strangeman's blog

Нашел тут весьма интересную статью Сергея Воронцова о настройке контроллера домена под линуксом с помощью пакета samba.

На время начала работ по установке PDC Samba+OpenLDAP мой опыт работы с LINUX-системами был относительно невелик. Одна из причин, вызвавших затруднения в дальнейшем освоении – особенности источников сведений по этой тематике. Пишут их настоящие знатоки, поэтому некоторые аспекты, предельно простые для гуру и неясные для новичка в литературе найти не всегда легко. По многим причинам начальный этап в освоении POSIX-серверов нужно каким-то образом преодолевать.
Так или иначе это удалось, мой не самый маленький домен работает, и теперь могу предположить, что полученный опыт поможет кому-то еще.

Исходный рубеж – знания и практика работы с сетевыми службами в различных операционных средах, так же как и знания, позволяющие начать работать с POSIX-системами. Так как развертывать сервер в среде LINUX полностью из командной строки первый раз нелегко (и отпугивает многих – эта статья как раз для них), выбирается дистрибутив, имеющий графические инструменты основных настроек. В моем случае это OpenSUSE 10.3. С учетом возможностей оборудования использовал версию i386. Поскольку в дальнейшем нам нужно будет развертывать резервный контроллер, а также службы, требующие защищенного соединения, в том числе и за пределами локальной сети, предусмотрим возможность шифрования клиентских подключений на основе сертификатов, подписанных собственным СА.
Варианты с максимальным упрощением настроек не рассматриваем, чтобы избежать в дальнейшем существенных переделок и остановок сетевых служб в действующем домене. Возможности Samba по использованию перемещаемых профилей, логон-скриптов и т.п. пока не задействуем. Впрочем, можно эти опции настраивать заданным группам пользователей позднее. Следует отметить, что отказаться от перемещаемого профиля получается пока только правкой настроек на Windows-клиенте.

Подготовка рабочей станции к подключению в домен

В этом поможет оснастка MMC «Политика «Локальный компьютер» - Административные шаблоны – система – профили пользователей».

Не могу гарантировать абсолютной повторяемости результата, так как итог зависит от неопределенного множества факторов для каждой конкретной реализации. Ничто не мешает инициативному и знающему администратору выбрать свой набор инструментов, схему каталога и т.д. Гипотетические альтернативные методы/способы/решения не рассматриваем – это только личный опыт для возможного повторения теми, кому нужен действующий результат и нет возможности теоретизировать, натыкаясь на многие и многие неясности.

Выражаю благодарность авторам использованных программных пакетов, а также авторам публикаций по рассматриваемому вопросу.

По тексту далее. Группы и пользователей, создаваемых нами в linux, будем называть «Posix-группы или пользователи», встроенные бюджеты (учетные записи служб и т.д.) определим как «системные», учетные записи, создаваемые в samba (в форме базы данных OpenLDAP) – samba-пользователи (группы).

Шаг1. Развертывание серверной платформы.

Сервер назовем asles.bgiki.local. Начальный метод регистрации пользователя – локальный, и кроме root никаких учетных записей не создаем. При установке выбираем KDE, файловый сервер, DNS, DHCP, LDAP, в разделе «разработка – базовая разработка» - Perl. Необходимо установить пакеты из состава дистрибутива: openldap2-devel, openssl-certs, pam_cifs, pam_smb, pam-config, pam-modules, pam_ldap, perl-Authen-SASL, Perl-BerkeleyDB, perl-OpenCA-CRL, OpenCA-REQ, perl-OpenCA-X509, perl-Unicode-String, все perl-Crypt, perl-IO-String, perl-ldap, perl-ldap-ssl, Perl-IO-Socket-SSL, perl-Net_SSLeay, perl-Unicode-Map8, libgcrypt, libxcrypt, libnscd, libacl, libmsrpc, libsmbsharemodes, libmspack, компоненты cyrus-sasl, tls, и по желанию - mc, kdeaddons3-kate, gvim. Дополнительные пакеты из репозитория SUSE: openldap2-back-perl, ldapsmb, samba-doc. Вероятно, этот перечень может быть скорректирован путем проб и ошибок.

Примечание: Учитывая README к пакету smbldap-tools версии 0.9.2, а именно фразу: «In the future, some other function may come (like … compliance to RFC2307...)…» нам предстоит сделать выбор схемы каталога – nis.shema – либо более прогрессивная rfc2703bis.schema, но без использования smbldap-tools. Для простоты был выбран вариант с использованием smbldap-tools.

При установленном samba-doc элементы пакета smbldap-tools находим в папке /usr/share/doc/packages/samba/examples/LDAP/smbldap-tools-0.9.2, вероятно, их можно использовать, но по ряду причин мне показалось целесообразным использовать свежую версию пакета, которую можно найти на http://opensuse.org.

Версии smbldap-tools могут несколько отличаться, в том числе по порядку установки. В варианте 0.9.4-3.2 имеются зависимости - 3 компоненты Perl, это rpm-пакет perl-Jcode-2.06-5.1.noarch.rpm и пакеты в исходных текстах Unicode-Map-0.112.tar.gz и Unicode-MapUTF8-1.11.tar.gz.

RPM-пакет найден поиском в Google, тарболы нашлись с помощью http://search.cpan.org.

Конфигурируем сетевую карту для внутренней зоны, IP-адрес статический. Открываем в брэндмауэре серверы LDAP, samba, dns, а также те порты, что могут быть необходимы в нашей конфигурации. Настроим сервер DNS.

Шаг2. Установка smbldap-tools.

Устанавливаем perl-Jcode:

#rpm -Uvh perl-Jcode-2.06-5.1.noarch.rpm

Распаковываем вышеуказанные пакеты Unicode-*.tar.gz в /usr/src/packages/sources, в раздельные каталоги и далее поступаем согласно документу INSTALL, где указано, что сборка и установка заключается в последовательном выполнении четырех команд:

#perl Makefile.PL #make #make test ;-соответственно проследим, нет ли ошибок, #make install

При установке из исходных текстов в базе RPM сведений о пакетах не будет, поэтому при

#rpm -Uvi smbldap-tools-0.9.4-3.2.noarch.rpm

получим ответ:

error: Failed dependencies: perl(Unicode::Map) is needed by smbldap-tools perl(Unicode::MapUTF8) is needed by smbldap-tools

Важно убедиться, что RPM не затребовал еще каких-нибудь зависимостей. Если
нет, то повторяем установку с опцией --nodeps:

#rpm -Uvi --nodeps smbldap-tools-0.9.4-3.2.noarch.rpm

Чистим каталог …/sources/… по завершении установки пакетов.

Шаг3. Настройка SSL.

Корректируем /etc/ssl/openssl.conf – сведения о организации – чтобы меньше заполнять впоследствии при формировании подчиненных сертификатов. Правда, при создании корневого сертификата (СА) придется их все же один раз набрать. В YaST «пользователи и безопасность - управление СА» создадим корневой сертификат. Указываем необходимые опции - страну, город, срок действия сертификата. В том числе нужно определить общее имя (common name) как имя машины, на которой и в дальнейшем будет запускаться Центр сертификации. В закладке «дополнительные параметры – Key Usage» отметим опцию «digital Signature»:

Готовим сертификат для сети учебного учреждения

Указываем пароль, и отрабатываем «далее» - до закрытия вкладки. Корневой сертификат будет сформирован. При повторном открытии того же инструмента требуется выделить CA в дереве CA tree, и нажать клавишу «Enter CA», после чего будет предложено набрать пароль корневого сертификата. В открывшейся форме, перейдя во вкладку «Сертификаты» формируем сертификат для компьютера, на котором развернем PDC («добавить – добавить сертификат сервера»). Общее имя сертификата должно соответствовать полному имени сервера, переименовывать потом машину – обладатель сертификата будет нежелательно. Сертификат сохраняем в файл, выбрав клавишу «Экспорт» например, /root/docs/security/asles.p12, причем в формате «как PKCS12 и включая СА цепочку» (и закрыт паролем). На будущем PDC используя вкладку YaST «пользователи и безопасность - общий сертификат сервера» импортируем asles.p12 из файла.

Примечания:

Те же результаты могут быть достигнуты средствами командной строки.

Возможности получения CA, подписанного авторитетным центром сертификации рассмотрены в работе Ивана Максимова [8].

Шаг4 . Запуск LDAP.

Открываем вкладку YaST «сетевые службы - сервер LDAP - настройка - общие настройки - файлы схем». Установим опцию автозапуска сервера при загрузке. Добавляем или проверяем наличие схем - core.schema, cosine.schema, nis.schema, inetorgperson.schema, misc.schema, samba3.schema, yast.schema, ppolicy.schema. Последняя – только по причине того, что она есть в данном дистрибутиве, - отчего бы не использовать.

Перейдем на вкладку «базы данных - добавить базу данных», создаем базу, dn базы, например, dc=bgiki,dc=edu, dc=ru, далее dn корневого объекта - dn=Administrator,dc=bgiki,dc=edu,dc=ru, строкой ниже задаем ему пароль. Выбрав клавишу «Принять» сохраним созданную корневую конфигурацию LDAP. Снова включаем YaST «сетевые службы- сервер LDAP - конфигурирование – общие настройки - TLS настройки - TLS Активация» - выбираем «Да» в ее настройках. Для TLS-шифрования нужен ключ и сертификат к нему, поэтому выбираем в той же вкладке опцию «Выбрать сертификат» - настраиваем на использование общего сертификата сервера. YaST сформирует эти файлы и поместит их:

корневой сертификат: /etc/ssl/certs/YaST-CA.pem

сертификат сервера LDAP: /etc/ssl/servercerts/servercert.pem

ключ сервера LDAP: /etc/ssl/servercerts/serverkey.pem

Запустим демон LDAP:

#rcldap start

и по выводу сообщения «done» убедимся, что он запущен.

Открываем вкладкуYaST «сетевые службы - клиент LDAP» и устанавливаем подключение к нашему серверу:

Настройка клиента LDAP в графической форме

В закладке «дополнительная настройка - настройки администратора» впишем (или проверим наличие) DN администратора LDAP. В этой же закладке указываем опцию «Создать конфигурационные объекты по умолчанию», в результате будет создан контейнер LDAP «ou=ldapconfig,dc=…». В закладке «настройки клиента» проверим контекст именования:

отражение пользователя(user map) ou=people,…

отражение пароля (password map) ou=people,…

отражение группы (group map) ou=group,…

Клавишей «принять» сохраняем конфигурацию клиента. При открытии инструмента «сервер LDAP» настраиваем политику паролей (добавить политику – место хранения – в контейнере ou=ldapconfig…) и определяем срок действия пароля в днях, таймаут блокировки при заданном количестве ошибок набора пароля и другие. Скажу сразу, что объект политики в каталоге не виден, но соответствующая строка в slapd.conf появится.

Открываем вкладкуYaST «сетевые серверы - Обозреватель LDAP», проверяем открытие каталога.

Создаем файл /etc/ldap.secret, и вносим в него пароль корневой учетной записи базы cn=Administrator,dc=bgiki,dc=edu,dc=ru:

#echo "пароль" > /etc/ldap.secret

Тестируем созданное:

#rcldap restart ;-перезапуск ldap

#ps aux | grep slapd ;-вернет сведения о запущенном демоне

#netstat -nap | grep slapd ;-вернет информацию о готовности к соединению демона slapd, нас интересует факт открытия tcp-порта 389 из источников 0.0.0.0 и 127.0.0.1 с докладом «LISTEN».

Наличие графических инструментов не отменяет необходимости чтения системных руководств, например:

#man slapd.conf

Вышеуказанные конфигурации текстуально отображены в скриптах /etc/openldap/slapd.conf – сервера LDAP и /etc/ldap.conf – клиента LDAP. Приведем наиболее существенные строки из их содержания.

slapd.conf:

pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args # ссылка на динамические модули: modulepath /usr/lib/openldap/modules #Начальные настройки доступа к каталогу access to attrs=SambaLMPassword,SambaNTPassword by dn="cn=Administrator,dc=bgiki,dc=edu,dc=ru" write #; by dn="cn=root,ou=People,dc=bgiki,dc=edu,dc=ru" write #; by dn="cn=proxyuser,ou=People,dc=bgiki,dc=edu,dc=ru" read by * none ## Yast2 samba hack ACL done access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword,userPKCS12 by self write by * auth access to attrs=shadowLastChange by self write by * read access to * by * read ########################################################### # BDB database definitions – определения базы данных ########################################################### loglevel 0 #может быть до 10, если нужно TLSCipherSuite :SSLv3 #переименовал YaST-CA.pem, это необязательное действие TLSCACertificateFile /etc/ssl/certs/CA.pem TLSCertificateFile /etc/ssl/servercerts/servercert.pem TLSCertificateKeyFile /etc/ssl/servercerts/serverkey.pem database bdb suffix "dc=bgiki,dc=edu,dc=ru" rootdn "cn=Administrator,dc=bgiki,dc=edu,dc=ru" #;rootdn "cn=root,ou=People,dc=bgiki,dc=edu,dc=ru" rootpw "{ssha}хеш сгенерируется автоматически при настройке сервера" directory /var/lib/ldap/ checkpoint 1024 5 cachesize 10000 #параметры поиска объектов в какталоге index objectClass,uidNumber,gidNumber eq index member,mail eq,pres index cn,displayname,uid,sn,givenname sub,eq,pres index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq # overlay ppolicy ppolicy_default "cn=Default Policy,ou=ldapconfig,dc=bgiki,dc=edu,dc=ru" ldap.conf: #URL хоста,-не IP-адрес, потому что работает с сертификатом host asles.bgiki.local base dc=bgiki,dc=edu,dc=ru uri ldap://127.0.0.1/ #uri ldaps://127.0.0.1/ #сможем включить позднее #uri ldapi://%2fvar%2frun%2fldapi_sock/ ldap_version 3 #;binddn cn=proxyuser,ou=People,dc=bgiki,dc=edu,dc=ru #;bindpw пароль проксиюзера открытым текстом наберем позднее # Password is stored in /etc/ldap.secret rootbinddn cn=Administrator,dc=bgiki,dc=edu,dc=ru #;rootbinddn cn=root,ou=People,dc=bgiki,dc=edu,dc=ru port 389 #без этих таймлимитов возникают ошибки nss_ldap, с ними тоже, но реже timelimit 30 bind_timelimit 30 # Reconnect policy и прочие policy, bind_policy soft nss_connect_policy persist idle_timelimit 3600 nss_paged_results yes pagesize 1000 # Filter to AND with uid=%s pam_filter objectclass=account pam_login_attribute uid # диапазон разрешенных UID pam_min_uid 1000 pam_max_uid 60000 pam_password exop nss_initgroups_ignoreusers root,ldap # Enable support for RFC2307bis (distinguished . . . #nss_schema rfc2307bis – и все же когда-нибудь мы это включим... # NDS mappings nss_map_attribute uniqueMember member # OpenLDAP SSL mechanism – пока это главное ssl start_tls pam_filter objectclass=posixAccount #следующие три строки сгенерируются при соответствующей настройке #клиента LDAP, а в конечном варианте ?one ограничивает глубину запроса: nss_base_passwd ou=People,dc=bgiki,dc=edu,dc=ru?one nss_base_shadow ou=People,dc=bgiki,dc=edu,dc=ru?one nss_base_group ou=Group,dc=bgiki,dc=edu,dc=ru?one #позволяет работать с самоподписанным сертификатом: tls_checkpeer no #ssl on # OpenLDAP SSL options # Пока нас устраивает только start_tls, SSL в чистом виде не включаем, # следовательно ниже закомментировано #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/CA.pem #tls_cacertdir /etc/ssl/certs # Seed the PRNG if /dev/urandom is not provided #tls_randfile /var/run/egd-pool # Client certificate and key. Пока задействуем уже созданную # ключевую пару, скопировав ее в папку /etc/ssl/ldap/: tls_cert /etc/ssl/ldap/servercert.pem tls_key /etc/ssl/ldap/serverkey.pem

Конфигурационный файл, где указан порядок поиска учетных записей - nsswitch.conf:

passwd: compat #в соответствии с определением passwd_compat shadow: files #теневые пароли – см. [4] group: files ldap hosts: files mdns4_minimal [NOTFOUND=return] dns networks: files dns services: files ldap protocols: files rpc: files ethers: files netmasks: files netgroup: files ldap publickey: files bootparams: files automount: files nis aliases: files ldap passwd_compat: ldap

Шаг5. Запуск Samba - сервера.

Открываем вкладку YaST «сетевые службы - сервер Samba», во вкладке «загрузка» установим опцию автозапуска сервера, во вкладке «общие ресурсы» проверим наличие netlogon, во вкладке «идентификация» установим имя домена и роль контроллера – PDC. Там же перейдем в «дополнительные настройки-способ идентификации пользователя» и выставим параметр LDAP и значение – ldap://127.0.0.1. Настройки сохранятся при закрытии инструмента, при этом будет предложено набрать пароль администратора samba-сервера.

После завершения работы в графической утилите используем текстовый редактор для правки секции глобальных настроек файла smb.conf:

[global] workgroup = BGIKI server string = BGIKI_PDC map to guest = Bad User security = user domain logons = Yes domain master = Yes logon path = "" logon home = "" os level = 255 preferred master = Yes # пока разрешаем заходить только из нашей сетки hosts allow = 10.31.99. 127.0.0. # так как нет другого wins, включим свой: wins support = yes log level = 1 log file = /var/log/samba/log.%m max log size = 100000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 # опции для LDAP passdb backend = ldapsam:ldap://127.0.0.1/ ldap admin dn = cn=Administrator,dc=bgiki,dc=edu,dc=ru #;ldap admin dn = cn=root,ou=People,dc=bgiki,dc=edu,dc=ru ldap suffix = dc=bgiki,dc=edu,dc=ru ldap group suffix = ou=Group ldap idmap suffix = ou=Idmap ldap machine suffix = ou=Computers ldap user suffix = ou=People ldap passwd sync = Yes ldap ssl = Start_tls ldap timeout = 15 ldap delete dn = No #manage users from Win tools add machine script = /usr/sbin/smbldap-useradd -a -w "%u" add user script = /usr/sbin/smbldap-useradd -a -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

Добавим пароль корневой записи администратора ldap в samba:

#smbpasswd -wЕгоПароль

Проверяем конфигурационный файл smb.conf с помощью команды testparm и
перезапустим демон:

#rcsmb restart

проверим, какие порты прослушивает smbd:

#netstat -nap | grep smbd

проверим доступность ресурсов samba:

#smbclient -L localhost –U administrator

вернет информацию о доступных ресурсах samba (если ошибка – ставим log level
= 2 и читаем сообщения из /var/logs/).

Шаг 6. Подготовка конфигурационных файлов smbldap-tools.

Сертификаты, сформированные для LDAP-TLS временно используем и для
smbldap-tools. Для этого из папки /etc/ssl/servercerts файлы servercert.pem и
serverkey.pem копируем в /etc/smbldap-tools. Попытки использовать указанные
server*.pem из общего каталога совместно smbldap-tools и slapd к успеху не
привели, поэтому и используются те же сертификаты, но для smbldap-tools они
будут использоваться из отдельного каталога.

Получим SID домена:

#net getlocalsid – вернет SID домена

Используем файл configure.pl. Для этого его из /usr/share/doc/packages/smbldap-tools
копируем в /usr/sbin - и запускаем. На консоль будут выводиться вопросы и в
большинстве пунктов значение параметра по умолчанию - если мы согласны с этим
значением, то просто нажимаем "Enter". В результате сформируются
конфигурационные файлы в каталоге /etc/smbldap-tools. Проверяем текст
smbldap.conf и smbldap_bind.conf, при этом:

SID домена должен соответствовать выводу команды net getlocalsid

Slave и Master LDAP server - это один и тот же наш сервер, его IP- адрес
127.0.0.1

ldapTLS="1" -потому что мы TLS уже включили, cafile="/etc/ssl/certs/CA.pem", clientcert="/etc/smbldap-tools/servercert.pem" clientkey="/etc/smbldap-tools/serverkey.pem" suffix="dc=bgiki,dc=edu,dc=ru" #dn, где мы собираемся учитывать компьютеры, группы, пользователей: usersdn="ou=People,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Group,${suffix}" idmapdn="ou=Idmap,${suffix}", #Размещение счетчика UID/GID: sambaUnixIdPooldn="sambaDomainName=BGIKI,${suffix}" # Алгоритм шифрования: hash_encrypt="SSHA" #Опция, повышающая криптостойкость хеша – в просторечии «соль» crypt_salt_format="%s" #Настройки шаблонов – например, простейшие: userSmbHome=""."" userProfile=""."" userHomeDrive="''" userScript=""

И последнее – в файле smbldap-bind.conf будет текущий пароль администратора каталога для ведомого и ведущего сервера, и так как у нас это один и тот же сервер – то и повторится он дважды, в формате plain-text.

Теперь используя YaST нужно создать Posix-группы для домена, с корректировкой GID - ntadmins gid=512, mashines gid=515, ntguests gid=514, ntusers gid=513.

Примечание: posix-группы «nt*» и «mashines» будут «привязываться» (mapping) к созданным в каталоге LDAP объектам домена. Известно, что у Windows – группы имеется SID (идентификатор Microsoft), этот SID в целях эмуляции контроллера Windows “привязывается” к posix-группе командой net groupmap add. При определении gid posix-группам со значением по умолчанию у меня как раз и не получалось исполнить этот mapping – пока не вписал posix gid равным последним трем цифрам windows- классификатора, как и указано выше, в результате привязка упростилась.

Шаг7. Заполнение каталога openldap.

Выполняем команду из комплекта smbldap-tools:

#smbldap-populate

Далее увидим список созданных объектов, в завершение утилита предложит сформировать пароль нового администратора домена (его dn: cn=root,ou=People.. и т.д.).

Примечание: Если что-либо не выходит, чаще всего ошибка заключается в настройках TLS.

Проверив привязку групп, убедимся, что mapping получился автоматически:

#net groupmap list Domain Admins (S-1-5-21-. . .111-512) -> ntadmins

и т.д.

Даём группе Domain Admins необходимые права:

#net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -Uroot

Используя YaST, создаем posix-пользователя с именем - для примера - adminchik, проверяем, что ему присвоен uidNumber 1000 , включаем его в posix-группу ntadmins и в командной строке создаем для него учетную запись samba:

#smbldap-useradd -m "adminchik"

С этой учетной записью сможем выполнять административный вход на клиентские машины. Cоздадим posix – запись контроллера домена, имя заканчивается знаком $.

#adduser -n -g machines -d /dev/null -s /bin/false asles$

Добавим контроллер в домен:

#net join

запросит пароль администратора.

Производим конфигурирование модулей pam последовательно двумя вызовами команды pam-config:

#pam-config -a --unix2 #pam-config -a --ldap

после чего утилитой YaST "система - управление службами" включим amsmbd.
Перезапустим ldap и smbd, проверим:

#getent passwd

вернет список пользователей.

Сформируем хеш для пользователя proxyuser:

# slappasswd -v -s ParolProxyUzera -h {SSHA} –c %s

используем его для параметра userPassword при создании файла proxy.ldif, вот его текст:

dn: cn=proxyuser,ou=people,dc=bgiki,dc=edu,dc=ru cn: proxyuser sn: proxyuser objectclass: top objectclass: person userPassword: {SSHA}U0k4II20PybууUwAlDxRееhGW4diAI5+

Модифицируем каталог:

#ldapmodify -a –v -f proxy.ldif -D "cn=administrator,dc=bgiki,dc=edu,dc=ru" -x –W

В соответствующей ветке каталога появится запись, с помощью которой схема авторизации будет читать пароли. У нас появится возможность не указывать пароль администратора каталога простым текстом в файле ldap.secret при повседневной работе сервера. К сожалению, эта уязвимость еще остается в smbldap_bind.conf.

Произведем смену администратора LDAP в конфигурации, для этого:

а) Используя YaST «сетевые службы - сервер LDAP - настройка – база данных –…», изменим dn администратора на имя cn=root,ou=People…и введем новый пароль.

б) Правим файл slapd.conf, текстовым редактором в подразделе # Yast2 samba hack ACL — изменим на dn нового администратора, и добавим права proxyuser:

access to attrs=SambaLMPassword,SambaNTPassword by dn="cn=root,ou=people,dc=bgiki,dc=ru" write by dn="cn=proxyuser,ou=people,dc=bgiki,dc=ru" read by * none

Примечание: после вышеуказанных правок нужно с осторожностью пользоваться графической утилитой YaST-samba, поскольку в ней есть свой шаблон, отличающийся от приведенных настроек.

в) Правим файл ldap.conf:

изменим запись rootbinddn

раскомментируем строку binddn, где указан proxyuser, не забываем указать
его пароль строкой ниже.

г) Правим файл smb.conf, где изменим значение ldap admin dn.

Бюджет нового администратора нужно учесть в базе учетных записей samba:

#smbpasswd –wЕго_Пароль

после чего перезапустим smbd и slapd.

д) Правим файл smbldap_bind.conf путем редактирования dn администратора и его пароля.

Создадим posix- учетную запись клиентского компьютера, подключаем его в домен – если операционная система Windows, то так же, как в домене Microsoft, с учетной записью «root». И для компьютеров и для пользователей требуется создавать posix-учетные записи, после чего можно заполнять данные в samba. С клиентской машины посредством утилиты Usrmgr.exe производства Microsoft (из дистрибутива NT4.0 –сервера – на сайте производителя тоже есть) администрируем учетные записи samba.

Создадим группу для последующего допуска к некоторому ограниченному ресурсу. Для этого сначала создадим posix-группу:

#groupadd konsplususers

Или выполним ту же процедуру инструментом YaST.

Создадим группу в samba:

#smbldap-groupadd -p konsplususers

используя YaST убедимся, что gid в перечне ldap и posix совпадают, если нужно, поправим.

Другой способ – создадим группу в каталоге ldap, запросит пароль администратора

#net rpc group add konsplususers Password:

и свяжем ее с заранее созданной posix-группой

#net groupmap add rid=1003 ntgroup="konsplususers" unixgroup=konsplususers Unix group konsplususers already mapped to SID S-1-5-21-147838798-37688190-2313965735-1097

Добавим posix-пользователя в созданную posix-группу, создадим его бюджет в сервере samba, и уже в файл-сервере он получит права на предоставленный группе ресурс – чего и добивались.

Если это получилось, значит, еще один боец IT-фронта готов к выходу из под пресса монополистов проприетарного ПО.

Теперь самым насущным делом становится укрепление защищенности сервера, резервное копирование, развертывание на POSIX-платформе файл-сервера и почтового сервера, конечная цель - система управления учреждением на базе Open Source.

Литература:

1. Григорьев Михаил Настраиваем OpenLDAP сервер и клиент с поддержкой SSL.

Date: Tue, 19 Apr 2005

http://www.unixdoc.ru/print.php?print_id=123

2. Vsevolod Stakhov <cebka[at]jet[dot]msk[dot]su>

Настройка OpenLDAP и его взаимодействиия с сетевыми сервисами. Date: Mon, 5 Dec
2005 Оригинал:
http://cebka.pp.ru/my/openldap.txt. Статья впервые опубликована в журнале "Системный Администратор".

3. From: CoderInside <coder@linuxportal.vrn.ru.>Date: Mon, 24 Apr 2007
Subject: SAMBA PDC - установка, настройка, управление (Slackware) Оригинал: Воронежский Linux портал.

4. Алексей Барабанов <alekseybb at mail dot ru>. Размещение пользовательских бюджетов в LDAP. Москва, октябрь-декабрь 2006.

5. Настройка OpenLDAP и его клиентов.

http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP

6. Настройка Samba 3 (PDC) с пользователями в LDAP каталоге.

From: Crux Date: Mon, 20 Sep 2004 Оригинал:

http://www.unix.nordcomp.ru/articles.html?page=2&id=17

7. OpenLDAP и TLS/SSL,

http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP/TLS

8. Иван Максимов. Организуем сетевой календарь в корпоративной среде. Журнал "Системный Администратор" №2- 2008 год.

strangeman's linux blog

Архив блога

пятница, 29 августа 2008 г.

Очередное странствие

четверг, 26 июня 2008 г.

Ubuntu Mobile Internet Device Edition

четверг, 19 июня 2008 г.

Парад багов в популярных браузерах

среда, 18 июня 2008 г.

Wine 1.0!

Контроллер домена на SAMBA за семь шагов

Шаг1. Развертывание серверной платформы.

Шаг2. Установка smbldap-tools.

Шаг3. Настройка SSL.

Шаг4 . Запуск LDAP.

Шаг5. Запуск Samba - сервера.

Шаг 6. Подготовка конфигурационных файлов smbldap-tools.

Шаг7. Заполнение каталога openldap.

Литература:

суббота, 7 июня 2008 г.

Акция "Эксклюзивные RSS-иконки для всех и каждого!"

четверг, 5 июня 2008 г.

Доля Линукс на европейских десктопах достигла 1%!

Обо мне

Облако тэгов

Какой ОС вы пользуетесь?

Партнеры

strangeman's linux blog

Архив блога

пятница, 29 августа 2008 г.

Очередное странствие

четверг, 26 июня 2008 г.

Ubuntu Mobile Internet Device Edition

четверг, 19 июня 2008 г.

Парад багов в популярных браузерах

среда, 18 июня 2008 г.

Wine 1.0!

Контроллер домена на SAMBA за семь шагов

Шаг1. Развертывание серверной платформы.

Шаг2. Установка smbldap-tools.

Шаг3. Настройка SSL.

Шаг4 . Запуск LDAP.

Шаг5. Запуск Samba - сервера.

Шаг 6. Подготовка конфигурационных файлов smbldap-tools.

Шаг7. Заполнение каталога openldap.

Литература:

суббота, 7 июня 2008 г.

Акция "Эксклюзивные RSS-иконки для всех и каждого!"

четверг, 5 июня 2008 г.

Доля Линукс на европейских десктопах достигла 1%!

Обо мне

Облако тэгов

Какой ОС вы пользуетесь?

Партнеры

пятница, 29 августа 2008 г.

четверг, 26 июня 2008 г.

четверг, 19 июня 2008 г.

среда, 18 июня 2008 г.

суббота, 7 июня 2008 г.

четверг, 5 июня 2008 г.