1 / 34

Интеграция Linux с инфраструктурой предприятия на основе Active Directory ( часть IV)

Интеграция Linux с инфраструктурой предприятия на основе Active Directory ( часть IV). Цыганов Федор Softline. Содержание. Интеграция с использованием LDAP + Kerberos + AD NIS + [Samba] Демонстрация. LDAP + Kerberos + AD + [Samba]. Установка: Устанавливаем службу .

aida
Download Presentation

Интеграция Linux с инфраструктурой предприятия на основе Active Directory ( часть IV)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Интеграция Linux с инфраструктурой предприятия на основе ActiveDirectory (часть IV) Цыганов Федор Softline

  2. Содержание • Интеграция с использованием LDAP + Kerberos + AD NIS + [Samba] • Демонстрация

  3. LDAP + Kerberos + AD + [Samba]

  4. Установка: Устанавливаем службу На контроллере домена устанавливаем службу Identity Management for Unix роли AD Domain Services (1)

  5. Установка: Устанавливаем службу На контроллере домена устанавливаем службу Identity Management for Unix роли AD Domain Services (2)

  6. Установка: Устанавливаем службу Перезагружаемся

  7. Установка: настраиваем службу

  8. Установка: Настройка атрибутов Настраиваем Unix-атрибуты для пользователей и групп

  9. Установка: Учетная запись для LDAP запросов Создаем учетную запись, от имени которой будут выполняться LDAP-запросы. Административные права для этой записи НЕ требуются. • PS>new-aduser –name linuxldap -samaccountname linuxldap -displayname “For Linux LDAP Requests“ -enable $true • -changepasswordatlogon $false -accountpassword (convertto-securestring "P@ssword" -asplaintext -force) -path "ou=linux,dc=linwin,dc=local” • -cannotchangepassword $true –passwordneverexpires $true

  10. Установка: Ставим нужные компоненты yum install krb5-libs • yum install pam_krb5 • yum install krb5-workstation • yum install openldap-* • yum install nss_ldap • yum install samba-client # Ставим, если • yum install samba-common# требуются сервисы • yum install samba# Samba # Большинство перечисленных компонентов # устанавливаются по умолчанию во многих Linux- # дистрибутивах

  11. Установка: Настраиваем распознавание имен # редактируем /etc/hosts • 10.1.1.1 dc01 dc01.mydomain.com# контроллер домена • 127.1.0.1 lx01 lx01.mydomain.com# данный linux хост • 10.1.1.2 lx01 lx01.mydomain.com# данный linux хост # редактируем /etc/resolv.conf search mydomain.com# подставляемый доменный суффикс nameserver 10.1.1.1 # ссылаемся на контроллер домена nameserver 8.8.8.8 # альтернативный DNS # (необязательно)

  12. Установка: Настраиваем распознавание имен # редактируем /etc/sysconfig/network • ... • hostname lx01.mydomain.com # задаем FQDN этого хоста ... # для проверки dig dc01.mydomain.com dig somehost.mydomain.com ping dc01

  13. Установка: Настраиваем NTP # 1. В качестве NTP-сервера указываем контроллер домена. # 2. Настраиваем временную зону и прочие параметры. system-config-time # Запускаем в графической среде # для проверки date

  14. Установка: Определяем создание домашних каталогов # редактируем /etc/pam.d/system-auth • ... • session required pam_mkhomedir.so skel=/etc/skel umask=0022 • ... • # Каталоги создаются с использованием /etc/skel – аналог • # профиля по умолчанию в Windows. Разрешения на домашний • # каталог: владелец – полный доступ, все остальные – • # чтение.

  15. Установка: Настраиваем Kerberos # редактируем /etc/krb.conf • MYDOMAIN.COM dc01.mydomain.com:88 #KDC • MYDOMAIN.COM dc01.mydomain.com:749 admin server # редактируем /etc/krb.realms .mydomain.com MYDOMAIN.COM

  16. Установка: Настраиваем Kerberos # редактируем /etc/krb5.conf • [libdefaults] • default_realm = MYDOMAIN.COM • dns_lookup_realm = true • dns_lookup_kdc = true • [realms] • MYDOMAIN.COM = { • kdc = dc01.mydomain.com:88 • admin_server = dc01.mydomain.com:749 • kpasswd_server = dc01.mydomain.com:464 • kpasswd_protocol = SET_CHANGE • } • [domain_realm] • *.addomain.local = MYDOMAIN.COM • .addomain.local = MYDOMAIN.COM

  17. Установка: Настраиваем Kerberos # для проверки и настройки ряда параметров можно # воспользоваться: • system-config-authentication

  18. Установка: Настраиваем LDAP # Редактируем /etc/ldap.conf • host 172.16.0.7 • base dc=linwin, dc=local • uri ldap://dc01.linwin.local • binddn cn=linuxldap,cn=Users,dc=linwin,dc=local • bindpw P@ssw0rd • scope sub • timelimit 120 • bind_timelimit 120 • idle_timelimit 3600 • refferals no • ...

  19. Установка: Настраиваем LDAP # Редактируем /etc/ldap.conf (продолжение) • ... • ssl no • nss_base_passwd dc=linwin,dc=local?sub • nss_base_shadow dc=linwin,dc=local?sub • nss_base_group dc=linwin,dc=local?sub?&(objectCategory=group)(gidnumber=*) • nss_map_objectclass posixAccount user • nss_map_objectclass shadowAccount user • nss_map_objectclass posixGroup group • nss_map_attribute uid SAMAccountName • nss_map_attribute homeDirectory unixHomeDirectory • nss_map_attribute gecos cn • ...

  20. Установка: Настраиваем порядок получения информации о пользователях, группах и т.д. # редактируем /etc/nsswitch.com • ... • passwd: files ldap winbind • group: files ldap winbind • hosts: files ldap winbind • ...

  21. Установка: Подключаемся к AD # Проверяем: • getent passwd # получаем список локальных и доменных • getent group# пользователей и групп • su aduser# логинимся под aduser • # Выполняем поиск в базе AD: • ldapsearch -Hldap://dc01.linwin.local -b "dc=linwin,dc=local“ -x -w P@ssw0rd -D "cn=linuxldap,cn=Users,dc=linwin,dc=local"

  22. Установка: Настраиваем Samba (рекомендуется) # редактируем /etc/samba/smb.conf # Примерный файл конфигурации: • [global] • unix charset = LOCALE • workgroup = LINWIN # домен AD • netbios name = LX01# как имя хоста • realm = LINWIN.LOCAL # домен AD • server string = Some Comment • security = ADS# используем Kerberos • use kerberos keytab = Yes • # параметры сопоставления Windows SID – Linux UID/GUID • idmap backend = ad • ldap idmap suffix = dc=linwin,dc=local • ldap admin dn = cn=linuxldap,cn=Users,dc=linwin,dc=local • ldap suffix = dc=linwin,dc=local • idmap uid = 500-100000000 • idmap gid = 500-100000000

  23. Установка: Настраиваем Samba #редактируем /etc/samba/smb.conf # Примерный файл конфигурации (продолжение): • ... • log level = 1 • syslog = 0 • log file = /var/log/samba/%m • printcap name = CUPS • winbind use default domain = yes • winbind nested groups = Yes... • [homes] • comment = Home Directories • valid users = %D\%U • read only = No • browseable = No

  24. Установка: Подключаемся к AD # Необязательные шаги. Нужны, если Samba использовалась # ранее.Останавливаем демоны, удаляем базы пользователей # Samba и чистим кэш. • service smb stop • service winbind stop • rm –f /etc/samba/*tbd • rm –f/var/cache/samba/*tbd • rm –f .var/cache/samba/*dat

  25. Установка: Подключаемся к AD # Включаем хост в домен. Запускаем демоны и настраиваем # параметры их запуска. • net ads join –U administrator • smbpasswd –w P@ssw0rd # пароль пользователя linuxldap • service winbind start • service smb start • chkconfig --level 35 smb on • chkconfig --level 35 winbind on

  26. Установка: Подключаемся к AD # Проверяем: • getent passwd # получаем список локальных и доменных • getent group# пользователей и групп • wbinfo –a aduser%password # проверка аутентификации • # для пользователя aduser • su mydomain\\aduser # логинимся под aduser

  27. Установка: Проблемы # Включаем дебаг при подключению к домену (-d). # 10 – максимальный уровень. • net ads join –U administrator –d10

  28. Конфигурация стенда

  29. Интеграция с LDAP+Kerberos+NIS Демонстрация

  30. Полезные ресурсы • http://interopsystems.comМного информации по интеграции • http://www.samba.org/Проект Samba • http://www.openldap.org/Проект OpenLDAP • http://www.microsoft.com/downloads/en/confirmation.aspx?familyId=144f7b82-65cf-4105-b60c-44515299797d&displayLang=enWindows Security and Directory Services for Unix

More Related