2. Конфигурируем сервер на использование ldap аутентификации

apt-get install libnss-ldap

На вопросы отвечаем следующим образом:

Should debconf manage LDAP configuration?: Yes

LDAP server Uniform Resource Identifier: ldaps://nx2.trest91.ru

Distinguished name of the search base: dc=trest91,dc=ru

LDAP version to use: 3

Make local root Database admin: Yes

Does the LDAP database require login? No

LDAP account for root: cn=admin,dc=trest91,dc=ru

LDAP root account password: admin

Если в процессе ответов на вопросы вы ошиблись, исправить можно запустив переконфигурацию пакета ldap-auth-config командой dpkg-reconfigure ldap-auth-config

Вносим изменения в аутентификацию на сервере

auth-client-config -t nss -p lac_ldap

Настраиваем pam аутентификацию, для этого выполняем

pam-auth-update

и активируем профили аутентификации LDAP и UNIX.

3. Заполняем нашу базу в ldap и настраиваем samba

apt-get install samba samba-doc smbldap-tools

gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz

perl /usr/share/doc/smbldap-tools/configure.pl

И начинаем отвечать на вопросы:

Samba Configuration File Path [/etc/samba/smb.conf] >

(Путь к конфиг файлу samba, если нажать enter будет указан путь поумолчанию который находится в квадратных скобках)

Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >

(Место нахождения конфигов Smbldap-tools)

workgroup name [WORKGROUP] > Trest

(Имя рабочей группы samba в нашем случает это сокращённое имя домена)

netbios name [] > pdc

(netbios имя samba, указываем имя нашего сервера)

logon drive [] >

(Локальный каталог, который будет играть роль домашнего каталога пользователя, например Н:)

logon home (press the "." character if you don't want homeDirectory) [\\pdc\%U] > .

(Подключение домашнего каталога пользователя, можно поставить « . » точку если не хотим подключать домашний каталог)

logon path (press the "." character if you don't want roaming profile) [\\svarog\profiles\%U] > .

(Путь к каталогу с профилями пользователей, « . » точка если не хотим чтоб профили загружались по сети)

home directory prefix (use %U as username) [/home/%U] > /bin/false

(Путь к домашней директории пользователя, в нашем случае у пользователя нет домашней директории)

default users' homeDirectory mode [700] >

(Права на домашнюю директорию пользоватля)

default user netlogon script (use %U as username) [] >

(Скрипт который будет выполняться при аутентификации пользователя, %U — логин пользователя)

default password validation time (time in days) [45] > .

(Время жизни пароля пользователя в днях, через указанное количество дней пароль должен быть сменён, « . » точка — время жизни пароля неограниченно)

ldap suffix [] > dc=trest91,dc=ru

(суффикс базы LDAP)

ldap group suffix [] > ou=Groups

(Группы в LDAP)

ldap user suffix [] > ou=Users

(Пользователи в LDAP)

ldap machine suffix [] > ou=Computers

(Компьютеры в LDAP)

Idmap suffix [ou=Idmap] >

(строка указывает, где находятся значения Idmap (используется, если сервер Samba является членом домена))

sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=Trest] >

(параметр, описывающий где хранятся следующие свободные uidNumber и gidNumber )

ldap master server [] > 127.0.0.1

(Основной сервер LDAP)

ldap master port [389] >

(Порт на котором работает LDAP)

ldap master bind dn [] > cn=admin,dc=trest91,dc=ru

(Админ сервера LDAP)

ldap master bind password [] > admin

(Пароль админа сервера LDAP)

ldap slave server [] > 127.0.0.1

(Вторичный сервер LDAP)

ldap slave port [389] >

(Порт вторичного сервера LDAP)

ldap slave bind dn [] > cn=admin,dc=trest91,dc=ru

(Админ вторичного сервера LDAP)

ldap slave bind password [] > admin

(Пароль админа вторичного сервера LDAP)

ldap tls support (1/0) [0] > 1

(использовать tls или нет, в нашем случае используем)

How to verify the server's certificate (none, optional or require) [require] >

(вид проверки сертификата (нет, опционально или требовать))

CA certificate file [/etc/smbldap-tools//ca.pem] > /etc/ssl/certs/cacert.pem

(файл повышенной защищенности (дословно PEM-format file) включающий сертификат для CA которым будет доверять slapd)

certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.pem] > /etc/ssl/certs/ldap01_slapd_cert.pem

(файл, содержащий клиентский сертификат)

key certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.key] > /etc/ssl/private/ldap01_slapd_key.pem

(файл, содержащий приватный ключ, который соответствует клиентскому сертификату)

SID for domain WORKGROUP [S-1-5-21-2252343921-2211050572-3431777101] >

(идентификатор безопасности домена, у вас будет свой)

unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] > MD5

(способ хэширования паролей пользователей)

default user gidNumber [513] >

(по умолчанию основная группа для учетных записей пользователей)

default computer gidNumber [515] >

(по умолчанию основная группа для компьютеров)

default login shell [/bin/bash] >

(оболочка пользователя по умолчанию)

default skeleton directory [/etc/skel] >

(место, где находится <<скелетная>> директория, являющаяся шаблоном для директорий пользователей, эта опция используется лишь в том случае, если вы явно укажете создать домашнюю директорию пользователя в ходе создания нового пользователя)

default domain name to append to mail adress [] >

(домен, добавляемый к атрибуту пользователя "mail")

Теперь нам необходимо проверить SID нашего домена. Для этого делаем следующее, набираем команду

net getlocalsid nx2

ответом должна быть строка следующего вида

SID for domain nx2 is: S-1-5-21-2252343921-2211050572-3431777101

Теперь идём в файл /etc/smbldap-tools/smbldap.conf находим там опцию SID и проверяем, должно совпадать с тем что мы получили выше.

Если при конфигурировании на вопрос «default password validation time (time in days) [45] >» вы поставили « . » точку, тогда ищем опцию

defaultMaxPasswordAge=""

и комментируем её. (cтавим # и пробел перед строкой)

Находим

crypt_salt_format=""

и меняем на

crypt_salt_format="$1$%.8s"

Заполняем базу LDAP.

Необходимо узнать администратора samba, для этого выполняем команду

pdbedit -Lw

Ответом должно показать двух пользователей, один из них nobody а второй и есть администратор samba (в моём случае это nx-admin)

Формируем ldif файл sambadb.ldif

smbldap-populate -a nx-admin -e /etc/ldap/sambadb.ldif

cd /etc/ldap

pdbedit -Lw admins -v

Ищем «User SID», записываем его, далее открываем sambadb.ldif для редактирования, ищем описание администратора, начинается оно так

dn: uid=admins,ou=Users,dc=example,dc=com

ищем в описании sambaSID и меняем его значение на то что получили выше.

Заполняем нашу базу

ldapadd -x -D cn=admin,dc=example,dc=com -W -f sambadb.ldif

Устанавливаем пароль администратору samba в LDAP

smbldap-passwd -a admins

Добавим нового пользователя

smbldap-useradd -a -P nx-ldap (Имя добавляемого пользователя)

Перезагружаем сервер

reboot

Теперь проверим видит наш сервер пользователей в LDAP или нет, для этого можно попробовать войти в систему под ново созданным пользователем nx-ldap или в mc выбрав любой файл перейти в меню Файл → Права (расширенные) и развернуть список групп, там должны быть все группы из LDAP которые мы добавили при заполнении базы, такие как Domain Admins, Domain Users и т.д.

Переходим к конфигурированию samba.

cd /etc/samba

и делаем копию дефолтного конфига

cp smb.conf smb.conf.orig

Ниже приведу конфиг моей самбы:

[global]

server string =

workgroup = Trest

netbios name = pdc

#=========================================================

passdb backend = ldapsam:ldap://localhost

obey pam restrictions = no

security = user

encrypt passwords = yes

unix extensions = no

#=========================================================

local master = yes

os level = 255

domain master = yes

preferred master = yes

time server = yes

admin users = nx-admin

#=========================================================

log level = 1

log file = /var/log/samba/workstations/%m.log

max log size = 50

#=========================================================

socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384

getwd cache = yes

read raw = yes

write raw = yes

max xmit = 65536

wins support = yes

wins proxy = yes

dns proxy = no

name resolve order = wins hosts bcast lmhosts

wide links = yes

hosts allow = 192.168. 127.0.0.1 127.0.1.1

hosts deny = 0.0.0.0/0

idmap uid = 10000-20000

idmap gid = 10000-20000

#=========================================================

ldap suffix = dc=trest91,dc=ru

ldap user suffix = ou=Users

ldap group suffix = ou=Groups

ldap machine suffix = ou=Computers

ldap idmap suffix = ou=Idmap

ldap admin dn = cn=admin,dc=trest91,dc=ru

ldap ssl = start tls

ldap passwd sync = yes

ldap delete dn = no

add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w "%u"

passwd program = /usr/sbin/smbldap-passwd %u

passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*

domain logons = yes

invalid users = root

load printers = no

Создаём необходимые каталоги (которые указали в строке log file = /var/log/samba/workstations/%m.log)

mkdir /var/log/samba/workstations/

Перезагружаем smbd

service smbd restart

Теперь samba необходимо указать пароль админа LDAP

smbpasswd -w admin

Устанавливаем пароль админу samba такой же как установили в

smbpasswd -a nx-admin

Перезагружаем nmbd

service nmbd restart

Проверяем как работает samba для этого получим список групп в домене

net groupmap list

ответом должно быть

Domain Admins (S-1-5-21-2302747472-2920907650-383109413-512) -> Domain Admins

Domain Users (S-1-5-21-2302747472-2920907650-383109413-513) -> Domain Users

Domain Guests (S-1-5-21-2302747472-2920907650-383109413-514) -> Domain Guests

Domain Computers (S-1-5-21-2302747472-2920907650-383109413-515) -> Domain Computers

Administrators (S-1-5-32-544) -> Administrators

Account Operators (S-1-5-32-548) -> Account Operators

Print Operators (S-1-5-32-550) -> Print Operators

Backup Operators (S-1-5-32-551) -> Backup Operators

Replicators (S-1-5-32-552) -> Replicators

Всё настройка samba окончена.