вторник, 9 апреля 2013 г.

SDB:Samba и LDAP на openSUSE 11.1 Быстрый старт


SDB:Samba и LDAP на openSUSE 11.1 Быстрый старт

В данной статье рассказывается как быстро установить и настроить Samba в качестве контроллера домена, с хранением пользователей в базе openLDAP на openSUSE 11.1
Предполагается что все действия производятся на свежеустановленной openSUSE 11.1
Все нижеописанные действия в YaST можно сделать и в консольном режиме, здесь приведены снимки графического YaST только для лучшего восприятия.

Содержание

Предварительная настройка

Установка openLDAP

Отметьте для установки шаблон "Сервер Каталогов (LDAP)" или просто пакеты nss_ldapopenldap2pam_ldap и yast2-ldap-server
Shadow.01-install ldap.png

Установка Samba

Отметьте для установки пакеты sambasamba-client и yast2-samba-server в шаблоне "Файловый сервер" или просто найдите их воспользовавшись встроенным поиском.
Shadow.02-install samba.png

Настройка YaST

Перед началом настройки Samba и openLDAP нужно настроить YaST, для того чтобы отображались все настройки. Для этого откройте /etc/YaST/ProductFeatures в любом текстовом редакторе от имени суперпользователя
Shadow.03-enable expert.png
Найдите опцию ui_mode и установите ее значение в expert
Shadow.04-enable expert.png
После этого закройте все открытые окна YaST и запустите его снова

Настройка сервера openLDAP

Запустите модуль настройки сервера openLDAP выбрав его в YaST -> Сетевые службы
Shadow.05-start ldap config.png
На странице общих настроек сервера установите переключатель "Запустить сервер LDAP" в положение "Да"
Shadow.06-ldap config.png
На странице настройки TLS оставьте TLS выключенным.
Shadow.07-ldap config.png
Создайте новую базу данных. Тип базы данных - 'bdb', заполните Базовый DN значениями для вашего будущего домена, в поле DN Администратора укажите желаемое имя администратора LDAP, в данном примере cn=Admin и отметьте флажок "Добавить базовый DN". Укажите пароль администратора LDAP и каталог, где будет храниться созданная база данных, что-то вроде /var/lib/ldap/example.com
08-ldap db config.png
Проверьте введенные значения и если все правильно нажмите Завершить, либо вернитесь назад и исправьте введенные значения.
09-ldap db config.png
После завершения создания базы данных модуль настройки сервера LDAP закроется, запустите его снова. В дереве настроек, слева, выберите "Файлы схем" и в открывшемся окне нажмите кнопку "Добавить". В диалоге выбора файлов выберите схему samba3.schema
10-ldap schema config.png
Перейдите в Общие настройки -> Настройка уровня журнала. Отметьте "Журналировать соединения, операции и результат". Это поможет в случае возникновения проблем. Остальные варианты пишут слишком много информации в журнал.
11-ldap log config.png
Нажмите кнопку "Завершить" и переходите к настройке клиента LDAP

Настройка клиента LDAP

Запустите модуль "Клиент LDAP" из YaST -> Сетевые службы. Установите переключатель "Аутентификация пользователей" в режим "Использовать LDAP, но отключить вход в систему". В случае если предполагается вход LDAP пользователей не только через smb, то нужно выбрать "Использовать LDAP", это может быть полезно например для входа пользователей с тонких Linux клиентов.
В поле адрес сервера LDAP введите "localhost" или "127.0.0.1". Поле базовый DN заполните вручную, либо нажмите кнопку "Запрос DN" для выбора из доступных на данном сервере.
Снимите флажок "LDAP TLS/SSL", так как сервер выше настроен без поддержки TLS
Нажмите кнопку "Дополнительная настройка"
12-ldap client config.png
На экране дополнительной настройки перейдите на вкладку "Настройка Администратора". Укажите имя пользователя - Администратора LDAP, отметьте "Добавить базовый DN"
Нажмите кнопку "Настройка параметров управления пользователями...".
13-ldap client admin config.png
YaST спросит хотите ли вы создать поддерево ldapconfig, нажмите "Да"
14-ldap client admin config.png
Нажмите кнопку "Новый" для создания нового конфигурационного модуля в созданном поддереве ldapconfig
15-ldap client admin config.png
Для объекта "susegroupconfiguration", соответствующий модуль будет называться "groupconfiguration". Нажмите "OK".
16-ldap client group conf.png
Снова нажмите "Новый, и создайте объект "suseuserconfiguration", со значением "userconfiguration". Нажмите "OK".
17-ldap client user conf.png
В модуле конфигурации выберите suseminuniqueid для модуля userconfiguration, и ведите новое значение 10000.
18-ldap client min id.png
Теперь выберите susenextuniqueid для модуля userconfiguration, и введите новое значение 10000.
19-ldap client next id.png
После установки этих значений нажмите Ok для выхода из модуля конфигурации обратно в дополнительные настройки.
Перейдите на вкладку "Настройка клиента". Убедитесь что "Атрибут члена группы" установлен в "member". Нажмите OK для возвращения в "Настройку клиента LDAP".
Нажмите OK. Конфигурация клиента LDAP будет записана.
20-ldap client client-member.png
Нужно снова запустить модуль настройки клиента LDAP и перейти на страницу Дополнительной настройки для настройки Отображения пользователей.
Пользователи и пароли должны извлекаться из подразделения "ou=people" и группы из "ou=group".
21-ldap client mapping.png
Нажмите OK для подтверждения изменений и выхода из модуля конфигурации клиента LDAP и переходите к настройке samba

Настройка Samba

Запустите модуль Сервер Samba из YaST -> Сетевые службы.
Введите имя рабочей группы или домена в котором будет состоять сервер.
22-samba group.png
Выберите "Основной контроллер домена (PDC)"
23-samba role.png
Установите переключатель "Запуск службы" в положение "Во время загрузки".
24-samba start.png
На вкладке идентификация вы увидите уже введенные рабочую группу или имя домена и роль сервера. В общем случае здесь не нужно больше ничего менять кроме имени узла netBIOS, которое будет соотнесено с данным samba сервером. Обычно это имя вашего компьютера, до 15 символов в верхнем регистре. При переходе с данной вкладки на другую вы получите предупреждение о том что пользователи будут привязаны к SID созданному из имени узла netBIOS, заданного здесь name. Если вы измените его, то будет создан новый SID и пользователи больше не смогут авторизоваться как члены домена.
25-samba ident.png
Перейдите на вкладку "Параметры настройки LDAP". Установите здесь флажок "Использовать пароль LDAP базы данных". Будет показано всплывающее сообщение о том что вся текущая конфигурация будет перезаписана.
26-samba ldap.png
Все значения будут заполнены автоматически, вам нужно будет только указать пароль для доступа к серверу LDAP (для пользователя cn=Admin), и проверить соединение.
27-samba ldap ok.png
Нажмите OK, для завершения настройки samba. YaST попросит ввести пароль для пользователя root для сервера samba. Этот пароль понадобится в дальнейшем при введении машины в домен.
28-samba root.png

Создание пользоватей

Запустите из "YaST -> Безопасность и пользователи" модуль "Управление пользователями и группами" Перейдите на вкладку "Группы" и установите фильтр на "LDAP группы"
29-users group edited.png
Откройте базу LDAP с паролем cn=Admin.
Нажмите кнопку Добавить
30-users group ask pass.png
На вкладке "Информация о группе" установите имя группы. Идентификатор этой группы (gid) будет равен 1000 как задано в модуле конфигурации ldap "groupconfiguration", объекта "suseminuniqueid". Нажмите "OK"
31-users group create.png
В модуле управления пользователями и группами перейдите на вкладку "Пользователи" и установите фильтр на Пользователи LDAP и нажмите кнопку "Добавить" На странице добавления пользователя на вкладке "Информация о пользователе" введите имя пользователя и другую информацию, а затем перейдите на вкладку "Подробности"
32-users user create.png
Идентификатор пользователя (uid) должен быть 10000 как было ранее указано в конфигурации LDAP. Установите параметры, которые вам нужны, и например добавьте пользователя в созданную группу пользователей users LDAP. Вы можете так же проверить параметры Samba для пользователя на вкладке "Дополнения"
33-users user create details.png
Здесь вы можете запустить модули настройки различных параметров кнопкой "Запуск". Запустите "Управление параметрами учетной записи samba" и посмотрите значения.
35-users user create plugins.png
Для начала можно все оставить по умолчанию.
34-users user create samba defaults.png
После нажатия Ok вы снова попадете на страницу "Управление пользователями и группами", созданный пользователь будет виден в списке.
Жмите Ok и выходите из модуля обратно в YaST
36-users user creatd.png

Обозреватель LDAP

Пришло время проверить создались ли пользователи в базе LDAP.
Откройте "Обозреватель LDAP" в YaST -> Сетевые службы YaST спросит у вас пароль для пользователя cn=Admin
37-ldap browser login.png
Здесь вы можете посмотреть структуры в базе LDAP и их значения. Убедимся что пользователи созданы и внесены в базу с корректными значениями
38-ldap browser browse users.png
Здесь же можно будет увидеть машины введенные в домен. после добавления хотя бы одной машины.
39-machine success added.png

Проверка работы

LDAP сервера

Для проверки правильности настройки LDAP сервера и LDAP клиента введите в терминале команду
id имя_пользователя
в данном случае
id hws
команда должна вернуть uid и gid пользователя примерно в таком виде:
uid=10000(hws) gid=100(users) группы=1000(users),100(users)

Samba сервера

Введите в адресной строке Konqueror адрес smb://hws@myserver, если все в порядке, то вы должны увидеть список ресурсов вашего сервера. При входе на ресурсы система должна запросить пароль для пользователя и после его ввода отобразить ресурс.
41-testing.png

Ввод машин в домен

Для ввода Windows машины в домен необходимо открыть Свойства "Мой компьютер" и перейти на вкладку имя компьютера. Там Нажать кнопку Изменить и в открывшемся окне выбрать "Является членом домена" и ввести имя созданного домена. В данном примере EXGROUP. Windows спросит имя и пароль администратора samba. Необходимо ввести имя root и пароль заданный при завершении конфигурации Samba.
40-domain request.png
После удачного входа на компьютер пользователем-членом домена можно видеть смонтированный сетевой диск P:
41-domain logon.png

Комментариев нет:

Отправить комментарий