Și astfel, există un nou instalat Ubuntu 10.04 în procesul de instalare a unui server LAMP a fost selectat, în această privință, eu nu am de gând să descrie setarea apache2 + PHP5.
Toate acțiunile din acest articol sunt efectuate de către root-ul utilizatorului.
Mai întâi, descărcăm Gosa 2.6.13 din birou. site-ul. Acesta conține un număr de scheme pe care veți avea nevoie la configurarea LDAP.
Extrageți conținutul arhivei
Copiați în / usr / share / gosa
Creați cataloagele Gosa necesare
Să permitem grupului www-data să scrie la directoare
Instalați pachetele necesare
Legăm schemele de bază
Acum trebuie să conectați circuitele necesare pentru munca Gosa și samba.
Copiați schema samba în / etc / ldap / schema
Schema samba3.schema trebuie convertită la ldif. Pentru aceasta, mergeți la directorul / etc / ldap
și creați fișierul schema_convert.conf
Apoi creați un director temporar și convertiți schema în el
Mergem la catalog cu schema primită
La sfârșitul schemei, ștergeți liniile cu următorul conținut
Adică, ștergem totul începând cu structuralObjectClass: și la sfârșitul fișierului.
Ei bine și într-o ultimă copie și redenumiți un fișier al schemei
Apoi, trebuie să editați toate fișierele ldif din / usr / share / gosa / contrib / openldap /
De exemplu, luați fișierul trust.ldif.
Când editați schemele GOSA NU ÎNGRIJIRE în prima linie, adăugând parantezele cu numărul de adăugat, cn = schema, cn = config, altfel schemele Gosa nu vor fi conectate, ceea ce va duce la o mulțime de erori.
Acum copiați-le în directorul / etc / ldap / schema
Conectăm circuitele în ordinea următoare
Accesați directorul / etc / ldap
Creăm o bază de date LDAP cu care vom continua să lucrăm. Pentru aceasta, creați un fișier db.ldif
Corectați numele domeniului în fișierul generat. De exemplu, dacă serverul dvs. este numit servak.kontora.ru, atunci trebuie să înlocuiți dc = example, dc = com cu dc = kontora, dc = ru în întregul text.
Setați parola de administrator în linia corespunzătoare a fișierului
olcRootPW: Xr4ilOzQ4PCOq3aQ0qbuaQ == În acest exemplu, parola va fi secretă
pentru a obține parola criptată utilitatea slappasswd a fost folosită, ar trebui utilizată după cum urmează
Amintiți-vă numele administratorului și parola - GOșa va întreba apoi. Acum încărcați acest config:
Apoi, activați criptarea pentru LDAP-ul nostru.
Instalați pachetul gnutls-bin
Creați o cheie pentru Autoritatea de Certificare (CA)
Creați fișierul /etc/ssl/ca.info
Compania de exemplu ne schimbăm
Acum, creați un certificat CA cu auto-semnare
Creați o cheie privată pentru serverul nostru. Atunci când creați, înlocuiți ldap01 cu numele de gazdă
Pentru a semna certificatul de server de la CA, creați fișierul /etc/ssl/ldap01.info
(Când creați, înlocuiți ldap01 cu numele de gazdă al serverului dvs.):
Compania de exemplu ne schimbăm
ldap01.example.com este schimbat în "hostname -f" al serverului dvs.
ldap01.example.com trebuie să fie întotdeauna schimbat la «hostname -f» serverul dvs., deoarece valoarea «cn» parametru trebuie să se potrivească cu numele gazdei care se va utiliza certificatul, în caz contrar, posibilitatea de a se conecta la datele LDAP cu un certificat care nu va duce la mai departe la multe erori
Creați un certificat pentru server (Când creați, înlocuiți ldap01 cu numele de gazdă al serverului dvs.)
Acum avem un certificat, cheia și certificatul CA pentru a instala, utilizați utilitarul ldapmodify pentru a adăuga noi opțiuni la configurație
Intrăm în consola
apoi lipiți următoarele:
Apoi apăsați enter de două ori, intrarea de modificare "cn = config" și Ctrl + D ar trebui să apară pentru a ieși.
Apoi, modificați opțiunea SLAPD_SERVICES / etc / default / slapd
Acum, utilizatorul openldap este obligat să aibă acces la certificat (nu uitați să schimbați ldap01 pe cont propriu)
Acum adăugați indicii pentru samba
Adăugarea în baza de date
Adăugați indicatori pentru gosa
Adăugarea în baza de date
Editarea /etc/ldap/ldap.conf Specificarea sufixului de bază, în acest caz dc = exemplu, dc = com
Dacă se întâmplă acest lucru, slapd va reporni și comanda
apoi ștergeți fișierul /etc/ldap/slapd.d/cn=config/olcDatabase=hdb.ldif
apoi încercați să reporniți LDAP
Toate configurațiile LDAP sunt terminate.
Instalați pachetele necesare
Răspundem la întrebări după cum urmează:
Dacă ați făcut o greșeală în procesul de a răspunde la întrebări, o puteți rezolva executând reconfigurarea pachetului ldap-auth-config cu comanda
Facem modificări la autentificare pe server
Configurați autentificarea pam, pentru aceasta efectuăm
și să activați profilurile de autentificare LDAP și UNIX.
Instalați pachetele necesare
Rulați scriptul de configurare smbldap-tools
Și începem să răspundem la întrebări:
Acum trebuie să verificăm SID-ul domeniului nostru. Pentru a face acest lucru, procedați în felul următor, tastați comanda
răspunsul trebuie să fie o linie de tipul următor
Acum mergeți la fișierul /etc/smbldap-tools/smbldap.conf și găsiți opțiunea SID acolo și verificați dacă ar trebui să se potrivească ceea ce am primit mai sus.
Dacă ați configurat întrebarea "timpul de validare a parolei implicite (timpul în zile) [45]>" ați setat ". "Punctul, apoi căutați opțiunea
Completăm baza de date LDAP.
Este necesar să înveți administratorul samba, pentru aceasta executăm comanda
Răspunsul ar trebui să arate doi utilizatori, unul dintre ei nimeni și cel de-al doilea este administratorul samba (în cazul meu este administratori)
Formați fișierul ldif sambadb.ldif
În loc de administratori, specificați administratorul dvs. de samba.
Accesați / etc / ldap
Trebuie să editați sambadb.ldif Rulați comanda
Căutăm "User SID", scrieți-l (copiați sau amintiți :)), apoi deschideți sambadb.ldif pentru editare, căutăm descrierea administratorului, începe astfel
căutați sambaSID în descriere și modificați valoarea sa la cea obținută mai sus.
Eu încă mai fac următoarele și modificați valoarea gidNumber uidNumber 1000, comandat homeDirectory: / home / admins și loginShell: / bin / sh (valorile adminii utilizator local), precum și în descrierea domeniului
a schimbat numărul gidNumber și uidNumber la 1001. Cred că nu puteți face acest lucru.
Ne umplem baza de date
Am setat parola pentru administratorul samba în LDAP
Adăugați un utilizator nou
Acum, verificați vede serverul utilizatorilor noștri în LDAP sau nu, pentru aceasta puteți încerca să vă conectați la un utilizator nume de utilizator nou creat sau MC selectarea orice fișier mergeți la File → Drepturi (avansate), și să extindă lista de grupuri, trebuie să existe toate grupurile din LDAP pe care l-am adăugat la completarea bazei de date, cum ar fi Domain Admins, Domain Users, etc.
Să mergem la configurarea samba. Accesați / etc / samba
și faceți o copie a configurației implicite
Mai jos este configurația samba mea:
Creăm directoarele necesare, în cazul meu asta este
Acum, samba trebuie să specifice parola de administrare LDAP
în loc de secret, pune-ți parola.
Am setat parola administratorului samba la fel ca comanda smbldap-passwd setata in LDAP
Verificăm cum funcționează samba pentru a obține lista grupurilor din domeniu
Răspunsul ar trebui să fie
Toate setările de samba au luat sfârșit. Încercați să adăugați mașina în domeniu. Dacă totul continuă să se configureze mai departe.
Să acordăm grupului Domain Admins drepturile unui administrator de domeniu pentru a face acest lucru:
Răspunsul trebuie să fie drepturi acordate cu succes.
Acum orice utilizator din acest grup va avea drepturi de administrator de domeniu.
Adăugați serverul nostru în domeniu
Răspunsul trebuie să fie EXEMPLU.
Verificați dacă serverul este adăugat la domeniu sau nu de către comandă
Răspunsul ar trebui să fie Alăturați-vă # 'EXEMPLU #' este OK
Comenzi pentru administrarea samba folosind smbldap-tools
Adăugați utilizator: smbldap-useradd -a -P username
Ștergeți utilizatorul: smbldap-userdel username
Adăugarea unui grup: smbldap-groupadd -a nume de grup
Adăugați un utilizator în grup: smbldap-groupmod -m username namename
Eliminarea unui utilizator din grup: smbldap-groupmod -x username namename
Adăugarea unui computer pe domeniu: smbldap-useradd -t 0 -w nume de utilizator
Setați grupul principal de utilizatori: smbldap-usermod -g nume de utilizator al grupului
Dacă Gosa este folosit pentru administrare, atunci aceste comenzi nu pot fi folosite, astfel încât utilizatorii și grupurile adăugate de aceste comenzi nu vor vedea Gosa.
Creați un fișier gosa în directorul /etc/apache2/conf.d
Instalați pachetele necesare pentru gosa
Mergem în directorul cu gosa și rulați update-gosa
Reînnoim internaționalizarea gosului
Mergem pe server prin browser
și treceți la configurație:
Aici vi se va cere să executați direct următoarea comandă pe server:
comanda este afișată pe pagină.
Alegem limba de interfață. Din păcate, traducerea în limba rusă nu este încă terminată, deci atunci când alegeți interfața rusă, vor exista ruso-engleza
Aici, modulele PHP sunt verificate dacă există erori, acestea trebuie rezolvate înainte de a instala modulele care lipsesc, înainte de a continua configurarea ulterioară.
Secțiunea de licență. Desigur, trebuie să o luați :)
Aici specificați setările pentru conectarea la LDAP.
Locație - scrieți ce vrem
Conexiune TLS - da
Admin DN - cn = admin
Parola de administrator - secret
Bifăm "Adăugarea automată a bazei LDAP la admin DN"
Utilizați grupurile compatibile rfc2307bis - nr
Câmpul Informații trebuie evidențiat în verde.
Verificarea schemelor LDAP.
Activați validarea schemei atunci când vă conectați - da Verificați starea trebuie să fie Verificați schema succesului altfel ceva nu este în regulă cu schemele și aceasta trebuie rezolvată înainte de a continua configurarea.
Setați prima etapă Gosa. Aici voi indica doar ceea ce am schimbat, toate celelalte setări rămase așa cum este.
Atribuția persoanelor DN - uid
Subtree pentru stocarea persoanelor - ou = Utilizatori
Subtree de stocare a grupului - ou = Grupuri
Algoritmul de criptare al parolei - md5
Setările Gosa au loc două.
Samba SID - S-1-5-21-2252343921-2211050572-3431777101
Statie de lucru - ou = Calculatoare
Cartografiere SID Samba - da
Setările Gosa sunt a treia etapă. Aici am lăsat totul ca atare
Aici Gosa verifică baza de date LDAP. Dacă există erori sau avertismente, trebuie să fie fixate, beneficiul Gosa vă poate rezolva singur. Pentru a face acest lucru, apăsați butonul Migrare și apoi fie Migrați din nou, fie bifați elementele necesare și Aplicați. Aici va trebui să creați un administrator gosa.
În acest pas, Gosa va oferi, de asemenea, să migreze computerele disponibile în LDAP. cel puțin acesta va fi serverul pe care l-ați adăugat la domeniul din secțiunea anterioară, pentru ca maximum să fie toate mașinile deja adăugate în domeniu. Migrați computerele NU trebuie să le lăsați ca atare și să continuați configurarea.
Aici nu am scris nimic și am făcut clic pe Următorul
Configurația Gosa este completă. Descărcați fișierul de configurare făcând clic pe butonul Descărcați configurare și plasați-l pe server în directorul / etc / gosa și apoi alocați-l drepturile
Mai multe detalii despre toate etapele de personalizare pot fi citite aici.
Acum creați directoare suplimentare pentru ca gosa să nu afișeze avertismente
În loc să creați directoare, puteți elimina pluginul asterisc, dar nu m-am deranjat.
Ei bine, asta e, configurația Gosa este completă.
Să încercăm să creăm un utilizator cu Gosa.
De asemenea, trebuie să deschideți administratorul samba pentru a accesa fila Samba și faceți clic pe butonul Aplicare. Acest lucru trebuie făcut pentru a introduce parametrii necesari pentru Gosa.
Dacă trebuie să executați un script după crearea, ștergerea, schimbarea unui utilizator, trebuie să faceți următoarele:
Adăugați următoarea linie la sfârșitul fișierului / etc / sudoers
În /etc/gosa/gosa.conf găsim comentariul sub el merge blocul
dacă este necesar ca scripturile să fie încă executate atunci când ștergeți și modificați utilizatorul, atunci este necesar să adăugați următoarele
% Uid - această variabilă se înlocuiește cu numele de utilizator, /etc/gosa/scripts/createuserfolder.sh - este calea completă la script.
Scripturile trebuie să aibă drepturile 750 și să fie accesibile grupului de date www.
Dacă aveți nevoie de script-urile care trebuie executate, de exemplu, numai atunci când creați un cont de utilizator samba, în loc de șir
Dacă vrem să executăm scripturi după crearea, ștergerea, schimbarea grupului, atunci căutăm comentariul și schimbați linia
% cn este o variabilă care înlocuiește numele unui grup
Ei bine, asta e tot. Sper că cineva va găsi aceste informații utile
P.S. Gosa este un instrument destul de puternic pentru administrare, am săpat puțin în ea, am descoperit că Gosa a implementat abilitatea de a administra serverul de mail Postfix. Deci, am decis să-mi transfer mailer-ul la LDAP și să îl administrez prin Gosa. Despre ceea ce am făcut voi scrie în următorul articol
Puteți discuta acest articol pe forum.