A samba 3 (pdc) openldap 2 konfigurálása
Így van egy frissen telepített Ubuntu 10.04 a telepítési folyamat során, a LAMP kiszolgálót választották, ebben az összefüggésben nem fogom leírni az apache2 + php5 konfigurációt itt.
A cikkben szereplő összes műveletet a felhasználó gyökere végzi.
Először is letöltjük a Gosa 2.6.13-at az irodából. oldalon. Számos olyan rendszert tartalmaz, amelyekre az LDAP beállítása során szüksége lesz.
Vegye ki az archívum tartalmát
Másolás / usr / share / gosa
Katalógus létrehozása szükséges Gosa
Engedjük meg, hogy a www-adatcsoport írjon a könyvtárakba
Telepítse a szükséges csomagokat
Az alapvető rendszereket kapcsoljuk össze
Most meg kell csatlakoztatnia a Gosa és a szamba munkájához szükséges áramköröket.
Másolja a samba sémát az / etc / ldap / sémára
A samba3.schema sémát ldif-be kell konvertálni. Ehhez lépjen az / etc / ldap könyvtárba
és létrehozza a schema_convert.conf fájlt
Ezután hozzon létre egy ideiglenes könyvtárat, és alakítsa át a sémát
A kapott rendszerrel a katalógusba megyünk
A program végén törölje a sorokat a következő tartalommal
Tehát törölni mindent a structuralObjectClass-al kezdve: és a fájl végére.
Nos, és utoljára másoljuk, és átnevezzük a program egy fájlját
Ezután módosítsa az összes ldif fájlt a / usr / share / gosa / contrib / openldap /
Például, vegye be a trust.ldif fájlt.
Szerkesztésekor Gosa FELEJTSE áramkörök első sorának eltávolításával számos append, cn = schema, cn = config egyébként Gosa áramkör nem lesz kötve, hogy az ólom a további hibák beállítva.
Most másolja őket az / etc / ldap / schema könyvtárba
Az áramköröket a következő sorrendben csatlakoztatjuk
Menjen az / etc / ldap könyvtárba
Létrehozunk egy LDAP-adatbázist, amellyel folytatni fogjuk a munkát. Ehhez hozzon létre egy db.ldif fájlt
Javítsa ki a létrehozott fájlban a tartománynevet. Például, ha a kiszolgáló neve servak.kontora.ru, akkor a teljes szövegben dc = example, dc = com kell helyettesíteni dc = kontora, dc = ru.
Állítsa be a rendszergazda jelszavát a fájl megfelelő sorában
olcRootPW: Xr4ilOzQ4PCOq3aQ0qbuaQ == Ebben a példában a jelszó titkos lesz
hogy a slappasswd segédprogram titkosított jelszavát használja, a következőképpen kell használni
Ne feledje a rendszergazda nevét és jelszavát - a GOsa majd megkérdezi. Töltsd be ezt a beállítást:
Ezután engedélyezzük az LDAP titkosítását.
Telepítse a gnutls-bin csomagot
Hozzon létre egy kulcsot a tanúsítvány hatósághoz (CA)
Hozzon létre a /etc/ssl/ca.info fájlt
Példa Társaság, melyet megváltoztatunk
Most készítsen önaláírt CA tanúsítványt
Hozzon létre egy privát kulcsot a kiszolgálónk létrehozásakor az ldap01 helyett a hostname gazdagépével
A kiszolgálói tanúsítvány aláírása a CA-ból, hozza létre a /etc/ssl/ldap01.info fájlt
(Ldap01 létrehozásakor cserélje le a szerver gazdanevét):
Példa Társaság, melyet megváltoztatunk
Az ldap01.example.com a kiszolgáló "hostname -f" -re változik
ldap01.example.com mindig meg kell változtatni a «hostname -f» szerverhez, mert az értéke «cn» paramétert meg kell egyeznie a gazda nevét, amely használni fogja a tanúsítványt, mert a lehetőséget, hogy a LDAP adatok egy igazolást, amely nem vezet tovább sok hibát
Hozzon létre egy tanúsítványt a kiszolgálóhoz (létrehozásakor cserélje ki az ldap01-t a szerver gazdanévére)
Most rendelkezünk egy tanúsítvánnyal, kulccsal és CA-tanúsítvánnyal a telepítéshez, az ldapmodify segédprogram használatával új beállításokat adhatunk hozzá a konfigurációhoz
Belépünk a konzolba
majd illessze be a következőket:
Ezután nyomja meg kétszer az enter gombot, a "cn = config" és a Ctrl + D módosító bejegyzés megjelenik a kilépéshez.
Ezután módosítsa a / etc / default / slapd opciót SLAPD_SERVICES
Most a felhasználói openldapnak hozzáféréssel kell rendelkeznie a tanúsítványhoz (ne felejtsd el megváltoztatni az ldap01-et saját)
Most adjuk hozzá a samba mutatóit
Hozzáadás az adatbázisba
Adjon hozzá indexeket a gosa-hoz
Hozzáadás az adatbázisba
Szerkesztés /etc/ldap/ldap.conf Az alap-utótag megadása, ebben az esetben dc = példa, dc = com
Ha ez megtörténik, a slapd újraindul, és a parancsot
majd törölje a /etc/ldap/slapd.d/cn=config/olcDatabase=hdb.ldif fájlt
majd próbálja újraindítani az LDAP-t
Az összes LDAP konfiguráció befejeződött.
Telepítse a szükséges csomagokat
A következő kérdésekre válaszolunk:
Ha hibát vétett a kérdések megválaszolásának folyamatában, akkor javíthatja az ldap-auth-config csomag átkonfigurációjának futtatásával a parancsot
Módosítjuk a hitelesítést a kiszolgálón
Konfigurálja a pam hitelesítést, ennek elvégzésére
és aktiválja az LDAP és UNIX hitelesítési profilokat.
Telepítse a szükséges csomagokat
Futtassa az smbldap-tools konfigurációs parancsfájlt
És elkezdjük megválaszolni a kérdéseket:
Most ellenőrizzük domainünk SID-jét. Ehhez tegye a következőket, írja be a parancsot
a válasznak az alábbi típusú vonalat kell tartalmaznia
Most menj az /etc/smbldap-tools/smbldap.conf fájlba, és ott találd meg a SID lehetőséget, és ellenőrizd, hogy megegyezzen a fentiekhez.
Ha beállította a kérdést: "az alapértelmezett jelszó érvényességi ideje (idő napokban) [45]>" beállított ". "Pont, akkor keresse meg a lehetőséget
Töltse ki az LDAP adatbázisát.
Meg kell tanulnod a samba adminisztrátort, ezért végrehajtjuk a parancsot
A válasznak két felhasználónak kell megjelennie, egyikük sem senki, a másik pedig a samba adminisztrátora (esetemben adminisztrátor)
Formázza az sambadb.ldif ldif állományt
Adminok helyett adja meg a samba rendszergazdáját.
Menjen az / etc / ldap mappába
Szerkesztenie kell a sambadb.ldif parancsot. Futtassa a parancsot
Keressük a "Felhasználó SID" -et, írjuk le (másoljuk vagy emlékezzünk :)), majd megnyitjuk a sambadb.ldif-ot a szerkesztéshez, keressük a rendszergazda leírását, így kezdődik
keresse meg a sambaSID-t a leírásban, és változtassa meg értékét a fentiekhez.
Még mindig a következő, és módosítsa az értéket gidNumber uidNumber 1000 rendelhető homeDirectory: / home / adminok és loginShell: / bin / sh (az értékek rendszergazdák helyi felhasználó) és a domain leírása
megváltoztatta a gidNumber és uidNumber értékét 1001-re. Azt hiszem, ezt nem teheti meg.
Töltse ki adatbázisunkat
A samba adminisztrátor jelszavát az LDAP-ban állítottuk be
Új felhasználó hozzáadása
Most ellenőrizze látja a felhasználó szerver LDAP-e vagy sem, ezt meg lehet próbálni, hogy jelentkezzen be egy újonnan létrehozott felhasználónévvel felhasználó vagy mc kiválasztásával bármilyen fájlt menjen a File → Rights (haladó), és bővíteni a listát a csoportok, ott kell lennie az összes csoportot az LDAP amit az adatbázis betöltésekor adtunk hozzá, mint például a domain-adminisztrátorok, domain-felhasználók stb.
Folytassuk a szamba beállítását. Menj az / etc / samba könyvtárba
és készítsen másolatot az alapértelmezett konfigurációról
Az alábbiakban a samba konfigurációja látható:
Készítjük a szükséges könyvtárakat, az én esetemben ez
Most a samba meg kell adnia az LDAP admin jelszót
a titok helyett a jelszót.
A szamba adminisztrátornak ugyanazt a jelszót állítottuk be, mint az LDAP-ban beállított smbldap-passwd parancs
Megvizsgáljuk, hogy a samba hogyan működik, hogy megkapja a csoportok listáját a tartományban
A választ kell
A szamba beállítása vége. Próbálja meg hozzáadni a gépet a tartományhoz. Ha minden tovább tovább konfigurálódik.
Adjuk meg a Domain Adminisztrátorok csoportot a tartományi rendszergazdának a következő jogosultságokkal:
A választ sikeresen ki kell adni.
Most a csoport minden felhasználója rendelkezik domain rendszergazdai jogokkal.
Adja hozzá szerverünket a domainhez
A válasznak egyeznie kell a tartományi példával.
Ellenőrizze, hogy a kiszolgáló hozzáadásra kerül-e a tartományhoz vagy sem
A válasz a Csatlakozás # "PÉLDA #" rendben van
Parancsok a samba adminisztrálásához smbldap-tools használatával
Felhasználó hozzáadása: smbldap-useradd -a -P felhasználónév
Felhasználó törlése: smbldap-userdel felhasználónév
Csoport hozzáadása: smbldap-groupadd -a csoportnév
Adjon hozzá egy felhasználót a csoporthoz: smbldap-groupmod -m felhasználónév csoportnév
Egy felhasználó eltávolítása a csoportból: smbldap-groupmod -x felhasználónév csoportnév
Számítógép hozzáadása a tartományhoz: smbldap-useradd -t 0 -w felhasználónév
Állítsa be az elsődleges felhasználói csoportot: smbldap-usermod -g groupname felhasználónév
Ha a Gosát adminisztrációra használják, akkor ezek a parancsok nem használhatók, így a parancsok által hozzáadott felhasználók és csoportok nem fogják látni Gosát.
Hozzon létre egy gosa fájlt az /etc/apache2/conf.d könyvtárban
Telepítse a szükséges csomagokat a gosa-hoz
Menjünk a könyvtárba a gosa-val és futtassuk a frissítést
Megújítjuk a gosa nemzetközivé válását
A böngészőn keresztül megyünk a kiszolgálóra
és folytassa a konfigurációt:
Itt meg kell adnia a következő parancsot a kiszolgálón:
a parancs az oldalon szerepel.
Az interfész nyelvét választjuk. Sajnos az orosz nyelvre történő fordítás még nem fejeződött be, ezért az orosz felület kiválasztásakor orosz-angol lesz
Itt a PHP modulok ellenõrzésre kerülnek, ha vannak hibák, meg kell oldani a hiányzó modulok telepítése elõtt, mielõtt további konfigurációkat folytatna.
Licenc szakasz. Természetesen meg kell venned :)
Itt adja meg az LDAP-hoz való csatlakozás beállításait.
Helyszín - írja meg, mit akarunk
TLS kapcsolat - igen
Admin DN - cn = admin
Adminisztrátori jelszó - titkos
Jelöljük be az "Automatikusan csatolja az LDAP-bázist az admin DN-hez"
Használja az rfc2307bis megfelelő csoportokat - nem
Az Információs mező zölden kiemelve kell lennie.
LDAP sémák ellenőrzése.
A séma érvényesítésének engedélyezése bejelentkezéskor - igen. Ellenőrizni kell az állapotot. Sémaellenőrzés sikerült, ellenkező esetben valami hibás a sémákkal, és ezt a konfiguráció folytatása előtt rögzíteni kell.
Beállítások Gosa először. Itt csak azt jelzem meg, amit változtattam, minden más beállítást úgy hagytam, ahogy van.
Az emberek DN attribútuma - uid
Emberek tárolási alfaja - ou = Felhasználók
Csoport tárolási alfa - ou = Csoportok
Jelszó titkosítási algoritmus - md5
Gosa beállításai kettő.
Samba SID - S-1-5-21-2252343921-2211050572-3431777101
Munkaállomás konténer - ou = Számítógépek
Samba SID leképezés - igen
A Gosa beállításai a harmadik szakasz. Itt hagytam mindent úgy, ahogy van
Itt Gosa ellenőrzi az LDAP adatbázisát. Ha vannak olyan hibák vagy figyelmeztetések, amelyeket meg kell oldani, a Gosa javára meg tudja javítani. Ehhez nyomja meg az Áthelyezés gombot, majd ismét áttelepül, vagy jelölje be a kívánt elemeket, majd kattintson az Alkalmaz gombra. Itt létre kell hoznia egy gosa adminisztrátort.
Ebben a lépésben a Gosa az LDAP-ban elérhető számítógépek áttelepítését is kínálja. legalább az lesz a kiszolgáló, amelyet az előző szakasz domainjéhez adtál hozzá, mivel a maximálisan minden gép hozzáadódik a tartományhoz. A számítógépek áttelepítéséhez NEM SZÜKSÉG NE hagyni őket, és továbbra is konfigurálni kell.
Itt nem írtam semmit, és csak a Next gombra kattintottam
A Gosa konfiguráció befejeződött. Töltse le a konfigurációs fájlt a Konfiguráció letöltése gombra kattintva, és tegye a kiszolgálóra az / etc / gosa mappában, majd adja hozzá a jogokat
A testreszabási szakasz minden részletét itt olvashatja.
Most hozzon létre további könyvtárakat, így a gosa nem jelenít meg figyelmeztetéseket
A könyvtárak létrehozása helyett eltávolíthatja a csillaggal kapcsolatos bővítményt, de ezzel nem foglalkoztam.
Nos, ez a Gosa beállítás teljes.
Próbáljunk létrehozni egy felhasználót Gosával.
Meg kell nyitnia a samba adminisztrátort, hogy menjen a Samba fülre, és kattintson az Alkalmaz gombra. Ezt meg kell tenni a Gosa szükséges paramétereinek beírásához.
Ha parancsfájlt kell végrehajtania egy felhasználó létrehozása, törlése vagy megváltoztatása után, akkor a következőket kell tennie:
Adja hozzá az alábbi sort az / etc / sudoers fájl végéhez
Az /etc/gosa/gosa.conf fájlban megtaláljuk a megjegyzést alatta a blokk
ha szükség van a szkriptek végrehajtására a felhasználó törlésekor és módosításakor, akkor hozzá kell adni a következőket
A% uid olyan változó, amely a felhasználói nevet helyettesíti, a /etc/gosa/scripts/createuserfolder.sh a parancsfájl teljes elérési útja.
A parancsfájloknak 750-es jogokkal kell rendelkezniük, és hozzáférhetővé kell tenniük a www-adatcsoportot.
Ha szkriptekre van szükség, például csak a szamba felhasználói fiók létrehozásakor, akkor a string helyett
Ha szkripteket akarunk végrehajtani a csoport létrehozása, törlése vagy módosítása után, akkor a megjegyzést keressük és változtassa meg a vonalat
A% cn olyan változó, amely egy csoport nevét helyettesíti
Nos, ez minden. Remélem, hogy valaki hasznosnak fogja találni ezt az információt
Ui Gosa nagyon hatékony eszköze az adminisztrációnak, egy kicsit ásom benne, azt tapasztaltam, hogy Gosa végrehajtotta a Postfix levelező szerver adminisztrációs képességét. Úgy döntöttem, hogy a levelemet átküldi az LDAP-ba, és átengedem Gosa-n keresztül. Amit tettem, a következő cikkben írok
Ezt a cikket megvitathatod a fórumon.