ГлавнаяФорумСофтLunux - и всё что с ним связано
adattive - мобильная тема

Lunux - и всё что с ним связано

Вопросы по установке, софту, драйверам, да и вообще по самой системе
Участник
Игорь
^_^ Новичок ^_^ Просто Общительный Позитивный Человек Медаль Реально В Позитиве Позитивный Оптимист Грамота Мега Позивный
Сообщений: 140
Екатеринбург
2132 дня назад
Я думаю, многие слышали, кто то использует, но если есть вопросы задавайте:)
Сила в правде
Посетитель
Jaxondor
Сообщений: 6
Андижан
3808 дней назад
Какие языки программирования работяющие в среде Windows также работают в Linux OS ?
Участник
semyon
^_^ Новичок ^_^ Позитивный Человек Просто Общительный Реально В Позитиве Позитивный Оптимист Мега Позивный Медаль Общительный
Сообщений: 118
Ташкент
1652 дня назад
Кто настривал LDAP+SAMBA? Centos в роли котролёра домена. Пожалуста поделитесь опытом.
""
Участник
Игорь
^_^ Новичок ^_^ Просто Общительный Позитивный Человек Медаль Реально В Позитиве Позитивный Оптимист Грамота Мега Позивный
Сообщений: 140
Екатеринбург
2132 дня назад
1. Все это дело будет крутиться на CentOS 5.5. Выбор пал именно на этот дистрибутив, т.к. он отлично подходит в качестве серверного.
2. Установим OpenLDAP. В нем будут храниться все данные об учетных записях.
3. Настроим Samba сервер в качестве Primary Domain Controller , который будет синхронизировать пароли с openldap сервером.

Установите саму CentOS, но с отключенным SELinux. Он в данном случаи нам будет мешать. Проверте что iptables тоже ничего не блокируют. Можно его полностью вырубить, а потом снова включить но с поправкой на нужные нам порты.

После установки ОС, нужно обязательно обновиться, т.к. там старое ядро. Ну и поставить MC для нормальной работы. Вы же CentOS ставили без иксов? wink

yum update -y
yum install -y mc

Исходные данные:

Имя компьютера: LDAP
IP адрес сервера: 192.168.1.150
Название нашего домен mgkb1 (можете сделать и dc=mgkb1, dc=ru. Только исправьте это везде)
Админ домена cn=admin, dc=mgkb1

Ну... понеслась. Установим необходимые пакеты для LDAP:

yum install -y openldap-servers openldap-servers-overlays openldap-clients

Устанавливаем пароль администратора LDAP

slappasswd -h {MD5}

Вводим придуманный пароль и получаем хэш MD5, записываем его, чтобы не забыть.
Копируем файл настроек OpenLdap, на всякий случай:

cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig

Открываем для редактирования /etc/openldap/slapd.conf

Добавляем строчки для использования схемы samba и для использования политики паролей

include /etc/openldap/schema/samba.schema
include /etc/openldap/schema/ppolicy.schema

Убираем комментарии чтобы загрузить дополнительные модули и синхронизацию паролей между ldap и samba

modulepath /usr/lib/openldap
moduleload smbk5pwd.la

Прописываем наш домен и админа LDAP. Указываем алгоритм шифрования (MD5) и сам пароль

suffix "dc=mgkb1"
rootdn "cn=admin,dc=mgkb1"
overlay smbk5pwd
password-hash {MD5}
rootpw {MD5}3sZzPv8zP4ZvFy4euo8mjw==

Правим индексы для более быстрого поиска

index cn,sn,uid,displayName pres,sub,eq
index uidNumber,gidNumber eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index objectClass pres,eq
index default sub

Открываем для редактирования /etc/openldap/ldap.conf

BASE dc=mgkb1
URI ldap://127.0.0.1/

На этом первая настройка LDAP сервера закончена. Теперь установим Samba. Помните мы добавляли в конфиги схемы и индексы для самбы?

yum install -y samba samba-client samba-common

Копируем схему samba для OpenLdap и конфиг Berkley DB. Так же подправим права.

cp /usr/share/doc/samba-3.*/LDAP/samba.schema /etc/openldap/schema/
cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG
chmod 600 /var/lib/ldap/DB_CONFIG

Попробуем запустить сервер.

service ldap start

Если все прошло успешно, то можно двигаться дальше.Добавлено спустя 1 минутуОстанавливаем сервис ldap
Консоль
service ldap stop

Создадим два файла LDIF формата.
Консоль
vim /etc/openldap/init1.ldif

dn: dc=mgkb1
objectclass: dcObject
objectclass: organization
o: CentOS Directory Server
dc: mgkb1

Консоль
vim /etc/openldap/init2.ldif

dn: cn=admin,dc=mgkb1
objectclass: organizationalRole
cn: admin

Добавим их в наш LDAP

Консоль
slapadd -l /etc/openldap/init1.ldif
slapadd -l /etc/openldap/init2.ldif

Затем изменим права на директорию с базой LDAP сервера
Консоль
chown -R ldap:ldap /var/lib/ldap
chmod 600 /var/lib/ldap/*

Просмотрим содержимое ldap
Консоль
slapcat

Запускаем сервис ldap
Консоль
service ldap start

Должно быть без ошибок. Устанавливаем в автозапуск
Консоль
chkconfig ldap on

Сейчас у нас уже есть работающий ldap сервер, но в нем пока пустой.
Проверить это можно коммандой
Консоль
ldapsearch -x -b "dc=mgkb1"

На этом первый этап закончен. Дальше нам надо поставить smbldap-tools и phpldapadmin.
В первом содержатся все утилиты для создания, изменения пользователей, работой с группами и т.д. Так сказать наш основной инструмент. Ну а phpldapadmin, это веб морда для удобного просмотра, редактирования дерева Ldap сервера.

Первый и второй пакет можно скачать и поставить из исходников, но я ставил из репозитария EPEL.
Подключается он следующим образом
Консоль
rpm -Uvh [только для пользователей сайта] … noarch.rpm

Устанавливаем smbldap-tools и phpldapadmin
Консоль
yum install -y smbldap-tools phpldapadmin

Для корректной работы нужно подправить файл /etc/httpd/conf.d/phpldapadmin.conf

Deny from all #закомментировать
Allow from 127.0.0.1 #исправить на Allow from all

Правим файл /etc/phpldapadmin/config.php

$ldapservers->SetValue($i,'server','host','127.0.0.1');
$ldapservers->SetValue($i,'server','port','389');
$ldapservers->SetValue($i,'server','base',array('dc=mgkb1'));
$ldapservers->SetValue($i,'server','auth_type','config');
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=mgkb1');
$ldapservers->SetValue($i,'login','pass','ТУТ ВАШ ПАРОЛЬ ДЛЯ ADMIN');

Запускаем веб сервер и ставим его в автозапуск ОС
Консоль
service httpd start
chkconfig httpd on

В вашем любимом браузере вводим строку [только для пользователей сайта] и лицезреем ваше дерево. Для входа наберите cn=admin,dc=mgkb1 и пароль который вы придумали.
Будет что то вроде этого, только не такой заполненный. Ну ничего, мы до этого доберемся.Добавлено спустя 1 минутуПереименовываем оригинальный файл настроек samba
Консоль
mv /etc/samba/smb.conf /etc/samba/smb.conf.orig

Копируем почти настроенный файл настроек samba от пакета smbldap-tools
Консоль
cp /usr/share/doc/smbldap-tools-0.9.4/smb.conf /etc/samba/smb.conf

Правим файл /etc/samba/smb.conf: (показаны только изменившиеся строки)

workgroup = mgkb1
netbios name = ldap
# min passwd length = 3
unix password sync = yes
ldap passwd sync = yes
# Dos charset = 850
# Unix charset = ISO8859-1
ldap admin dn = cn=admin,dc=mgkb1
ldap suffix = dc=mgkb1
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
nt acl support = yes
ldap ssl = off добавить в секцию global

В секциях netlogon, profiles и spool изменить путь

path = /home/samba/netlogon/
path = /home/samba/profiles/
path = /home/samba/spool/
# print command = /usr/bin/lpr -P%p -r %s
# lpq command = /usr/bin/lpq -P%p
# lprm command = /usr/bin/lprm -P%p %j
path = /home/samba/printers/

Создадим необходимые директории и подправим права, т.к. samba сама это не сделает .
Консоль
mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
mkdir /home/samba/spool
mkdir /home/samba/printers
chmod 1777 /home/samba/profiles

Проверяем конфиг samba, если все пучком, то продолжаем.
Консоль
testparm

Сохраняем оригинальные конфиги для smbldap-tools
Консоль
cp /etc/smbldap-tools/smbldap.conf /etc/smbldap-tools/smbldap.conf.orig
cp /etc/smbldap-tools/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf.orig

Запускаем samba и ставим в автозапуск
Консоль
service smb start
chkconfig smb on

Запускаем скрипт для генерации конфигов smbldap-tools
Консоль
/usr/share/doc/smbldap-tools-0.9.5/configure.pl

Отвечаем на вопросы. Я оставил все по умолчанию, только указал тип шифрования MD5.

Укажем пароль для связи samba с ldap. Пароль тот, который придумали для cn=admin,dc=mgkb1
Консоль
smbpasswd -w password

Заполним ldap данными
Консоль
smbldap-populate

Теперь нужно связать Unix группы с Samba группами. Это очень важно
Для просмотра групп ldap
Консоль
net groupmap list

Чтобы связать группы Unix и ldap

groupadd -g 512 samba_domain_admins
groupadd -g 513 samba_domain_users
groupadd -g 515 samba_domain_computers
groupadd -g 514 samba_domain_guests
groupadd -g 544 samba_administrators
groupadd -g 548 samba_account_operators
groupadd -g 550 samba_print_operators
groupadd -g 551 samba_backup_operators
groupadd -g 552 samba_replicators

Ну и посмотрим что получилось. Должно быть видно что группам ldap сопоставлены группы Unix.
Консоль
[root@ldap ~]# net groupmap list
Domain Admins (S-1-5-21-2620240023-3456145667-860371348-512) -> samba_domain_admins
Domain Users (S-1-5-21-2620240023-3456145667-860371348-513) -> samba_domain_users
Domain Guests (S-1-5-21-2620240023-3456145667-860371348-514) -> samba_domain_guests
Domain Computers (S-1-5-21-2620240023-3456145667-860371348-515) -> samba_domain_computers
Administrators (S-1-5-32-544) -> samba_administrators
Account Operators (S-1-5-32-548) -> samba_account_operators
Print Operators (S-1-5-32-550) -> samba_print_operators
Backup Operators (S-1-5-32-551) -> samba_backup_operators
Replicators (S-1-5-32-552) -> samba_replicatorsДобавлено спустя 1 минутуПодправим файл /etc/nsswitch.conf

passwd: files ldap
shadow: files ldap
group: files ldap

Подправим файл /etc/ldap.conf

#host 127.0.0.1
uri ldap://127.0.0.1/
base dc=mgkb1
rootbinddn cn=admin,dc=mgkb1
bind_policy soft
pam_member_attribute uniquemember
pam_password md5
pam_password exop
nss_base_passwd ou=Users,dc=mgkb1?sub
nss_base_shadow ou=Users,dc=mgkb1?sub
nss_base_group ou=Groups,dc=mgkb1?sub
nss_base_hosts ou=Computers,dc=mgkb1?sub
nss_base_passwd ou=Computers,dc=mgkb1?sub строку добавить
nss_map_attribute uniqueMember member

Создадим файл /etc/ldap.secret с паролем администратора ldap
Консоль
echo "password" >/etc/ldap.secret
chmod 600 /etc/ldap.secret
chmod root:root /etc/ldap.secret

Перезапустим сервисы ldap и samba
Консоль
service ldap restart
service smb restart

Просмотрим все доступные учетные записи и группы (локальные + ldap):
Консоль
getent passwd
getent group

Добавляем администратора домена:
Консоль
smbldap-useradd -a Administrator добавление пользователя
smbldap-passwd Administrator присвоение пароля
smbldap-usermod -g 512 Administrator меняем группу с samba_domain_users на samba_domain_admins

Убедимся, что группа изменилась
Консоль
id Administrator

Просмотрим администраторов домена
Консоль
net rpc group members "Domain Admins" -U admin%password

Дадим все права группе Администраторов.
Консоль
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U admin%password

Все!!! Настройка закончена. Осталось ввести комп в домен.Добавлено спустя 3 минутыНа примере WindowsXP SP3
Если хотите что бы при входе в домен у пользователя автоматом монтировался расшаренная папка, то создайте файл logon.bat в /home/samba/netlogon c таким содержимым

net use H: BorisValentin /yes

Так же можно вводить компьютеры вручную
Консоль
smbldap-useradd -w name_comp$

Если есть у кого мысли по заметке, рад буду выслушать.Добавлено спустя 4 минутыРабочий /etc/openldap/slapd.conf
Спойлер
Рабочий /etc/samba/smb.conf
Спойлер
Добавлено спустя 5 минутТак же подробная инструкция для поднятия LDAP без Samba.

Вот ссылочка проверенная мной на Debian 5.0 Lenny

[только для пользователей сайта]
Сила в правде
Участник
#Javokh1r™
^_^ Новичок ^_^ Просто Общительный Общительный Медаль Позитивный Человек Реально В Позитиве Позитивный Оптимист Мега Позивный Грамота Хороший Человек
Сообщений: 151
Ташкент
2882 дня назад
Лично мне лень читать всё это )))))))
""
Участник
Игорь
^_^ Новичок ^_^ Просто Общительный Позитивный Человек Медаль Реально В Позитиве Позитивный Оптимист Грамота Мега Позивный
Сообщений: 140
Екатеринбург
2132 дня назад
Просто JoVa ツ ™:

Лично мне лень читать всё это )))))))

тут дружище, когда тебе в срочном порядке нужно настроить сервак, а не то тебя завтра уволят, лень исчезает на глазах
Сила в правде
Участник
semyon
^_^ Новичок ^_^ Позитивный Человек Просто Общительный Реально В Позитиве Позитивный Оптимист Мега Позивный Медаль Общительный
Сообщений: 118
Ташкент
1652 дня назад
Просто JoVa ツ ™:
Лично мне лень читать всё это
Здесь не то, что бы прочитать надо, а понять, что написано :). А если понимаешь, то достаточно просто пролистать (пробежать глазами), более детальное ознакомление получить на практической настройке. Конечно я понимаю, легче на Windows AD настроить и не мучатся - щелкнуть мыщью пару раз, но принцип ты так не поймёшь.
""
Посетитель
161_rus_taganrog
^_^ Новичок ^_^ Позитивный Человек
Сообщений: 2
Таганрог
3159 дней назад
а скажите пожалуйсtа куда делся софт портал xxxx.uz
Редактировалось: 1 раз (Последний: 27 февраля 2015 в 17:15)
Посетитель
BlackDraw
^_^ Новичок ^_^ Позитивный Человек Реально В Позитиве Позитивный Оптимист
Сообщений: 6
Ташкент
3125 дней назад
161_rus_taganrog:
а скажите пожалуйсtа куда делся софт портал xxxx.uz
продали) в общем Закрыли
BlackDraw
Посетитель
Kolya
^_^ Новичок ^_^ Позитивный Человек Реально В Позитиве
Сообщений: 1
Алмазар
2047 дней назад
[только для пользователей сайта]
Посетитель
katerina111
Сообщений: 1
Фергана
2015 дней назад
нужна прошивка на Soni xperia z3
Посетитель
aziiz
Сообщений: 1
Тойтепа
1644 дня назад
Доброго дня линуксоиды есть кто живой
Перейти на форум:
Быстрый ответ
У вас нет прав, чтобы писать на форуме.
Кнопка сайта SPY.UZ