- •Мегоубернастройка сервера ubuntu 10.04 lts
- •Установка и настройка текстовых браузеров (lynx, links2)
- •2. Конфигурируем сервер на использование ldap аутентификации
- •3. Заполняем нашу базу в ldap и настраиваем samba
- •4. Назначаем права администратору домена и добавляем сервер в домен
- •Postfix и куча примочек
- •Internet - сайт
- •Использованные источники
2. Конфигурируем сервер на использование ldap аутентификации
apt-get install libnss-ldap
На вопросы отвечаем следующим образом:
Should debconf manage LDAP configuration?: Yes
LDAP server Uniform Resource Identifier: ldaps://nx2.trest91.ru
Distinguished name of the search base: dc=trest91,dc=ru
LDAP version to use: 3
Make local root Database admin: Yes
Does the LDAP database require login? No
LDAP account for root: cn=admin,dc=trest91,dc=ru
LDAP root account password: admin
Если в процессе ответов на вопросы вы ошиблись, исправить можно запустив переконфигурацию пакета ldap-auth-config командой dpkg-reconfigure ldap-auth-config
Вносим изменения в аутентификацию на сервере
auth-client-config -t nss -p lac_ldap
Настраиваем pam аутентификацию, для этого выполняем
pam-auth-update
и активируем профили аутентификации LDAP и UNIX.
3. Заполняем нашу базу в ldap и настраиваем samba
apt-get install samba samba-doc smbldap-tools
gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
perl /usr/share/doc/smbldap-tools/configure.pl
И начинаем отвечать на вопросы:
Samba Configuration File Path [/etc/samba/smb.conf] >
(Путь к конфиг файлу samba, если нажать enter будет указан путь поумолчанию который находится в квадратных скобках)
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >
(Место нахождения конфигов Smbldap-tools)
workgroup name [WORKGROUP] > Trest
(Имя рабочей группы samba в нашем случает это сокращённое имя домена)
netbios name [] > pdc
(netbios имя samba, указываем имя нашего сервера)
logon drive [] >
(Локальный каталог, который будет играть роль домашнего каталога пользователя, например Н:)
logon home (press the "." character if you don't want homeDirectory) [\\pdc\%U] > .
(Подключение домашнего каталога пользователя, можно поставить « . » точку если не хотим подключать домашний каталог)
logon path (press the "." character if you don't want roaming profile) [\\svarog\profiles\%U] > .
(Путь к каталогу с профилями пользователей, « . » точка если не хотим чтоб профили загружались по сети)
home directory prefix (use %U as username) [/home/%U] > /bin/false
(Путь к домашней директории пользователя, в нашем случае у пользователя нет домашней директории)
default users' homeDirectory mode [700] >
(Права на домашнюю директорию пользоватля)
default user netlogon script (use %U as username) [] >
(Скрипт который будет выполняться при аутентификации пользователя, %U — логин пользователя)
default password validation time (time in days) [45] > .
(Время жизни пароля пользователя в днях, через указанное количество дней пароль должен быть сменён, « . » точка — время жизни пароля неограниченно)
ldap suffix [] > dc=trest91,dc=ru
(суффикс базы LDAP)
ldap group suffix [] > ou=Groups
(Группы в LDAP)
ldap user suffix [] > ou=Users
(Пользователи в LDAP)
ldap machine suffix [] > ou=Computers
(Компьютеры в LDAP)
Idmap suffix [ou=Idmap] >
(строка указывает, где находятся значения Idmap (используется, если сервер Samba является членом домена))
sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=Trest] >
(параметр, описывающий где хранятся следующие свободные uidNumber и gidNumber )
ldap master server [] > 127.0.0.1
(Основной сервер LDAP)
ldap master port [389] >
(Порт на котором работает LDAP)
ldap master bind dn [] > cn=admin,dc=trest91,dc=ru
(Админ сервера LDAP)
ldap master bind password [] > admin
(Пароль админа сервера LDAP)
ldap slave server [] > 127.0.0.1
(Вторичный сервер LDAP)
ldap slave port [389] >
(Порт вторичного сервера LDAP)
ldap slave bind dn [] > cn=admin,dc=trest91,dc=ru
(Админ вторичного сервера LDAP)
ldap slave bind password [] > admin
(Пароль админа вторичного сервера LDAP)
ldap tls support (1/0) [0] > 1
(использовать tls или нет, в нашем случае используем)
How to verify the server's certificate (none, optional or require) [require] >
(вид проверки сертификата (нет, опционально или требовать))
CA certificate file [/etc/smbldap-tools//ca.pem] > /etc/ssl/certs/cacert.pem
(файл повышенной защищенности (дословно PEM-format file) включающий сертификат для CA которым будет доверять slapd)
certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.pem] > /etc/ssl/certs/ldap01_slapd_cert.pem
(файл, содержащий клиентский сертификат)
key certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.key] > /etc/ssl/private/ldap01_slapd_key.pem
(файл, содержащий приватный ключ, который соответствует клиентскому сертификату)
SID for domain WORKGROUP [S-1-5-21-2252343921-2211050572-3431777101] >
(идентификатор безопасности домена, у вас будет свой)
unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] > MD5
(способ хэширования паролей пользователей)
default user gidNumber [513] >
(по умолчанию основная группа для учетных записей пользователей)
default computer gidNumber [515] >
(по умолчанию основная группа для компьютеров)
default login shell [/bin/bash] >
(оболочка пользователя по умолчанию)
default skeleton directory [/etc/skel] >
(место, где находится <<скелетная>> директория, являющаяся шаблоном для директорий пользователей, эта опция используется лишь в том случае, если вы явно укажете создать домашнюю директорию пользователя в ходе создания нового пользователя)
default domain name to append to mail adress [] >
(домен, добавляемый к атрибуту пользователя "mail")
Теперь нам необходимо проверить SID нашего домена. Для этого делаем следующее, набираем команду
net getlocalsid nx2
ответом должна быть строка следующего вида
SID for domain nx2 is: S-1-5-21-2252343921-2211050572-3431777101
Теперь идём в файл /etc/smbldap-tools/smbldap.conf находим там опцию SID и проверяем, должно совпадать с тем что мы получили выше.
Если при конфигурировании на вопрос «default password validation time (time in days) [45] >» вы поставили « . » точку, тогда ищем опцию
defaultMaxPasswordAge=""
и комментируем её. (cтавим # и пробел перед строкой)
Находим
crypt_salt_format=""
и меняем на
crypt_salt_format="$1$%.8s"
Заполняем базу LDAP.
Необходимо узнать администратора samba, для этого выполняем команду
pdbedit -Lw
Ответом должно показать двух пользователей, один из них nobody а второй и есть администратор samba (в моём случае это nx-admin)
Формируем ldif файл sambadb.ldif
smbldap-populate -a nx-admin -e /etc/ldap/sambadb.ldif
cd /etc/ldap
pdbedit -Lw admins -v
Ищем «User SID», записываем его, далее открываем sambadb.ldif для редактирования, ищем описание администратора, начинается оно так
dn: uid=admins,ou=Users,dc=example,dc=com
ищем в описании sambaSID и меняем его значение на то что получили выше.
Заполняем нашу базу
ldapadd -x -D cn=admin,dc=example,dc=com -W -f sambadb.ldif
Устанавливаем пароль администратору samba в LDAP
smbldap-passwd -a admins
Добавим нового пользователя
smbldap-useradd -a -P nx-ldap (Имя добавляемого пользователя)
Перезагружаем сервер
reboot
Теперь проверим видит наш сервер пользователей в LDAP или нет, для этого можно попробовать войти в систему под ново созданным пользователем nx-ldap или в mc выбрав любой файл перейти в меню Файл → Права (расширенные) и развернуть список групп, там должны быть все группы из LDAP которые мы добавили при заполнении базы, такие как Domain Admins, Domain Users и т.д.
Переходим к конфигурированию samba.
cd /etc/samba
и делаем копию дефолтного конфига
cp smb.conf smb.conf.orig
Ниже приведу конфиг моей самбы:
[global]
server string =
workgroup = Trest
netbios name = pdc
#=========================================================
passdb backend = ldapsam:ldap://localhost
obey pam restrictions = no
security = user
encrypt passwords = yes
unix extensions = no
#=========================================================
local master = yes
os level = 255
domain master = yes
preferred master = yes
time server = yes
admin users = nx-admin
#=========================================================
log level = 1
log file = /var/log/samba/workstations/%m.log
max log size = 50
#=========================================================
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
getwd cache = yes
read raw = yes
write raw = yes
max xmit = 65536
wins support = yes
wins proxy = yes
dns proxy = no
name resolve order = wins hosts bcast lmhosts
wide links = yes
hosts allow = 192.168. 127.0.0.1 127.0.1.1
hosts deny = 0.0.0.0/0
idmap uid = 10000-20000
idmap gid = 10000-20000
#=========================================================
ldap suffix = dc=trest91,dc=ru
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=trest91,dc=ru
ldap ssl = start tls
ldap passwd sync = yes
ldap delete dn = no
add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w "%u"
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
domain logons = yes
invalid users = root
load printers = no
Создаём необходимые каталоги (которые указали в строке log file = /var/log/samba/workstations/%m.log)
mkdir /var/log/samba/workstations/
Перезагружаем smbd
service smbd restart
Теперь samba необходимо указать пароль админа LDAP
smbpasswd -w admin
Устанавливаем пароль админу samba такой же как установили в
smbpasswd -a nx-admin
Перезагружаем nmbd
service nmbd restart
Проверяем как работает samba для этого получим список групп в домене
net groupmap list
ответом должно быть
Domain Admins (S-1-5-21-2302747472-2920907650-383109413-512) -> Domain Admins
Domain Users (S-1-5-21-2302747472-2920907650-383109413-513) -> Domain Users
Domain Guests (S-1-5-21-2302747472-2920907650-383109413-514) -> Domain Guests
Domain Computers (S-1-5-21-2302747472-2920907650-383109413-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
Всё настройка samba окончена.