PAM, NIS, LDAP, Kerberos, DS sareng Samba 4 AD-DC - SMB Networks

Indéks umum séri: Jaringan Komputer pikeun UKM: Perkenalan

Halo babaturan sareng babaturan!

Kalayan tulisan ieu kuring ngucapkeun Aduh ka Komunitas FromLinux. Perpisahan khusus pikeun Komunitas Husus. Ti ayeuna kuring bakal aya di proyek pribadi kuring anu anjeun tiasa terang http://www.gigainside.com.

Tujuan utama tulisan éta nyaéta nawiskeun «Gambar ageung»Ngeunaan Layanan Auténtikasi sareng Parangkat Lunak Gratis anu urang tiasa dianggo. Sahenteuna éta niat urang. Maka éta bakal lami, sanaos kanyataan yén urang terang éta ngalanggar aturan umum nyerat tulisan. Kami arepkeun Administrator Sistem ngaapresiasi.

Kami hoyong nunjukkeun yén protokol umum pikeun seueur sistem auténtikasi modéren nyaéta LDAP, sareng yén éta henteu bobo pikeun diajar sacara saksama, tina bahan diajar anu bakal urang mendakan dina situs resmi http://www.openldap.org/.

Kami moal masihan definisi lengkep - atanapi tautan - ngeunaan aspek-aspek anu diungkulan dina artikel-artikel sateuacana, atanapi kana katerangan anu tiasa gampang diakses dina Wikipedia atanapi situs sanés atanapi tulisan dina Internét, supados henteu kaleungitan objektivitas pesen anu dipikahoyong mikeun. Kami ogé bakal nganggo campuran nami anu leres dina basa Inggris sareng Spanyol, sabab kami ngémutan yén kaseueuran sistem dilahirkeun kalayan nami dina basa Inggris sareng éta nguntungkeun pisan pikeun Sysadmin aisimilasi dina basa aslina..

  • Pam: Modul Auténtikasi Pluggable.
  • NIS: Jaringan_Informasi_Service.
  • LDAP: Protokol Diréktori Ringan.
  • Kerberos: Protokol kaamanan pikeun ngoténtikasi pangguna, komputer sareng jasa sacara séntral dina jaringan, verifikasi kredensialna ngalawan entri anu aya dina basis data Kerberos.
  • DS: Diréktori Server atanapi Layanan Diréktori
  • AD-DC: Diréktori Aktip - Domain Controler

daptar eusi

Pam

Kami ngahaturanan séri alit pikeun jenis oténtikasi lokal ieu, anu bakal anjeun tingali dina prakték sadidinten yén éta seueur dianggo nalika, contona, urang ngiringan workstation ka Domain Controller atanapi Diréktori Aktip; pikeun memetakan pangguna anu disimpen dina basis data LDAP éksternal saolah-olah éta pangguna lokal; pikeun memetakan pangguna anu disimpen dina Domain Controller tina Diréktori Aktif saolah-olah éta pangguna lokal, sareng sajabana.

NIS

De Wikipedia:

  • Sistem Informasi Jaringan (dikenal ku akronimna NIS, anu dina basa Spanyol hartosna Sistem Inpormasi Jaringan), mangrupikeun nami protokol jasa diréktori klien-server anu dikembangkeun ku Sun Microsystems pikeun ngirim data konfigurasi dina sistem anu disebarkeun sapertos nami pangguna sareng host antar komputer dina jaringan.NIS dumasar kana ONC RPC, sareng diwangun ku sérver, perpustakaan sisi klien, sareng sababaraha alat administrasi.

    Asalna NIS disebut Halaman Kuning, atanapi YP, anu masih dianggo pikeun nyebut éta. Hanjakalna, nami éta mangrupikeun mérek dagang ti British Telecom, anu meryogikeun Matahari lungsur nami éta. Nanging YP tetep awalan dina nami seueur paréntah anu aya hubunganana sareng NIS, sapertos ypserv sareng ypbind.

    DNS ngalayanan kisaran inpormasi anu kawates, anu paling penting nyaéta susuratan antara nami titik sareng alamat IP. Kanggo jinis inpormasi sanés, teu aya jasa khusus sapertos kitu. Di sisi anu sanésna, upami anjeun ngan ukur ngatur LAN alit tanpa konéktipitas Internét, sigana henteu pantes pikeun nyetél DNS. Ieu sababna Sun mekarkeun Network Information System (NIS). NIS nyayogikeun kamampuan aksés basis data umum anu tiasa dianggo pikeun ngadistribusikaeun, contona, inpormasi anu aya dina file passwd sareng kelompok kana sadaya simpul dina jaringan anjeun. Ieu ngajantenkeun jaringan sapertos sistem tunggal, kalayan akun anu sami dina sadaya titik. Nya kitu, NIS tiasa dianggo pikeun nyebarkeun inpormasi nami simpul anu aya dina / jsb / host ka sadaya mesin dina jaringan.

    Kiwari NIS sayogi sacara praktis dina sadaya distribusi Unix, komo aya implementasi gratis. BSD Net-2 nyebarkeun salah sahiji anu parantos diturunkeun tina implementasi rujukan domain publik anu disumbangkeun ku Sun. Kodeu perpustakaan pikeun bagéan klien tina vérsi ieu parantos lami aya dina libur GNU / Linux, sareng program administrasi diangkut ka GNU / Linux ku Swen Thümmler. Nanging, sérver NIS leungit nalika palaksanaan rujukan.

    Peter Eriksson parantos ngembangkeun palaksanaan anyar anu disebat NYS. Éta ngadukung NIS dasar sareng vérsi ditingkatkeun tina Sun NIS +. [1] NYS henteu ngan ukur nyayogikeun sababaraha pakakas NIS sareng sérver, éta ogé nambihan sakumpulan fungsi perpustakaan anu anyar anu anjeun kedah kompilikeun kana libcu anjeun upami anjeun hoyong anggo. Ieu kalebet skéma konfigurasi énggal pikeun résolusi nami simpul anu ngagantikeun skéma ayeuna anu dianggo ku file "host.conf".

    The GNU libc, katelah libc6 di komunitas GNU / Linux, kalebet versi anu diénggalan tina dukungan NIS tradisional anu dikembangkeun ku Thorsten Kukuk. Éta ngadukung sadaya fungsi perpustakaan anu disayogikeun ku NYS, sareng ogé nganggo skéma konfigurasi NYS anu maju. Parabot sareng sérver masih diperyogikeun, tapi nganggo libur GNU ngahémat masalah nambalan sareng ngarobih perpustakaan.

    .

Ngaran komputer sareng domain, panganteur jaringan sareng resolver

  • Urang mimitian ti pamasangan anu bersih -tanpa antar muka grafis- tina Debian 8 "Jessie". Domain swl.fan hartosna "Fans Software Free." Naon nami anu langkung saé tibatan ieu?.
root @ master: ~ # hostname
ngawasaan
root @ master: ~ # hostname -f
master.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 host wengkuan lo valid_lft salamina pikaresep_lft salamina inet6 :: 1/128 wengkuan host valid_lft salamina pikaresep_lft salamina 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / éter 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 ruang lingkup global eth0 valid salamina pikaresep_lft salamina inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 wengkuan link valid_lft salamina pikaresep_lft salamina

root @ master: ~ # cat /etc/resolv.conf 
milarian swl.fan nameserver 127.0.0.1

Pamasangan bind9, isc-dhcp-server sareng ntp

ngabeungkeut9

root @ master: ~ # aptitude install bind9 bind9-dok nmap
root @ master: ~ # systemctl status bind9

root @ master: ~ # nano /etc/bind/named.conf
kalebet "/etc/bind/named.conf.options"; kalebet "/etc/bind/named.conf.local"; kalebet "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
pilihan {diréktori "/ var / cache / bind"; // Upami aya firewall antara anjeun sareng nameservers anu anjeun hoyong // ngobrolkeun, anjeun panginten kedah ngalereskeun firewall pikeun ngamungkinkeun sababaraha // port nyarios. Tingali http://www.kb.cert.org/vuls/id/800113

        // Upami ISP anjeun nyayogikeun hiji atanapi langkung alamat IP pikeun // nameservers anu stabil, anjeun panginten hoyong ngagunakeunana salaku panerus. // Uncomment blok ieu, sareng lebetkeun alamat ngagantikeun // panempatan sadaya-0. // forwarders {// 0.0.0.0; //}; // =________________________________________________________ = ==================== $ // Upami BIND log pesen kasalahan ngeunaan konci root anu kadaluwarsa, // anjeun kedah ngapdétkeun konci anjeun. Tingali https://www.isc.org/bind-keys
        // =________________________________________________________ = ==== $ // Kami henteu hoyong DNSSEC
        dnssec-aktipkeun henteu;
        // dnssec-validation otomatis; auth-nxdomain henteu; # saluyu sareng RFC1035 ngupingkeun-on-v6 {naon; }; // Kanggo cék ti localhost sareng sysadmin // ngalangkungan dig swl.fan axfr // Urang teu ngagaduhan Budak DNS ... dugi ka ayeuna
        ngijinkeun-mindahkeun {localhost; 192.168.10.1; };
}; root @ master: ~ # dingaranan-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Ruang Alamat Dibagi (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 sareng 6303)
zona "254.169.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; };

// Tugas protokol IETF (RFCs 5735 sareng 5736)
zona "0.0.192.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; };

// TEST-NET- [1-3] pikeun Dokuméntasi (RFCs 5735, 5737 sareng 6303)
zona "2.0.192.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "113.0.203.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IPv6 Conto Range pikeun Dokuméntasi (RFCs 3849 sareng 6303)
zona "8.bd0.1.0.0.2.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; };

// Ngaran Domain pikeun Dokuméntasi sareng Tés (BCP 32)
zona "tés" {tipe master; file "/etc/bind/db.empty"; }; zona "conto" {tipe master; file "/etc/bind/db.empty"; }; zona "teu valid" {tipe master; file "/etc/bind/db.empty"; }; zona "conto.com" {tipe master; file "/etc/bind/db.empty"; }; zona "conto.net" {tipe master; file "/etc/bind/db.empty"; }; zona "conto.org" {tipe master; file "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 sareng 5735)
zona "18.198.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IANA Reservation - Old Class E Space (RFC 5735)
zona "240.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "242.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "243.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "244.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "245.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "246.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "247.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "248.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "249.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "250.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "251.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "252.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "253.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "254.in-addr.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IPv6 Alamat Unassigned (RFC 4291)
zona "1.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "4.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "5.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "6.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "7.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "8.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "9.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "a.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "b.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "c.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "d.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "e.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "0.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "1.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "2.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "3.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "4.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "5.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "6.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "7.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "8.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "9.f.ip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "afip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "bfip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "0.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "1.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "2.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "3.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "4.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "5.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "6.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "7.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 sareng 6303)
zona "cfip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "dfip6.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IPv6 Link Lokal (RFCs 4291 sareng 6303)
zona "8.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "aefip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "befip6.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IPv6 Alamat Loka-Lokal Dipecat (RFCs 3879 sareng 6303)
zona "cefip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "defip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "eefip6.arpa" {tipe master; file "/etc/bind/db.empty"; }; zona "fefip6.arpa" {tipe master; file "/etc/bind/db.empty"; };

// IP6.INT geus Deprecated (RFC 4159)
zona "ip6.int" {tipe master; file "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Naha aya konfigurasi lokal di dieu // // Pertimbangkeun nambihan zona 1918 di dieu, upami éta henteu dianggo dina // organisasi anjeun kalebet "/etc/bind/zones.rfc1918";
kalebet "/etc/bind/zones.rfcFreeBSD";

// Déklarasi nami, jinis, lokasi, sareng ijin pembaruan // Zona Rékam DNS // Duanana Zona mangrupikeun zona MASTER "swl.fan" {tipe master; file "/var/lib/bind/db.swl.fan"; }; zona "10.168.192.in-addr.arpa" {tipe master; file "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # dingaranan-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; serial 1D; refresh 1H; coba deui 1W; kadaluarsana 3H); minimum atanapi; Waktos cache négatip pikeun hirup; @ DI NS master.swl.fan. @ IN MX 10 mail.swl.fan. @ IN A 192.168.10.5 @ IN TXT "Kanggo Fans Software Gratis"; sysadmin IN A 192.168.10.1 fileserver IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; serial 1D; refresh 1H; coba deui 1W; kadaluarsana 3H); minimum atanapi; Waktos cache négatip pikeun hirup; @ DI NS master.swl.fan. ; 1 DI PTR sysadmin.swl.fan. 4 DI PTR fileserver.swl.fan. 5 DI PTR master.swl.fan. 6 DI PTR proxyweb.swl.fan. 7 DINA blog PTR.swl.fan. 8 IN PTR ftpserver.swl.fan. 9 IN PTR mail.swl.fan.

root @ master: ~ # namina-checkzone swl.fan /var/lib/bind/db.swl.fan
zone swl.fan/IN: dimuat serial 1 OKÉ
root @ master: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zona 10.168.192.in-addr.arpa/IN: dimuat serial 1 OKÉ

root @ master: ~ # dingaranan-checkconf -zp
root @ master: ~ # systemctl restart bind9.service
root @ master: ~ # systemctl status bind9.service

Bind9 mariksa

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # dig IN SOA swl.fan
root @ master: ~ # dig IN NS swl.fan
root @ master: ~ # ngagali IN MX swl.fan
root @ master: ~ # proxyweb host root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Ngamimitian Nping 0.6.47 ( http://nmap.org/nping ) di 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: N / A | Rata-rata rtt: N / A Paket atah dikirim: 84 (0B) | Rcvd: 0 (3B) | Leungit: 100.00 (1%) Nping réngsé: 3.01 alamat IP ping dina XNUMX detik 

isc-dhcp-server

root @ master: ~ # aptitude install isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Dina interfaces naon anu kedah server DHCP (dhcpd) ngalayanan pamundut DHCP? # Pisahkeun sababaraha interfaces sareng rohangan, sapertos "eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
root @ master: ~ # ucing Kdhcp-key. +157 + 51777. pribadi 
Format-pribadi-konci: v1.3 Algoritma: 157 (HMAC_MD5) Konci: Ba9GVadq4vOCixjPN94dCQ == Bit: AAA = Didamel: 20170527133656 Nyebarkeun: 20170527133656 Aktipkeun: 20170527133656

root @ master: ~ # nano dhcp.key
konci dhcp-konci {
        algoritma hmac-md5;
        rusiah "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
kalebet "/etc/bind/dhcp.key";

zona "swl.fan" {tipe master; file "/var/lib/bind/db.swl.fan";
        allow-update {konci dhcp-konci; };
}; zona "10.168.192.in-addr.arpa" {tipe master; file "/var/lib/bind/db.10.168.192.in-addr.arpa";
        allow-update {konci dhcp-konci; };
};

root @ master: ~ # dingaranan-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim; ddns-apdet dina; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; malire klien-apdet; update-optimization salah; # Bisa diperyogikeun dina otoritas Debian; pilihan ip-neraskeun pareum; pilihan domain-nami "swl.fan"; kalebet "/etc/dhcp/dhcp.key"; zona swl.fan. {primér 127.0.0.1; konci dhcp-konci; } zona 10.168.192.in-addr.arpa. {primér 127.0.0.1; konci dhcp-konci; } dibagikeun-jaringan redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {router pilihan 192.168.10.1; pilihan subnet-mask 255.255.255.0; pilihan siaran-alamat 192.168.10.255; pilihan domain-name-servers 192.168.10.5; pilihan netbios-name-servers 192.168.10.5; pilihan ntp-sérver 192.168.10.5; pilihan waktos-server 192.168.10.5; kisaran 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Hak Cipta 2004-2014 Internet Systems Consortium. Sadaya hak disimpen. Kanggo inpo, mangga buka https://www.isc.org/software/dhcp/
File config: /etc/dhcp/dhcpd.conf File database: /var/lib/dhcp/dhcpd.leases file PID: /var/run/dhcpd.pid

root @ master: ~ # systemctl restart bind9.service 
root @ master: ~ # systemctl status bind9.service 

root @ master: ~ # systemctl ngamimitian isc-dhcp-server.service
root @ master: ~ # status systemctl isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistics loopstats peertats clockstats filegen loopstats file loopstats type day ngaktipkeun filegen peertats file peertats type day ngaktipkeun filegen clockstats file clockstats type day ngaktipkeun server 192.168.10.1 ngawatesan -4 standar kod notrap nomodify nopeer noquery batesan -6 standar kod notrap nomodify nopeer noquery batesan 127.0.0.1 batesan :: 1 siaran 192.168.10.255

root @ master: ~ # systemctl balikan deui ntp.service 
root @ master: ~ # systemctl status ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 Méi 10:04:01 ntpdate [18769]: ngatur waktos server 192.168.10.1 ngimbangan 0.369354 detik

Cék global pikeun ntp, bind9, sareng isc-dhcp-server

Tina klien Linux, BSD, Mac OS, atanapi Windows mariksa yén waktosna disinkronkeun leres. Yén éta nampi alamat IP dinamis sareng nami host anu direngsekeun ngalangkungan pamundut DNS langsung sareng mundur. Ganti nami palanggan sareng balikeun deui sadayana cek. Entong neraskeun dugi ka yakin jasa-jasa anu dipasang dugi ka ayeuna tiasa leres. Pikeun hal kami nyerat sadaya tulisan ngeunaan DNS sareng DHCP di Jaringan Komputer pikeun UKM.

Pamasangan Server NIS

root @ master: ~ # aptitude show nis
Konflik sareng: netstd (<= 1.26) Pedaran: klien sareng daemon pikeun Jaringan Informasi Jaringan (NIS) Paket ieu nyayogikeun pakakas pikeun nyetél sareng ngajaga domain NIS. NIS, anu mimitina dikenal salaku Yellow Pages (YP), seuseueurna dianggo ngantep sababaraha mesin dina jaringan ngabagi inpormasi akun anu sami, sapertos file sandi.

root @ master: ~ # aptitude install nis
Konfigurasi Paket ┌─────────────────────────┤ Konfigurasi Nis ├──────────────── ── ────────┐ │ Pilih NIS "nami domain" kanggo sistem ieu. Upami anjeun hoyong mesin │ │ ieu ngan ukur klien, anjeun kedah ngalebetkeun nami │ │ NIS domain anu anjeun badé gabung. │ │ │ │ Alternatipna, upami mesin ieu janten sérver NIS, anjeun tiasa │ │ lebetkeun "nami domain" NIS énggal atanapi nami domain NIS │ │ anu tos aya. │ │ │ │ NIS Domain: │ │ │ │ swl.fan ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Éta bakal reureuh anjeun sabab konfigurasi jasa teu aya sapertos kitu. Punten ngantosan prosés na réngsé.

root @ master: ~ # nano / etc / default / nis
# Naha kami sérver NIS sareng upami kitu jenis naon (nilai: palsu, budak, master)?
NISSERVER = master

root @ master: ~ # nano /etc/ypserv.securenets # securenets File ieu ngahartikeun hak aksés pikeun server NIS anjeun # pikeun klien NIS (sareng server budak - ypxfrd nganggo # file ieu ogé). File ieu ngandung netmask / pasangan jaringan. # Alamat IP klien kedah cocog sareng sahenteuna hiji # diantarana. # # Hiji tiasa nganggo kecap "host" tibatan netmask # 255.255.255.255. Ukur alamat IP anu diijinkeun dina file # ieu, sanés nami host. # # Salawasna kéngingkeun aksés pikeun localhost 255.0.0.0 127.0.0.0 # Garis ieu masihan aksés ka sadayana. Punten Saluyukeun! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Naha urang kedah ngagabungkeun file passwd sareng file shadow? # MERGE_PASSWD = leres | salah
MERGE_PASSWD = leres

# Naha urang kedah ngagabungkeun file kelompok sareng file gshadow? # MERGE_GROUP = leres | salah
MERGE_GROUP = leres

Kami ngawangun basis data NIS

root @ master: ~ # / usr / lib / yp / ypinit -m
Dina titik ieu, urang kedah nyusun daptar host anu bakal ngajalankeun server NIS. master.swl.fan aya dina daptar host NIS. Punten teraskeun nambihan nami kanggo host sanésna, hiji per baris. Upami anjeun parantos daptar, ngetik a . host salajengna pikeun nambihan: master.swl.fan host salajengna pikeun nambihan: Daptar server NIS anu ayeuna sapertos kieu: master.swl.fan Naha leres ieu? [y / n: y] Urang peryogi sababaraha menit kanggo ngawangun basis data ... ngadamel [1]: Ninggalkeun diréktori '/var/yp/swl.fan' master.swl.fan parantos disiapkeun salaku master server NIS . Ayeuna anjeun tiasa ngajalankeun ypinit -s master.swl.fan dina sadaya server budak.

root @ master: ~ # systemctl restart nis
root @ master: ~ # systemctl status nis

Kami nambihan pangguna lokal

root @ master: ~ # adduser bilbo
Nambihan pangguna `bilbo '... Nambihan grup anyar` bilbo' (1001) ... Nambihan pangguna anyar` bilbo '(1001) sareng group` bilbo' ... Nyiptakeun diréktori bumi `/ home / bilbo ' ... Nyalin file tina `/ etc / skel '... Lebetkeun kata sandi UNIX énggal: Ketik deui kecap konci UNIX énggal: passwd: password diperbarui leres Ngarobih inpormasi pangguna pikeun bilbo Lebetkeun nilai énggal, atanapi pencét ENTER kanggo nganggo standar Nami lengkep []: Nomer Kamar Bilbo Bagins []: Telepon Karya []: Telepon Telepon []: Lain []: Naha leres inpormasi na? [Y / n]

root @ master: ~ # adduser strides root @ master: ~ # adduser legolas

jeung saterusna.

root @ master: ~ # ramo legolas
Login: legolas Nami: Diréktori Pamanah Legolas: / bumi / legolas Shell: / bin / bash Enten log in. Teu aya surat. Teu aya Rencana.

Kami ngamutahirkeun basis data NIS

root @ master: / var / yp # jieun
ngadamel [1]: Nuliskeun diréktori '/var/yp/swl.fan' Ngamutahirkeun passwd.byname ... Ngamutahirkeun passwd.byuid ... Ngamutahirkeun group.byname ... Ngamutahirkeun group.bygid ... Ngamutahirkeun netid.byname. .. Ngamutahirkeun shadow.byname ... Teu dipaliré -> ngahiji sareng passwd make [1]: Ninggalkeun diréktori '/var/yp/swl.fan'

Kami nambihan pilihan NIS kana isc-dhcp-server

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim; ddns-apdet dina; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; malire klien-apdet; update-optimization salah; berwibawa; pilihan ip-neraskeun pareum; pilihan domain-nami "swl.fan"; kalebet "/etc/dhcp/dhcp.key"; zona swl.fan. {primér 127.0.0.1; konci dhcp-konci; } zona 10.168.192.in-addr.arpa. {primér 127.0.0.1; konci dhcp-konci; } dibagikeun-jaringan redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {router pilihan 192.168.10.1; pilihan subnet-mask 255.255.255.0; pilihan siaran-alamat 192.168.10.255; pilihan domain-name-servers 192.168.10.5; pilihan netbios-name-servers 192.168.10.5; pilihan ntp-sérver 192.168.10.5; pilihan waktos-server 192.168.10.5;
                pilihan nis-domain "swl.fan";
                pilihan nis-server 192.168.10.5;
                kisaran 192.168.10.30 192.168.10.250; }}

root @ master: ~ # dhcpd -t
root @ master: ~ # systemctl balikan deui isc-dhcp-server.service

Pamasangan Klién NIS

  • Urang mimitian ti pamasangan anu bersih -tanpa antar muka grafis- tina Debian 8 "Jessie".
root @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip addr
2: ét0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / éter 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 wengkuan global eth0

root @ mail: ~ # aptitude masang nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Konfigurasi file kanggo prosés ypbind. Anjeun tiasa ngahartikeun # NIS sérpér sacara manual didieu upami éta henteu tiasa dipendakan ku # nyiarkeun dina net lokal (anu standar na). # # Tingali halaman manual ypbind pikeun sintaksis file ieu. # # PENTING: Kanggo "ypserver", anggo alamat IP, atanapi pastikeun yén # host aya dina / jsb / host. File ieu ngan ukur diinterpretasi # sakali, sareng upami DNS henteu tiasa kahontal tapi ypserver henteu tiasa # direngsekeun sareng ypbind moal pernah ngabeungkeut kana sérver. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Conto konfigurasi fungsi GNU Name Service Switch. # Upami anjeun ngagaduhan bungkus `glibc-doc-referensi 'sareng` info', cobian: #` info libc "Name Service Switch" 'kanggo inpormasi ngeunaan file ieu. passwd: compat nis group: compat nis shadow: compat nis gshadow: files host: files dns nis network: files protokol: db files services: db files ethers: db files rpc: db files netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) pikeun detil na.
sési opsional pam_mkhomedir.so skel = / etc / skel umask = 077
# ieu mangrupikeun modul per-paket (blok "Utama")

root @ mail: ~ # systemctl status nis
root @ mail: ~ # systemctl restart nis

Kami nutup sési sareng ngamimitian deui tapi nganggo pangguna anu kadaptar dina database NIS di master.swl.fan.

root @ mail: ~ # kaluar
kaluar Konéksi kana mail ditutup.

buzz @ sysadmin: ~ $ ssh legolas @ mail
sandi legolas @ mail: Nyiptakeun diréktori '/ home / legolas'. Program anu kalebetkeun sareng sistem Debian GNU / Linux mangrupikeun parangkat lunak gratis; istilah sebaran anu pasti pikeun tiap program dijelaskeun dina file masing-masing dina / usr / share / doc / * / hak cipta. Debian GNU / Linux hadir kalayan TANPA JAMINAN, saacan diijinkeun ku hukum anu berlaku.
legolas @ mail: ~ $ pwd
/ bumi / legolas
legolas @ mail: ~ $ 

Kami ngarobih kecap akses pikeun pangguna legolas sareng parios

legolas @ mail: ~ $ yppasswd 
Ngarobih inpormasi akun NIS pikeun legolas dina master.swl.fan. Punten lebetkeun kecap konci lami: legolas Ngarobih kecap akses NIS pikeun legolas dina master.swl.fan. Punten lebetkeun kata sandi énggal: pamanah Sandi kedah ngagaduhan hurup luhur sareng hurup leutik, atanapi sanés huruf. Punten lebetkeun kata sandi énggal: Arquero2017 Punten ngetik deui kecap konci énggal: Arquero2017 Sandi NIS parantos dirobih dina master.swl.fan.

legolas @ mail: ~ $ kaluar
kaluar Konéksi kana mail ditutup.

buzz @ sysadmin: ~ $ ssh legolas @ mail
kecap konci legolas @ mail: Arquero2017

Program anu kalebetkeun sareng sistem Debian GNU / Linux mangrupikeun parangkat lunak gratis; istilah sebaran anu pasti pikeun tiap program dijelaskeun dina file masing-masing dina / usr / share / doc / * / hak cipta. Debian GNU / Linux hadir kalayan TANPA JAMINAN, saacan diijinkeun ku hukum anu berlaku. Login terakhir: Sap 27 Mei 12:51:50 2017 ti sysadmin.swl.fan
legolas @ mail: ~ $

Layanan NIS anu dilaksanakeun dina tingkat server sareng klien tiasa dianggo leres.

LDAP

Tina Wikipedia:

  • LDAP mangrupikeun akronim pikeun Lightweight Directory Access Protocol (dina Spanish Lightweight / Simplified Directory Access Protocol) anu ngarujuk kana protokol tingkat aplikasi anu ngamungkinkeun aksés kana jasa diréktori anu dipesen sareng didistribusikeun kanggo milarian sababaraha inpormasi dina jaringan lingkungan. LDAP ogé dianggap pangkalan data (sanaos sistem panyimpenan na tiasa benten) anu tiasa ditaros.Diréktori mangrupikeun sapérangkat obyék sareng atribut anu diatur dina cara anu logis sareng hirarkis. Conto anu paling umum nyaéta diréktori telepon, anu diwangun ku rangkay nami (jalmi atanapi organisasi) anu disusun dumasar abjad, anu masing-masing nami ngagaduhan alamat sareng nomer telepon anu napel na. Pikeun langkung ngartos éta, éta mangrupikeun buku atanapi folder, numana nami-nami jalma, nomer telepon sareng alamatna ditulis, sareng éta disusun dumasar abjad.

    Tangkal diréktori LDAP sakapeung ngagambarkeun sababaraha watesan politik, géografi, atanapi organisasi, gumantung kana modél anu dipilih. Panerapan LDAP anu ayeuna condong nganggo nami Domain Name System (DNS) pikeun nyusun tingkat anu langkung luhur tina hirarki. Nalika anjeun ngagulung ka handap diréktori, éntri tiasa némbongan anu ngagambarkeun jalma, unit organisasi, printer, dokumén, kelompok jalma, atanapi naon waé anu ngagambarkeun entri dina tangkal (atanapi sababaraha éntri).

    Biasana, éta nyimpen inpormasi oténtikasi (pangguna sareng kecap akses) sareng dianggo pikeun oténtikasi, sanaos tiasa nyimpen inpormasi sanés (data kontak pangguna, lokasi sababaraha sumber jaringan, idin, sertipikat, jst.). Dina kasimpulan, LDAP mangrupikeun protokol aksés anu dihijikeun kana sakumpulan inpormasi dina jaringan.

    Versi ayeuna nyaéta LDAPv3, sareng éta dihartikeun dina RFCs RFC 2251 sareng RFC 2256 (dokumen dasar LDAP), RFC 2829 (metode auténtikasi pikeun LDAP), RFC 2830 (penyuluhan pikeun TLS), sareng RFC 3377 (spésifikasi téknis)

    .

Lami-lami, protokol LDAP -jeung basis data na cocog atanapi henteu sareng OpenLDAP- anu paling seueur dianggo dina kaseueuran sistem auténtikasi ayeuna. Salaku conto pernyataan sateuacanna, kami masihan handap sababaraha nami sistem -Free atanapi Private- anu ngagunakeun basis data LDAP salaku backend pikeun nyimpen sadaya objékna:

  • OpenLDAP
  • Server Diréktori Apache
  • Red Directory Directory Server - 389 DS
  • Jasa Diréktori Novell - eDirectory
  • SUN Microsystem Buka DS
  • Manajer Identitas Red Hat
  • GratisIPA
  • Samba NT4 klasik Domain Controller.
    Kami hoyong netelakeun yén sistem ieu dikembangkeun ku Tim Samba kalayan Samba 3.xxx + OpenLDAP salaku backend. Microsoft henteu kantos nerapkeun naon waé sapertos éta. Luncat tina NT 4 Controllers Domain kana Diréktori Aktipna
  • Samba 4 Diréktori Aktip - Domain Controler
  • Hapus OS
  • Zentyal
  • Server Perusahaan UCS Uninvention
  • Diréktori Aktip Microsoft

Unggal palaksanaan ngagaduhan ciri masing-masing, sareng anu paling baku sareng anu cocog nyaéta OpenLDAP.

Diréktori Aktif, naha éta aslina tina Microsoft atanapi anu ti Samba 4, mangrupikeun union tina sababaraha komponén utama nyaéta:

Urang kedah henteu bingung a Layanan Diréktori o Layanan Diréktori sareng a aktif Diréktori o Diréktori aktip. Tilas meureun atanapi henteu tiasa nampi oténtikasi Kerberos, tapi aranjeunna henteu nawiskeun jasa Microsoft Network anu disayogikeun ku Windows Domain, ogé teu ngagaduhan Windows Domain Controller sapertos kitu.

Jasa Diréktori atanapi Layanan Diréktori tiasa dianggo pikeun ngoténtikasi pangguna dina jaringan campuran sareng klien UNIX / Linux sareng Windows. Pikeun anu terakhir, program kedah dipasang dina unggal klien anu bertindak salaku perantara antara Layanan Diréktori sareng klien Windows éta sorangan, sapertos Perangkat Lunak Gratis. halaman.

Jasa Diréktori sareng OpenLDAP

  • Urang mimitian ti pamasangan anu bersih -tanpa antar muka grafis- tina Debian 8 "Jessie", kalayan nami mesin "master" anu sami dianggo pikeun pamasangan NIS, ogé konfigurasi panganteur jaringan na sareng file /etc/resolv.conf. Kami masang ntp, bind9 sareng isc-dhcp-server pikeun sérver anu énggal ieu, tanpa hilap pamariksaan global tina leres operasi tina tilu jasa anu saencana.
root @ master: ~ # aptitude masang slapd ldap-utils

Konfigurasi rangkep

.. Konfigurasi slapd ├─────────────────────┐ │ Lebetkeun kecap akses pikeun éntri pangurus diréktori LDAP │ │ anjeun. │ │ │ │ Sandi pangurus: │ │ │ │ ******** ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

Urang parios konfigurasi awal

root @ master: ~ # slapcat
dn: dc = swl, dc = kipas
objectClass: top objectClass: dcObject objectClass: organisation o: swl.fan dc: swl strukturalObjectClass: entry organisasiUUID: c8510708-da8e-1036-8fe1-71d022a16904 panyiptaName: cn = admin, dc = swl, dc = fan entry createTimestamp20170531205219: 20170531205219.833955 : 000000ZN000 éntri Z # 000000 # 20170531205219 # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

dn: cn = admin, dc = swl, dc = kipas
objectClass: simpleSecurityObject objectClass: organizationalRole CN: pedaran admin: administrator LDAP userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-Éntri = cXNUMXe XNUMX Z # XNUMX # XNUMX # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifikasiTimestamp: XNUMXZ

Kami ngarobih file /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = kipas URI    ldap: // localhost

Unit Organisasi sareng kelompok umum «pangguna»

Kami nambihan Unit Organisasi anu diperyogikeun minimum, ogé grup Posix «pangguna» anu kami bakal ngajantenkeun sadaya anggota janten pangguna, nuturkeun conto seueur sistem anu ngagaduhan kelompok «pamaké«. Kami nyebatna ku nami «pangguna» supados henteu asup kana kamungkinan konflik sareng kelompok «nu make"tina sistem.

root @ master: ~ # nano base.ldif
dn: ou = people, dc = swl, dc = fan objectClass: organisationalUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organisationalUnit ou: Groups dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Lebetkeun Sandi LDAP: nambihan éntri énggal "ou = people, dc = swl, dc = fan" nambihan éntri énggal "ou = grup, dc = swl, dc = fan"

Urang parios éntri anu ditambih

root @ master: ~ # ldapsearch -x ou = jelema
# people, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organisationalUnit ou: people

root @ master: ~ # ldapsearch -x ou = grup
# Groups, swl.fan dn: ou = groups, dc = swl, dc = fan objectClass: organisationalUnit ou: Groups

root @ master: ~ # ldapsearch -x cn = pangguna
# pangguna, grup, swl.fan dn: cn = pangguna, ou = grup, dc = swl, dc = fan objectClass: posixGroup cn: pamaké gidNumber: 10000

Kami nambihan sababaraha pangguna

Sandi anu urang kedah nyatakeun dina LDAP kedah diala ngalangkungan paréntah slappasswd, anu mulihkeun kecap akses SSHA énkripsi.

Kecap aksés pikeun pamaké léngkah:

root @ master: ~ # slappasswd 
Sandi anyar: Lebetkeun deui kecap akses anyar: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Kecap akses pikeun legolas pangguna

root @ master: ~ # slappasswd 
Sandi anyar: Lebetkeun deui kecap akses anyar: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Sandi pikeun pangguna gandalf

root @ master: ~ # slappasswd 
Sandi anyar: Lebetkeun deui kecap akses anyar: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano pangguna.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides givenName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 mail: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas givenName : Legolas sn: Pamaké panahanPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirektip: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Pamaké WizardPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash home Diréktori: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = kipas -W -f pangguna.ldif
Lebetkeun Sandi LDAP: nambihan éntri énggal "uid = strides, ou = people, dc = swl, dc = fan" nambihan entri énggal "uid = legolas, ou = people, dc = swl, dc = fan" nambihan éntri énggal "uid = gandalf, ou = people, dc = swl, dc = fan "

Urang parios éntri anu ditambih

root @ master: ~ # ldapsearch -x cn = strides
root @ master: ~ # ldapsearch -x uid = strides

Kami ngatur basis data slpad kalayan utiliti konsol

Kami milih iket ldapscripts pikeun tugas sapertos kitu. Prosedur instalasi sareng konfigurasi sapertos kieu:

root @ master: ~ # aptitude masang ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDemium = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = groups' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP client perintah LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "/ etcEMPL jsb" . /ldapadduser.template "PASSWORDGEN =" echo% u "

Perhatikeun yén skrip ngagunakeun paréntah bungkus ldap-utils. Lumpat dpkg -L ldap-utils | grep / tong sampah terang naon aranjeunna.

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: nami anu dipasihkeun: sn: nami tayang: uidNumber: gidNumber: 10000 bumi Diréktori: loginShell: surat: @ swl.fan geckos: katerangan: Rekening Pamaké
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## kami miceun koméntar UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Tambahkeun pangguna "bilbo" sareng jantenkeun anjeunna janten anggota grup "pangguna"

root @ master: ~ # ldapadduser bilbo pangguna
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] Lebetkeun nilai pikeun "givenName": Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Enter value for " sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Lebetkeun nilai pikeun" displayName ": Bilbo Bagins Suksés nambihan bilbo pangguna ka LDAP Suksés nyetél kecap akses pikeun pangguna bilbo

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo givenName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: bilbo description: Rekening Pamaké

Pikeun ningali Hash tina kecap konci pangguna bilbo, perlu pikeun ngalaksanakeun pamundut ku auténtikasi:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Pikeun mupus pangguna bilbo urang laksanakeun:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
Lebetkeun Sandi LDAP:

root @ master: ~ # ldapsearch -x uid = bilbo

Kami ngatur basis data slapd ngalangkungan panganteur web

Kami ngagaduhan Layanan Diréktori anu fungsional, sareng kami hoyong ngatur langkung gampang. Aya seueur program anu dirancang pikeun tugas ieu, sapertos phpldapadmin, ldap-akun-manager, sareng sajabana, anu sayogi langsung tina Repository. Kami ogé tiasa ngatur Layanan Diréktori ngalangkungan Studio Diréktori Apache, anu urang kedah unduh tina Internét.

Kanggo inpormasi lengkep, mangga buka https://blog.desdelinux.net/ldap-introduccion/, sareng 6 tulisan ieu.

Klién LDAP

Panggung:

Kocapkeun kami gaduh tim mail.swl.fan salaku pangladén mail anu dilaksanakeun sakumaha anu urang tingali dina tulisan Postfix + Dovecot + Squirrelmail sareng pangguna lokal, anu sanaos dikembangkeun di CentOS, panginten tiasa janten pedoman pikeun Debian sareng seueur distro Linux anu sanés. Kami hoyong éta, salian ti pangguna lokal anu parantos kami nyatakeun, pangguna anu disimpen dina database OpenLDAP anu aya di master.swl.fan. Pikeun ngahontal ieu urang kedah «peta kaluar»Ka pangguna LDAP salaku pangguna lokal dina sérver mail.swl.fan. Solusi ieu ogé valid pikeun layanan naon waé dumasar kana auténtikasi PAM. Prosedur umum pikeun Debian, ieu di handap:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌────────────────────┤ Konfigurasi tina libnss-ldap ├─────────────────────┐ │ Lebetkeun URI ("Seragam Resource Identifier", atanapi │ │ Uniform Resource Identifier) ​​tina sérver LDAP. Senar ieu mirip sareng │ │ «ldap: //: / ». Anjeun tiasa ogé │ │ anggo «ldaps: // » atanapi "ldapi: //". Nomer portna opsional. │ │ │ │ Disarankeun nganggo alamat IP pikeun nyingkahan kagagalan nalika jasa nami domain │ │ henteu sayogi. │ │ │ │ server LDAP URI: │ │ │ │ ldap: //master.swl.fan________________________________________________________________ │ │ │ │ │ └────────────────────────────────────────────── ┌───────────────────── ┤ Konfigurasi tina libnss-ldap ├──────────────────────┐ │ Lebetkeun nami anu dibédakeun (DN) tina dasar pamilarian LDAP. Seueur situs nganggo komponén nami domain pikeun tujuan │ │ ieu. Salaku conto, domain "conto.net" bakal nganggo │ │ "dc = conto, dc = net" salaku nami anu dibédakeun tina dasar pamilarian. │ │ │ │ Ngaran anu dibédakeun (DN) tina dasar pamilarian: │ │ │ │ dc = swl, dc = kipas angin________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libnss-ldap ├──────────────────────┐ │ Asupkeun versi protokol LDAP anu kedah dianggo ku ldapns. Disarankeun │ │ nganggo nomer vérsi paling luhur anu sayogi. │ │ │ │ Vérsi LDAP kanggo dianggo: │ │ │ │                                     3                                     │ 2 │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libnss-ldap ├──────────────────────┐ │ Pilih akun mana anu bakal dianggo pikeun nss pamundut ku hak istimewa root │ │. │ │ │ │ Catetan: Kanggo pilihan ieu jalan, akun peryogi ijin pikeun │ │ tiasa ngaksés atribut LDAP anu aya hubunganana sareng éntri "bayangan" pangguna ogé kecap akses pikeun pangguna sareng grup │ │ . Account │ │ │ Akun LDAP pikeun root: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libnss-ldap ├─────────────────────┐ │ Asupkeun kecap konci pikeun dianggo nalika libnss-ldap nyobian │ │ otentikasi kana diréktori LDAP kalayan akun LDAP root. │ │ │ │ Sandi bakal disimpen dina file anu misah │ │ ("/etc/libnss-ldap.secret") anu ngan ukur tiasa diaksés ku root. │ │ │ │ Upami anjeun ngalebetkeun kecap konci kosong, kecap konci anu lami bakal dianggo deui. │ │ │ │ Kecap aksés pikeun akun LDAP root: │ │ │ │ ******** ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌──────────────────── ─┤ Konfigurasi tina libnss-ldap ├──────────────────────┐ │ │ │ nsswitch.conf henteu dikelola sacara otomatis │ │ │ │ Anjeun kedah ngarobih file anjeun "/etc/nsswitch.conf "nganggo sumber data LDAP upami anjeun hoyong paket libnss-ldap jalan. │ │ Anjeun tiasa nganggo conto file │ │ dina "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" salaku conto konfigurasi nsswitch atanapi │ │ anjeun tiasa nyalin kana konfigurasi anjeun ayeuna. │ │ │ │ Catet yén sateuacan nyabut paket ieu panginten langkung merenah pikeun │ │ nyabut entri "ldap" tina file nsswitch.conf sahingga jasa dasar │ │ teraskeun fungsina. │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libpam-ldap ├──────────────────────┐ │ │ │ Pilihan ieu ngamungkinkeun alat sandi nganggo PAM pikeun ngarobih kecap akses lokal. │ │ │ │ Sandi pikeun akun pangurus LDAP bakal disimpen dina file │ │ misah anu ngan ukur tiasa dibaca ku administrator. │ │ │ │ Pilihan ieu kedah ditumpurkeun, upami dipasang "/ jsb" ngalangkungan NFS. │ │ │ │ Naha anjeun badé ngijinkeun akun pangurus LDAP berperilaku salaku │ │ pangurus lokal? │ │ │                                            │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libpam-ldap ├──────────────────────┐ │ │ │ Pilih naha server LDAP maksakeun idéntifikasi sateuacan éntri entradas │. │ │ │ │ Setélan ieu jarang diperyogikeun. A │ │ │ Naha pangguna kedah aksés kana basis data LDAP? │ │ │                                               │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libpam-ldap ├──────────────────────┐ │ Lebetkeun nami akun pangurus LDAP. │ │ │ │ Akun ieu bakal otomatis dianggo pikeun manajemén database, sapertos éta kedah ngagaduhan kaistiméwaan administrasi anu pas. │ │ │ │ Akun administrator LDAP: │ │ │ │ cn = admin, dc = swl, dc = kipas ___________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Konfigurasi tina libpam-ldap ├──────────────────────┐ │ Lebetkeun kecap konci pikeun akun pangurus. │ │ │ │ Sandi na bakal disimpen dina file "/etc/pam_ldap.secret". Administrator │ │ bakal ngan ukur hiji anu tiasa maca file ieu, sareng bakal ngijinkeun │ │ libpam-ldap sacara otomatis ngendalikeun manajemén konéksi dina database │ │. │ │ │ │ Upami anjeun ngantunkeun kolom ieu kosong, kecap konci anu disimpen │ │ anu sateuacanna bakal dianggo deui. │ │ │ │ Kata sandi administrator LDAP: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Conto konfigurasi fungsi GNU Name Service Switch. # Upami anjeun ngagaduhan bungkus `glibc-doc-referensi 'sareng` info', cobian: #` info libc "Name Service Switch" 'kanggo inpormasi ngeunaan file ieu. passwd: compat ldap
kelompok: compat ldap
kalangkang: compat ldap
gshadow: file host: files dns network: files protokol: db files services: db files ethers: db files rpc: db files netgroup: nis

Hayu urang edit file na /etc/pam.d/common-password, urang angkat ka jalur 26 sareng ngaleungitkeun nilaina «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - modul anu aya hubunganana sareng kata sandi anu umum pikeun sadaya jasa # # file ieu kalebet tina file config PAM khusus khusus jasa, # sareng kedah ngandung daptar modul anu ngahartikeun jasa anu janten # dipaké pikeun ngarobih kecap akses pangguna. Anu standar nyaéta pam_unix. # Penjelasan pilihan pam_unix: # # Pilihan "sha512" ngamungkinkeun kecap konci SHA512 asin. Tanpa pilihan ieu, # standar nyaéta Unix crypt. Kaluaran sateuacanna nganggo pilihan "md5". # # Opsi "teu jelas" ngagentos pilihan `OBSCURE_CHECKS_ENAB 'anu lami dina # login.defs. # # Tingali halaman pam_unix pikeun pilihan sanés. # Sapertos pam 1.0.1-6, file ieu dikelola ku pam-auth-update sacara standar. # Pikeun ngamangpaatkeun ieu, disarankeun anjeun ngonpigurasikeun naon waé # modul lokal sateuacan atanapi saatos blok standar, sareng nganggo # pam-auth-update pikeun ngatur seleksi modul sanés. Tingali # pam-auth-update (8) pikeun detil na. # ieu mangrupikeun modul per-paket (blok "Utama") kecap akses [kasuksésan = 2 standar = malire] pam_unix.so jelaskeun sha512
kecap akses [kasuksésan = 1 pangguna_unknown = malire standar = maot] pam_ldap.so coba_first_pass
# ieu mangrupikeun fallback upami henteu aya modul anu ngagentos kecap akses pam_deny.so # tumpukan ku nilai balik anu positip upami teu acan aya; # ieu ngahindaran urang balik deui kasalahan kusabab teu aya anu netepkeun kode kasuksésan # kumargi modul-modul di luhur masing-masing ngan tiasa ngaluncatan kata sandi anu diperyogikeun pam_permit. janten # sareng ieu langkung seueur modul per-paket (blok "Tambahan") auth-update config

Bisi urang butuh Login Lokal pikeun pangguna anu disimpen dina LDAP, sareng kami hoyong folderna didamel sacara otomatis imah, urang kedah ngédit file na /etc/pam.d/common-session sareng tambihan garis di handap ieu dina tungtung file:

sési opsional pam_mkhomedir.so skel = / etc / skel umask = 077

Dina conto Layanan Diréktori OpenLDAP anu dikembangkeun sateuacanna, hiji-hijina pangguna lokal anu didamel nyaéta pangguna sora ngahiung, nalika di LDAP kami nyiptakeun pangguna ngaléngkah, Legolas, gandalfjeung bilbo. Upami konfigurasi anu parantos didamel leres pisan, maka urang kedah tiasa ngadaptarkeun pangguna lokal sareng anu dipetakeun salaku lokal tapi disimpen dina server LDAP jarak jauh:

root @ mail: ~ # getent passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Strides: x: 10000: 10000: Strides El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Saatos parobihan dina auténtikasi sistem, sah pikeun ngabalikan server upami urang henteu nyanghareupan layanan kritis:

root @ mail: ~ # balikan deui

Engké urang mimitian sési lokal dina sérver mail.swl.fan kalayan kredensial pangguna anu disimpen dina database LDAP tina master.swl.fan. Urang ogé tiasa nyobian lebet ngalangkungan SSH.

 

buzz @ sysadmin: ~ $ ssh gandalf @ mail
kata sandi gandalf @ mail: Nyiptakeun diréktori '/ home / gandalf'. Program anu kalebetkeun sareng sistem Debian GNU / Linux mangrupikeun parangkat lunak gratis; istilah sebaran anu pasti pikeun tiap program dijelaskeun dina file masing-masing dina / usr / share / doc / * / hak cipta. Debian GNU / Linux hadir kalayan TANPA JAMINAN, saacan diijinkeun ku hukum anu berlaku.
gandalf @ mail: ~ $ su
Contraseña:

root @ mail: / home / gandalf # getent group
buzz: x: 1001: pangguna: *: 10000:

root @ mail: / home / gandalf # exit
Kaluar

gandalf @ mail: ~ $ ls -l / home /
total 8 drwxr-xr-x 2 buzz buzz     4096 Jun 17 12:25 buzz drwx ------ 2 pangguna gandalf 4096 Jun 17 13:05 gandalf

Layanan Diréktori dilaksanakeun dina tingkat server sareng klien, tiasa dianggo leres.

Kerberos

Tina Wikipedia:

  • Kerberos mangrupikeun protokol oténtikasi jaringan komputer anu didamel ku MIT anu ngamungkinkeun dua komputer dina jaringan anu teu aman pikeun ngamankeun identitasna masing-masing. Désainer na mimiti fokus kana modél klién-sérver, sareng éta nyayogikeun auténtikasi séwang-séwangan: duanana klien sareng sérver ngajantenkeun identitas masing-masing. Pesen auténtikasi dijaga pikeun nyegah nguping y serangan ulang.

    Kerberos dumasarkeun kana kriptografi konci simétri sareng meryogikeun pihak katilu anu dipercaya. Salaku tambahan, aya penyuluh kana protokol pikeun tiasa nganggo kriptografi konci asimétri.

    Kerberos dumasar kana Protokol Needham-Schroeder. Éta nganggo pihak katilu anu dipercaya, disebut "Pusat Distribusi Key" (KDC), anu diwangun ku dua bagian logis anu misah: "Server Auténtikasi" (AS atanapi Authentication Server) sareng «server ngaluarkeun tiket» (TGS atanapi Tiket Granting Server ). Kerberos damel dumasar kana "tikét", anu ngabuktikeun ngabuktikeun idéntitas pangguna.

    Kerberos ngajaga basis data konci rahasia; Masing-masing badan dina jaringan - naha éta klien atanapi server - ngabagi konci rahasia anu dipikanyaho ku nyalira sareng Kerberos. Pangetahuan ngeunaan konci ieu tiasa ngabuktikeun idéntitas entitas. Pikeun komunikasi antara dua entitas, Kerberos ngahasilkeun konci sési, anu tiasa aranjeunna anggo pikeun ngamankeun masalahna.

Kalemahan Kerberos

De Dirangkul:

Sanaos Kerberos ngaleungitkeun ancaman kaamanan umum, tiasa sesah dilaksanakeun ku sababaraha alesan:

  • Migrasi kecap akses pangguna tina database sandi standar UNIX, sapertos / etc / passwd atanapi / etc / shadow, kana basis data sandi Kerberos, tiasa matak pikaboseneun sareng teu aya mékanisme gancang pikeun ngalaksanakeun tugas ieu.
  • Kerberos nganggap yén unggal pangguna dipercaya, tapi nganggo mesin anu teu dipercaya dina jaringan anu teu dipercaya. Tujuan utami na nyaéta pikeun nyegah kecap konci anu teu énkripsi dikintunkeun ngalangkungan jaringan. Nanging, upami pangguna sanés, sajaba ti pangguna anu cocog, ngagaduhan aksés ka mesin tikét (KDC) pikeun oténtikasi, Kerberos bakal aya résiko.
  • Pikeun aplikasi anu nganggo Kerberos, kode na kedah dirobih kanggo nelepon anu pas ka perpustakaan Kerberos. Aplikasi anu dirobah ku cara ieu dianggap kerberized. Kanggo sababaraha aplikasi, ieu tiasa janten upaya pamrograman anu kaleuleuwihi, kusabab ukuran aplikasi atanapi Desain na. Pikeun aplikasi anu henteu cocog, parobihan kedah dilakukeun dina cara komunikasi jaringan sareng klienna; deui, ieu tiasa nyandak sakedik program. Sacara umum, aplikasi sumber katutup anu henteu ngagaduhan dukungan Kerberos biasana anu paling bermasalah.
  • Akhirna, upami anjeun mutuskeun nganggo Kerberos dina jaringan anjeun, anjeun kedah sadar yén éta mangrupikeun pilihan sadayana atanapi henteu. Upami anjeun mutuskeun nganggo Kerberos dina jaringan anjeun, anjeun kedah émut yén upami kecap akses naon waé dikintunkeun ka layanan anu henteu nganggo Kerberos pikeun ngoténtikasi, anjeun ngagaduhan résiko paket éta tiasa dicegah. Janten, jaringan anjeun moal kéngingkeun manpaat tina ngagunakeun Kerberos. Pikeun ngamankeun jaringan anjeun nganggo Kerberos, anjeun ngan ukur kedah nganggo versi kerberisasi sadaya aplikasi klien / server anu ngirim kecap akses anu henteu énkripsi atanapi henteu nganggo salah sahiji aplikasi ieu dina jaringan.

Sacara manual ngalaksanakeun sareng ngonpigurasikeun OpenLDAP salaku Kerberos Back-End sanés tugas anu gampang. Nanging, engké urang bakal ningali yén Samba 4 Active Directory - Domain Controller ngahijikeun sareng cara transparan pikeun Sysadmin, sérver DNS, Microsoft Network sareng Domain Controller na, server LDAP salaku Back-End ampir sadaya objékna, sareng jasa oténtikasi basis Kerberos salaku komponén dasar tina Diréktori Aktip-gaya Microsoft.

Ti dinten ayeuna urang henteu kedah kedah nerapkeun "Jaringan Kerberized". Ieu sababna urang henteu nyerat ngeunaan kumaha ngalaksanakeun Kerberos.

Samba 4 Diréktori Aktip - Domain Controller

penting:

Teu aya dokuméntasi anu langkung saé tibatan situs éta wiki.samba.org. Sysadmin anu ngahargaan diri kedah nganjang kana situs éta-dina basa Inggris- sareng ngotéktak seueur halaman anu didaptarkeun sadayana pikeun Samba 4, ditulis ku Tim Samba nyalira. Kuring henteu percanten aya dokuméntasi anu sayogi dina Internét pikeun ngagentoskeunana. Ku jalan kitu, titénan jumlah kunjungan anu katingali di handapeun unggal halaman. Conto ieu nyaéta halaman utama anjeun atanapi «Halaman Utama» dilongok 276,183 kali ti dinten ayeuna 20 Juni 2017 tabuh 10:10 Waktos Standar Wétan. Salaku tambahan, dokuméntasi dijaga paling anyar, sabab halaman éta dirobih tanggal 6 Juni.

Tina Wikipedia:

Samba mangrupikeun palaksanaan gratis tina Microsoft Windows File Sharing Protocol (baheulana disebut SMB, nembé ganti nami CIFS) pikeun sistem sapertos UNIX. Ku cara kieu, kamungkinan komputer anu nganggo GNU / Linux, Mac OS X atanapi Unix sacara umum katingalina sapertos server atanapi polah salaku klién dina jaringan Windows. Samba ogé ngamungkinkeun ngesahkeun pangguna salaku Domain Controller Utama (PDC), salaku anggota domain, sareng bahkan salaku domain Active Directory kanggo jaringan berbasis Windows; sajaba ti bisa ngaladénan antrian cetak, dibagikeun diréktori sareng ngaoténtikasi ku arsip pangguna anjeun nyalira.

Diantara sistem sapertos Unix anu tiasa dijalankeun ku Samba nyaéta sebaran GNU / Linux, Solaris sareng varian BSD anu béda diantara yén urang tiasa mendakan Apple Mac OS X Server.

Samba 4 AD-DC kalayan DNS Internal na

  • Urang mimitian ti pamasangan anu bersih -tanpa antar muka grafis- tina Debian 8 "Jessie".

Cék awal

root @ master: ~ # hostname
ngawasaan
root @ master: ~ # hostname --fqdn
master.swl.fan
root @ master: ~ # ip addr
1: naon: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 host wengkuan lo valid_lft salamina pikaresep_lft salamina inet6 :: 1/128 wengkuan host valid_lft salamina pikaresep_lft salamina 2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link / éter 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 wengkuan global eth0
       valid_lft salamina pikaresep_lft salamina inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 lingkup link valid_lft salamina pikaresep_lft salamina
root @ master: ~ # cat /etc/resolv.conf
milarian swl.fan nameserver 127.0.0.1
  • Kalayan kami nyatakeun cabangna utama ngan, éta langkung ti cukup pikeun kaperluan urang.
root @ master: ~ # cat /etc/apt/source.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ Jessie utama
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / apdet utama

Postfix ku Exim sareng utiliti

root @ master: ~ # aptitude masang postfix htop mc deborphan

  ┌────────────────────────┤ Konfigurasi Postfix ├───────────────────── ────┐ │ Pilih jinis konfigurasi server mail anu paling cocog sareng kabutuhan │ │ anjeun. │ │ │ │ Henteu aya konfigurasi: │ │ Tetepkeun konfigurasi ayeuna teu kaétang. │ │ Situs Internét: │ │ Surat dikirim sareng ditampi langsung nganggo SMTP. │ │ Internét nganggo «smarthost»: │ │ Surat ditampi langsung nganggo SMTP atanapi ku ngajalankeun alat como like sapertos «fetchmail». Surat kaluar dikirim nganggo │ │ salaku "smarthost". │ │ Surat lokal hungkul: │ │ Hiji-hijina surat anu dikirimkeun ngan ukur pikeun pangguna lokal. Henteu │ │ aya jaringan. │ │ │ │ Jinis konfigurasi mail: │ │ │ │ Henteu aya konfigurasi site │ situs Internét │ │ Internét kalayan "smarthost" │ │ Sistem satelit │ │                         Surat lokal hungkul                                │ │ │ │ │                                     │ │ └────────────────────────────────────────────── ┌──────────────────── ─────┤ Konfigurasi Postfix ├─────────────────────────┐ │ "Ngaran sistem surat" mangrupikeun nami domain anu │ │ dianggo pikeun "cocog" _ALL_ alamat email tanpa nami domain. Ieu kalebet mail ka sareng ti "root": punten entong │ │ mesin anjeun ngirim email ti root@example.org ka │ │ kirang ti root@example.org naros. │ │ │ │ Program sanés bakal nganggo nami ieu. Éta kedah domain │ nami domain mumpuni unik (FQDN). │ │ │ │ Maka, upami alamat email dina mesin lokal │ │ something@example.org, nilai anu leres pikeun pilihan ieu bakal janten conto.org. │ │ │ │ Nami sistem surat: │ │ │ │ master.swl.fan ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Kami beresih

root @ master: ~ # purity aptitude ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # aptitude bersih
root @ master: ~ # aptitude autoclean

Kami masang syarat pikeun nyusun Samba 4 sareng bungkusan diperlukeun séjén

root @ master: ~ # aptitude install acl attr autoconf bison \
ngawangun-ésénsial debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-pangguna libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modul pkg-config \
python-sadaya-dev python-dev python-dnspython python-crypto \
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Konpigurasikeun oténtikasi Kerberos ├───────────────┐ │ Nalika pangguna nyobian nganggo Kerberos sareng nangtoskeun nami │ │ poko atanapi pangguna tanpa netelakeun domain Kerberos administrasi anu poko │ │ milik, sistem nyandak alam default │ standar.  Alam standar ogé tiasa dianggo salaku │ │ alam jasa Kerberos anu dijalankeun dina mesin lokal.  │ │ Biasana, ranah standar mangrupikeun nami ageung domain DNS │ │ lokal.  │ │ │ │ Kerberos versi standar 5: │ │ │ │ SWL.FAN ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ Konpigurasikeun auténtikasi Kerberos ├───────────────┐ │ Asupkeun nami sérver Kerberos dina SWL.FAN ranah │ │ Kerberos, dipisahkeun ku rohangan.  Servers │ │ │ Kerberos sérver pikeun karajaan anjeun: │ │ │ │ master.swl.fan ________________________________________________________________________ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ Konpigurasikeun auténtikasi Kerberos ├───────────────┐ │ Lebetkeun nami sérpér administratif (robih kecap akses) │ │ pikeun wilayah Kerberos SWL.FAN.   

Prosés di luhur nyandak sakedik waktos sabab urang teu acan ngagaduhan jasa DNS. Nanging, anjeun milih domain anu leres ku setélan file / Jsb / sarwa. Émut yén dina file /etc/resolv.conf kami parantos nyatakeun salaku nami domain server kana IP 127.0.0.1.

Urang ayeuna ngonpigurasikeun file / etc / ldap / ldap / conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = kipas URI ldap: //master.swl.fan

Pikeun pamundut nganggo paréntah ldapsarch didamel ti pangguna akar aya jinisna ldapsearch -x -W cn = xxxx, urang kedah ngadamel file na / root/.ldapsearc kalayan eusi ieu:

root @ master: ~ # nano .ldaprc
BINDDN CN = Administrator, CN = Pamaké, DC = swl, DC = kipas

Sistem file kedah ngadukung ACL - Access Control List

root @ master: ~ # nano / etc / fstab
# / etc / fstab: inpormasi sistem file statis. # # Anggo 'blkid' pikeun nyetak idéntifikasi unik universal pikeun # alat; ieu tiasa dianggo nganggo UUID = salaku cara anu langkung mantep pikeun namina alat # anu tiasa dianggo bahkan disk na ditambihan sareng dipiceun. Tingali fstab (5). # # # / éta dina / dev / sda1 nalika dipasang UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, halangan = 1, noatime, kasalahan = remount-ro 0 1
# swap was on / dev / sda5 salami instalasi UUID = cb73228a-615d-4804-9877-3ec225e3ae32 teu aya swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 user, noauto 0 0

root @ master: ~ # dipasang -a

root @ master: ~ # touch testing_acl.txt
root @ master: ~ # setfattr -n user.test -v test testing_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 testing_acl.txt
root @ master: ~ # getfattr -d nguji_acl.txt
# file: testing_acl.txt user.test = "test"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# file: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx testing_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Kami kéngingkeun sumber Samba 4, nyusunna, sareng masangkeunana

Disarankeun pisan pikeun ngaunduh file sumber versi kandang ti loka https://www.samba.org/. Dina conto urang kami undeur vérsi samba-4.5.1.tar.gz nuju map / milih.

root @ master: ~ # cd / opt
root @ master: / milih # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / milih # tar xvfz samba-4.5.1.tar.gz
root @ master: / milih # cd samba-4.5.1 /

Pilihan konfigurasi

Upami urang hoyong ngarobih pilihan konfigurasi, urang ngajalankeun:

root @ master: /opt/samba-4.5.1# ./configurasi --tulung

sareng ati-ati pilih anu dipikabutuh ku urang. Disarankeun parios naha paket anu diunduh tiasa dipasang dina distribusi Linux anu kami anggo, anu dina kasus kami nyaéta Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# ./configure discheck

Urang ngonpigurasikeun, Nyusun sareng Pasang samba-4.5.1

  • Tina sarat anu parantos dipasang sareng 8604 file (anu ngawangun samba-4.5.1.tar.gz kompak) anu beuratna sakitar 101.7 megabytes -kitu ogé sumber3 sareng map source4 anu beuratna sakitar 61.1 megabytes- urang bakal kéngingkeun gaganti Diréktori Aktip Microsoft-style, kualitas sareng stabilitas langkung ditarima pikeun lingkungan produksi. Urang kedah nyorot karya Tim Samba dina nganteurkeun Parangkat Lunak Gratis Samba 4.

Paréntah di handap mangrupikeun anu klasik pikeun nyusun sareng masang bungkus tina sumberna. Urang kedah sabar bari sacara gembleng prosés lumangsung. Éta hiji-hijina cara pikeun kéngingkeun hasil anu leres sareng leres.

root @ master: /opt/samba-4.5.1# ./configurasi --with-systemd --diaktipkeun-cangkir
root @ master: /opt/samba-4.5.1# nyieun
root @ master: /opt/samba-4.5.1# make install

Salila prosés paréntah nyieun, urang tiasa tingali yén sumber Samba 3 sareng Samba 4. disusun. Éta sababna Tim Samba negeskeun yén vérsi na 4 mangrupikeun pembaruan alami vérsi 3, duanana pikeun Controllers Domain dumasar kana Samba 3 + OpenLDAP, sareng file server, atanapi langkung lami vérsi Samba 4.

Pangaturan Samba

Urang bakal nganggo salaku DNS anu SAMBA_INternal. en https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End urang bakal mendakan inpormasi lengkep. Nalika aranjeunna naroskeun kecap konci pikeun pangguna Administrator, kami kedah ngetik salah sahiji panjang minimum 8 karakter sareng, sareng hurup - hurup luhur sareng handap - sareng nomer.

Sateuacan neraskeun bekel sareng ngajantenkeun hirup langkung gampang, urang tambihkeun jalan tina Samba laksana dina file kami .bashrc, Teras urang tutup sareng lebet deui.

root @ master: ~ # nano .bashrc
# ~ / .bashrc: dieksekusi ku bash (1) pikeun cangkang anu henteu lebet. # Catetan: PS1 sareng umask parantos disetél dina / jsb / profil. Anjeun teu kedah # peryogi ieu kecuali upami anjeun hoyong bawaan pikeun akar. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Anjeun tiasa ngagentos garis-garis ieu upami anjeun hoyong `ls 'diwarnaan: # export LS_OPTIONS =' - color = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Sababaraha landihan deui pikeun nyegah kasalahan: # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
nyatakeun -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # exit logout Sambungan pikeun master ditutup. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-tool domain supplies --use-rfc2307 --interactive
Alam [SWL.FAN]: SWL.FAN
 Domain [SWL]: SWL
 Peran Server (dc, anggota, mandiri) [dc]: dc
 DNS backend (SAMBA_INTERNAL, BIND9_FLATSON, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INternal
 Alamat IP panerus DNS (nyerat 'euweuh' pikeun nganonaktifkeun panerus) [192.168.10.5]: 8.8.8.8
Sandi pangurus: YourPassword2017
Ketik deui kecap konci: YourPassword2017
Milarian alamat IPv4 Milarian alamat IPv6 Henteu alamat IPv6 bakal ditugaskeun Nyiapkeun share.ldb Nyiapkeun Rahasia.ldb Nyiapkeun pendaptaran Nyiapkeun database hak istimewa Nyiapkeun idmap db Nyiapkeun SAM db Nyetél partisi sam.ldb sareng setélan Setelan up sam.ldb rootDSE Pra-muatan skéma Samba 4 sareng AD Nambahkeun DomainDN: DC = swl, DC = kipas Nambihan wadah konfigurasi Nyiapkeun skéma sam.ldb Nyetél data konfigurasi sam.ldb Nyiapkeun spésipik tampilan Ngarobih spésifisér tampilan Nambahkeun wadah pangguna Ngarobih wadah pangguna Nambihan wadah komputer Ngarobih wadah komputer Nyiapkeun data sam.ldb Nyetél kepala sekolah kaamanan terkenal Nyiapkeun pangguna sam.ldb sareng grup Nyiapkeun diri gabung Nambahkeun akun DNS Nyiptakeun CN = MicrosoftDNS, CN = Sistem, DC = swl, DC = kipas Nyiptakeun partisi DomainDnsZones sareng ForestDnsZones Populasi DomainDnsZones sareng partisi ForestDnsZones Nyetél sam.ldb rootDSE nyirian salaku singkronisasi ngalereskeun GUIDsKonfigurasi Kerberos anu cocog pikeun Samba 4 parantos dihasilkeun dina /usr/local/samba/private/krb5.conf Nyetél setélan yp server palsu Saatos file di luhur dipasang, Samba4 server anjeun bakal siap nganggo Peran Server: domain diréktori aktip controller Hostname: master NetBIOS Domain: SWL DNS Domain: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Entong hilap nyalin file konfigurasi Kerberos sakumaha anu dituduhkeun ku kaluaran Nyayogikeun:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Pikeun henteu ngetik paréntah samba-alat kalayan nami lengkep anjeun, kami ngadamel tautan simbolis sareng nami pondok alat:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

Urang masang NTP

Bagian penting dina Diréktori Aktip nyaéta Jasa Waktos Jaringan. Nalika oténtikasi dilakukeun liwat Kerberos sareng Tiket na, sinkronisasi waktos sareng Samba 4 AD-DC penting pisan.

root @ master: ~ # aptitude install ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd statistik loopstats peertats clockstats filegen loopstats file loopstats type day ngaktifkeun filegen peertats file peertats type day ngaktipkeun filegenstats file clockstats jam type day ngaktipkeun server 192.168.10.1 ngabatesan -4 standar kod notrap nomodify nopeer noquery batesan -6 standar kod notrap nomodify nopeer noquery batesan standar mssntp batesan 127.0.0.1 batesan :: 1 siaran 192.168.10.255

root @ master: ~ # service ntp balikan deui
root @ master: ~ # status ntp jasa

root @ master: ~ # buntut -f / var / log / syslog

Upami nalika nalungtik éta syslog ngagunakeun paréntah di luhur atanapi ngagunakeun journalctl -f urang meunang pesen:

Jun 19 12:13:21 master ntpd_intres [1498]: kolot maot sateuacan urang réngsé, kaluar

urang kedah ngabalikan jasa sareng cobian deui. Ayeuna urang ngadamel polder ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd moal tiasa diaksés: File atanapi diréktori henteu aya

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Sakumaha dipénta dina samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 Jun 19 12:21 / usr / local / samba / var / lib / ntp_signd

Kami ngonpigurasikeun Samba mimitian nganggo systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Service] Type = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILIK = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / kill -HUP $ MAINPID [Pasang] WantedBy = multi-user.target

root @ master: ~ # systemctl ngaktipkeun samba-ad-dc
root @ master: ~ # balikan deui

root @ master: ~ # status systemctl samba-ad-dc
root @ master: ~ # systemctl status ntp

Lokasi file Samba 4 AD-DC

ALL -dikurangan samba-ad-dc.layanan anu énggal diciptakeun- file na aya dina:

root @ master: ~ # ls -l / usr / local / samba /
total 32 drwxr-sr-x 2 root staff 4096 Jun 19 11:55 gentong
drwxr-sr-x 2 root staff 4096 Jun 19 11:50 jeung sajabana
drwxr-sr-x 7 root staff 4096 Jun 19 11:30 ngasupkeun
drwxr-sr-x 15 root staff 4096 Jun 19 11:33 lib
drwxr-sr-x 7 root staff 4096 Jun 19 12:40 pribados
drwxr-sr-x 2 root staff 4096 Jun 19 11:33 sbin
drwxr-sr-x 5 root staff 4096 Jun 19 11:33 ngabagikeun
drwxr-sr-x 8 root staff 4096 Jun 19 12:28 aya

dina gaya UNIX anu pangsaéna. Éta salawasna disarankeun pikeun ngajalajah polder anu béda sareng nalungtik eusina.

File /Usr/local/samba/etc/smb.conf

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Parameter global [global] nami netbios = MASTER realm = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 jasa sérver = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , peran server dns = régulator domain diréktori aktip ngamungkinkeun apdet dns = ngamankeun hungkul idmap_ldb: anggo rfc2307 = enya idmap config *: backend = tdb idmap config *: range = 1000000-1999999 ldap server peryogi auth = teu aya nami printcap = / dev / batal [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = No [sysvol] path = / usr / local / samba / var / locks / sysvol read only = No

root @ master: ~ # testparm
Beban file smb config tina /usr/local/samba/etc/smb.conf Bagian pamrosésan "[netlogon]" Bagian ngolah "[sysvol]" File jasa anu dimuat OK. Peran server: ROLE_ACTIVE_DIRECTORY_DC Pencét lebetkeun pikeun ningali dump tina definisi jasa anjeun # Parameter global [global] ranah = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 ldap server meryogikeun auth kuat = Teu aya backdb backend = samba_dsdb server role = aktip diréktori domain controller rpc_server: tcpip = no rpc_daemon: spoolssd = embedded rpc_server: spoolss = embedded rpc_server: winreg = embedded rpc_server: ntsvcs = embedded rpc_server: eventlog = embedded rpc_server: srvsvtv externals: pipa = config idmap leres *: range = 1000000-1999999 idmap_ldb: anggo rfc2307 = enya idmap config *: backend = arsip peta tbb = Henteu aya peta dibacana = henteu toko dos atribut = Sumuhun objek vfs = dfs_samba4 acl_xattr [netlogon] jalur = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = No [sysvol] path = / usr / local / samba / var / locks / sysvol read only = No

Cek minimal

root @ master: ~ # acara domain level show
Tingkat fungsi domain sareng leuweung pikeun domain 'DC = swl, DC = kipas' Tingkat fungsi leuweung: (Windows) 2008 R2 Tingkat fungsi domain: (Windows) 2008 R2 Tingkat fungsi panghandapna tina DC: (Windows) 2008 R2

root @ master: ~ # ldapsearch -x -W

root @ master: ~ # tool dbcheck
Mariksa 262 objék Diparios 262 objék (0 kasalahan)

root @ master: ~ # kinit Administrator
Sandi pikeun Administrator@SWL.FAN: 
root @ master: ~ # klist -f
Cache tikét: FAIL: / tmp / krb5cc_0
Standar primér: Administrator@SWL.FAN

Valid dimimitian Kadaluwarsa Layanan utama 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    ngabarukeun dugi ka 20/06/17 12:53:18 PM, Bendéra: RIA

root @ master: ~ # kdestroy
root @ master: ~ # klist -f
klist: Kapasitas file cache '/ tmp / krb5cc_0' henteu kapendak

root @ master: ~ # smbclient -L localhost -U%
Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Ngaran Tipe Sora nami ---- ---- ---- netlogon Disk sysvol Disk IPC $ IPC IPC Service (Samba 4.5.1) Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Server Comment --------- ------- Workgroup Master ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAd Administrator -c 'ls'
Lebetkeun kecap akses Administrator: Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 Sen Jun 19 11:50:52 2017 .. D 0 Sen Jun 19 11:51:07 2017 19091584 blok ukuran 1024. 16198044 blok sayogi

root @ master: ~ # tool dns serverinfo master -U administrator

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
_ldap._tcp.swl.fan ngagaduhan catetan SRV 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
_kerberos._udp.swl.fan ngagaduhan catetan SRV 0 100 88 master.swl.fan.

root @ master: ~ # host -t A master.swl.fan
master.swl.fan ngagaduhan alamat 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
swl.fan gaduh SOA record master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan ngaran pangladén master.swl.fan.

root @ master: ~ # host -t MX swl.fan
swl.fan teu ngagaduhan catetan MX

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # daptar pangguna alat
Administrator krbtgt Tamu

root @ master: ~ # daptar grup pakakas
# Kaluaran mangrupikeun sakumpulan kelompok. ;-)

Kami ngatur Samba 4 AD-DC anu nembé dipasang

Upami urang hoyong ngarobih kadaluarsana dina dinten kecap konci Administrator; pajeulitna kecap akses; panjang minimum kecap akses; durasi minimum sareng maksimum -dina dinten- tina kecap akses; sareng ngarobih kecap akses Administrator anu dinyatakeun dina Nyayogikeun, urang kedah ngajalankeun paréntah ieu di handap nilai disaluyukeun sareng kabutuhan Anjeun:

root @ master: ~ # alat
Pamakéan: samba-tool Alat administrasi samba utami. Pilihan: -h, --tulung nunjukkeun pesen bantosan ieu sareng kaluar Pilihan Vérsi: -V, --versi Tampilan versi nomer Subcommands anu sayogi: dbcheck - Pariksa database AD lokal pikeun kasalahan. delegasi - Manajemén delegasi. dns - Manajemén Ngaran Domain (DNS) manajemén. domain - Manajemén domain. drs - Manajemén Diréktori Réplikasikeun Layanan (DRS). dsacl - manipulasi DS ACLs. fsmo - Flexible Single Master Operations (FSMO) manajemén kalungguhan. gpo - Manajemén Grup Sarat jeung Kaayaan Grup (GPO). grup - Manajemén grup. ldapcmp - Bandingkeun dua basis data ldap. ntacl - manipulasi NT ACLs. prosés - Daptar prosés (pikeun ngabantosan debugging dina sistem tanpa setproctitle). rodc - Maca-Ngan Domain Controller (RODC) manajemén. situs - Manajemén situs. spn - Manajemén Pokok Layanan (SPN) manajemén. testparm - Sintaksis parios file konfigurasi. waktos - Candak waktos dina sérver. pangguna - Manajemén pangguna. Pikeun pitulung langkung lengkep ihwal kapal alit, mangga ngetik: samba-tool (-h | --tulung)

root @ master: ~ # tool user setexpiry administrator --noexpiry
root @ master: ~ # tool domain setset set sandi --min-pwd-length = 7
root @ master: ~ # tool domain setset set sandi --min-pwd-age = 0
root @ master: ~ # tool domain setset set sandi --max-pwd-age = 60
root @ master: ~ # tool user setpassword --filter = samaccountname = Administrator --newpassword = Passw0rD

Kami nambihan sababaraha catetan DNS

root @ master: ~ # alat dns
Pamakéan: samba-tool dns Manajemén Ngaran Domain (DNS) manajemén. Pilihan: -h, --tulung nunjukkeun pesen bantosan ieu sareng kaluar Subcommand anu sayogi: tambihan - Tambihkeun hapus catetan DNS - Hapus pamundut rékaman DNS - Parios nami. roothints - Pitunjuk root pitunjuk. serverinfo - Patarosan kanggo inpormasi Server. pembaruan - Anyarkeun rékaman DNS zonecreate - Nyiptakeun zona. zonedelete - Hapus zona. zoneinfo - Patarosan kanggo inpormasi zona. zonelist - Patarosan pikeun zona. Pikeun pitulung langkung seueur ngeunaan subcommand khusus, punten ngetik: samba-tool dns (-h | --tulung)

Server mail

root @ master: ~ # tool dns add master swl.fan mail A 192.168.10.9 -U administrator
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U administrator

Dibereskeun IP tina sérver anu sanés

root @ master: ~ # tool dns add master swl.fan sysadmin A 192.168.10.1 -U administrator
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U administrator
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U administrator
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U administrator

Zona Balikkeun

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U administrator
Sandi pikeun [SWL \ administrator]: Zona 10.168.192.in-addr.arpa suksés didamel

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Pengurus
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Pengurus
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Pengurus
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Pengurus
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Pengurus
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Pengurus

Cék

root @ master: ~ # tool dns query master swl.fan mail ALL -U administrator
Sandi pikeun [SWL \ administrator]: Ngaran =, Rékam = 1, Barudak = 0 A: 192.168.10.9 (umbul = f0, séri = 2, ttl = 900)

root @ master: ~ # tuan tuan
master.swl.fan ngagaduhan alamat 192.168.10.5
root @ master: ~ # host sysadmin
sysadmin.swl.fan ngagaduhan alamat 192.168.10.1
root @ master: ~ # mail host
mail.swl.fan ngagaduhan alamat 192.168.10.9
root @ master: ~ # obrolan host
chat.swl.fan ngagaduhan alamat 192.168.10.12
root @ master: ~ # host proxy
proxy.swl.fan ngagaduhan alamat 192.168.10.11
root @ master: ~ # host fileserver
fileserver.swl.fan ngagaduhan alamat 192.168.10.10
root @ master: ~ # host 192.168.10.1
1.10.168.192.in-addr.arpa ngaran domain pointer sysadmin.swl.fan.
root @ master: ~ # host 192.168.10.5
5.10.168.192.in-addr.arpa ngaran domain pointer master.swl.fan.
root @ master: ~ # host 192.168.10.9
9.10.168.192.in-addr.arpa ngaran domain pointer mail.swl.fan.
root @ master: ~ # host 192.168.10.10
10.10.168.192.in-addr.arpa ngaran domain pointer fileserver.swl.fan.
root @ master: ~ # host 192.168.10.11
11.10.168.192.in-addr.arpa ngaran domain pointer proxy.swl.fan.
root @ master: ~ # host 192.168.10.12
12.10.168.192.in-addr.arpa ngaran domain pointer chat.swl.fan.

Pikeun anu panasaran

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Kami nambihan pangguna

root @ master: ~ # pangguna alat
Pamakéan: pangguna samba-tool Manajemén pangguna. Pilihan: -h, --tulung nunjukkeun pesen bantosan ieu sareng kaluar tina Subcommand Anu sayogi: nambihan - Nyiptakeun pangguna anyar. nyiptakeun - Nyiptakeun pangguna anyar. ngahapus - Hapus pangguna. nganonaktifkeun - Pareuman pangguna. aktipkeun - Aktipkeun hiji pangguna. getpassword - Kéngingkeun kolom sandi tina pangguna / akun komputer. daptar - Daptar sadaya pangguna. kecap akses - Robah kecap konci pikeun akun pangguna (anu disayogikeun dina auténtikasi). setexpiry - Atur béakna rekening pangguna. setpassword - Nyetél atanapi ngareset kata sandi tina akun pangguna. sinkpasswords - Nyingkronkeun sandi tina akun pangguna. Pikeun pitulung langkung seueur ngeunaan subcommand khusus, punten ngetik: samba-tool user (-h | --tulung)

root @ master: ~ # pangguna alat ngadamel trancos Trancos01
Pamaké 'trancos' suksés didamel
root @ master: ~ # pangguna alat ngadamel gandalf Gandalf01
Pamaké 'gandalf' parantos hasil
root @ master: ~ # pangguna alat ngadamel legolas Legolas01
Pamaké 'legolas' diciptakeun suksés
root @ master: ~ # daptar pangguna alat
Administrator gandalf legolas strides krbtgt Tamu

Administrasi ngalangkungan antar muka grafis atanapi ngalangkungan web client

Didatangan wiki.samba.org kanggo inpormasi lengkep ngeunaan cara masang Microsoft RSAT o Alat Administrasi Server Jauh. Upami anjeun henteu meryogikeun kabijakan klasik anu ditawarkeun ku Microsoft Active Directory, anjeun tiasa masang iket ldap-akun-manager anu nawiskeun antarbeungeut saderhana pikeun administrasi ngalangkungan paramban wéb.

Paket program Microsoft Remote Server Administration Tools (RSAT) kalebet dina sistem operasi Windows Server.

Kami ngagabung kana domain ka klien Windows 7 anu namina "tujuh"

Kusabab urang henteu ngagaduhan server DHCP dina jaringan, hal anu pangpayunna urang kedah lakukeun nyaéta ngonpigurasikeun kartu jaringan klien ku IP anu tetep, nyatakeun yén DNS primér bakal jadi IP tina samba-ad-dc, sareng parios yén pilihan "Daptar alamat sambungan ieu dina DNS" diaktipkeun. Henteu nganggur parios nami «Tujuh»Teu acan didaptarkeun dina DNS Samba Internal.

Saatos urang gabung kana komputer kana domain sareng balikan deui, hayu urang cobian lebet sareng pangguna «ngaléngkah«. Urang bakal mariksa yén sagalana jalan OK. Disarankeun ogé pikeun mariksa log Klién Windows sareng mariksa kumaha waktosna leres disinkronkeun.

Administrator anu gaduh sababaraha pangalaman Windows bakal mendakan yén pamariksaan anu dilakukeun dina klien bakal ngahasilkeun hasil anu nyugemakeun.

Resumen

Kuring miharep tulisan éta aya manpaat pikeun pamiarsa Komunitas FromLinux.

Dadah!


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

8 koméntar, tinggalkeun anjeun

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

  1.   Gonzalo Martinez cenahna

    Tulisan panjang tapi lengkep, saé pisan demi saléngkah dina cara ngalakukeun sagala hal.

    Kuring negeskeun NIS, anu leres nyaéta sanaos kuring terang ngeunaan ayana, kuring henteu pernah terang kumaha jalanna, kusabab jujur ​​éta salawasna méré kesan yén éta sacara praktis maot di gigir LDAP sareng Samba 4.

    PS: Selamat pikeun proyek pribadi anyar anjeun! Karunya yén anjeun moal neraskeun nyerat di dieu, tapi sahenteuna aya tempat pikeun nuturkeun anjeun.

  2.   HO2Gi cenahna

    Tutorial ageung sakumaha biasa pikeun karesep kuring, Salam Fico.
    Gening dina proyek.

  3.   IWO cenahna

    Bagéan NIS anu saé, kuring simpati sareng Gonzalo Martinez, kuring terang sakedap tapi henteu terang kumaha ngalaksanakeunana sareng dina kaayaan naon anu dianggo.
    Hatur nuhun sakali pikeun "batang" anu luar biasa tina artikel tioritis sareng praktis.
    Akhirna kasuksésan énggal dina proyék énggal anjeun «gigainside».

  4.   Federico cenahna

    Hatur nuhun pisan sadayana kana koméntar !!!.
    Wasalam

  5.   musola cenahna

    smb.conf anu anjeun tampilkeun henteu ngagaduhan kakait sareng LDAP, naha éta ngahaja atanapi naha kuring ninggalkeun naon?

  6.   fico cenahna

    mussol: Ieu Samba 4 Active Directory Domain Controller anu parantos ngagaduhan server LDAP internal na.

  7.   Vincent cenahna

    Naha anjeun tiasa mairan kumaha ngahijikeun mac (apel) kana samba 4 AD-DC?
    Hatur nuhun.

  8.   jramirez cenahna

    Kumaha damang;

    Hatur nuhun pikeun manual, éta saé. Abdi gaduh patarosan ngeunaan pesen anu katingali ku kuring.

    root @ AD: ~ # nping –tcp -p 53 -c 3 ad.rjsolucionessac.com
    Gagal ngabéréskeun nami host / IP anu dipasihkeun: ad.rjsolucionessac.com. Catet yén anjeun moal tiasa nganggo rentang IP gaya '/ topeng' AND '1-4,7,100-'
    Teu tiasa mendakan udagan anu valid. Punten pastikeun host anu ditetepkeun boh alamat IP dina notasi standar atanapi hostname anu tiasa direngsekeun ku DNS
    root @ AD: ~ #