PAM, NIS, LDAP, Kerberos, DS at Samba 4 AD-DC - SMB Networks

Pangkalahatang index ng serye: Mga Network ng Computer para sa mga SME: Panimula

Kamusta mga kaibigan at kaibigan!

Sa artikulong ito ay nagpapaalam ako sa Komunidad DesdeLinux. Isang espesyal na paalam para sa isang Espesyal na Komunidad. Mula ngayon ako ay nasa aking personal na proyekto na makikita mo sa http://www.gigainside.com.

Ang pangunahing layunin ng post ay upang mag-alok ng isang «Malaking larawan»Tungkol sa Mga Serbisyo sa Pagpapatotoo na may Libreng Software na mayroon kami. Atleast yun ang intensyon namin. Samakatuwid ito ay magiging mahaba, sa kabila ng katotohanang alam namin na labag sa pangkalahatang mga patakaran ng pagsulat ng mga artikulo. Inaasahan namin na pahalagahan ito ng Mga Administrator ng System.

Nais naming ituro na ang karaniwang protocol sa marami sa mga modernong sistema ng pagpapatotoo ay ang LDAP, at na hindi idle na pag-aralan itong mabuti, mula sa materyal ng pag-aaral na mahahanap natin sa opisyal na site http://www.openldap.org/.

Hindi kami magbibigay ng detalyadong mga kahulugan -o mga link- sa mga aspeto na hinarap sa mga nakaraang artikulo, o sa mga na ang paglalarawan ay madaling ma-access sa Wikipedia o iba pang mga site o artikulo sa Internet, upang hindi mawala ang objectivity ng nais naming mensahe magbigay. Gumagamit din kami ng wastong halo ng mga pangalan sa Ingles at Espanyol, dahil isinasaalang-alang namin na ang karamihan sa mga system ay ipinanganak na may mga pangalan sa Ingles at kapaki-pakinabang para sa isang Sysadmin na maiugnay ang mga ito sa kanilang orihinal na wika.

• WFP: Pluggable Authentication Module.
• NIS: Network_Information_Service.
• LDAP: Magaan na Direktoryo ng Access sa Protocol.
• Kerberos: Security protocol upang patunayan ang mga gumagamit, computer at serbisyo na nakasentro sa isang network, na pinatutunayan ang kanilang mga kredensyal laban sa mga mayroon nang mga entry sa Kerberos database.
• DS: Directory Server o Serbisyo sa Direktoryo
• AD–DC: Aktibong Direktoryo - Domain Controler

WFP

Inilalaan namin ang isang maliit na serye sa ganitong uri ng lokal na pagpapatotoo, na makikita mo sa pang-araw-araw na pagsasanay na malawak itong ginagamit kapag, halimbawa, sumali kami sa isang workstation sa isang Domain Controller o Active Directory; upang mapa ang mga gumagamit na nakaimbak sa mga panlabas na database ng LDAP na parang mga lokal na gumagamit; upang mapa ang mga gumagamit na nakaimbak sa Domain Controller ng isang Aktibong Direktoryo na para bang sila ay mga lokal na gumagamit, at iba pa.

• Squid + Pagpapatotoo ng PAM sa CentOS 7.
• Pamamahala ng lokal na gumagamit at pangkat
• May kapangyarihan ang DNS Server NSD + Shorewall
• Prosody IM at mga lokal na gumagamit
• Postfix + Dovecot + Squirrelmail at mga lokal na gumagamit
  

NIS

De Wikipedia:

• Ang Sistema ng Impormasyon sa Network (kilala sa pamamagitan ng akronim na NIS, na kung saan sa Espanyol ay nangangahulugang Network Information System), ay ang pangalan ng isang client-server na direktoryo ng mga serbisyo ng protokol na binuo ng Sun Microsystems para sa pagpapadala ng data ng pagsasaayos sa mga ipinamamahaging system tulad ng mga pangalan ng mga gumagamit at host sa pagitan ng mga computer sa isang network.Ang NIS ay batay sa ONC RPC, at binubuo ng isang server, isang library ng panig ng client, at iba't ibang mga tool sa pangangasiwa.

  Ang NIS ay orihinal na tinawag na Yellow Page, o YP, na ginagamit pa rin upang mag-refer dito. Sa kasamaang palad, ang pangalang iyon ay isang trademark ng British Telecom, na nangangailangan ng Sun na i-drop ang pangalang iyon. Gayunpaman ang YP ay nananatiling isang awalan sa mga pangalan ng karamihan sa mga utos na nauugnay sa NIS, tulad ng ypserv at ypbind.

  Naghahatid ang DNS ng isang limitadong saklaw ng impormasyon, ang pinakamahalaga ay ang pagsusulatan sa pagitan ng pangalan ng node at ng IP address. Para sa iba pang mga uri ng impormasyon, walang tulad na dalubhasang serbisyo. Sa kabilang banda, kung namamahala ka lamang ng isang maliit na LAN na walang pagkakakonekta sa Internet, tila hindi nagkakahalaga ng pag-set up ng DNS. Ito ang dahilan kung bakit binuo ng Sun ang Network Information System (NIS). Nagbibigay ang NIS ng mga pangkalahatang kakayahan sa pag-access ng database na maaaring magamit upang ipamahagi, halimbawa, ang impormasyong nilalaman sa passwd at mga pangkat ng mga file sa lahat ng mga node sa iyong network. Ginagawa nitong ang network ay isang solong system, na may parehong mga account sa lahat ng mga node. Katulad nito, maaaring magamit ang NIS upang ipamahagi ang impormasyon ng pangalan ng node na nakapaloob sa / etc / host sa lahat ng mga machine sa network.

  Ngayon ang NIS ay magagamit sa halos lahat ng mga pamamahagi ng Unix, at mayroon ding mga libreng pagpapatupad. Ang BSD Net-2 ay nag-publish ng isa na nakuha mula sa isang pagpapatupad ng sanggunian sa pampublikong domain na ibinigay ng Sun. Ang code ng silid-aklatan para sa bahagi ng kliyente ng bersyon na ito ay matagal nang nasa libog ng GNU / Linux, at ang mga programa sa pangangasiwa ay na-port sa GNU / Linux ni Swen Thümmler. Gayunpaman, ang isang NIS server ay nawawala tulad ng pagpapatupad ng sanggunian.

  Si Peter Eriksson ay nakabuo ng isang bagong pagpapatupad na tinatawag na NYS. Sinusuportahan nito ang parehong pangunahing NIS at ang pinahusay na bersyon ng Sun NIS +. [1] Ang NYS ay hindi lamang nagbibigay ng isang bilang ng mga tool ng NIS at isang server, nagdaragdag din ito ng isang bagong hanay ng mga pagpapaandar sa library na kailangan mong iipon sa iyong libc kung nais mong gamitin ang mga ito. Nagsasama ito ng isang bagong scheme ng pagsasaayos para sa resolusyon ng pangalan ng node na pumapalit sa kasalukuyang pamamaraan na ginamit ng "host.conf" na file.

  Ang GNU libc, na kilala bilang libc6 sa komunidad ng GNU / Linux, ay may kasamang isang na-update na bersyon ng tradisyunal na suporta ng NIS na binuo ni Thorsten Kukuk. Sinusuportahan nito ang lahat ng mga pagpapaandar sa silid-aklatan na ibinigay ng NYS, at ginagamit din ang advanced na scheme ng pagsasaayos ng NYS. Kailangan pa rin ang mga tool at server, ngunit ang paggamit ng GNU libc ay nakakatipid sa problema ng pag-patch at muling pag-recompile ng library

  .

Pangalan ng computer at domain, interface ng network at resolver

• Nagsisimula kami mula sa isang malinis na pag-install -Walang grapikong interface- ng isang Debian 8 "Jessie". Ang domain swl.fan ay nangangahulugang "Mga Tagahanga ng Libreng Software." Ano ang mas mahusay na pangalan kaysa dito?.

root @ master: ~ # hostname
panginoon
root @ master: ~ # hostname -f
master.swl.fan

root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN default na link / loopback ng pangkat 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 sakop ng host lo valid_lft magpakailanman ginustong_lft magpakailanman inet6 :: 1/128 host ng saklaw valid_lft magpakailanman ginustong_lft magpakailanman 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 4c: 76: d9 brd ff: ff: ff: ff: ff: ff inet 192.168.10.5/24 brd 192.168.10.255 saklaw ng pandaigdigang eth0 valid_lft magpakailanman ginustong_lft magpakailanman inet6 fe80 :: 20c: 29ff: fe4c: 76d9 / 64 saklaw ng link valid_lft magpakailanman ginustong_lft magpakailanman

root @ master: ~ # cat /etc/resolv.conf 
maghanap swl.fan nameserver 127.0.0.1

Pag-install ng bind9, isc-dhcp-server at ntp

magbigkis9

root @ master: ~ # aptitude install bind9 bind9-doc nmap
root @ master: ~ # systemctl status bind9

root @ master: ~ # nano /etc/bind/named.conf
isama ang "/etc/bind/named.conf.options"; isama ang "/etc/bind/named.conf.local"; isama ang "/etc/bind/named.conf.default-zones";

root @ master: ~ # cp /etc/bind/named.conf.options \ /etc/bind/named.conf.options.original

root @ master: ~ # nano /etc/bind/named.conf.options
mga pagpipilian {direktoryo "/ var / cache / bind"; // Kung mayroong isang firewall sa pagitan mo at mga nameserver na nais mong kausapin //, maaaring kailanganin mong ayusin ang firewall upang payagan ang maraming // port na makipag-usap. Tingnan mo http://www.kb.cert.org/vuls/id/800113

        // Kung ang iyong ISP ay nagbigay ng isa o higit pang mga IP address para sa stable // nameservers, malamang na gusto mong gamitin ang mga ito bilang mga forwarder. // Uncomment ang sumusunod na bloke, at ipasok ang mga address na pinapalitan // ang placeholder ng lahat-0. // forwarders {// 0.0.0.0; //}; // =________________________________________________________ ==== $ // Kung nag-log ng mga mensahe ng error ang BIND tungkol sa pag-expire ng root key, // kakailanganin mong i-update ang iyong mga key. Tingnan mo https://www.isc.org/bind-keys
        // =________________________________________________________ = ==================== $ // Ayaw namin ng DNSSEC
        dnssec-paganahin ang hindi;
        // dnssec-validation auto; auth-nxdomain hindi; # sumunod sa RFC1035 makinig-sa-v6 {anuman; }; // Para sa mga tseke mula sa localhost at sysadmin // sa pamamagitan ng dig swl.fan axfr // Wala kaming Slave DNS ... hanggang ngayon
        payagan-ilipat ang {localhost; 192.168.10.1; };
}; root @ master: ~ # pinangalanang-checkconf

root @ master: ~ # nano /etc/bind/zones.rfcFreeBSD
// Shared Address Space (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 at 6303)
zone na "254.169.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IETF protocol assignments (RFCs 5735 at 5736)
zone na "0.0.192.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// TEST-NET- [1-3] para sa Dokumentasyon (RFCs 5735, 5737 at 6303)
zone na "2.0.192.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "100.51.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "113.0.203.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Halimbawa ng Saklaw para sa Dokumentasyon (RFC 3849 at 6303)
zone "8.bd0.1.0.0.2.ip6.arpa" {type master; file "/etc/bind/db.empty"; };

// Mga Pangalan ng Domain para sa Dokumentasyon at Pagsubok (BCP 32)
zone "test" {type master; file "/etc/bind/db.empty"; }; zone "halimbawa" {type master; file "/etc/bind/db.empty"; }; zone "invalid" {type master; file "/etc/bind/db.empty"; }; zone "example.com" {type master; file "/etc/bind/db.empty"; }; zone "example.net" {type master; file "/etc/bind/db.empty"; }; zone "example.org" {type master; file "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 at 5735)
zone na "18.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "19.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IANA Reserve - Old Class E Space (RFC 5735)
zone na "240.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "241.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "242.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "243.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "244.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "245.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "246.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "247.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "248.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "249.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "250.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "251.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "252.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "253.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "254.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Unassigned Address (RFC 4291)
zone "1.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "8.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "a.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "b.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "c.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "d.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "e.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "0.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "1.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "2.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "8.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "afip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "bfip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone na "0.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "1.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "2.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.efip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 at 6303)
zone "cfip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "dfip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Link Local (RFCs 4291 at 6303)
zone "8.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "aefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "befip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Deprecated Site-Local Address (RFCs 3879 at 6303)
zone "cefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "defip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "eefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "fefip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IP6.INT ay Deprecated (RFC 4159)
zone "ip6.int" {type master; file "/etc/bind/db.empty"; };

root @ master: ~ # nano /etc/bind/named.conf.local
// // Gumawa ng anumang lokal na pagsasaayos dito // // Isaalang-alang ang pagdaragdag ng mga 1918 zone dito, kung hindi ito ginamit sa iyong // samahan isama ang "/etc/bind/zones.rfc1918";
isama ang "/etc/bind/zones.rfcFreeBSD";

// Pagdeklara ng pangalan, uri, lokasyon, at pahintulot sa pag-update // ng mga DNS Record Zone // Parehong Mga Zone ay MASTER zone na "swl.fan" {type master; file "/var/lib/bind/db.swl.fan"; }; zone na "10.168.192.in-addr.arpa" {type master; file "/var/lib/bind/db.10.168.192.in-addr.arpa"; };

root @ master: ~ # pinangalanang-checkconf

root @ master: ~ # nano /var/lib/bind/db.swl.fan
$ TTL 3H @ SA SOA master.swl.fan. root.master.swl.fan. (1; serial 1D; refresh 1H; subukang muli ang 1W; mag-expire ng 3H); minimum o; Negatibong oras ng pag-cache upang mabuhay; @ SA NS master.swl.fan. @ SA MX 10 mail.swl.fan. @ SA A 192.168.10.5 @ IN TXT "Para sa Mga Tagahanga ng Libreng Software"; sysadmin IN A 192.168.10.1 fileserver IN A 192.168.10.4 master IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ SA SOA master.swl.fan. root.master.swl.fan. (1; serial 1D; i-refresh ang 1H; subukang muli ang 1W; mag-expire ng 3H); minimum o; Negatibong oras ng pag-cache upang mabuhay; @ SA NS master.swl.fan. ; 1 SA PTR sysadmin.swl.fan. 4 SA PTR fileserver.swl.fan. 5 SA PTR master.swl.fan. 6 SA PTR proxyweb.swl.fan. 7 SA PTR blog.swl.fan. 8 SA PTR ftpserver.swl.fan. 9 SA PTR mail.swl.fan.

root @ master: ~ # pinangalanang-checkzone swl.fan /var/lib/bind/db.swl.fan
zone swl.fan/IN: na-load ang serial 1 OK
root @ master: ~ # pinangalanang-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa
zone 10.168.192.in-addr.arpa/IN: na-load ang serial 1 OK

root @ master: ~ # pinangalanang-checkconf -zp
root @ master: ~ # systemctl restart bind9.service
root @ master: ~ # systemctl status bind9.service

Mga pagsusuri sa Bind9

root @ master: ~ # dig swl.fan axfr
root @ master: ~ # dig 10.168.192.in-addr.arpa axfr
root @ master: ~ # maghukay SA SOA swl.fan
ugat @ master: ~ # maghukay SA NS swl.fan
root @ master: ~ # dig IN MX swl.fan
root @ master: ~ # proxyweb host root @ master: ~ # nping --tcp -p 53 -c 3 localhost
root @ master: ~ # nping --udp -p 53 -c 3 localhost
root @ master: ~ # nping --tcp -p 53 -c 3 master.swl.fan
root @ master: ~ # nping --udp -p 53 -c 3 master.swl.fan
Simula sa Nping 0.6.47 ( http://nmap.org/nping ) sa 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl = 64 id = 20743 iplen = 28 SENT (1.0044s) UDP 192.168.10.5:53> 192.168.10.245 .53: 64 ttl = 20743 id = 28 iplen = 2.0060 SENT (192.168.10.5s) UDP 53:192.168.10.245> 53:64 ttl = 20743 id = 28 iplen = 3 Max rtt: N / A | Min rtt: N / A | Avg rtt: N / A Mga Raw packet na ipinadala: 84 (0B) | Rcvd: 0 (3B) | Nawala: 100.00 (1%) Nping tapos: 3.01 IP address na naka-ping sa XNUMX segundo 

isc-dhcp-server

root @ master: ~ # aptitude install ng isc-dhcp-server
root @ master: ~ # nano / etc / default / isc-dhcp-server
# Sa anong mga interface dapat maghatid ang DHCP server (dhcpd) ng mga kahilingan sa DHCP? # Paghiwalayin ang maraming mga interface sa mga puwang, hal. "Eth0 eth1".
INTERFACES = "eth0"

root @ master: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
ugat @ master: ~ # cat Kdhcp-key. +157 + 51777.pribado 
Pribadong-key-format: v1.3 Algorithm: 157 (HMAC_MD5) Susi: Ba9GVadq4vOCixjPN94dCQ == Mga Bits: AAA = Nilikha: 20170527133656 I-publish: 20170527133656 Iaktibo: 20170527133656

root @ master: ~ # nano dhcp.key
key dhcp-key {
        algorithm hmac-md5;
        lihim "Ba9GVadq4vOCixjPN94dCQ == ";
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ master: ~ # nano /etc/bind/named.conf.local
isama ang "/etc/bind/dhcp.key";

zone "swl.fan" {type master; file "/var/lib/bind/db.swl.fan";
        payagan-i-update ang {key dhcp-key; };
}; zone na "10.168.192.in-addr.arpa" {type master; file "/var/lib/bind/db.10.168.192.in-addr.arpa";
        payagan-i-update ang {key dhcp-key; };
};

root @ master: ~ # pinangalanang-checkconf

root @ master: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ master: ~ # nano /etc/dhcp/dhcpd.conf
pansamantalang istilo ng pag-update ng ddns; ddns-update sa; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; huwag pansinin ang mga pag-update ng client; update-optimization false; # Maaaring hilingin sa awtoridad ng Debian; pagpipilian ip-pagpapasa ng off; pagpipilian ng domain-name na "swl.fan"; isama ang "/etc/dhcp/dhcp.key"; zone swl.fan. {pangunahing 127.0.0.1; key dhcp-key; } zone 10.168.192.in-addr.arpa. {pangunahing 127.0.0.1; key dhcp-key; } ibinahaging-network redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {mga router ng pagpipilian 192.168.10.1; pagpipilian subnet-mask 255.255.255.0; pagpipilian broadcast-address 192.168.10.255; pagpipilian ng mga domain-name-server 192.168.10.5; pagpipilian netbios-name-server 192.168.10.5; pagpipilian ntp-server 192.168.10.5; pagpipilian ng mga time-server 192.168.10.5; saklaw 192.168.10.30 192.168.10.250; }}

ugat @ master: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Nakalaan ang lahat ng mga karapatan. Para sa impormasyon, pakibisita ang https://www.isc.org/software/dhcp/
I-configure ang file: /etc/dhcp/dhcpd.conf File database: /var/lib/dhcp/dhcpd.leases PID file: /var/run/dhcpd.pid

root @ master: ~ # systemctl restart bind9.service 
root @ master: ~ # systemctl status bind9.service 

root @ master: ~ # systemctl simulan ang isc-dhcp-server.service
root @ master: ~ # systemctl status isc-dhcp-server.service

ntp

root @ master: ~ # aptitude install ntp ntpdate
root @ master: ~ # cp /etc/ntp.conf /etc/ntp.conf.original
root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift statistics loopstats peertats clockstats filegen loopstats file loopstats type day paganahin ang filegen peertats file peertats type day paganahin ang filegen clockstats file clockstats type day paganahin ang server 192.168.10.1 paghigpitan -4 default kod notrap nomodify nopeer noquery restric -6 default kod notrap nomodify nopeer noquery restric 127.0.0.1 restric :: 1 broadcast 192.168.10.255

root @ master: ~ # systemctl restart ntp.service 
root @ master: ~ # systemctl status ntp.service
root @ master: ~ # ntpdate -u sysadmin.swl.fan
27 Mayo 10:04:01 ntpdate [18769]: ayusin ang server ng oras 192.168.10.1 offset 0.369354 sec

Mga pandaigdigang pagsusuri para sa ntp, bind9, at isc-dhcp-server

Mula sa isang Linux, BSD, Mac OS, o Windows client suriin kung ang oras ay na-synchronize nang tama. Na nakakakuha ito ng isang pabago-bagong IP address at na ang pangalan ng host na iyon ay nalulutas sa pamamagitan ng direkta at pabaliktad na mga query sa DNS. Baguhin ang pangalan ng customer at gawing muli ang lahat ng mga tseke. Huwag magpatuloy hangga't hindi ka nakakatiyak na ang mga serbisyo na na-install sa ngayon ay gumagana nang tama. Para sa isang bagay isinulat namin ang lahat ng mga artikulo tungkol sa DNS at DHCP sa Mga Network ng Computer para sa mga SME.

Pag-install ng NIS Server

root @ master: ~ # aptitude show nis
Mga salungatan sa: netstd (<= 1.26) Paglalarawan: mga kliyente at daemon para sa Network Information Service (NIS) Ang package na ito ay nagbibigay ng mga tool para sa pag-set up at pagpapanatili ng isang NIS domain. Ang NIS, na orihinal na kilala bilang Yellow Pages (YP), ay kadalasang ginagamit upang pahintulutan ang maraming mga machine sa isang network na ibahagi ang parehong impormasyon sa account, tulad ng password file.

root @ master: ~ # aptitude install nis
Pag-configure ng Package ┌─────────────────────────┤ Nis Configuration ├──────────────── ── │ │ Piliin ang "domain name" ng NIS para sa sistemang ito. Kung nais mo ang │ │ machine na ito ay maging isang kliyente lamang, dapat mong ipasok ang pangalan ng │ │ NIS domain na nais mong sumali. │ │ │ │ Bilang kahalili, kung ang machine na ito ay magiging isang NIS server, maaari kang magpasok ng isang bagong "domain name" ng NIS o ang pangalan ng isang mayroon nang NIS │ │ domain. │ │ │ │ NIS Domain: │ │ │ │ swl.fan ________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Maaantala nito ang iyo dahil ang pagsasaayos ng serbisyo ay hindi umiiral tulad ng. Mangyaring hintaying matapos ang proseso.

root @ master: ~ # nano / etc / default / nis
# Kami ba ay isang NIS server at kung gayon anong uri (mga halagang: huwad, alipin, master)?
NISSERVER = master

root @ master: ~ # nano /etc/ypserv.securenets # securenets Tinutukoy ng file na ito ang mga karapatan sa pag-access sa iyong NIS server # para sa mga kliyente ng NIS (at mga server ng alipin - ginagamit din ng ypxfrd ang # file na ito). Naglalaman ang file na ito ng mga pares ng netmask / network. # Ang isang IP address ng mga kliyente ay kailangang tumugma sa hindi bababa sa isa # sa mga iyon. # # Maaaring magamit ang salitang "host" sa halip na isang netmask ng # 255.255.255.255. Ang mga IP address lamang ang pinapayagan sa # file na ito, hindi mga hostname. # # Palaging payagan ang pag-access para sa localhost 255.0.0.0 127.0.0.0 # Ang linyang ito ay nagbibigay ng access sa lahat. Pakiayos lang! # 0.0.0.0 0.0.0.0
255.255.255.0 192.168.10.0

root @ master: ~ # nano / var / yp / Makefile # Dapat ba nating pagsamahin ang passwd file gamit ang shadow file? # MERGE_PASSWD = totoo | hindi totoo
MERGE_PASSWD = totoo

# Dapat ba nating pagsamahin ang file ng pangkat sa gshadow file? # MERGE_GROUP = totoo | hindi totoo
MERGE_GROUP = totoo

Binubuo namin ang NIS database

root @ master: ~ # / usr / lib / yp / ypinit -m
Sa puntong ito, kailangan naming bumuo ng isang listahan ng mga host na tatakbo sa mga server ng NIS. Ang master.swl.fan ay nasa listahan ng mga host ng NIS server. Mangyaring magpatuloy upang idagdag ang mga pangalan para sa iba pang mga host, isa bawat linya. Kapag tapos ka na sa listahan, i-type ang a . susunod na host upang idagdag: master.swl.fan susunod na host upang idagdag: Ang kasalukuyang listahan ng mga server ng NIS ay ganito ang hitsura: master.swl.fan Tama ba ito? [y / n: y] Kailangan namin ng ilang minuto upang maitayo ang mga database ... gumawa ng [1]: Ang pag-iwan ng direktoryo '/var/yp/swl.fan' master.swl.fan ay na-set up bilang isang NIS master server . Ngayon ay maaari mong patakbuhin ang ypinit -s master.swl.fan sa lahat ng server ng alipin.

root @ master: ~ # systemctl restart nis
root @ master: ~ # systemctl status nis

Nagdagdag kami ng mga lokal na gumagamit

root @ master: ~ # adduser bilbo
Pagdaragdag ng gumagamit `bilbo '... Pagdaragdag ng bagong pangkat` bilbo' (1001) ... Pagdaragdag ng bagong gumagamit` bilbo '(1001) kasama ang pangkat` bilbo' ... Lumilikha ng direktoryo sa bahay na `/ home / bilbo ' ... Pagkopya ng mga file mula sa `/ etc / skel '... Ipasok ang bagong password ng UNIX: I-type muli ang bagong password ng UNIX: passwd: na-update nang tama ang password Ang pagbabago ng impormasyon ng gumagamit para sa bilbo Ipasok ang bagong halaga, o pindutin ang ENTER upang magamit ang default Buong Pangalan []: Bilbo Bagins Room Number []: Telepono sa Trabaho []: Telepono sa Bahay []: Iba pa []: Tama ba ang impormasyon? [Y / n]

root @ master: ~ # adduser strides root @ master: ~ # adduser legolas

at iba pa.

root @ master: ~ # mga legolas ng daliri
Pag-login: legolas Pangalan: Direktoryo ng Legolas Archer: / home / legolas Shell: / bin / bash Huwag kailanman naka-log in. Walang mail. Walang plano.

Ina-update namin ang database ng NIS

root @ master: / var / yp # gumawa
gumawa ng [1]: Pagpasok ng direktoryo '/var/yp/swl.fan' Ina-update ang passwd.byname ... Ina-update ang passwd.byuid ... Ina-update ang group.byname ... Ina-update ang group.bygid ... Ina-update netid.byname. .. Ina-update ang shadow.byname ... Hindi pinansin -> isinama sa passwd make [1]: Aalis na direktoryo '/var/yp/swl.fan'

Nagdagdag kami ng mga pagpipilian ng NIS sa isc-dhcp-server

root @ master: ~ # nano /etc/dhcp/dhcpd.conf
pansamantalang istilo ng pag-update ng ddns; ddns-update sa; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; huwag pansinin ang mga pag-update ng client; update-optimization false; may kapangyarihan; pagpipilian ip-pagpapasa ng off; pagpipilian ng domain-name na "swl.fan"; isama ang "/etc/dhcp/dhcp.key"; zone swl.fan. {pangunahing 127.0.0.1; key dhcp-key; } zone 10.168.192.in-addr.arpa. {pangunahing 127.0.0.1; key dhcp-key; } ibinahaging-network redlocal {subnet 192.168.10.0 netmask 255.255.255.0 {mga router ng pagpipilian 192.168.10.1; pagpipilian subnet-mask 255.255.255.0; pagpipilian broadcast-address 192.168.10.255; pagpipilian ng mga domain-name-server 192.168.10.5; pagpipilian netbios-name-server 192.168.10.5; pagpipilian ntp-server 192.168.10.5; pagpipilian ng mga time-server 192.168.10.5;
                pagpipilian nis-domain na "swl.fan";
                pagpipilian nis-server 192.168.10.5;
                saklaw 192.168.10.30 192.168.10.250; }}

ugat @ master: ~ # dhcpd -t
root @ master: ~ # systemctl restart isc-dhcp-server.service

Pag-install ng NIS Client

• Nagsisimula kami mula sa isang malinis na pag-install -Walang grapikong interface- ng isang Debian 8 "Jessie".

ugat @ mail: ~ # hostname -f
mail.swl.fan

root @ mail: ~ # ip addr
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.9/24 brd 192.168.10.255 saklaw ng pandaigdigang eth0

root @ mail: ~ # aptitude install nis
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Configuration file para sa proseso ng ypbind. Maaari mong tukuyin ang manu-manong mga server ng # NIS dito kung hindi sila matagpuan sa pamamagitan ng # pag-broadcast sa lokal na net (na kung saan ay ang default). # # Tingnan ang manu-manong pahina ng ypbind para sa syntax ng file na ito. # # MAHALAGA: Para sa "ypserver", gumamit ng mga IP address, o tiyakin na ang # host ay nasa / etc / host. Ang file na ito ay binibigyang kahulugan lamang ng # isang beses, at kung ang DNS ay hindi maaabot pa hindi masolusyunan ang ypserver at hindi kailanman magbubuklod ang ypbind sa server. # ypserver ypserver.network.com ypserver master.swl.fan domain swl.fan

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Halimbawa ng pagsasaayos ng pagpapaandar ng Pangalan ng Serbisyo ng GNU. # Kung mayroon kang naka-install na mga pakete na `glibc-doc-reference 'at` info', subukan: #` info libc "Pangalan ng Serbisyo sa Paglipat" 'para sa impormasyon tungkol sa file na ito. passwd: compat nis group: compat nis shadow: compat nis gshadow: files host: files dns nis network: files protocol: db files services: db files ethers: db files rpc: db files netgroup: nis

root @ mail: ~ # nano /etc/pam.d/common-session
# pam-auth-update (8) para sa mga detalye.
opsyonal na session ng pam_mkhomedir.so skel = / etc / skel umask = 077
# Narito ang mga module na per-package (ang "Pangunahin" na bloke)

root @ mail: ~ # systemctl status nis
root @ mail: ~ # systemctl restart nis

Isinasara namin ang sesyon at sinisimulan itong muli ngunit may isang gumagamit na nakarehistro sa database ng NIS sa master.swl.fan.

root @ mail: ~ # exit
logout Koneksyon sa mail sarado.

buzz @ sysadmin: ~ $ ssh legolas @ mail
password ni legolas @ mail: Lumilikha ng direktoryo '/ home / legolas'. Ang mga program na kasama sa Debian GNU / Linux system ay libreng software; ang eksaktong mga term ng pamamahagi para sa bawat programa ay inilarawan sa mga indibidwal na mga file sa / usr / share / doc / * / copyright. Ang Debian GNU / Linux ay may ganap na WALANG WARRANTY, sa lawak na pinapayagan ng naaangkop na batas.
legolas @ mail: ~ $ pwd
/ bahay / legolas
legolas @ mail: ~ $ 

Binabago namin ang password ng gumagamit ng legolas at suriin

legolas @ mail: ~ $ yppasswd 
Ang pagbabago ng impormasyon ng account ng NIS para sa legolas sa master.swl.fan. Mangyaring ipasok ang lumang password: legolas Pagbabago ng password ng NIS para sa legolas sa master.swl.fan. Mangyaring maglagay ng bagong password: mamamana Ang password ay dapat mayroong parehong mga pang-itaas at maliit na titik, o di-titik. Mangyaring ipasok ang bagong password: Arquero2017 Mangyaring muling i-type ang bagong password: Arquero2017 Ang NIS password ay binago sa master.swl.fan.

legolas @ mail: ~ $ exit
logout Koneksyon sa mail sarado.

buzz @ sysadmin: ~ $ ssh legolas @ mail
password ni legolas @ mail: Arquero2017

Ang mga program na kasama sa Debian GNU / Linux system ay libreng software; ang eksaktong mga term ng pamamahagi para sa bawat programa ay inilarawan sa mga indibidwal na mga file sa / usr / share / doc / * / copyright. Ang Debian GNU / Linux ay may ganap na WALANG WARRANTY, sa lawak na pinapayagan ng naaangkop na batas. Huling pag-login: Sat May 27 12:51:50 2017 mula sa sysadmin.swl.fan
legolas @ mail: ~ $

Ang Serbisyo ng NIS na ipinatupad sa server at antas ng kliyente ay gumagana nang tama.

LDAP

Mula sa Wikipedia:

• Ang LDAP ay ang akronim para sa Lightweight Directory Access Protocol (sa Spanish Lightweight / Simplified Directory Access Protocol) na tumutukoy sa isang application-level na proteksyon na nagbibigay-daan sa pag-access sa isang order at ipinamigay na serbisyo ng direktoryo upang maghanap ng iba't ibang impormasyon sa isang network sa kapaligiran. Ang LDAP ay isinasaalang-alang din bilang isang database (kahit na ang sistema ng pag-iimbak ay maaaring magkakaiba) na maaaring ma-queried.Ang isang direktoryo ay isang hanay ng mga bagay na may mga katangian na nakaayos sa isang lohikal at hierarchical na paraan. Ang pinakakaraniwang halimbawa ay ang direktoryo ng telepono, na binubuo ng isang serye ng mga pangalan (tao o samahan) na nakaayos ayon sa alpabeto, na ang bawat pangalan ay mayroong isang address at isang numero ng telepono na nakakabit dito. Upang maunawaan nang mas mabuti, ito ay isang libro o folder, kung saan nakasulat ang mga pangalan, numero ng telepono at address ng mga tao, at inaayos ito ayon sa alpabeto.

  Ang isang puno ng direktoryo ng LDAP kung minsan ay sumasalamin ng iba't ibang mga hangganan sa politika, heyograpiya, o pang-organisasyon, depende sa napiling modelo. Ang mga kasalukuyang pag-deploy ng LDAP ay may posibilidad na gumamit ng mga pangalan ng Domain Name System (DNS) upang maitayo ang mas mataas na antas ng hierarchy. Sa iyong pag-scroll pababa sa direktoryo, maaaring lumitaw ang mga entry na kumakatawan sa mga tao, mga yunit ng organisasyon, printer, dokumento, pangkat ng mga tao, o anumang kumakatawan sa isang ibinigay na entry sa puno (o maraming mga entry).

  Karaniwan, nag-iimbak ito ng impormasyon sa pagpapatotoo (gumagamit at password) at ginagamit upang patunayan, kahit na posible na mag-imbak ng iba pang impormasyon (data ng contact sa gumagamit, lokasyon ng iba't ibang mga mapagkukunan sa network, mga pahintulot, sertipiko, atbp.). Bilang buod, ang LDAP ay isang pinag-isang access protocol sa isang hanay ng impormasyon sa isang network.

  Ang kasalukuyang bersyon ay LDAPv3, at tinukoy sa RFCs RFC 2251 at RFC 2256 (LDAP base document), RFC 2829 (paraan ng pagpapatotoo para sa LDAP), RFC 2830 (extension para sa TLS), at RFC 3377 (pantukoy sa teknikal)

  .

Matagal na, ang LDAP protocol - at mga database nito na katugma o hindi sa OpenLDAP - ang pinaka ginagamit sa karamihan ng mga system ng pagpapatotoo ngayon. Bilang isang halimbawa ng nakaraang pahayag, binibigyan namin sa ibaba ang ilang mga pangalan ng system -Free o Pribado- na gumagamit ng mga database ng LDAP bilang backend upang maiimbak ang lahat ng kanilang mga object:

• OpenLDAP
• Server ng Direktoryo ng Apache
• Red Hat Directory Server - 389 DS
• Mga Serbisyo ng Direktoryo ng Novell - eDirectory
• SUN Microsystem Buksan ang DS
• Red Hat Identity Manager
• LibrengIPA
• Samba NT4 Classic Domain Controller.
  Nais naming linawin na ang sistemang ito ay isang pag-unlad ng Team Samba kasama ang Samba 3.xxx + OpenLDAP bilang backend. Hindi kailanman ipinatupad ng Microsoft ang anumang katulad nito. Tumalon mula sa NT 4 Mga Controllers ng Domain sa kanilang mga Aktibong Direktoryo
• Samba 4 Aktibong Direktoryo - Domain Controler
• ClearOS
• zentyal
• UCS Univention Corporate Server
• Microsoft Directory na Aktibo

Ang bawat pagpapatupad ay may sariling mga katangian, at ang pinaka pamantayan at katugma ay ang OpenLDAP.

Ang Aktibong Direktoryo, maging ang orihinal mula sa Microsoft o ang mula sa Samba 4, ay bumubuo ng isang unyon ng maraming pangunahing mga sangkap na:

• Pasadyang LDAP ng parehong Microsoft at Samba.
• Domain ng Microsoft Windows o Windows domain. Karaniwan ito ay ang Microsoft Network.
• Controller ng Microsoft Domain o Domain Controller.
• Ang Kerberos ay na-customize ng parehong Microsoft at Samba.

Hindi tayo dapat malito a Serbisyo ng Direktoryo o Serbisyo ng Direktoryo na may a Active Directory o Aktibong Direktoryo. Ang nauna ay maaaring o hindi maaaring mag-host ng pagpapatunay ng Kerberos, ngunit hindi sila nag-aalok ng serbisyo sa Microsoft Network na ibinibigay ng isang Windows Domain, o mayroon din silang isang Windows Domain Controller tulad nito.

Maaaring magamit ang isang Serbisyo sa Direktoryo o Serbisyo sa Direktoryo upang patunayan ang mga gumagamit sa isang magkahalong network sa mga kliyente ng UNIX / Linux at Windows. Para sa huli, dapat na mai-install ang isang programa sa bawat kliyente na gumaganap bilang tagapamagitan sa pagitan ng Serbisyo ng Direktoryo at mismo ng Windows client, tulad ng Libreng Software. pahina.

Serbisyo sa Direktoryo na may OpenLDAP

• Nagsisimula kami mula sa isang malinis na pag-install -Walang grapikong interface- ng isang Debian 8 "Jessie", na may parehong pangalan ng machine na "master" na ginamit para sa pag-install ng NIS, pati na rin ang pagsasaayos ng interface ng network nito at ang /etc/resolv.conf file. Na-install namin ang ntp, bind9 at isc-dhcp-server para sa bagong server na ito, nang hindi nalilimutan ang pandaigdigang mga pagsusuri ng wastong pagpapatakbo ng tatlong nakaraang serbisyo.

root @ master: ~ # aptitude install slapd ldap-utils

Pag-configure ng package

.. Slapd pagsasaayos ├─────────────────────┐ │ Ipasok ang password para sa entry ng administrator ng iyong LDAP │ AP na direktoryo. │ │ │ │ Administrator password: │ │ │ │ ******** _________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────┘

Sinusuri namin ang paunang pagsasaayos

root @ master: ~ # slapcat
dn: dc = swl, dc = fan
objectClass: top objectClass: dcObject objectClass: samahan o: swl.fan dc: swl istrukturaObjectClass: entry ng samahanUUID: c8510708-da8e-1036-8fe1-71d022a16904 mga tagalikhaName: cn = admin, dc = swl, dc = fan entry createTimestamp20170531205219: 20170531205219.833955im Z # 000000 # 000 # 000000 modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: 20170531205219Z

dn: cn = admin, dc = swl, dc = fan
objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin paglalarawan: LDAP administrator userPassword :: e1NTSEF9emJNSFU1R3l2OWVEN0pmTmlYOVhKSUF4ekY1bU9YQXc = structuralObjectClass: organizationalRole entryUUID: c851178e- da8fe1036e entrySw8d-da2fe71 entrySw022c16904e-da20170531205219fe20170531205219.834422e-000000 entrySw000e-da000000fe20170531205219e = entrySXNUMX entrySwXNUMXe-daXNUMXfeXNUMXeXNUMXpmTmlYOVhKSUXNUMX entrySXNUMXe-XNUMXe-entry = cXNUMXe XNUMX Z # XNUMX # XNUMX # XNUMX modifiersName: cn = admin, dc = swl, dc = fan modifyTimestamp: XNUMXZ

Binabago namin ang file /etc/ldap/ldap.conf

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI    ldap: // localhost

Mga Yunit ng Organisasyon at pangkalahatang pangkat ng «mga gumagamit»

Nagdagdag kami ng minimum na kinakailangang Mga Yunit ng Organisasyon, pati na rin ang pangkat ng Posix «mga gumagamit» kung saan gagawin naming miyembro ang lahat ng mga gumagamit, kasunod sa halimbawa ng maraming mga system na mayroong pangkat «gumagamit«. Itinalaga namin ito sa pangalan ng «mga gumagamit» upang hindi makapasok sa mga posibleng salungatan sa pangkat «gumagamit"ng system.

ugat @ master: ~ # nano base.ldif
dn: ou = people, dc = swl, dc = fan objectClass: organisationalUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organisationalUnit ou: mga grupo dn: cn = mga gumagamit, ou = mga pangkat, dc = swl, dc = fan objectClass: posixGroup cn: mga gumagamit gidNumber: 10000

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Ipasok ang LDAP Password: pagdaragdag ng bagong entry na "ou = people, dc = swl, dc = fan" na nagdaragdag ng bagong entry na "ou = mga pangkat, dc = swl, dc = fan"

Sinusuri namin ang mga idinagdag na entry

root @ master: ~ # ldapsearch -x ou = mga tao
# people, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organisationalUnit ou: people

root @ master: ~ # ldapsearch -x ou = mga pangkat
# mga pangkat, swl.fan dn: ou = mga grupo, dc = swl, dc = fan objectClass: organisationalUnit ou: mga pangkat

root @ master: ~ # ldapsearch -x cn = mga gumagamit
# mga gumagamit, pangkat, swl.fan dn: cn = mga gumagamit, ou = mga pangkat, dc = swl, dc = fan objectClass: posixGroup cn: mga gumagamit gidNumber: 10000

Nagdagdag kami ng maraming mga gumagamit

Ang password na dapat nating ideklara sa LDAP ay dapat makuha sa pamamagitan ng utos slappasswd, na nagbabalik ng naka-encrypt na password ng SSHA.

Ang password para sa mga hakbang ng gumagamit:

root @ master: ~ # slappasswd 
Bagong password: Muling maglagay ng bagong password: 
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp

Ang password para sa legolas ng gumagamit

root @ master: ~ # slappasswd 
Bagong password: Muling maglagay ng bagong password: 
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD

Password para sa gumagamit gandalf

root @ master: ~ # slappasswd 
Bagong password: Muling maglagay ng bagong password: 
{SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u

root @ master: ~ # nano mga gumagamit.ldif
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: strides cn: strides ibinigayName: Strides sn: El Rey userPassword: {SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
uidNumber: 10000 gidNumber: 10000 mail: striders@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: legolas cn: legolas ibinigayName : Legolas sn: Archer userPassword: {SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
uidNumber: 10001 gidNumber: 10000 mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gandalf cn: gandalf givenName: Gandalf sn: Ang gumagamit ng WizardPassword: {SSHA} oIVFelqv8WIxJ40r12lnh3bp + SXGbV + u
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
gecos: Gandalf The Wizard loginShell: / bin / bash homeDirectory: / home / gandalf

root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f mga gumagamit.ldif
Ipasok ang LDAP Password: pagdaragdag ng bagong entry na "uid = strides, ou = people, dc = swl, dc = fan" pagdaragdag ng bagong entry na "uid = legolas, ou = people, dc = swl, dc = fan" na nagdaragdag ng bagong entry na "uid = gandalf, ou = people, dc = swl, dc = fan "

Sinusuri namin ang mga idinagdag na entry

root @ master: ~ # ldapsearch -x cn = strides
root @ master: ~ # ldapsearch -x uid = strides

Pinamamahalaan namin ang database ng slpad na may mga kagamitan sa console

Pinipili namin ang package ldapscripts para sa ganoong gawain. Ang pamamaraan ng pag-install at pagsasaayos ay ang mga sumusunod:

root @ master: ~ # aptitude install ldapscripts
 
root @ master: ~ # mv /etc/ldapscripts/ldapscripts.conf \
/etc/ldapscripts/ldapscripts.conf.original
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDemium = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = swl, dc = fan' GSUFFIX = 'ou = groups' USUFFIX = 'ou = people' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10003 # MIDSTART = 10000 # OpenLDAP client Command LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEBIN = " / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGroup "# etcEMPL etc. /ldapadduser.template "PASSWORDGEN =" echo% u "

Pansinin na ginagamit ng mga script ang mga command sa package ldap-utils. Takbo dpkg -L ldap-utils | grep / basurahan para malaman kung ano sila

root @ master: ~ # sh -c "echo -n 'admin-password'> \
/etc/ldapscripts/ldapscripts.passwd "
 
root @ master: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd
 
root @ master: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
 
root @ master: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: ibinigay na pangalan: sn: displayName: uidNumber: gidNumber: 10000 homeDirectory: loginShell: mail: @ swl.fan geckos: paglalarawan: User Account
 
root @ master: ~ # nano /etc/ldapscripts/ldapscripts.conf
## inalis namin ang komento UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Idagdag ang gumagamit na "bilbo" at gawin siyang kasapi ng pangkat na "mga gumagamit"

root @ master: ~ # ldapadduser mga gumagamit ng bilbo
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] Ipasok ang halaga para sa "givenName": Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Ipasok ang halaga para sa " sn ": Bagins [dn: uid = bilbo, ou = people, dc = swl, dc = fan] Ipasok ang halaga para sa" displayName ": Matagumpay na naidagdag ng Bilbo Bagins ang user bilbo sa LDAP Matagumpay na naitakda ang password para sa bilbo ng gumagamit

root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, people, swl.fan dn: uid = bilbo, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: bilbo cn: bilbo ibinigayName: Bilbo sn: Bagins displayName: Bilbo Bagins uidNumber: 10003 gidNumber: 10000 homeDirectory: / home / bilbo loginShell: / bin / bash mail: bilbo@swl.fan
gecos: paglalarawan ng bilbo: User Account

Upang makita ang hash ng password ng gumagamit ng bilbo, kinakailangan upang maisagawa ang query na may pagpapatotoo:

root @ master: ~ # ldapsearch -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo

Upang matanggal ang gumagamit ng bilbo na isinasagawa namin:

root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
Ipasok ang LDAP Password:

root @ master: ~ # ldapsearch -x uid = bilbo

Pinamamahalaan namin ang slapd database sa pamamagitan ng isang web interface

Mayroon kaming isang functional Directory Service, at nais naming pamahalaan ito nang mas madali. Maraming mga programa na idinisenyo para sa gawaing ito, tulad ng phpldapadmin, ldap-account-manager, atbp., na magagamit nang direkta mula sa mga repository. Maaari rin naming pamahalaan ang isang Serbisyo sa Direktoryo sa pamamagitan ng Studio ng Direktoryo ng Apache, na dapat nating i-download mula sa Internet.

Para sa karagdagang impormasyon, mangyaring bisitahin ang https://blog.desdelinux.net/ldap-introduccion/, at ang mga sumusunod na 6 na artikulo.

Kliyente ng LDAP

Yugto:

Sabihin na mayroon kaming koponan mail.swl.fan bilang isang mail server na ipinatupad tulad ng nakita natin sa artikulo Postfix + Dovecot + Squirrelmail at mga lokal na gumagamit, na bagaman binuo sa CentOS, maaaring magsilbing gabay para sa Debian at maraming iba pang mga distro ng Linux. Nais namin iyon, bilang karagdagan sa mga lokal na gumagamit na naideklara na namin, ang mga gumagamit na nakaimbak sa OpenLDAP database na mayroon na master.swl.fan. Upang makamit ito kailangan nating «mapa sa labas»Sa mga gumagamit ng LDAP bilang mga lokal na gumagamit sa server mail.swl.fan. Ang solusyon na ito ay may bisa din para sa anumang serbisyo batay sa pagpapatotoo ng PAM. Ang pangkalahatang pamamaraan para sa Debian, ay ang sumusunod:

root @ mail: ~ # aptitude install libnss-ldap libpam-ldap ldap-utils

  ┌────────────────────┤ Pag-configure ng libnss-ldap ├─────────────────────┐ │ Ipasok ang URI ("Uniform Resource Identifier", o │ │ Uniform Resource Identifier) ​​ng LDAP server. Ang string na ito ay katulad ng │ │ «ldap: //: / ». Maaari mo ring │ │ gumamit ng «ldaps: // » o "ldapi: //". Ang numero ng port ay opsyonal. │ │ │ │ Inirerekumenda na gumamit ng isang IP address upang maiwasan ang pagkabigo kapag ang mga serbisyo ng domain name estén │ ay hindi magagamit. │ │ │ │ LDAP server URI: │ │ │ │ ldap: //master.swl.fan________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌───────────────────── ┤ Pag-configure ng libnss-ldap ├──────────────────────┐ │ Ipasok ang kilalang pangalan (DN) ng batayan sa paghahanap ng LDAP. Maraming mga site ang gumagamit ng mga bahagi ng pangalan ng domain para sa hangaring ito. Halimbawa, ang domain na "example.net" ay gagamit ng │ │ "dc = halimbawa, dc = net" bilang kilalang pangalan ng base sa paghahanap. │ │ │ │ Ang kilalang pangalan (DN) ng base ng paghahanap: │ │ │ │ dc = swl, dc = tagahanga________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libnss-ldap ├──────────────────────┐ │ Ipasok ang bersyon ng LDAP protocol na dapat gamitin ng ldapns. Inirerekumenda na gamitin ang pinakamataas na bilang ng bersyon na magagamit. │ │ │ │ bersyon ng LDAP na gagamitin: │ │ │ │                                     3                                     │ │ 2 │ │ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libnss-ldap ├──────────────────────┐ │ Piliin kung aling account ang gagamitin para sa mga nss query na may │ │ root pribilehiyo. │ │ │ │ Tandaan: Upang gumana ang opsyong ito, kailangan ng account ang mga pahintulot upang ma-access ang mga katangiang LDAP na nauugnay sa mga entry na "anino" ng gumagamit pati na rin ang mga password ng mga gumagamit at mga pangkat na │ │ . │ │ │ │ LDAP account para sa root: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libnss-ldap ├─────────────────────┐ │ Ipasok ang password na gagamitin kapag sinusubukan ng libnss-ldap na │ │ patunayan sa direktoryo ng LDAP na may root na LDAP account. │ │ │ │ Ang password ay nai-save sa isang hiwalay na file na │ │ ("/etc/libnss-ldap.secret") na root lamang ang maaaring mag-access. │ │ │ │ Kung nagpasok ka ng isang walang laman na password, muling gagamitin ang lumang password. │ │ │ │ Ang password para sa root na LDAP account: │ │ │ │ ******** ________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌──────────────────── ─┤ Pag-configure ng libnss-ldap ├──────────────────────┐ │ │ │ nsswitch.conf ay hindi awtomatikong pinamamahalaan │ │ │ │ Dapat mong baguhin ang iyong file na "/etc/nsswitch.conf "upang magamit ang isang LDAP datasource kung nais mong gumana ang libnss-ldap package. │ │ Maaari mong gamitin ang halimbawang file na │ │ sa "/usr/share/doc/libnss-ldap/examples/nsswitch.ldap" bilang isang halimbawa ng pagsasaayos ng nsswitch o │ │ maaari mo itong kopyahin sa iyong kasalukuyang pagsasaayos. │ │ │ │ Tandaan na bago alisin ang package na ito maaari itong maginhawa upang │ │ alisin ang mga "ldap" na mga entry mula sa nsswitch.conf file upang ang mga pangunahing serbisyo na │ │ ay patuloy na gagana. │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libpam-ldap ├──────────────────────┐ │ │ │ Pinapayagan ng pagpipiliang ito ang mga tool sa password na gumagamit ng PAM upang baguhin ang mga lokal na password. │ │ │ │ Ang password para sa LDAP administrator account ay itatabi sa isang hiwalay na file na that │ na mababasa lamang ng administrator. │ │ │ │ Ang pagpipiliang ito ay dapat hindi paganahin, kung ang mounting "/ atbp" sa pamamagitan ng NFS. │ │ │ │ Nais mo bang payagan ang LDAP administrator account na kumilos bilang │ │ ang lokal na administrator? │ │ │ │                                            │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libpam-ldap │ │ │ │ Piliin kung pipilitin ng server ng LDAP ang pagkakakilanlan bago makakuha ng mga entrada │ na mga entry. │ │ │ │ Ang setting na ito ay bihirang kinakailangan. │ │ │ │ Kailangan ba ng isang gumagamit na mag-access sa database ng LDAP? │ │ │ │                                               │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libpam-ldap ├──────────────────────┐ │ Ipasok ang pangalan ng LDAP administrator account. │ │ │ │ Ang account na ito ay awtomatikong gagamitin para sa pamamahala ng database │ │ kaya dapat magkaroon ito ng naaangkop na mga pribilehiyong pang-administratibo. │ │ │ │ LDAP administrator account: │ │ │ │ cn = admin, dc = swl, dc = fan ___________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ┌─────────────────── ──┤ Pag-configure ng libpam-ldap ├──────────────────────┐ │ Ipasok ang password para sa administrator account. │ │ │ │ Ang password ay nai-save sa file na "/etc/pam_ldap.secret". Ang administrator ng │ │ ay magiging isa lamang na makakabasa ng file na ito, at papayagan ang │ │ libpam-ldap na awtomatikong kontrolin ang pamamahala ng mga koneksyon sa │ │ database. │ │ │ │ Kung iiwan mong blangko ang patlang na ito, ang dating nai-save na password │ │ ay gagamitin muli. │ │ │ │ password ng administrator ng LDAP: │ │ │ │ ******** _________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Halimbawa ng pagsasaayos ng pagpapaandar ng Pangalan ng Serbisyo ng GNU. # Kung mayroon kang naka-install na mga pakete na `glibc-doc-reference 'at` info', subukan: #` info libc "Pangalan ng Serbisyo sa Paglipat" 'para sa impormasyon tungkol sa file na ito. passwd: compat ldap
pangkat: compat ldap
anino: compat ldap
gshadow: nagho-host ang mga file: mga file dns network: mga file ng mga protokol: mga serbisyo ng mga file ng db: mga db file na ether: db file rpc: db files netgroup: nis

I-edit natin ang file /etc/pam.d/common-password, pupunta kami sa linya 26 at aalisin ang halaga «use_authtok":

root @ mail: ~ # nano /etc/pam.d/common-password
# # /etc/pam.d/common-password - mga module na nauugnay sa password na karaniwang sa lahat ng mga serbisyo # # Ang file na ito ay kasama mula sa iba pang mga file na PAM config na tukoy sa serbisyo, # at dapat maglaman ng isang listahan ng mga module na tumutukoy sa mga serbisyong dapat # ginamit upang baguhin ang mga password ng gumagamit. Ang default ay pam_unix. # Paliwanag ng mga pagpipilian ng pam_unix: # # Ang pagpipiliang "sha512" ay nagbibigay-daan sa inasnan na mga password ng SHA512. Nang walang pagpipiliang ito, # ang default ay Unix crypt. Ginamit ng paunang paglabas ang pagpipiliang "md5". # # Ang opsyong "nakakubli" ay pinapalitan ang lumang pagpipiliang `OBSCURE_CHECKS_ENAB 'sa # login.defs. # # Tingnan ang pam_unix manpage para sa iba pang mga pagpipilian. # Tulad ng pam 1.0.1-6, ang file na ito ay pinamamahalaan ng pam-auth-update bilang default. # Upang samantalahin ito, inirerekumenda na i-configure mo ang anumang # lokal na mga module alinman sa bago o pagkatapos ng default na bloke, at gamitin ang # pam-auth-update upang pamahalaan ang pagpili ng iba pang mga module. Tingnan ang # pam-auth-update (8) para sa mga detalye. # narito ang mga module na per-package (ang "Pangunahing" block) password [tagumpay = 2 default = huwag pansinin] pam_unix.so obscure sha512
password [tagumpay = 1 user_unknown = huwag pansinin ang default = mamatay] pam_ldap.so try_first_pass
# narito ang fallback kung walang modyul na magtagumpay sa kinakailangang password pam_deny.so # prime ang stack na may positibong halaga ng pagbabalik kung wala na; # iniiwasan kami na bumalik ng isang error dahil lamang sa walang nagtatakda ng isang tagumpay code # dahil ang mga module sa itaas ay bawat isa ay tumalon sa paligid ng kinakailangang password pam_permit.so # at narito ang higit pang mga module na per-package (ang "Karagdagang" bloke) # pagtatapos ng pam- auth-update config

Kung sakaling kailangan natin ang Local Login ng mga gumagamit na nakaimbak sa LDAP, at nais naming awtomatikong malikha ang kanilang mga folder bahay, dapat nating i-edit ang file /etc/pam.d/common-session at idagdag ang sumusunod na linya sa dulo ng file:

opsyonal na session ng pam_mkhomedir.so skel = / etc / skel umask = 077

Sa halimbawa ng Serbisyo sa Direktoryo ng OpenLDAP na binuo nang mas maaga, ang nag-iisang lokal na gumagamit na nilikha ay ang gumagamit buzz, habang nasa LDAP nilikha namin ang mga gumagamit hakbang, Legolas, gandalf, At pampaang posas. Kung ang mga pagsasaayos na ginawa sa ngayon ay tama, dapat na nakalista namin ang mga lokal na gumagamit at ang mga nai-map bilang lokal ngunit nakaimbak sa remote na server ng LDAP:

root @ mail: ~ # makakuha ng passwd 
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Mga hakbang: x: 10000: 10000: Strides El Rey: / home / strides: / bin / bash
legolas: x: 10001: 10000: Legolas Archer: / home / legolas: / bin / bash
gandalf: x: 10002: 10000: Gandalf The Wizard: / home / gandalf: / bin / bash
bilbo: x: 10003: 10000: bilbo: / home / bilbo: / bin / bash

Matapos ang mga pagbabago sa pagpapatotoo ng system, wasto na i-restart ang server kung hindi man ay nakaharap kami sa isang kritikal na serbisyo:

root @ mail: ~ # reboot

Mamaya nagsisimula kami ng isang lokal na sesyon sa server mail.swl.fan kasama ang mga kredensyal ng isang gumagamit na nakaimbak sa database ng LDAP ng master.swl.fan. Maaari din nating subukang mag-log in sa pamamagitan ng SSH.

buzz @ sysadmin: ~ $ ssh gandalf @ mail
password ni gandalf @ mail: Lumilikha ng direktoryo '/ home / gandalf'. Ang mga program na kasama sa Debian GNU / Linux system ay libreng software; ang eksaktong mga term ng pamamahagi para sa bawat programa ay inilarawan sa mga indibidwal na mga file sa / usr / share / doc / * / copyright. Ang Debian GNU / Linux ay may ganap na WALANG WARRANTY, sa lawak na pinapayagan ng naaangkop na batas.
gandalf @ mail: ~ $ su
Password:

root @ mail: / home / gandalf # getent group
buzz: x: 1001: mga gumagamit: *: 10000:

root @ mail: / home / gandalf # exit
lumabas

gandalf @ mail: ~ $ ls -l / home /
kabuuang 8 drwxr-xr-x 2 buzz buzz     4096 Hun 17 12:25 buzz drwx ------ 2 mga gumagamit ng gandalf 4096 Hun 17 13:05 gandalf

Ang Direktoryo ng Serbisyo na ipinatupad sa antas ng server at client, gumagana nang tama.

Kerberos

Mula sa Wikipedia:

• Ang Kerberos ay isang computer network authentication protocol na nilikha ng MIT na nagpapahintulot sa dalawang computer sa isang hindi secure na network na ligtas na mapatunayan ang kanilang pagkakakilanlan sa bawat isa. Ang mga tagadisenyo nito ay unang nakatuon sa isang modelo ng client-server, at nagbibigay ito ng kapwa pagpapatotoo: ang parehong client at server ay nagpapatunay ng pagkakakilanlan ng bawat isa. Protektado ang mga mensahe ng pagpapatotoo upang maiwasan humihinto y pag-atake ng replay.
  
  Ang Kerberos ay batay sa simetriko key cryptography at nangangailangan ng isang pinagkakatiwalaang third party. Bukod dito, may mga extension sa protocol upang magamit ang asymmetric key cryptography.
  
  Ang Kerberos ay batay sa Protokol ng Needham-Schroeder. Gumagamit ito ng isang pinagkakatiwalaang third party, na tinawag na isang "Key Distribution Center" (KDC), na binubuo ng dalawang magkakahiwalay na mga lohikal na bahagi: isang "Authentication Server" (AS o Authentication Server) at isang «ticket isyu ng server» (TGS o Ticket Granting Server ). Gumagawa ang Kerberos batay sa "mga tiket", na nagsisilbing patunayan ang pagkakakilanlan ng mga gumagamit.
  
  Pinananatili ni Kerberos ang isang database ng mga lihim na susi; Ang bawat nilalang sa network - maging kliyente o server - ay nagbabahagi ng isang lihim na susi na kilala lamang sa sarili at Kerberos. Ang kaalaman sa susi na ito ay nagsisilbi upang patunayan ang pagkakakilanlan ng entity. Para sa isang komunikasyon sa pagitan ng dalawang entity, bumubuo si Kerberos ng isang susi ng sesyon, na maaari nilang magamit upang masiguro ang kanilang mga problema.

Mga disadvantages ng Kerberos

De Naka-ecure:

bagaman Kerberos inaalis ang isang karaniwang banta sa seguridad, maaaring mahirap ipatupad sa iba't ibang mga kadahilanan:

• Paglipat ng mga password ng gumagamit mula sa isang karaniwang database ng password UNIX, tulad ng / etc / passwd o / etc / anino, sa isang database ng Kerberos password, ay maaaring nakakapagod at walang mabilis na mekanismo upang magawa ang gawaing ito.
• Ipinapalagay ni Kerberos na ang bawat gumagamit ay pinagkakatiwalaan, ngunit gumagamit ng isang walang tiwala na makina sa isang hindi pinagkakatiwalaang network. Ang pangunahing layunin nito ay upang pigilan ang mga hindi naka-encrypt na password mula sa pagpapadala sa network. Gayunpaman, kung ang sinumang ibang gumagamit, bukod sa naaangkop na gumagamit, ay may access sa ticketing machine (KDC) para sa pagpapatotoo, ang Kerberos ay nasa Panganib.
• Upang magamit ng isang application ang Kerberos, dapat baguhin ang code upang magawa ang mga naaangkop na tawag sa mga aklatan ng Kerberos. Ang mga application na nabago sa ganitong paraan ay itinuturing na kerberized. Para sa ilang mga aplikasyon, maaaring ito ay isang labis na pagsisikap sa pagprograma, dahil sa laki ng aplikasyon o sa Disenyo nito. Para sa iba pang mga hindi tugma na application, dapat gawin ang mga pagbabago sa paraan ng pakikipag-usap ng server ng network at mga kliyente nito; muli, maaari itong tumagal ng kaunting programa. Sa pangkalahatan, ang mga saradong aplikasyon ng mapagkukunan na walang suporta ng Kerberos ay karaniwang ang pinaka may problema.
• Panghuli, kung magpasya kang gumamit ng Kerberos sa iyong network, dapat mong mapagtanto na ito ay isang pagpipilian sa lahat o wala. Kung magpasya kang gumamit ng Kerberos sa iyong network, dapat mong tandaan na kung ang anumang mga password ay naipasa sa isang serbisyo na hindi gumagamit ng Kerberos upang patunayan, pinapamahalaan mo ang peligro na maaaring maharang ang packet. Sa gayon, ang iyong network ay hindi makakakuha ng anumang pakinabang mula sa paggamit ng Kerberos. Upang ma-secure ang iyong network sa Kerberos, dapat mo lamang gamitin ang mga kerberized na bersyon ng lahat ng mga aplikasyon ng client / server na nagpapadala ng mga hindi naka-encrypt na password o hindi gumagamit ng anuman sa mga application na ito sa network.

Mano-manong pagpapatupad at pag-configure ng OpenLDAP bilang isang Kerberos Back-End ay hindi isang madaling gawain. Gayunpaman, mamaya makikita natin na ang Samba 4 Aktibong Direktoryo - Ang Controller ng Domain ay isinasama sa isang transparent na paraan para sa Sysadmin, isang DNS server, ang Microsoft Network at ang Domain Controller nito, LDAP server bilang Back-End ng halos lahat ng mga object nito, at ang serbisyong pagpapatotoo na nakabatay sa Kerberos bilang pangunahing mga bahagi ng isang Microsoft-style na Active Directory.

Hanggang sa kasalukuyan hindi pa namin kailangang ipatupad ang isang "Kerberized Network". Ito ang dahilan kung bakit hindi kami nagsulat tungkol sa kung paano ipatupad ang Kerberos.

Samba 4 Aktibong Direktoryo - Domain Controller

Mahalaga:

Walang mas mahusay na dokumentasyon kaysa sa site wiki.samba.org. Ang Sysadmin na nagkakahalaga ng asin ay dapat bisitahin ang site na iyon -sa Ingles- at i-browse ang malaking bilang ng mga pahina na ganap na nakatuon sa Samba 4, na isinulat mismo ng Team Samba. Hindi ako naniniwala na may magagamit na dokumentasyon sa Internet upang mapalitan ito. Sa pamamagitan ng paraan, obserbahan ang bilang ng mga pagbisita na nakalarawan sa ilalim ng bawat pahina. Ang isang halimbawa nito ay ang iyong pangunahing pahina o «Pangunahing Pahina» ay binisita 276,183 beses hanggang ngayon Hunyo 20, 2017 ng 10:10 ng Silanganing Pamantayang Oras. Bilang karagdagan, ang dokumentasyon ay pinapanatiling napapanahon, dahil ang pahina na iyon ay binago noong Hunyo 6.

Mula sa Wikipedia:

Ang Samba ay isang libreng pagpapatupad ng file ng pagbabahagi ng file ng Microsoft Windows (dating tinawag na SMB, na pinalitan kamakailan ng pangalan na CIFS) para sa mga sistemang tulad ng UNIX. Sa ganitong paraan, posible na ang mga computer na may GNU / Linux, Mac OS X o Unix sa pangkalahatan ay mukhang mga server o kumilos bilang mga kliyente sa mga network ng Windows. Pinapayagan ka rin ng Samba na patunayan ang mga gumagamit bilang isang Pangunahing Domain Controller (PDC), bilang isang miyembro ng domain at kahit bilang isang domain ng Active Directory para sa mga network na nakabatay sa Windows; bukod sa nakakapaghatid ng mga naka-print na pila, nagbahagi ng mga direktoryo at nagpapatotoo sa sarili nitong archive ng gumagamit.

Kabilang sa mga katulad na Unix na system kung saan maaaring tumakbo ang Samba ay ang mga pamamahagi ng GNU / Linux, Solaris at iba't ibang mga pagkakaiba-iba ng BSD sa mga na maaari naming hanapin ang Mac OS X Server ng Apple.

Samba 4 AD-DC kasama ang Panloob na DNS

• Nagsisimula kami mula sa isang malinis na pag-install -Walang grapikong interface- ng isang Debian 8 "Jessie".

Paunang pagsusuri

root @ master: ~ # hostname
panginoon
root @ master: ~ # hostname --fqdn
master.swl.fan
root @ master: ~ # ip addr
1: ano: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 sakop ng host lo valid_lft magpakailanman ginustong_lft magpakailanman inet6 :: 1/128 host ng saklaw valid_lft magpakailanman ginustong_lft magpakailanman 2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link / ether 00: 0c: 29: 80: 3b: 3f brd ff: ff: ff: ff: ff: ff
    inet 192.168.10.5/24 brd 192.168.10.255 saklaw ng pandaigdigang eth0
       valid_lft magpakailanman ginustong_lft magpakailanman inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 saklaw ng link valid_lft magpakailanman ginustong_lft magpakailanman
root @ master: ~ # cat /etc/resolv.conf
maghanap swl.fan nameserver 127.0.0.1

• Na idineklara namin ang sangay pangunahin lamang, higit pa sa sapat para sa aming mga hangarin.

root @ master: ~ # cat /etc/apt/source.list
deb http://192.168.10.1/repos/jessie-8.6/debian/ jessie pangunahin
deb http://192.168.10.1/repos/jessie-8.6/debian/security/ jessie / mga update pangunahin

Postfix ng Exim at mga utility

root @ master: ~ # aptitude install postfix htop mc deborphan

  ┌────────────────────────┤ Pag-configure ng Postfix ├───────────────────── │ │ Piliin ang uri ng pagsasaayos ng mail server na pinakaangkop sa iyong mga pangangailangan sa │ │. │ │ │ │ Walang pagsasaayos: │ │ Pinapanatili ang kasalukuyang pagsasaayos na buo. │ │ Internet site: │ │ Ipinadala at natanggap nang direkta gamit ang SMTP. │ │ Internet na may "smarthost": │ │ Direktang natatanggap ang mail gamit ang SMTP o sa pamamagitan ng pagpapatakbo ng isang tool na like │ tulad ng "fetchmail". Ang papalabas na mail ay ipinapadala gamit ang │ │ isang "smarthost". │ │ Lokal na mail lamang: │ │ Ang nag-iisang mail na inihatid ay para sa mga lokal na gumagamit. Hindi │ │ mayroong isang network. │ │ │ │ Generic na uri ng pagsasaayos ng mail: │ │ │ │ Walang pagsasaayos │ │ Internet site │ │ Internet na may "smarthost" │ │ Satellite system │ │                         Lokal na mail lamang                                │ │ │ │ │ │                                     │ │ │ └────────────────────────────────────────────── ┌──────────────────── ─────┤ Pag-configure ng Postfix ├─────────────────────────┐ │ Ang "pangalan ng system ng mail" ay ang pangalan ng domain na Ginagamit ang │ to upang "kwalipikado" _ALL_ mga email address nang walang pangalan ng domain. Kasama rito ang mail sa at mula sa "root": mangyaring huwag gumawa ng máquina │ ang iyong machine ay nagpapadala ng mga e-mail mula sa root@example.org upang │ │ mas mababa sa root@example.org tinanong. │ │ │ │ Iba pang mga programa ang gagamit ng pangalang ito. Dapat itong isang natatanging │ kwalipikadong pangalan ng domain (FQDN). │ │ │ │ Samakatuwid, kung ang isang email address sa lokal na makina ay │ │ isang bagay@example.org, ang tamang halaga para sa pagpipiliang ito ay magiging halimbawa.org. │ │ │ │ Pangalan ng system ng mail: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘  

Kami ay naglilinis

root @ master: ~ # aptitude purge ~ c
root @ master: ~ # aptitude install -f
root @ master: ~ # malinis ang husay
ugat @ master: ~ # autoclean ng aptitude

Nag-i-install kami ng mga kinakailangan upang mag-ipon ng Samba 4 at iba pang kinakailangang mga pakete

root @ master: ~ # aptitude install acl attr autoconf bison \
build-important debhelper dnsutils docbook-xml docbook-xsl flex gdb \
krb5-user libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl\
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto\
xsltproc zlib1g -dev libgpgme11 -dev python -gpgme python -m2crypto \
libgnutls28-dbg gnutls-dev ldap-utils krb5-config

 ┌───────────────┤ Pag-configure ng pagpapatotoo ng Kerberos ├───────────────┐ │ Kapag sinubukan ng mga gumagamit na gamitin ang Kerberos at tukuyin ang isang pangalan │ │ punong-guro o gumagamit nang hindi nililinaw kung aling pang-administratibong domain ng Kerberos ang pagmamay-ari ng punong │ │, kinukuha ng system ang default na │ │ larangan.  Ang default na kaharian ay maaari ding gamitin bilang │ │ kaharian ng isang serbisyo ng Kerberos na tumatakbo sa lokal na makina.  │ │ Karaniwan, ang default na kaharian ay ang malaking pangalan ng lokal na domain na DNS │ │.  │ │ │ │ Kerberos bersyon 5 default na kaharian: │ │ │ │ SWL.FAN ________________________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ Pag-configure ng pagpapatunay Kerberos ├───────────────┐ │ Ipasok ang mga pangalan ng mga Kerberos server sa SWL.FAN na kaharian ng │ │ Kerberos, pinaghiwalay ng mga puwang.  │ │ │ │ Mga Kerberos server para sa iyong kaharian: │ │ │ │ master.swl.fan ___________________________________________________________ │ │ │ │ │ │ │ └────────────────────────────────────────────── ─────────────────────────────┘ ┌───────────────┤ Pag-configure ng pagpapatunay Kerberos ├───────────────┐ │ Ipasok ang pangalan ng pang-administratibong server (pagbabago ng password) │ │ para sa Kerberos SWL.FAN na kaharian.   

Ang proseso sa itaas ay tumagal ng kaunting oras dahil wala pa kaming naka-install na serbisyo sa DNS. Gayunpaman, pinili mo ang domain nang tama sa pamamagitan ng mga setting ng file / Etc / host. Tandaan na sa file /etc/resolv.conf idineklara namin bilang isang server ng pangalan ng domain sa IP 127.0.0.1.

I-configure namin ngayon ang / etc / ldap / ldap / conf file

root @ master: ~ # nano /etc/ldap/ldap.conf
BASE dc = swl, dc = fan URI ldap: //master.swl.fan

Para sa mga query na gumagamit ng utos ldapsearch ginawa mula sa root user ay ang uri ldapsearch -x -W cn = xxxx, dapat nating likhain ang file / root/.ldapsearc kasama ang sumusunod na nilalaman:

ugat @ master: ~ # nano .ldaprc
BINDDN CN = Administrator, CN = Users, DC = swl, DC = fan

Dapat suportahan ng system ng file ang ACL - Lista ng Control ng Access

root @ master: ~ # nano / etc / fstab
# / etc / fstab: impormasyon ng static na file system. # # Gumamit ng 'blkid' upang mai-print ang pangkalahatang natatanging identifier para sa isang # aparato; maaari itong magamit sa UUID = bilang isang mas matatag na paraan upang pangalanan ang mga aparato # na gumagana kahit na idinagdag at tinanggal ang mga disk. Tingnan ang fstab (5). # # # / was on / dev / sda1 habang nag-install UUID = 33acb024-291b-4767-b6f4-cf207a71060c / ext4 user_xattr, acl, hadlang = 1, noatime, mga error = remount-ro 0 1
# swap was on / dev / sda5 habang nag-install UUID = cb73228a-615d-4804-9877-3ec225e3ae32 walang swap sw 0 0 / dev / sr0 / media / cdrom0 udf, iso9660 user, noauto 0 0

ugat @ master: ~ # mount -a

root @ master: ~ # pagpindot sa pagsubok_acl.txt
root @ master: ~ # setfattr -n user.test -v pagsubok sa pagsubok_acl.txt
root @ master: ~ # setfattr -n security.test -v test2 pagsubok_acl.txt
root @ master: ~ # getfattr -d pagsubok_acl.txt
# file: testing_acl.txt user.test = "test"

root @ master: ~ # getfattr -n security.test -d testing_acl.txt
# file: testing_acl.txt security.test = "test2"

root @ master: ~ # setfacl -mg: adm: rwx pagsubok_acl.txt

root @ master: ~ # getfacl testing_acl.txt
# file: testing_acl.txt # may-ari: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--

Nakukuha namin ang mapagkukunan ng Samba 4, pinagsama-sama ito, at mai-install ito

Masidhing inirerekomenda na i-download ang pinagmulang file ng bersyon Matatag mula sa site https://www.samba.org/. Sa aming halimbawa nai-download namin ang bersyon samba-4.5.1.tar.gz patungo sa folder / opt.

root @ master: ~ # cd / opt
root @ master: / opt # wget https://download.samba.org/pub/samba/stable/samba-4.5.1.tar.gz
root @ master: / opt # tar xvfz samba-4.5.1.tar.gz
root @ master: / opt # cd samba-4.5.1 /

Mga pagpipilian sa pag-configure

Kung nais naming ipasadya ang mga pagpipilian sa pagsasaayos, isinasagawa namin ang:

root @ master: /opt/samba-4.5.1# ./configure --help

at maingat na piliin ang mga kailangan. Maipapayo na suriin kung ang na-download na pakete ay maaaring mai-install sa pamamahagi ng Linux na ginagamit namin, na sa aming kaso ay si Debian 8.6 Jessie:

root @ master: /opt/samba-4.5.1# . / I-configure dist check

I-configure namin, Compile at I-install ang samba-4.5.1

• Simula mula sa naunang naka-install na mga kinakailangan at ang 8604 na mga file (na bumubuo sa compact samba-4.5.1.tar.gz) na timbangin ang tungkol sa 101.7 megabytes -kabilang ang mga source3 at source4 folder na may bigat na tungkol sa 61.1 megabytes- makakakuha kami ng kapalit isang Microsoft-style Active Directory, ng isang kalidad at katatagan higit sa katanggap-tanggap para sa anumang kapaligiran sa produksyon. Dapat nating i-highlight ang gawain ng Team Samba sa paghahatid ng Libreng Software Samba 4.

Ang mga utos sa ibaba ay ang mga klasikong para sa pag-iipon at pag-install ng mga pakete mula sa kanilang mga mapagkukunan. Dapat kaming maging mapagpasensya habang ang buong proseso ay tumatagal. Ito ang tanging paraan upang makakuha ng wasto at tamang mga resulta.

root @ master: /opt/samba-4.5.1# ./configure --with-systemd - Huwag paganahin-tasa
root @ master: /opt/samba-4.5.1# gumawa
root @ master: /opt/samba-4.5.1# gumawa ng i-install

Sa panahon ng proseso ng utos gumawa, nakikita natin na ang mga mapagkukunan ng Samba 3 at Samba 4. ay naipon. Iyon ang dahilan kung bakit pinatunayan ng Team Samba na ang bersyon nito 4 ay ang natural na pag-update ng bersyon 3, kapwa para sa Mga Domain Controllers batay sa Samba 3 + OpenLDAP, at mga file server, o mas matanda mga bersyon ng Samba 4.

Pagbibigay ng Samba

Gagamitin namin bilang DNS ang SAMBA_INTERNAL. Sa https://wiki.samba.org/index.php?title=Samba_Internal_DNS_Back_End mahahanap namin ang karagdagang impormasyon. Kapag tinanong nila kami para sa password ng gumagamit ng Administrator, dapat kaming mag-type ng isa sa isang minimum na haba ng 8 mga character at may mga titik din - itaas at ibabang kaso - at mga numero.

Bago magpatuloy sa pagbibigay at upang gawing mas madali ang buhay, idinagdag namin ang landas ng Samba executable sa aming file .bashrcPagkatapos ay nagsasara kami at nag-log in muli.

ugat @ master: ~ # nano .bashrc
# ~ / .bashrc: pinaandar ng bash (1) para sa mga shell na hindi nag-login. # Tandaan: Ang PS1 at umask ay naka-set na sa / etc / profile. Hindi mo dapat # kailangan ito maliban kung nais mo ng iba't ibang mga default para sa root. # PS1 = '$ {debian_chroot: + ($ debian_chroot)} \ h: \ w \ $' # umask 022 # Maaari mong i-kompromiso ang mga sumusunod na linya kung nais mong ma-colorize ang `ls ': # export LS_OPTIONS =' - kulay = auto '# eval "` dircolors` "# alias ls =' ls $ LS_OPTIONS '# alias ll =' ls $ LS_OPTIONS -l '# alias l =' ls $ LS_OPTIONS -lA '# # Ang ilan pang mga alias upang maiwasan ang pagkakamali : # alias rm = 'rm -i' # alias cp = 'cp -i' # alias mv = 'mv -i'
ideklara -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

root @ master: ~ # exit logout Koneksyon sa master sarado. xeon @ sysadmin: ~ $ ssh root @ master

root @ master: ~ # samba-tool na pagkakaloob ng domain --use-rfc2307 --interactive
Realm [SWL.FAN]: SWL.FAN
 Domain [SWL]: SWL
 Tungkulin ng Server (dc, miyembro, standalone) [dc]: dc
 Backend ng DNS (SAMBA_INTERNAL, BIND9_FLATSON, BIND9_DLZ, NONE) [SAMBA_INternalAL] SAMBA_INTERNAL
 DNS forwarder IP address (isulat ang 'wala' upang hindi paganahin ang pagpapasa) [192.168.10.5]: 8.8.8.8
Password ng administrator: YourPassword2017
I-type muli ang password: YourPassword2017
Naghahanap ng mga address ng IPv4 Naghahanap ng mga address ng IPv6 Walang address ng IPv6 ang itatalaga Pagse-set up ng share.ldb Pagse-set up ng mga lihim. pataas ang sam.ldb rootDSE Paunang paglo-load ang schema ng Samba 4 at AD Pagdaragdag ng DomainDN: DC = swl, DC = fan Pagdaragdag ng lalagyan ng pagsasaayos Pagse-set up ng sam.ldb schema Pagse-set up ng sam.ldb data ng pagsasaayos Pagse-set up ng mga detalye sa pagpapakita Binabago ang mga detalye ng display Pagdaragdag ng lalagyan ng mga gumagamit Pagbabago ng lalagyan ng mga gumagamit Pagdaragdag ng lalagyan ng computer Pagbabago ng lalagyan ng computer Pagse-set up ng data ng sam.ldb Pagse-set up ng mga kilalang prinsipal ng seguridad Pagse-set up ng mga gumagamit ng sam.ldb at pangkat Pagse-set up ng sarili na pagdaragdag Pagdaragdag ng mga DNS account Lumilikha ng CN = MicrosoftDNS, CN = System, DC = swl, DC = fan Paglikha ng mga partisyon ng DomainDnsZones at ForestDnsZones Ang mga partisyon ng Populate DomainDnsZones at ForestDnsZones Pagse-set up ng sam.ldb rootDSE na pagmamarka bilang naka-synchronize na Mga Pag-aayos ng probisyon ng GUIDAng isang pagsasaayos ng Kerberos na angkop para sa Samba 4 ay nabuo sa /usr/local/samba/private/krb5.conf Pagse-set up ng pekeng mga setting ng yp server Kapag na-install ang mga file sa itaas, handa na ang iyong Samba4 server na gamitin ang Role ng Server: aktibong domain ng direktoryo controller Hostname: master NetBIOS Domain: SWL DNS Domain: swl.fan DOMAIN SID: S-1-5-21-32182636-2892912266-1582980556

Huwag kalimutan na kopyahin ang Kerberos config file tulad ng ipinahiwatig ng output ng Pagbibigay:

root @ master: ~ # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Upang hindi mai-type ang utos samba-tool kasama ang iyong buong pangalan, lumikha kami ng isang simbolikong link na may maikling pangalan kasangkapan:

root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool

I-install namin ang NTP

Ang isang pangunahing piraso sa isang Aktibong Direktoryo ay ang Serbisyo sa Oras ng Network. Tulad ng pagpapatotoo na ginagawa sa pamamagitan ng Kerberos at mga Tiket nito, ang pagsabay ng oras sa Samba 4 AD-DC ay mahalaga.

root @ master: ~ # aptitude install ntp
root @ master: ~ # mv /etc/ntp.conf /etc/ntp.conf.original

root @ master: ~ # nano /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd istatistika loopstats peertats clockstats filegen loopstats file loopstats uri ng araw paganahin ang mga file peertats file peertats type day paganahin ang filegenstats file clockstats orasan uri ng araw paganahin ang server 192.168.10.1 paghigpitan -4 default kod notrap nomodify nopeer noquery restict -6 default kod notrap nomodify nopeer noquery restict default mssntp restict 127.0.0.1 restict :: 1 broadcast 192.168.10.255

root @ master: ~ # service ntp restart
ugat @ master: ~ # katayuan ng ntp ng serbisyo

root @ master: ~ # buntot -f / var / log / syslog

Kung kapag sinusuri ang syslog gamit ang utos sa itaas o paggamit journalctl -f nakukuha namin ang mensahe:

Hun 19 12:13:21 master ntpd_intres [1498]: namatay ang magulang bago kami natapos, paglabas

dapat nating muling simulan ang serbisyo at subukang muli. Ngayon ay nilikha namin ang folder ntp_signd:

root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
ls: / usr / local / samba / var / lib / ntp_signd ay hindi ma-access: Ang file o direktoryo ay hindi mayroon

root @ master: ~ # mkdir / usr / local / samba / var / lib / ntp_signd
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / samba / var / lib / ntp_signd /

# Tulad ng hiniling sa samba.wiki.org
root @ master: ~ # ls -ld / usr / local / samba / var / lib / ntp_signd
drwxr-x --- 2 root ntp 4096 Hun 19 12:21 / usr / local / samba / var / lib / ntp_signd

I-configure namin ang Samba simulang gamitin ang systemd

root @ master: ~ # nano /lib/systemd/system/samba-ad-dc.service
[Serbisyo] Uri = forking PIDFile = / usr / local / samba / var / run / samba.pid LimitNOScript = 16384 # EnvironmentFile = - / etc / conf.d / samba ExecStart = / usr / local / samba / sbin / samba ExecReload = / usr / bin / pumatay -HUP $ MAINPID [I-install] WantedBy = multi-user.target

root @ master: ~ # systemctl paganahin ang samba-ad-dc
root @ master: ~ # reboot

root @ master: ~ # systemctl status samba-ad-dc
root @ master: ~ # systemctl status ntp

Mga lokasyon ng file ng Samba 4 AD-DC

LAHAT -minus ang bagong nilikha na samba-ad-dc.service- ang mga file ay nasa:

root @ master: ~ # ls -l / usr / local / samba /
kabuuang 32 drwxr-sr-x 2 root staff 4096 Hun 19 11:55 bin
drwxr-sr-x 2 root staff 4096 Hun 19 11:50 at iba pa
drwxr-sr-x 7 root staff 4096 Hun 19 11:30 isama
drwxr-sr-x 15 root staff 4096 Hun 19 11:33 lib
drwxr-sr-x 7 root staff 4096 Hun 19 12:40 pribado
drwxr-sr-x 2 root staff 4096 Hun 19 11:33 sbin
drwxr-sr-x 5 root staff 4096 Hun 19 11:33 ibahagi
drwxr-sr-x 8 root staff 4096 Hun 19 12:28 ay

sa pinakamahusay na estilo ng UNIX. Palaging ipinapayong mag-browse sa iba't ibang mga folder at suriin ang kanilang nilalaman.

File /usr/local/samba/etc/smb.conf

root @ master: ~ # nano /usr/local/samba/etc/smb.conf 
# Mga pandaigdigang parameter [pandaigdigan] pangalan ng netbios = MASTER kaharian = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 mga serbisyo ng server = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate , papel ng server ng dns = pinapayag ng aktibong direktor ng domain ang mga pag-update = pag-secure lamang ng idmap_ldb: gamitin ang rfc2307 = oo idmap config *: backend = tdb idmap config *: saklaw = 1000000-1999999 ldap server ay nangangailangan ng malakas na auth = walang pangalan ng printcap = / dev / null [netlogon] path = /usr/local/samba/var/locks/sysvol/swl.fan/scripts read only = No [sysvol] path = / usr / local / samba / var / locks / sysvol read only = Hindi

root @ master: ~ # testparm
I-load ang mga file ng smb config mula sa /usr/local/samba/etc/smb.conf Seksyon sa pagpoproseso ng "[netlogon]" Seksyon sa pagpoproseso "[sysvol]" Ang mga file na na-load na mga serbisyo OK. Tungkulin ng server: ROLE_ACTIVE_DIRECTORY_DC Pindutin ang enter upang makita ang isang pagtapon ng iyong mga kahulugan ng serbisyo # Mga pandaigdigang parameter [pandaigdigan] kaharian = SWL.FAN workgroup = SWL dns forwarder = 192.168.10.1 ldap server nangangailangan ng malakas na auth = Walang passdb backend = samba_dsdb server role = aktibong direktoryo domain controller rpc_server: tcpip = no rpc_daemon: spoolssd = naka-embed na rpc_server: spoolss = naka-embed na rpc_server: winreg = naka-embed na rpc_server: ntsvcs = naka-embed na rpc_server: eventlog = naka-embed na rpc_server: srvsvtvcvcvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv mga panlabas na tubo = totoong idmap config *: saklaw = 1000000-1999999 idmap_ldb: gamitin ang rfc2307 = oo idmap config *: backend = tdb mapa archive = Walang readonly na mapa = walang mga katangiang dos ng tindahan = Oo mga bagay ng vfs = dfs_samba4 acl_xattr [netlogon] path = / usr / local / samba / var / locks / sysvol / swl.fan / scripts read only = No [sysvol] path = / usr / local / samba / var / locks / sysvol read only = Hindi

Minimal na mga tseke

root @ master: ~ # palabas sa antas ng tool ng domain
Antas ng pag-andar ng domain at kagubatan para sa domain 'DC = swl, DC = fan' Antas ng pag-andar ng kagubatan: (Windows) 2008 R2 Antas ng pag-andar ng domain: (Windows) 2008 R2 Pinakamababang antas ng pag-andar ng isang DC: (Windows) 2008 R2

ugat @ master: ~ # ldapsearch -x -W

root @ master: ~ # tool dbcheck
Sinusuri ang 262 na mga bagay Na-check ang 262 na mga bagay (0 mga error)

root @ master: ~ # kinit Administrator
Password para sa Administrator@SWL.FAN: 
ugat @ master: ~ # klist -f
Cache ng ticket: FILE: / tmp / krb5cc_0
Pangunahing default: Administrator@SWL.FAN

Ang wastong pagsisimula ay Mag-e-expire sa pangunahing Serbisyo 19/06/17 12:53:24 19/06/17 22:53:24  krbtgt/SWL.FAN@SWL.FAN
    i-renew hanggang 20/06/17 12:53:18 PM, Mga Bandila: RIA

root @ master: ~ # kdestroy
ugat @ master: ~ # klist -f
klist: Ang mga kredensyal na file ng cache '/ tmp / krb5cc_0' ay hindi nahanap

root @ master: ~ # smbclient -L localhost -U%
Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komento sa Uri ng Sharename --------- ---- ------- netlogon Disk sysvol Disk IPC $ IPC IPC Serbisyo (Samba 4.5.1) Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1] Komento ng Server --------- ------- Master ng Workgroup ---- ----- -------

root @ master: ~ # smbclient // localhost / netlogon -UAd Administrator -c 'ls'
Ipasok ang password ng Administrator: Domain = [SWL] OS = [Windows 6.1] Server = [Samba 4.5.1]. D 0 Lun Jun 19 11:50:52 2017 .. D 0 Lun Hunyo 19 11:51:07 2017 19091584 mga bloke ng laki 1024. 16198044 mga bloke na magagamit

root @ master: ~ # tool dns serverinfo master -U administrator

root @ master: ~ # host -t SRV _ldap._tcp.swl.fan
Ang _ldap._tcp.swl.fan ay may record na SRV 0 100 389 master.swl.fan.

root @ master: ~ # host -t SRV _kerberos._udp.swl.fan
Si _kerberos._udp.swl.fan ay may record na SRV 0 100 88 master.swl.fan.

root @ master: ~ # host -t Isang master.swl.fan
ang master.swl.fan ay may address 192.168.10.5

root @ master: ~ # host -t SOA swl.fan
Ang swl.fan ay may SOA record master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600

root @ master: ~ # host -t NS swl.fan
swl.fan name server master.swl.fan.

root @ master: ~ # host -t MX swl.fan
Ang swl.fan ay walang MX record

root @ master: ~ # samba_dnsupdate --verbose

root @ master: ~ # listahan ng gumagamit ng tool
Tagapangasiwa krbtgt Bisita

root @ master: ~ # listahan ng pangkat ng tool
# Ang output ay isang pangkat ng mga pangkat. ;-)

Pinamamahalaan namin ang bagong nai-install na Samba 4 AD-DC

Kung nais naming baguhin ang pag-expire sa mga araw ng password ng Administrator; ang pagiging kumplikado ng mga password; ang minimum na haba ng password; ang minimum at maximum na tagal -sa araw- ng password; at palitan ang password ng Administrator na idineklara sa panahon ng Pagbibigay, dapat nating isagawa ang mga sumusunod na utos kasama ang mga halagang nababagay sa iyong mga pangangailangan:

ugat @ master: ~ # tool
Paggamit: samba-tool Pangunahing tool sa pangangasiwa ng samba. Mga Pagpipilian: -h, --help ipakita ang mensahe ng tulong na ito at lumabas sa Mga Pagpipilian sa Bersyon: -V, --versi Ang numero ng bersyon ng display Magagamit na mga subcommand: dbcheck - Suriin ang lokal na database ng AD para sa mga error. delegasyon - Pamamahala ng pagdelegasyon. dns - Pamamahala sa Domain Name Service (DNS). domain - Pamamahala sa domain. drs - Pamamahala sa Mga Serbisyo sa Replika ng Direktoryo (DRS). dsacl - pagmamanipula ng DS ACLs. fsmo - Pamamahala ng mga tungkulin sa Flexible Single Master Operations (FSMO). gpo - Pamamahala ng Group Policy Object (GPO). pangkat - Pamamahala ng pangkat. ldapcmp - Paghambingin ang dalawang mga database ng ldap. ntacl - pagmamanipula ng NT ACLs. proseso - Listahan ng mga proseso (upang matulungan ang pag-debug sa mga system nang walang setproctitle). rodc - Pamamahala sa Read-Only Domain Controller (RODC). mga site - Pamamahala sa mga site. spn - Pamamahala ng Pangunahing Punong Serbisyo (SPN) pamamahala. testparm - Suriin ng Syntax ang file ng pagsasaayos. oras - Kunin ang oras sa isang server. gumagamit - Pamamahala ng gumagamit. Para sa karagdagang tulong sa isang tukoy na subcommand, mangyaring i-type ang: samba-tool (-h | --tulong)

root @ master: ~ # tool user setexpiry administrator --noexpiry
root @ master: ~ # tool set set password password --min-pwd-length = 7
root @ master: ~ # tool set set password password --min-pwd-age = 0
root @ master: ~ # tool set set password password --max-pwd-age = 60
root @ master: ~ # tool user setpassword --filter = samaccountname = Administrator --newpassword = Passw0rD

Nagdagdag kami ng maraming mga tala ng DNS

root @ master: ~ # tool dns
Paggamit: samba-tool dns Pamamahala sa Domain Name Service (DNS). Mga Pagpipilian: -h, --help ipakita ang mensahe ng tulong na ito at lumabas Mga magagamit na subcommand: magdagdag - Magdagdag ng isang talaan ng DNS tanggalin - Tanggalin ang isang query sa rekord ng DNS - Query isang pangalan. roothints - Mga pahiwatig ng ugat ng query. serverinfo - Query para sa impormasyon ng Server. update - I-update ang isang DNS record zonecreate - Lumikha ng isang zone. zonedelete - Tanggalin ang isang zone. zoneinfo - Query para sa impormasyon ng zone. zonelist - Query para sa mga zone. Para sa karagdagang tulong sa isang tukoy na subcommand, mangyaring i-type ang: samba-tool dns (-h | --tulong)

Mail server

root @ master: ~ # tool dns magdagdag ng master swl.fan mail Isang 192.168.10.9 -U administrator
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U administrator

Naayos ang IP ng iba pang mga server

root @ master: ~ # tool dns add master swl.fan sysadmin Isang 192.168.10.1 -U administrator
root @ master: ~ # tool dns add master swl.fan fileserver Isang 192.168.10.10 -U administrator
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 -U administrator
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 -U administrator

Reverse Zone

root @ master: ~ # tool dns zonecreate master 10.168.192.in-addr.arpa -U administrator
Ang password para sa [SWL \ administrator]: Ang Zone 10.168.192.in-addr.arpa ay matagumpay na nilikha

root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Mga Tagapangasiwa
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Mga Tagapangasiwa
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Mga Tagapangasiwa
root @ master: ~ # tool dns magdagdag ng master 10.168.192.in-addr.arpa 10 PTR fileserver.swl.fan. -Mga Tagapangasiwa
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Mga Tagapangasiwa
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 12 PTR chat.swl.fan. -Mga Tagapangasiwa

Mga tseke

root @ master: ~ # tool dns query master swl.fan mail ALL -U administrator
Password para sa [SWL \ administrator]: Pangalan =, Records = 1, Mga Bata = 0 A: 192.168.10.9 (flags = f0, serial = 2, ttl = 900)

root @ master: ~ # host ng master
ang master.swl.fan ay may address 192.168.10.5
root @ master: ~ # host sysadmin
ang sysadmin.swl.fan ay may address 192.168.10.1
root @ master: ~ # host mail
ang mail.swl.fan ay may address 192.168.10.9
root @ master: ~ # host chat
Ang chat.swl.fan ay may address sa 192.168.10.12
root @ master: ~ # host ng proxy
Ang proxy.swl.fan ay may address sa 192.168.10.11
root @ master: ~ # host fileserver
Ang fileserver.swl.fan ay may address sa 192.168.10.10
root @ master: ~ # host 192.168.10.1
1.10.168.192.in-addr.arpa domain name pointer sysadmin.swl.fan.
root @ master: ~ # host 192.168.10.5
5.10.168.192.in-addr.arpa domain name pointer master.swl.fan.
root @ master: ~ # host 192.168.10.9
9.10.168.192.in-addr.arpa domain name pointer mail.swl.fan.
root @ master: ~ # host 192.168.10.10
10.10.168.192.in-addr.arpa domain name pointer fileserver.swl.fan.
root @ master: ~ # host 192.168.10.11
11.10.168.192.in-addr.arpa domain name pointer proxy.swl.fan.
root @ master: ~ # host 192.168.10.12
12.10.168.192.in-addr.arpa domain name pointer chat.swl.fan.

Para sa mga nagtataka

root @ master: ~ # ldbsearch -H /usr/local/samba/private/sam.ldb.d/ \
DC = DOMAINDNSZONES, DC = SWL, DC = FAN.ldb | grep dn:

Nagdagdag kami ng mga gumagamit

root @ master: ~ # tool ng gumagamit
Paggamit: gumagamit ng samba-tool Pamamahala ng gumagamit. Mga pagpipilian: -h, --help ipakita ang mensahe ng tulong na ito at lumabas Mga magagamit na subcommand: idagdag - Lumikha ng isang bagong gumagamit. lumikha - Lumikha ng isang bagong gumagamit. tanggalin - Tanggalin ang isang gumagamit. huwag paganahin - Huwag paganahin ang isang gumagamit. paganahin - Paganahin ang isang gumagamit. getpassword - Kunin ang mga patlang ng password ng isang account ng gumagamit / computer. listahan - Ilista ang lahat ng mga gumagamit. password - Baguhin ang password para sa isang account ng gumagamit (ang ibinigay sa pagpapatotoo). setexpiry - Itakda ang pag-expire ng isang account ng gumagamit. setpassword - Itakda o i-reset ang password ng isang account ng gumagamit. syncpasswords - I-sync ang password ng mga account ng gumagamit. Para sa karagdagang tulong sa isang tukoy na subcommand, mangyaring i-type ang: samba-tool na gumagamit (-h | --tulong)

root @ master: ~ # tool ng gumagamit na lumilikha ng mga hakbang sa Trancos01
Matagumpay na nilikha ang 'trancos' ng gumagamit
root @ master: ~ # tool ng gumagamit lumikha ng gandalf Gandalf01
Matagumpay na nilikha ang 'gandalf' na gumagamit
root @ master: ~ # tool ng gumagamit lumikha ng legolas Legolas01
Matagumpay na nilikha ang 'legolas' ng gumagamit
root @ master: ~ # listahan ng gumagamit ng tool
Administrator gandalf legolas strides krbtgt Bisita

Pangangasiwa sa pamamagitan ng graphic na interface o sa pamamagitan ng web client

Bisitahin ang wiki.samba.org para sa detalyadong impormasyon sa kung paano i-install ang Microsoft RSAT o Mga Remote na Tool ng Pangangasiwa ng Server. Kung hindi mo kakailanganin ang mga klasikong patakaran na ibinigay ng Microsoft Active Directory, maaari mong mai-install ang package ldap-account-manager na nag-aalok ng isang simpleng interface para sa pangangasiwa sa pamamagitan ng isang web browser.

• Windows 10: https://www.microsoft.com/en-us/download/details.aspx?id=45520

• Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

• Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

• Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

• Windows Vista: http://www.microsoft.com/en-us/download/details.aspx?id=21090

Ang pakete ng programa ng Microsoft Remote Server Administration Tools (RSAT) ay kasama sa mga operating system ng Windows Server.

Sumali kami sa domain sa isang client ng Windows 7 na pinangalanang "pitong"

Dahil wala kaming isang server ng DHCP sa network, ang unang bagay na dapat nating gawin ay i-configure ang network card ng kliyente sa isang nakapirming IP, ideklara na ang pangunahing DNS ay ang IP ng samba-ad-dc, at suriin na ang pagpipiliang "Irehistro ang address ng koneksyon na ito sa DNS" ay naaktibo. Ito ay hindi idle upang suriin na ang pangalan «pito»Hindi pa nakarehistro sa Samba Internal DNS.

Matapos naming sumali sa computer sa domain at muling simulan ito, subukang mag-log in sa gumagamit «hakbang«. Susuriin namin na gumagana ang lahat ng OK. Inirerekumenda rin na suriin ang mga log ng Windows Client at suriin kung paano wastong na-synchronize ang oras.

Ang mga tagapangasiwa na may ilang karanasan sa Windows ay mahahanap na ang anumang mga pagsusuri na ginagawa nila sa kliyente ay magbubunga ng kasiya-siyang mga resulta.

Buod

Umaasa ako na ang artikulo ay kapaki-pakinabang sa mga mambabasa ng Komunidad. DesdeLinux.

Paalam!