНДНСЗОНЕС,ДЦ=СВЛ,ДЦ=ФАН.лдб | греп дн:

Додајемо кориснике

роот@мастер:~# корисник алата
Употреба: корисник самба алата Управљање корисницима. Опције: -х, --хелп прикажи ову поруку помоћи и изађи. Доступне подкоманде: адд - Креирај новог корисника. креирати - Креирајте новог корисника. делете - Избришите корисника. дисабле - Онемогућите корисника. енабле - Омогући корисника. гетпассворд - Добијте поља за лозинку корисничког/рачунарског налога. листа - Листа свих корисника. лозинка - Промените лозинку за кориснички налог (она која је наведена у аутентификацији). сетекпири - Подесите истек корисничког налога. сетпассворд - Подесите или ресетујте лозинку корисничког налога. синцпассвордс - Синхронизујте лозинку корисничких налога. За додатну помоћ за одређену подкоманду, откуцајте: самба-тоол усер (-х|--помоћ)

роот@мастер:~# корисник алата креира транцос Транцос01
Корисник 'транцос' је успешно креиран
роот@мастер:~# корисник алата креира гандалф Гандалф01
Корисник 'гандалф' је успешно креиран
роот@мастер:~# корисник алата креира леголас Леголас01
Корисник 'леголас' је успешно креиран
роот@мастер:~# листа корисника алата
Администратор гандалф леголас корака крбтгт Гост

Администрација преко графичког интерфејса или преко веб клијента

Посетите вики.самба.орг за детаљне информације о томе како да инсталирате Мицрософт РСАТ о Алатке за удаљену администрацију сервера. Ако вам нису потребне класичне смернице које обезбеђује Мицрософт Ацтиве Дирецтори, можете да инсталирате пакет лдап-аццоунт-манагер који нуди једноставан интерфејс за администрацију преко веб претраживача.

Програмски пакет Мицрософт Ремоте Сервер Администратион Тоолс (РСАТ) је укључен у оперативне системе Виндовс Сервер.

Придружујемо домен Виндовс 7 клијенту са именом "седам"

Пошто немамо ДХЦП сервер на мрежи, прва ствар коју морамо да урадимо је да конфигуришемо мрежну картицу клијента са фиксном ИП-ом, декларишемо да ће примарни ДНС бити ИП самба-ад-дц, и проверите да ли је активирана опција „Региструјте адресу ове везе у ДНС-у“. Није беспослено проверити да ли је име «седам» још није регистрован у Самбином интерном ДНС-у.

Након што спојимо рачунар на домен и поново га покренемо, хајде да покушамо да се пријавимо са корисником «кораци«. Проверићемо да ли све ради у реду. Такође је препоручљиво да проверите евиденцију Виндовс клијента и проверите како је време исправно синхронизовано.

Администратори са одређеним искуством у Виндовс-у ће открити да ће све провере које ураде на клијенту дати задовољавајуће резултате.

Резиме

Espero que sea útil el artículo a los lectores de la Comunidad DesdeLinux.

Збогом!


8 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   Гонзало мартинез дијо

    Дугачак, али детаљан чланак, веома добар корак по корак о томе како све урадити.

    Истичем НИС, истина је да иако знам за његово постојање, никад нисам знао како функционише, пошто ми је, искрено, увек остављао утисак да је практично мртав поред ЛДАП-а и Самбе 4.

    ПС: Честитамо на вашем новом личном пројекту! Штета што нећеш наставити да пишеш овде, али бар има где да те пратим.

  2.   ХО2Ги дијо

    Одличан туторијал као и увек за моје фаворите, поздрав фићо.
    Честитам на пројекту.

  3.   ИВО дијо

    Рубрика НИС је одлична, саосећам са Гонзалом Мартинезом, познавао сам га кратко али нисам имао појма како да га применим и у којим ситуацијама се користи.
    Хвала вам једном за огроман "дебло" теоријских и практичних чланака.
    Коначно, нови успеси у вашем новом пројекту "гигаинсиде".

  4.   Федерицо дијо

    Хвала вам пуно свима на коментарима!!!.
    поздрави

  5.   муссол дијо

    Смб.цонф који показујете нема никакву везу са ЛДАП-ом, да ли је ово намерно или сам нешто изоставио?

  6.   пхицо дијо

    муссол: Ово је Самба 4 Ацтиве Дирецтори Домаин Цонтролер који већ има уграђен ЛДАП сервер.

  7.   Винцент дијо

    Можете ли да коментаришете како да спојите Мац (аппле) са самба 4 АД-ДЦ?
    Хвала.

  8.   јрамирез дијо

    Како си;

    Хвала на приручнику, одлично је. Имам питање у вези са поруком која ми се појављује.

    роот@АД:~# нпинг –тцп -п 53 -ц 3 ад.рјсолуционесац.цом
    Решавање датог имена хоста/ИП није успело: ад.рјсолуционесац.цом. Имајте на уму да не можете да користите '/маск' И '1-4,7,100-' стил ИП опсега
    Није могуће пронаћи важећи циљ. Уверите се да су наведени хостови или ИП адресе у стандардној нотацији или имена хостова која се могу решити помоћу ДНС-а
    роот@АД:~#