Cum se configurează Samba 3 (pdc) openldap 2

Și astfel, există un nou instalat Ubuntu 10.04 în procesul de instalare a unui server LAMP a fost selectat, în această privință, eu nu am de gând să descrie setarea apache2 + PHP5.

Toate acțiunile din acest articol sunt efectuate de către root-ul utilizatorului.

Mai întâi, descărcăm Gosa 2.6.13 din birou. site-ul. Acesta conține un număr de scheme pe care veți avea nevoie la configurarea LDAP.

Extrageți conținutul arhivei

Copiați în / usr / share / gosa

Creați cataloagele Gosa necesare

Să permitem grupului www-data să scrie la directoare

Instalați pachetele necesare

Legăm schemele de bază

Acum trebuie să conectați circuitele necesare pentru munca Gosa și samba.

Copiați schema samba în / etc / ldap / schema

Schema samba3.schema trebuie convertită la ldif. Pentru aceasta, mergeți la directorul / etc / ldap

și creați fișierul schema_convert.conf

Apoi creați un director temporar și convertiți schema în el

Mergem la catalog cu schema primită

La sfârșitul schemei, ștergeți liniile cu următorul conținut

Adică, ștergem totul începând cu structuralObjectClass: și la sfârșitul fișierului.

Ei bine și într-o ultimă copie și redenumiți un fișier al schemei

Apoi, trebuie să editați toate fișierele ldif din / usr / share / gosa / contrib / openldap /

De exemplu, luați fișierul trust.ldif.

Când editați schemele GOSA NU ÎNGRIJIRE în prima linie, adăugând parantezele cu numărul de adăugat, cn = schema, cn = config, altfel schemele Gosa nu vor fi conectate, ceea ce va duce la o mulțime de erori.

Acum copiați-le în directorul / etc / ldap / schema

Conectăm circuitele în ordinea următoare

Accesați directorul / etc / ldap

Creăm o bază de date LDAP cu care vom continua să lucrăm. Pentru aceasta, creați un fișier db.ldif

Corectați numele domeniului în fișierul generat. De exemplu, dacă serverul dvs. este numit servak.kontora.ru, atunci trebuie să înlocuiți dc = example, dc = com cu dc = kontora, dc = ru în întregul text.

Setați parola de administrator în linia corespunzătoare a fișierului

olcRootPW: Xr4ilOzQ4PCOq3aQ0qbuaQ == În acest exemplu, parola va fi secretă

pentru a obține parola criptată utilitatea slappasswd a fost folosită, ar trebui utilizată după cum urmează

Amintiți-vă numele administratorului și parola - GOșa va întreba apoi. Acum încărcați acest config:

Apoi, activați criptarea pentru LDAP-ul nostru.

Instalați pachetul gnutls-bin

Creați o cheie pentru Autoritatea de Certificare (CA)

Creați fișierul /etc/ssl/ca.info

Compania de exemplu ne schimbăm

Acum, creați un certificat CA cu auto-semnare

Creați o cheie privată pentru serverul nostru. Atunci când creați, înlocuiți ldap01 cu numele de gazdă

Pentru a semna certificatul de server de la CA, creați fișierul /etc/ssl/ldap01.info

(Când creați, înlocuiți ldap01 cu numele de gazdă al serverului dvs.):

Compania de exemplu ne schimbăm

ldap01.example.com este schimbat în "hostname -f" al serverului dvs.

ldap01.example.com trebuie să fie întotdeauna schimbat la «hostname -f» serverul dvs., deoarece valoarea «cn» parametru trebuie să se potrivească cu numele gazdei care se va utiliza certificatul, în caz contrar, posibilitatea de a se conecta la datele LDAP cu un certificat care nu va duce la mai departe la multe erori

Creați un certificat pentru server (Când creați, înlocuiți ldap01 cu numele de gazdă al serverului dvs.)

Acum avem un certificat, cheia și certificatul CA pentru a instala, utilizați utilitarul ldapmodify pentru a adăuga noi opțiuni la configurație

Intrăm în consola

apoi lipiți următoarele:

Apoi apăsați enter de două ori, intrarea de modificare "cn = config" și Ctrl + D ar trebui să apară pentru a ieși.

Apoi, modificați opțiunea SLAPD_SERVICES / etc / default / slapd

Acum, utilizatorul openldap este obligat să aibă acces la certificat (nu uitați să schimbați ldap01 pe cont propriu)

Acum adăugați indicii pentru samba

Adăugarea în baza de date

Adăugați indicatori pentru gosa

Adăugarea în baza de date

Editarea /etc/ldap/ldap.conf Specificarea sufixului de bază, în acest caz dc = exemplu, dc = com

Dacă se întâmplă acest lucru, slapd va reporni și comanda

apoi ștergeți fișierul /etc/ldap/slapd.d/cn=config/olcDatabase=hdb.ldif

apoi încercați să reporniți LDAP

Toate configurațiile LDAP sunt terminate.

Instalați pachetele necesare

Răspundem la întrebări după cum urmează:

Dacă ați făcut o greșeală în procesul de a răspunde la întrebări, o puteți rezolva executând reconfigurarea pachetului ldap-auth-config cu comanda

Facem modificări la autentificare pe server

Configurați autentificarea pam, pentru aceasta efectuăm

și să activați profilurile de autentificare LDAP și UNIX.

Instalați pachetele necesare

Rulați scriptul de configurare smbldap-tools

Și începem să răspundem la întrebări:

Acum trebuie să verificăm SID-ul domeniului nostru. Pentru a face acest lucru, procedați în felul următor, tastați comanda

răspunsul trebuie să fie o linie de tipul următor

Acum mergeți la fișierul /etc/smbldap-tools/smbldap.conf și găsiți opțiunea SID acolo și verificați dacă ar trebui să se potrivească ceea ce am primit mai sus.

Dacă ați configurat întrebarea "timpul de validare a parolei implicite (timpul în zile) [45]>" ați setat ". "Punctul, apoi căutați opțiunea

Completăm baza de date LDAP.

Este necesar să înveți administratorul samba, pentru aceasta executăm comanda

Răspunsul ar trebui să arate doi utilizatori, unul dintre ei nimeni și cel de-al doilea este administratorul samba (în cazul meu este administratori)

Formați fișierul ldif sambadb.ldif

În loc de administratori, specificați administratorul dvs. de samba.

Accesați / etc / ldap

Trebuie să editați sambadb.ldif Rulați comanda

Căutăm "User SID", scrieți-l (copiați sau amintiți :)), apoi deschideți sambadb.ldif pentru editare, căutăm descrierea administratorului, începe astfel

căutați sambaSID în descriere și modificați valoarea sa la cea obținută mai sus.

Eu încă mai fac următoarele și modificați valoarea gidNumber uidNumber 1000, comandat homeDirectory: / home / admins și loginShell: / bin / sh (valorile adminii utilizator local), precum și în descrierea domeniului

a schimbat numărul gidNumber și uidNumber la 1001. Cred că nu puteți face acest lucru.

Ne umplem baza de date

Am setat parola pentru administratorul samba în LDAP

Adăugați un utilizator nou

Acum, verificați vede serverul utilizatorilor noștri în LDAP sau nu, pentru aceasta puteți încerca să vă conectați la un utilizator nume de utilizator nou creat sau MC selectarea orice fișier mergeți la File → Drepturi (avansate), și să extindă lista de grupuri, trebuie să existe toate grupurile din LDAP pe care l-am adăugat la completarea bazei de date, cum ar fi Domain Admins, Domain Users, etc.

Să mergem la configurarea samba. Accesați / etc / samba

și faceți o copie a configurației implicite

Mai jos este configurația samba mea:

Creăm directoarele necesare, în cazul meu asta este

Acum, samba trebuie să specifice parola de administrare LDAP

în loc de secret, pune-ți parola.

Am setat parola administratorului samba la fel ca comanda smbldap-passwd setata in LDAP

Verificăm cum funcționează samba pentru a obține lista grupurilor din domeniu

Răspunsul ar trebui să fie

Toate setările de samba au luat sfârșit. Încercați să adăugați mașina în domeniu. Dacă totul continuă să se configureze mai departe.

Să acordăm grupului Domain Admins drepturile unui administrator de domeniu pentru a face acest lucru:

Răspunsul trebuie să fie drepturi acordate cu succes.

Acum orice utilizator din acest grup va avea drepturi de administrator de domeniu.

Adăugați serverul nostru în domeniu

Răspunsul trebuie să fie EXEMPLU.

Verificați dacă serverul este adăugat la domeniu sau nu de către comandă

Răspunsul ar trebui să fie Alăturați-vă # 'EXEMPLU #' este OK

Comenzi pentru administrarea samba folosind smbldap-tools

Adăugați utilizator: smbldap-useradd -a -P username

Ștergeți utilizatorul: smbldap-userdel username

Adăugarea unui grup: smbldap-groupadd -a nume de grup

Adăugați un utilizator în grup: smbldap-groupmod -m username namename

Eliminarea unui utilizator din grup: smbldap-groupmod -x username namename

Adăugarea unui computer pe domeniu: smbldap-useradd -t 0 -w nume de utilizator

Setați grupul principal de utilizatori: smbldap-usermod -g nume de utilizator al grupului

Dacă Gosa este folosit pentru administrare, atunci aceste comenzi nu pot fi folosite, astfel încât utilizatorii și grupurile adăugate de aceste comenzi nu vor vedea Gosa.

Creați un fișier gosa în directorul /etc/apache2/conf.d

Instalați pachetele necesare pentru gosa

Mergem în directorul cu gosa și rulați update-gosa

Reînnoim internaționalizarea gosului

Mergem pe server prin browser

și treceți la configurație:

Aici vi se va cere să executați direct următoarea comandă pe server:

comanda este afișată pe pagină.

Alegem limba de interfață. Din păcate, traducerea în limba rusă nu este încă terminată, deci atunci când alegeți interfața rusă, vor exista ruso-engleza

Aici, modulele PHP sunt verificate dacă există erori, acestea trebuie rezolvate înainte de a instala modulele care lipsesc, înainte de a continua configurarea ulterioară.

Secțiunea de licență. Desigur, trebuie să o luați :)

Aici specificați setările pentru conectarea la LDAP.

Locație - scrieți ce vrem

Conexiune TLS - da

Admin DN - cn = admin

Parola de administrator - secret

Bifăm "Adăugarea automată a bazei LDAP la admin DN"

Utilizați grupurile compatibile rfc2307bis - nr

Câmpul Informații trebuie evidențiat în verde.

Verificarea schemelor LDAP.

Activați validarea schemei atunci când vă conectați - da Verificați starea trebuie să fie Verificați schema succesului altfel ceva nu este în regulă cu schemele și aceasta trebuie rezolvată înainte de a continua configurarea.

Setați prima etapă Gosa. Aici voi indica doar ceea ce am schimbat, toate celelalte setări rămase așa cum este.

Atribuția persoanelor DN - uid

Subtree pentru stocarea persoanelor - ou = Utilizatori

Subtree de stocare a grupului - ou = Grupuri

Algoritmul de criptare al parolei - md5

Setările Gosa au loc două.

Samba SID - S-1-5-21-2252343921-2211050572-3431777101

Statie de lucru - ou = Calculatoare

Cartografiere SID Samba - da

Setările Gosa sunt a treia etapă. Aici am lăsat totul ca atare

Aici Gosa verifică baza de date LDAP. Dacă există erori sau avertismente, trebuie să fie fixate, beneficiul Gosa vă poate rezolva singur. Pentru a face acest lucru, apăsați butonul Migrare și apoi fie Migrați din nou, fie bifați elementele necesare și Aplicați. Aici va trebui să creați un administrator gosa.

În acest pas, Gosa va oferi, de asemenea, să migreze computerele disponibile în LDAP. cel puțin acesta va fi serverul pe care l-ați adăugat la domeniul din secțiunea anterioară, pentru ca maximum să fie toate mașinile deja adăugate în domeniu. Migrați computerele NU trebuie să le lăsați ca atare și să continuați configurarea.

Aici nu am scris nimic și am făcut clic pe Următorul

Configurația Gosa este completă. Descărcați fișierul de configurare făcând clic pe butonul Descărcați configurare și plasați-l pe server în directorul / etc / gosa și apoi alocați-l drepturile

Mai multe detalii despre toate etapele de personalizare pot fi citite aici.

Acum creați directoare suplimentare pentru ca gosa să nu afișeze avertismente

În loc să creați directoare, puteți elimina pluginul asterisc, dar nu m-am deranjat.

Ei bine, asta e, configurația Gosa este completă.

Să încercăm să creăm un utilizator cu Gosa.

De asemenea, trebuie să deschideți administratorul samba pentru a accesa fila Samba și faceți clic pe butonul Aplicare. Acest lucru trebuie făcut pentru a introduce parametrii necesari pentru Gosa.

Dacă trebuie să executați un script după crearea, ștergerea, schimbarea unui utilizator, trebuie să faceți următoarele:

Adăugați următoarea linie la sfârșitul fișierului / etc / sudoers

În /etc/gosa/gosa.conf găsim comentariul sub el merge blocul în care sunt descrise toate filele din dialogul pentru crearea utilizatorului, de exemplu, doriți ca după crearea utilizatorului să fi fost creat directorul de domiciliu, atunci trebuie să modificați

dacă este necesar ca scripturile să fie încă executate atunci când ștergeți și modificați utilizatorul, atunci este necesar să adăugați următoarele

% Uid - această variabilă se înlocuiește cu numele de utilizator, /etc/gosa/scripts/createuserfolder.sh - este calea completă la script.

Scripturile trebuie să aibă drepturile 750 și să fie accesibile grupului de date www.

Dacă aveți nevoie de script-urile care trebuie executate, de exemplu, numai atunci când creați un cont de utilizator samba, în loc de șir

Dacă vrem să executăm scripturi după crearea, ștergerea, schimbarea grupului, atunci căutăm comentariul și schimbați linia

% cn este o variabilă care înlocuiește numele unui grup

Ei bine, asta e tot. Sper că cineva va găsi aceste informații utile

P.S. Gosa este un instrument destul de puternic pentru administrare, am săpat puțin în ea, am descoperit că Gosa a implementat abilitatea de a administra serverul de mail Postfix. Deci, am decis să-mi transfer mailer-ul la LDAP și să îl administrez prin Gosa. Despre ceea ce am făcut voi scrie în următorul articol

Puteți discuta acest articol pe forum.