Достойный контроллер домена на Linux. (Подробный HowTo) (MDS, Ldap, Samba, Postfix, SQUID)

Полезные советы и программы от пользователей нашего форума.

Модератор: Модераторы разделов

ulan44
Сообщения: 80

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение ulan44 » 03.12.2010 09:14

А кто подымал BDC ?
Спасибо сказали:

nimnul1980
Сообщения: 4
ОС: xp, debian

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение nimnul1980 » 08.12.2010 09:28

завел pdc на debian lenny. samba 3.2.5+ slapd 2.4.11. руководствуясь этим how-to. только mmc решил не использовать, ну мыло и прочее пока не поднимал.
вроде как все завелось.правда попадал на все грабли которые можно попасть, от невозможности войти в систему до read only корня :). сейчас вроде пользователи заводятся, машины в домен добавляются. на них все логинится. создать пользователя нет проблем, но включить пользователя в другую группу какие то косяки не здоровые, то добавляет, то нет.
может я что не так делаю. порядок моих действий:
пользователя создаю с помощью smbldap-tools из под root

Код: Выделить всё

pdc:/home/nimnul# smbldap-useradd -a -m -s /dev/null -g 1008 primer
pdc:/home/nimnul# smbldap-passwd primer

pdc:/home/nimnul#id primer есть такой

Код: Выделить всё

uid=1037(primer) gid=1008(gopashniki) группы=1008(gopashniki)

пытаюсь втиснуть его дополнительно в группу Domain Users балалайка. или я че то недопонимаю.

Код: Выделить всё

pdc:/home/nimnul# smbldap-usermod -G +513 primer
pdc:/home/nimnul#id primer
uid=1037(primer) gid=1008(gopashniki) группы=1008(gopashniki)

все как было так и осталось.
причем


pdc:/home/nimnul# ldapsearch -x cn="Domain Users"
# extended LDIF
#
# LDAPv3
# base <dc=nimnul,dc=by> (default) with scope subtree
# filter: cn=Domain Users
# requesting: ALL
#

# Domain Users, Groups, nimnul.by
dn: cn=Domain Users,ou=Groups,dc=nimnul,dc=by
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-3518336688-3807215531-2913316629-513
sambaGroupType: 2
displayName: Domain Users
memberUid: Administrator1
memberUid: tester
memberUid: primer

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1


primer там есть, но нет другого пользователя tester10...а он есть

Код: Выделить всё

pdc:/home/nimnul# id tester10
uid=1035(tester10) gid=513(Domain Users) группы=513(Domain Users)




для проверки из под винды создал папку засунул пару файлов. разрешил группе domain users, только удалять эти файлы. пользователь tester10 может удалять, а primer нет. куда копать? или проще все с нуля
Спасибо сказали:

nimnul1980
Сообщения: 4
ОС: xp, debian

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение nimnul1980 » 08.12.2010 12:23

сам балбес. форум надо читать...nscd причина косяков
Спасибо сказали:

detektuv
Сообщения: 1
ОС: Linux

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение detektuv » 10.12.2010 00:33

готовый контролер домена

очень даже неплохой
Спасибо сказали:

Аватара пользователя
MozG1986
Сообщения: 103
ОС: Mageia5, Mageia6

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение MozG1986 » 16.12.2010 15:53

Доброго времени суток.
Столкнулся с проблемой, настраивал MDS по инструкции http://wiki.mandriva.com/ru/FAQ_%D0%BF%D0%BE_MDS , поглядывая и в эту тему.
Уперся с получением SID

Код: Выделить всё

[root@server samba]# net getlocalsid russel.int
[2010/12/16 15:47:34.788180,  0] lib/smbldap.c:731(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
[2010/12/16 15:47:36.789725,  0] lib/smbldap.c:731(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error


В чем может быть косяк?

updt.

Косяк исправил, везде было 127.0.0.1, а в /etc/openldap/ldapserver стояло localhost

Теперь проблема другая выселилась:

Код: Выделить всё

[root@server openldap]# net getlocalsid russel.int
[2010/12/16 17:19:43.331944,  0] utils/net.c:264(net_getlocalsid)
  Can't fetch domain SID for name: russel.int


Проблема похоже с сертификатом, что мне нужно сделать и как?

updt.

По запросу
net getlocalsid
SID выдается, может я что-то не так делаю?

updt.
С SIDами разобрался, теперь мне требуется настроить pam, ни в одной статье про ldap я не нашел инструкций по настройке pam. Сейчас у меня ldap не добавляет группы и пользователей к UNIX-аккаунтам

updt.

Требовалось поставить пакет pam_ldap, он еще пару за собой вытянул, и настроить файлы /etc/ldap.conf и /etc/ldap.secret

updt.

И опять косяки, в MMC могу залогиниться под рутом, но в списках пользователей и групп пусто, в логах ldap тоже ничего не отображается, что я пропустил?

updt.


Снес все и заново поставил, ошибка была связана с тем, что в одном из конфигов было указано Users.. в названии группы, а в другом User, и так далее по другим группам, по ходу выяснил еще один немаловажный аспект - MMC несовместима с php-eaccelerator (в мандрива этот пакет ставится автоматом при установке lamp), нужно зайти через веб-интерфейс акселератора и выключить все ускорители. Сейчас mmc работает, пользователи добавляются/удаляются. Внедряю дальше модули к mmc. Плюс хочу все открытые пароли в конфигах по возможности заменить на их хеши.
Спасибо сказали:

Аватара пользователя
MozG1986
Сообщения: 103
ОС: Mageia5, Mageia6

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение MozG1986 » 19.12.2010 19:48

Все настроил, все работает, Автору огромное спасибо за труд, заодно сам узнал кучу всего.
Спасибо сказали:

Аватара пользователя
LilFox
Сообщения: 137
Статус: ^^.,
ОС: Gentoo Linux

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение LilFox » 07.02.2011 03:24

В статье после добавления acl флага в fstab

Код: Выделить всё

mount -o remount /


Неявное перемонтирование может не сработать, поэтому, если оно не сработает лучше использовать:

Код: Выделить всё

mount -o remount,acl /


Если статья позиционируется для людей, которые в linux не особо хорошо ориентируются, было бы не плохо добавить оговорку или исправить фрагмент

Код: Выделить всё

mount -o remount /
на

Код: Выделить всё

mount -o remount,acl /


:)
Best Wishes. LilFox
Won't someone help me find my little Clare.
Спасибо сказали:

sled30
Сообщения: 1

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение sled30 » 15.04.2011 15:08

после редактирования /etc/ldap/slapd.conf
при перезапуске выходит ошибка

Код:

/etc/ldap/slapd.conf: line 103: rootdn is always granted unlimited privileges. /etc/ldap/slapd.conf: line 120: rootdn is always granted unlimited privileges.
конфиг взял из статьи
если закоментить rootdn проверку проходит куда капать?
Спасибо сказали:

disabled2003
Сообщения: 2
ОС: Debian

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение disabled2003 » 10.06.2011 08:38

Уважаемый HidX, а как можно поднять BDC (Дополнительный контроллер домена) используя вашу How To, когда основным PDC поднят Windows 2003 server. Я нигде внятного ответа не нашел по этому вопросу, везде есть описания как поднять PDC но про то как поднять BDC нигде не нашел был при много благодарен если вы бы написали статью как поднять BDC :rolleyes:
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение sash-kan » 10.06.2011 11:21

Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

disabled2003
Сообщения: 2
ОС: Debian

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение disabled2003 » 10.06.2011 14:25




А есть наподобие этого только на русском !
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение sash-kan » 10.06.2011 15:39

disabled2003
а там читать-то (на крайний случай полного непонимания технического английского) — два коротких раздела (начиная с этого) и пример конфиграции·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

banderas007
Сообщения: 2

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение banderas007 » 13.07.2011 13:32

День добрый! Подскажите пожалуйста, есть ли в этом варианте сервера WEB-интерфейс для удаленного управления юзерами? Есть лм встроенная система бэкапов?
Спасибо сказали:

ulan44
Сообщения: 80

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение ulan44 » 25.11.2011 11:18

добрый день
Подскажите пожалуйста как скинуть пароли всех пользователей на 123123 ?
А то ручками как то не особенно хочеться.
Спасибо сказали:

AndAsh
Сообщения: 1

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение AndAsh » 17.01.2012 09:26

Здравствуйте,
подскажите пожалуйста как настроить репликацию данных службы каталога между несколькими серверами?
Возможно ли это?
Спасибо сказали:

JollyRoger777
Сообщения: 1

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение JollyRoger777 » 26.01.2012 00:15

огромное спасибо автору! очень интересно.. НО!=)
3 дня возился ничего не работало. ДАже читал мануал по Slapd, написанно - в новой версии конфигурируется по-другому, но можно и по-страрому...
(через slapd.conf ) значения не придал. все по-прежнему не работало..(
на 4 день наткнулся на совет - удалить каталог /etc/ldap/slapd.d (там новые конфиги)
и тогда будут задейсвован страрый метод -slapd.conf
помоголо... все работает!

за эти 3 дня я конечно много нового узнал, но как-то грусно все равно.. единого манала нет, да и фиг с ним страые не обновляются
а выходят новые версии программ и ничего не работает. ну понятно что я сам должен разбираться но вообще то такие статьи пишуться для тех кто
моло разбирается, да и читают их только они.

вот большая прозьба к автору - что бы не страдали люди как я по 3 дня поправить сттатью ну можно конечно и меня поправить, если не прав)

вообще заметил что все подобные статьи 2-5 летней давности, так что больше имеют историческую ценность чем практическую.
сам же решил поробовать еще и ClearOS, до кучи.. вошел во вкус, наверное :crazy:

ЗЫ. извиняюсь за опечатки - пальцы замерзли=)
Спасибо сказали:

Аватара пользователя
yamah
Сообщения: 1102
ОС: Rosa Fresh, Debian, RELS

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение yamah » 27.03.2012 07:31

На Debian Squeeze amd64 не настраиваются сертификаты:

Код: Выделить всё

openssl req -x509 -new -config /etc/ssl/mail.cnf -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/private/mail.key -days 365 -nodes -batch
Generating a 2048 bit RSA private key
................................................................................
...+++
................................................................................
................................................................................
.
.......................+++
writing new private key to '/etc/ssl/private/mail.key'
-----
error, no objects specified in config file
problems making Certificate Request


Не создается файл /etc/ssl/certs/mail.pem

Код: Выделить всё

root@pdc:/etc/ssl# cat mail.cnf
[ req ]
default_bits            = 2048
default_keyfile         = privkey.pem
distinguished_name      = req_distinguished_name
promt                   = no
string_mask             = nombstr
x509_extensions         = server_cert
[ req_distinguished_name ]
countryName             = RU
stateOrProvinceName     = Altayskiy_Kray
localityName            = Barnaul
organizationName        = <Company-Name>
organizationUnitName    = IT
commonName              = pdc.<company-Domain-Name>
emailAddress            = postmaster@<company-Domain-Name>
[ server_cert ]
basicConstraints        = critical, CA:FALSE
subjectKeyIdentifier    = hash
keyUsage                = digitalSignature, keyEncipherment
extendedKeyUsage        = serverAuth, clientAuth
nsCertType              = server
nsComment               = "mailserver"


Да и такого файла privkey.pem в системе нет.

Где что-то копать?


UPD

Проблема решилась просто.
Дописал конфиг
в секцию [ req ]

Код: Выделить всё

default_md              = md5

В секцию [ req_distinguished_name ]

Код: Выделить всё

countryName_default     = RU
countryName_min         = 2
countryName_max         = 2

Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:

DDDDImoN
Сообщения: 3
ОС: Kubuntu

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение DDDDImoN » 26.04.2012 10:14

Чёт тема умерла чтоле? Как насчёт групповых политик для Windows 7 Pro??? Тут, как я понял, описывается для ХР!!! Работает ли такой контролер для Windows 7?
Спасибо сказали:

Аватара пользователя
yamah
Сообщения: 1102
ОС: Rosa Fresh, Debian, RELS

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение yamah » 26.04.2012 18:50

DDDDImoN писал(а):
26.04.2012 10:14
Чёт тема умерла чтоле? Как насчёт групповых политик для Windows 7 Pro??? Тут, как я понял, описывается для ХР!!! Работает ли такой контролер для Windows 7?

В домен ввести можно. Только придется немного реестр полпатчить.
Если не забуду тозавтра могу ссылками поделиться на wiki.samba.org.
Профили перемещаются. А групповые политики я еще пытался использовать. (Мне пока что нужна только доступ к SAMBA и SVN).

У меня почему-то так и не заработала проверка почты на спам и вирусы (пришлось отключить). Так же не смог прикрутить SASL-авторизацию к SVN.

Отнастроил работу SQUID c авторизацией из PDC. Фронт-энд к контролю трафика SAMS2. А так же Openfire прикрутил.
Могу мануал выложить.
Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:

DDDDImoN
Сообщения: 3
ОС: Kubuntu

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение DDDDImoN » 27.04.2012 07:23

yamah писал(а):
26.04.2012 18:50
DDDDImoN писал(а):
26.04.2012 10:14
Чёт тема умерла чтоле? Как насчёт групповых политик для Windows 7 Pro??? Тут, как я понял, описывается для ХР!!! Работает ли такой контролер для Windows 7?

В домен ввести можно. Только придется немного реестр полпатчить.
Если не забуду тозавтра могу ссылками поделиться на wiki.samba.org.
Профили перемещаются. А групповые политики я еще пытался использовать. (Мне пока что нужна только доступ к SAMBA и SVN).

У меня почему-то так и не заработала проверка почты на спам и вирусы (пришлось отключить). Так же не смог прикрутить SASL-авторизацию к SVN.

Отнастроил работу SQUID c авторизацией из PDC. Фронт-энд к контролю трафика SAMS2. А так же Openfire прикрутил.
Могу мануал выложить.


Буду признателен! Если особенно на бубунте ))) Мне больше пользователи, прокся и кропаль политик интересует (вплане запрета на установку программ и по мелочам такого рода!)

П.С, Ждём samba 4 там должна быть бомба )))
Спасибо сказали:

Аватара пользователя
yamah
Сообщения: 1102
ОС: Rosa Fresh, Debian, RELS

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение yamah » 27.04.2012 07:40

Запрет на установку программ проще сделать так (ИМХО):
1. Ограничением прав пользователей;
2. Запрет на запуск всех программ, кроме разрешенных. (Параллельно решается вопрос с работой вирусов). (В Logon-скрипт прописать загрузку reg-файла.)

Для авторизации пользователя на SQUID-е из LDAP достаточно в дефалтовый конфиг SQUID-а добавить/перезаписать:

Код: Выделить всё

auth_param basic program /usr/lib/squid/ldap_auth -b "ou=Users,dc=mydomen,dc=ru" -D "cn=domenadmin,dc=mydomen,dc=ru" -w SecretPassword -h ldap://pdc.mydomen.ru -v 3
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 minute
auth_param basic casesensitive off

Для парсинга логов и ограничения доступа можно использовать SAMS2. Его настройка по авторизации из LDAP можно прочитать на его вики.
Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:

DDDDImoN
Сообщения: 3
ОС: Kubuntu

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение DDDDImoN » 08.06.2012 10:47

На 3 шаге запоролся, не могу найти конфиг sladp.conf по указанному пути!!! Кто поможет - в какой конфиг записывать изменения???
Спасибо сказали:

Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение Ленивая Бестолочь » 18.06.2012 07:36

ныне slapd.conf - устаревший метод настройки openldap, либо читайте про cn=config и делайте всё, в соответствии, либо создавайте slapd.conf с нуля.
возможно придётся подправить /etc/default/slapd, чтобы читал конфиг, я не помню точно.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:

VaSho
Сообщения: 2

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение VaSho » 07.01.2014 14:24

Неплохо бы автору обновить материал, новая SAMBA поддерживает AD в полной мере, а не как в NT4. Также включить средство для групповой работы и почты SOGO, или тупо перейти на zentyal. И с MDS сейчас не все понятно, этот продукт существует?, развивается?
Спасибо сказали:

Аватара пользователя
yamah
Сообщения: 1102
ОС: Rosa Fresh, Debian, RELS

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение yamah » 07.01.2014 16:12

VaSho писал(а):
07.01.2014 14:24
Неплохо бы автору обновить материал, новая SAMBA поддерживает AD в полной мере, а не как в NT4. Также включить средство для групповой работы и почты SOGO, или тупо перейти на zentyal. И с MDS сейчас не все понятно, этот продукт существует?, развивается?

MDS сейчас переродился в RDS (Rosa Directory Server), и включен в дистрибутив Rosa Enterprise Linux Server.
Вроде на нем даже уже и настраивать ничего не нужно - все связи из статьи даются автоматом, акромя SQUID.

У меня в планах перевезти основной домен с системы настроенной по этой статье (Debian Squeeze) на RELS, как только мне подпишут новый сервер.
Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15761
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение Bizdelnick » 08.01.2014 15:25

IMHO:
Если б мне надо было сейчас поднимать сабж, я бы взял GOSA2. От общения с MDS впечатления сугубо отрицательные: работы по его внедрению плавно переходили в работы по багфиксингу. Плагины, которые по умолчанию отключены, в большинстве своём неработоспособны, да и остальные поглючивают.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

noUser
Сообщения: 137
ОС: Arch

Re: Достойный контроллер домена на Linux. (Подробный HowTo)

Сообщение noUser » 21.08.2016 20:59

Если мне надо просто держать учетки пользователей в одном месте и чтобы винды заходили без пароля использую реквизиты текущей УЗ (имя и пароль совпадают), то что еще нужно настроить? Настроил лдап, подключил его к самбе, добавил юзера в лдап (правда, там что-то вроде домена еще, n r dc=doman,dc=local но на самбе домен отлючал или делал его pdc - все одно), дал на шару доступ только этому юзеру - в итоге не пускает под юзером с такимим же реквизитами, даже если запрашивает пароль и я их ввожу. и на винде и на лине через smbclient -U.
Гадить в passwd юзерами которые вообще ничего не должны делать на сервере не хочу, а классическая схема без ldap подразумевает держать 100500 записей в passwd да еще и их же пофторно в tdbsam
Спасибо сказали: