Возможно вы искали: 'Football Masters 2002/03'

May 15 2025 18:24:25

Статистика

Статей: 87772
Просмотров: 96111483

Игры

Injustice: Gods Among Us ...
Dark Souls 2 Dark Souls II - вторая часть самой хардкорной ролевой игры 2011-2012 года, с новым героем, сюжето...
Battlefield 4 Battlefield 4 - продолжение венценосного мультиплеер-ориентированного шутера от первого ли...

Кино

Steins;Gate Любители японской анимации уже давно поняли ,что аниме сериалы могут дать порой гораздо больше пи...
Ку! Кин-дза-дза Начинающий диджей Толик и всемирно известный виолончелист Владимир Чижов встречают на шумной моск...

Обзоры на игры

• Обзор Ibara [PCB/PS2]	18357
• Обзор The Walking ...	18801
• Обзор DMC: Devil M...	19879
• Обзор на игру Valk...	15877
• Обзор на игру Stars!	17764
• Обзор на Far Cry 3	17948
• Обзор на Resident ...	16024
• Обзор на Chivalry:...	17508
• Обзор на игру Kerb...	17981
• Обзор игры 007: Fr...	16619

Превью о играх

• Превью к игре Comp...	17960
• Превью о игре Mage...	14464
• Превью Incredible ...	14721
• Превью Firefall	13479
• Превью Dead Space 3	16334
• Превью о игре SimC...	14730
• Превью к игре Fuse	15442
• Превью Red Orche...	15542
• Превью Gothic 3	16343
• Превью Black & W...	17354

Главная » Статьи » Разное » Интеграция серверов AIX в MS Active Directory (aix domain windows kerberos samba)

Интеграция серверов AIX в MS Active Directory (aix domain windows kerberos samba)

Ключевые слова: aix, domain, windows, kerberos, samba, (найти похожие документы)

From: uxTuaHgp <alex_dubrovsky@mail.ru.>
Newsgroups: email
Date: Mon, 24 Apr 2007 14:31:37 +0000 (UTC)
Subject: Интеграция серверов AIX в MS Active Directory

1. Пререквизиты

1) MS Active Directory и Kerberos на MS Windows 2003 Server.

2) AIX 5.3 ML03 и выше. Во избежание проблем биндинга к AD через
керберос необходимо установить APAR IY79120.

У меня на 5300-04 и на 5300-05 проблем с биндингом без этого APAR не возникало.

3) MS Services for Unix для поддержки расширений AD для UNIX и синхронизации паролей.
Сейчас есть версия MSSFU 3.5, с ней вроде как проблем быть не должно вообще,
я ставил и на 3.5 и на 2.0 - тонкости опишу.

4) На сервере KDC должны быть установлены Windows Support Tools.

5) Резолв через DNS на AIX должен быть настроен.

6) Допускаем

имя нашего домена - example.com
kerberos realm - EXAMPLE.COM
контроллеры домена - dc01, dc02
имя нашего хоста - aixhost

2. Инсталяция пакетов:

1) Рекомендую сначала найти и скопировать в одно место все необходимые пакеты.
В моем дистрибутиве они разложились так:

krb5.lic - AIX 5L Expansion Pack Volume #1
krb5.client - AIX 5L Expansion Pack Volume #1
krb5.toolkit - AIX 5L Expansion Pack Volume #1
krb5.msg.en_US - AIX 5L Expansion Pack Volume #1
krb5.doc.en_US - AIX 5L Expansion Pack Volume #1
ldap.client - AIX 5L Volume #4
gskta.rte - AIX 5L Expansion Pack Volume #2
ldap.max_crypto_client - AIX 5L Expansion Pack Volume #1

2) Инсталим сначала krb5.lic, с одобрением лицензионного соглашения.
Лично я пользовался smit install, но можно и строчкой :)

# installp -acgXYpd <SOURCEDIR> krb5.lic
<SOURCEDIR> - место, куда Вы свалили все пакеты

3) Инсталируем все остальные пакеты

# installp -acgXYpd <SOURCEDIR> krb5.client krb5.toolkit
krb5.msg.en_US krb5.doc.en_US ldap.client gskta.rte ldap.max_crypto_client

3. Настройка Kerberos

1) Поправим системные пути, чтобы находились бинарники кербероса.

Добавим /usr/krb5/bin:/usr/krb5/sbin: в переменную PATH в файле
/etc/environment перед путями к java.

У меня путь получился такой:

PATH=/usr/local/bin:/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/krb5/bin:/usr/krb5/sbin:/usr/java/jre/bin:/usr/java/bin

2) Настроим синхронизацию времени с KDC

# ntpdate dc01.example.com

Добавим строчки в /etc/ntp.conf

server dc01.example.com
server dc02.example.com

заускаем демона ntp

startsrc -s xntpd

проверяем синхронизацию

# ntpq
ntpq> peers

remote refid st t when poll reach delay offset disp
+dc01.example.com dc01.example.com 6 u 454 512 377 0.61 -15.332 29.01
*dc02.example.com dc02.example.com 5 u 121 512 377 2.64 0.334 5.86

ntpq> q
#

Сделаем так, чтобы xntpd запускался автоматически при загрузке системы,
для этого раскомментируем строку запуска xntpd в файле /etc/rc.tcp

3) Собственно генерируем конфиги кербероса

# config.krb5 -C -r EXAMPLE.COM -d example.com -c dc01.example.com -s dc01.example.com

realm (-r) обязательно в верхнем регистре!!!

Поправим секцию [libdefaults] в файле /etc/krb5/krb5.conf - уберем не
поддерживаемые Windows 2000 и 2003 типы шифрования.

После исправления она должна выглядеть примерно так:

[libdefaults]
default_realm = EXAMPLE.COM
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc

4) Добавим методы аутентикации сразу и для kerberos и для LDAP в /usr/lib/security/methods.cfg

KRB5A:
program = /usr/lib/security/KRB5A
options = authonly

LDAP:
program = /usr/lib/security/LDAP
program_64 = /usr/lib/security/LDAP64

KRB5ALDAP:
options = db=LDAP,auth=KRB5A

KRB5Afiles:
options = db=BUILTIN,auth=KRB5A

5) Создаем принципала для нашего хоста:

В AD создаем пользователя вида host_имяхоста, то есть в нашем случае
host_aixhost, устанавливаем ему пароль.

6) С помощью утилиты ktpass из MS Windows Support Tools создаем файл с
ключом и переносим его на AIX

C:>ktpass -princ host/aixhost.example.com@EXAMPLE.COM -mapuser host_aixhost
-pass superPassw0rd -out host_aixhost.keytab

С помощью утилиты setspn можем посмотреть мапинг логина на принципала

C:>stspn -L host_aixhost

Копируем ключ на AIX

pscp host_aixhost.keytab root@aixhost:/etc/krb5/

Тут я воспользовался pscp из пакета PuTTy

7) Импортируем полученный ключ в таблицу ключей на aixhost

# ktutil
rkt /etc/krb5/host_aixhost.keytab
wkt /etc/krb5/krb5.keytab
q
#

Проверим ключ

# kinit host/aixhost.example.com@EXAMPLE.COM
Password for host/aixhost.example.com@EXAMPLE.COM: ************
#
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: host/aixhost.example.com@EXAMPLE.COM

Valid starting Expires Service principal
04/19/07 10:57:13 04/19/07 20:57:19 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Renew until 04/20/07 10:57:13
#

8) Удалим импорт-ключ принципала

# rm /etc/krb5/host_aixhost.keytab

4. Проверка утентикации kerberos

1) Заведем в AD пользователя, например test01 и зададим для него пароль.

2) В AIX создадим пользователя с методом аутентикации через KRB5Afiles

# mkuser registry=KRB5Afiles SYSTEM=KRB5Afiles test01

3) Попробуем логиниться пользователем test01

login as: test01
test01@aixhost's password:
*******************************************************************************
* *
* *
* Welcome to AIX Version 5.3! *
* *
* *
* Please see the README file in /usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System. *
* *
* *
*******************************************************************************
$ echo $AUTHSTATE
KRB5Afiles
$

Видим что атентикация прошла через KRB5Afiles. Все аттрибуты пользователя и членство
в группах в данном случае хранятся локально в /etc/passwd и /etc/group

5. Настройка LDAP

1) Документы, которыми я пользовался, рекомендуют не используя mksecldap, а просто
руками прописать конфигурационные файлы, однако mksecldap дает один плюс - он прописывает
в конфиг пароль нашего принципала в зашифрованом DES виде.

Итак, запускаем конфигуратор ldap клиента

# mksecldap -c -h dc01 -a 'CN=host_aixhost,OU=Host
Accounts,OU=Users,OU=New Vasjuki,DC=example,DC=com' -p superPassw0rd

где у вас будет расположен аккаунт принципала, я не знаю :)

2) Правим /etc/security/ldap/ldap.cfg

searchmode

S # OS необходимо, как оказалось, для MSSFU 2.0 по умолчанию стоит ALL
ldapservers:dc01.example.com,dc02.examle.com
binddn:cn=CN=host_aixhost,OU=Host Accounts,OU=Users,OU=New Vasjuki,DC=example,DC=com
bindpwd:{DES}63FABC6A5AB7B4 29ECDEDA02F DB0D38DDD37E25AF46255 # в принципе тут можно вписать пароль и в открытом виде
userattrmappath:/etc/security/ldap/sfu20user.map # опять же для MSSFU 2.0
groupattrmappath:/etc/security/ldap/sfu20group.map
userbasedn

U=Users,OU=New Vasjuki,DC=example,DC=com # тут должно быть ясно - юнит под которым искать
groupbasedn

U=Groups,OU=New Vasjuki,DC=example,DC=com
userclasses:user
groupclasses:group

Пояснения:

searchmode: по умолчанию ALL и по умолчанию работает отлично с MSSFU 3.*,
однако с 2.0 демон LDAP клиента падал в кору при попытках сделать id на некоторых пользователей AD.
По сути дела, методом тыка было выведено, что нужно в этом случае прописывать OS.

userattrmappath и groupattrmappath мапфайлы, где стыкуются юникс атрибуты с AD атрибутами.
Для MSSFU 3.0 и 3.5 есть шаблоны

/etc/security/ldap/sfu30user.map
/etc/security/ldap/sfu30group.map

В AIX 5L TL05 стало возможно прописывать до 10-ти строк userbasedn и
groupbasedn, в результате LDAP клиент по порядку опрашивает все эти DN.

Кроме того появилась возможность вписывать в эти записи фильтры [2].

3) Запускаем демон LDAP клиента

# start-secldapclntd
Starting the secldapclntd daemon.
The secldapclntd daemon started successfully.
#

4) Делаем так, чтобы LDAP клиент запускался при старте системы

# mkitab "ldapclntd:2

nce:/usr/sbin/secldapclntd > /dev/console 2>&1"

6. Проверка работы LDAP+Kerberos

1) Заводим в AD группу и пользователя, например tstgrp02 и test02,
проставляем пароль и заполняем поля в закладке

Unix Attributes.

2) Проверяем запросом к LDAP с AIX

# lsldap -a group tst*
# lsldap -a passwd test*

3) Смотрим видит-ли AIX базу пользователй LDAP

# id test02
uid=2365(test02) gid=1001(Domain Users)
# lsuser test02
test02 id=22365 pgrp=Domain Users groups=Domain Users home=/home/test02
shell=/usr/bin/sh gecos=test02 login=true su=true rlogin=true
daemon=true admin=false sugroups=ALL admgroups= tpath=nosak ttys=ALL
expires=0 auth1=SYSTEM auth2=NONE umask=22 registry=KRB5ALDAP SYSTEM=compat
logintimes= loginretries=0 pwdwarntime=0 account_locked=false minage=0
maxage=0 maxexpired=-1 minalpha=0 minother=0 mindiff=0 maxrepeats=8 minlen=0
histexpire=0 histsize=0 pwdchecks= dictionlist= fsize=-1 cpu=-1 data=-1
stack=65536 core=2097151 rss=-1 nofiles=2000 fsize_hard=-1 data_hard=-1
rss_hard=-1 roles=
#

4) Чтобы пользователь успешно аутентифицировался, нужно поменять атрибут SYSTEM на KRB5ALDAP

# chuser SYSTEM=KRB5ALDAP test02

Если пользователей AD будет гораздо больше, чем локальных, а локальные
будут заводиться редко, можно сделать и иначе:

В файле /etc/security/user
для default прописать

SYSTEM=KRB5ALDAP

всем локальным пользователям прописать

SYSTEM=compat

Если существующим не проставить compat - у них будут проблемы при
попытке войти :)

5) Пытаемся логиниться

login as: test02
test02@aixhost's password:
*******************************************************************************
* *
* *
* Welcome to AIX Version 5.3! *
* *
* *
* Please see the README file in /usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System. *
* *
* *
*******************************************************************************
$ echo $AUTHSTATE
KRB5ALDAP
$

Вот собственно и все!

Ссылки на использованную литературу:
1. IBM RedBook Integrating AIX into Heterogeneous LDAP Environments
2. AIX5 LDAP user management

Ссылки

HTML:
[BB Url]:

Похожие статьи
Название	Добавил	Добавлено
• Интеграция серверов AIX в MS Active...	Vova	08.05.2012

Ни одного комментария? Будешь первым :).

Пожалуйста, авторизуйтесь для добавления комментария.

Статьи

Рецензия на Pressure Чтобы обратить на себя внимание, начинающие маленькие разработчики, как правило, уходят в жанры, ...
Рецензия на Lost Chron... Игры, сделанные без любви и старания, похожи на воздушный шар – оболочка есть, а внутри пусто. Lo...
Рецензия на The Bridge «Верх» и «низ» в The Bridge — понятия относительные. Прогуливаясь под аркой, можно запросто перей...
Рецензия на SimCity Когда месяц назад состоялся релиз SimCity, по Сети прокатилось цунами народного гнева – глупые ош...
Рецензия на Strategy &... Название Strategy & Tactics: World War II вряд ли кому-то знакомо. Зато одного взгляда на ее скри...
Рецензия на игру Scrib... По сложившейся традиции в информационной карточке игры мы приводим в пример несколько похожих игр...
Рецензия на игру Walki... Зомби и продукция-по-лицензии — которые и сами по себе не лучшие представители игровой биосферы —...