Возможно вы искали: 'Coloropus'

November 27 2024 06:39:43

Статистика

Статей: 87772
Просмотров: 93081860

Игры

Injustice: Gods Among Us ...
Dark Souls 2 Dark Souls II - вторая часть самой хардкорной ролевой игры 2011-2012 года, с новым героем, сюжето...
Battlefield 4 Battlefield 4 - продолжение венценосного мультиплеер-ориентированного шутера от первого ли...

Кино

Steins;Gate Любители японской анимации уже давно поняли ,что аниме сериалы могут дать порой гораздо больше пи...
Ку! Кин-дза-дза Начинающий диджей Толик и всемирно известный виолончелист Владимир Чижов встречают на шумной моск...

Обзоры на игры

• Обзор Ibara [PCB/PS2]	17928
• Обзор The Walking ...	18319
• Обзор DMC: Devil M...	19457
• Обзор на игру Valk...	15460
• Обзор на игру Stars!	17307
• Обзор на Far Cry 3	17501
• Обзор на Resident ...	15543
• Обзор на Chivalry:...	17034
• Обзор на игру Kerb...	17530
• Обзор игры 007: Fr...	16141

Превью о играх

• Превью к игре Comp...	17563
• Превью о игре Mage...	14076
• Превью Incredible ...	14318
• Превью Firefall	13080
• Превью Dead Space 3	15917
• Превью о игре SimC...	14322
• Превью к игре Fuse	15029
• Превью Red Orche...	15149
• Превью Gothic 3	15879
• Превью Black & W...	17004

Главная » Статьи » Разное » Настройка Samba 3 PDC и перевод домена WINDOWS 2003 на Samba 3. (samba pdc domain windows freebsd)

Настройка Samba 3 PDC и перевод домена WINDOWS 2003 на Samba 3. (samba pdc domain windows freebsd)

Ключевые слова: samba, pdc, domain, windows, freebsd, (найти похожие документы)

From: argo <http://argo-uln.blogspot.com>
Date: Mon, 27 Feb 2007 14:31:37 +0000 (UTC)
Subject: Настройка Samba 3 PDC и перевод домена WINDOWS 2003 на Samba 3.

Оригинал: http://argo-uln.blogspot.com/2006/08/samba-3-pdc-ldap-freebsd-61.html
http://argo-uln.blogspot.com/2007/01/windows-2003-samba-3-pdc-ldap-freebsd.html

Настройка Samba 3 PDC LDAP FreeBSD 6.1

Пишу по мотивам Linux Samba-OpenLDAP Howto
Также использована статья rrv.jino-net.ru/Samba3.htm
Установка дисковых квот в FreeBSD www.opennet.ru/tips/info/446.shtml
Использование ACL в FreeBSD dreamcatcher.ru/docs/freebsd_acl.html

Из портов ставим

openldap-2.3.24
samba-3.0.23
nss_ldap-251
pam_ldap-182
smbldap-tools-0.9.2a

Копируем

cp /usr/local/share/examples/samba/LDAP/samba.schema /usr/local/etc/openldap/schema

содержимое файла
/usr/local/etc/openldap/slapd.conf (права доступа 0600 root)

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
#ssl
#TLSCipherSuite HIGH:MEDIUM:+SSLv2:+TLSv1
#TLSCertificateFile /usr/local/etc/openldap/ldap.csr
#TLSCertificateKeyFile /usr/local/etc/openldap/ldap.key
modulepath /usr/local/libexec/openldap
#moduleload back_bdb
moduleload back_ldap
moduleload back_ldbm
#moduleload back_passwd
#moduleload back_shell
#database bdb
database ldbm
suffix "dc=kristall,dc=local"
rootdn "cn=Manager,dc=kristall,dc=local"
#Создать хеш пароля #/usr/local/sbin/slappasswd
rootpw {SSHA}CuizlmpA5bH1MJ8qKJemPJdkgurnguitg
#loglevel 256
directory /var/db/openldap-data
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
#any users can authenticate and change his password
access to attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=Manager,dc=kristall,dc=local" write
by self write
by anonymous auth
by * none
#some attributes need to be readable anonymously so that 'id user' can
answer correctly
access to attrs=objectClass,entry,homeDirectory,uid,uidNumber,gidNumber,memberUid
by dn="cn=Manager,dc=kristall,dc=local" write
by * read
#somme attributes can be writable by users themselves
access to attrs=description,telephoneNumber,roomNumber,homePhone,loginShell,gecos,cn,sn,givenname
by dn="cn=Manager,dc=kristall,dc=local" write
by self write
by * read
#some attributes need to be writable for samba
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,
sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange,sambaPwdMustChange,
sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript,
sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,
sambaDomainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,
sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList,sambaTrustFlags,
sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase,
sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption
by dn="cn=Manager,dc=kristall,dc=local" write
by self read
by * none
#samba need to be able to create the samba domain account
access to dn.base="dc=kristall,dc=local"
by dn="cn=Manager,dc=kristall,dc=local" write
by * none
#samba need to be able to create new users accounts
access to dn="ou=Users,dc=kristall,dc=local"
by dn="cn=Manager,dc=kristall,dc=local" write
by * none
#samba need to be able to create new groups accounts
access to dn="ou=Groups,dc=kristall,dc=local"
by dn="cn=Manager,dc=kristall,dc=local" write
by * none
#samba need to be able to create new computers accounts
access to dn="ou=Computers,dc=kristall,dc=local"
by dn="cn=Manager,dc=kristall,dc=local" write
by * none
#this can be omitted but we let it stay because there could be other
branches in the directory
access to *
by self read
By * none

добавим в файл /etc/rc.conf

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/
ldap://0.0.0.0/ ldaps://0.0.0.0/"'
slapd_sockets="/var/run/openldap/ldapi"
samba_enable="YES"

файл /usr/local/etc/smb.conf

[global]
workgroup = KRISTALL
netbios name = FREEBSD
enable privileges = yes
interfaces = 192.168.100.1/24
# username map = /etc/samba/sbmusers
server string = SAMBA_LDAP PDC Server
security = user
encrypt passwords = Yes
obey pam restrictions = No
ldap passwd sync = Yes
log level = 0
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000
time server = Yes
socket options = TCP_NODELAY
mangling method = hash2
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
logon script = logon.bat
logon drive = H:
# logon home =
logon path =
domain logons = Yes
# os level = 255
preferred master = yes
domain master = yes
local master = yes
wins support = yes
# wins server = w.x.y.z
wins proxy = yes
dns proxy = no
name resolve order = lmhosts wins dns host bcast
passdb backend= ldapsam:ldap://127.0.0.1/
ldap admin dn= cn=Manager,dc=kristall,dc=local
ldap suffix= dc=kristall,dc=local
ldap user suffix= ou=Users
ldap group suffix= ou=Groups
ldap machine suffix= ou=Computers
ldap idmap suffix = ou=Users
ldap ssl= off
# ldap ssl= start tls
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
ldap delete dn= Yes
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
load printers = no
# printcap name = cups
# disable spoolss = Yes
# show add printer wizard = No
# printing = cups
[homes]
comment = Home directories
browseable = No
writable = yes
public = no
valid users = %S
vfs object = recycle
recycle:repository = .Корзина
recycle:keeptree = Yes
recycle:touch = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.tmp|*.tbi|*.temp|~$*|*.~??
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon/
browseable = no
read only = yes
[Profiles]
path = /home/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = No
guest ok = yes
profile acls = yes
csc policy = disable
force user = %U
valid users = %U @"Domain Admins"
[public]
comment = Общий ресурс
path = /home/samba/public
valid users = @"Domain Admins", @"Domain Users"
browseable = yes
guest ok = yes
read only = no
directory mask = 0777
create mask = 0666

Пароль к LDAP серверу для samba

#smbpasswd -w секретное_слово

Создаем шары самбы

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
mkdir /home/samba/public
chmod 1777 /home/samba/profiles

В ms windows создаем файл logon.bat

net use i: \freebsdpublic /yes

кладем его в папку /home/samba/netlogon

chmod 1777 /home/samba/profiles

Тест файла конфигурации samba

#testparm

Настраиваем NSS

файл /etc/nsswitch.conf (права доступа 0600 root)

group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shells: files

файл /etc/pam.d/system

#
# $FreeBSD: src/etc/pam.d/system,v 1.1 2003/06/14 12:35:05 des Exp $
#
# System-wide defaults
#
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
#auth required pam_unix.so no_warn try_first_pass nullok
auth sufficient pam_unix.so no_warn try_first_pass nullok
auth required /usr/local/lib/pam_ldap.so use_first_pass
# account
#account required pam_krb5.so
account required pam_login_access.so
account required pam_unix.so
# session
#session optional pam_ssh.so
session required pam_lastlog.so no_fail
# password
#password sufficient pam_krb5.so no_warn try_first_pass
password required pam_unix.so no_warn try_first_pass

файл /usr/local/etc/ldap.conf

host 127.0.0.1
base dc=kristall,dc=local
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
rootbinddn cn=Manager,dc=kristall,dc=local
scope sub
nss_base_passwd ou=Users,dc=kristall,dc=local?one
nss_base_passwd ou=Computers,dc=kristall,dc=local?one
nss_base_group ou=Groups,dc=kristall,dc=local?one
ssl no
# Если ставлю pam_password SSHA то unix пользователя не пускает
# В файл usrlocaletcsmbldap-toolssmbldap.conf
# также ставим CPYPT
pam_password CRYPT
# Обратите внимание без следующих двух строчек LDAP сервер
# нормально не стартует
bind_timelimit 10
bind_policy soft

файл /usr/local/etc/ldap.secret(права доступа 0600 root)
секретное_слово

Создаем символические ссылки

#ln -s /usr/local/etc/ldap.conf /usr/local/etc/openldap/ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/openldap/ldap.secret
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

Настройка smbldap-tools

usrlocaletcsmbldap-toolssmbldap.conf
usrlocaletcsmbldap-toolssmbldap_bind.conf

Для настройки необходимо #net getlocalsid
Полученный SID вбиваем в файл smbldap.conf
файл smbldap.conf

SID="S-1-5-21-407154694-2210106921-3152988260"
sambaDomain="KRISTALL"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
suffix="dc=kristall,dc=local"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
scope="sub"
# Если ставлю hash_encrypt="SSHA" то unix пользователя не пускает
hash_encrypt="CRYPT"
crypt_salt_format="%s"
userLoginShell="/sbin/nologin"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/usr/share/skel"
defaultMaxPasswordAge="45"
userSmbHome="\freebsd%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain=""
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="1"
slappasswd="/usr/local/sbin/slappasswd"
файл smbldap_bind.conf
slaveDN="cn=Manager,dc=kristall,dc=local"
slavePw="секретное_слово"
masterDN="cn=Manager,dc=kristall,dc=local"
masterPw="секретное_слово"

проверяем работу LDAP

#netstat -a | grep LISTEN | grep ldap
tcp4 0 0 *.ldaps *.* LISTEN
tcp4 0 0 *.ldap *.* LISTEN

Наполняем базу LDAP данными

#smbldap-populate -a Administrator

Посмотреть и исправить содержимое под ms windows можно программой
Ldap administrator (адрес проекта www.openldap.org)

Проверка

Добавим unix пользователя

#smbldap-useradd -m testuser1
#smbldap-passwd testuser1

Пробуем залогиниться в систему.
Логинится, но пользователя не понимает, в командной строке

[I have no name!@freebsd~]$ (Скорее всего не хватает прав.)

Командой id проверяем принадлежность пользователя uid, gid

#id testuser1
uid=1000(testuser1) gid=100(users) groupes=100(users)

Удаляем тестового пользователя

#smbldap-userdel -r testuser1

После всех этих телодвижений пользователь Administrator
имеет все права в нашем домене.

Добавлять и удалять пользователей можно при помощи утилит

User manager for domains и Server manager for domains.

Они доступны по адресу
ftp://ftp.microsoft.com/Softlib/MSLFILES/SRVTOOLS.EXE

Для добавления админских привилегий в домене группе Domain Admins:
- в файл smb.conf, секцию [global] добавить

enable privileges = yes

- командой

#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeAddUsersPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeMachineAccountPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeTakeOwnershipPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeBackupPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeRestorePrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeRemoteShutdownPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SePrintOperatorPrivilege
#net rpc rights grant -U Administrator%секретное_слово
'KRISTALLDomain Admins' SeDiskOperatorPrivilege

Посмотреть назначенные привилегии

net rpc rights list accounts -U Administrator%секретное_слово

Добавим квоты на разделы
- в конфигурации ядра включаем "options QUOTA" и пересобираем ядро.

cd /usr/src/sys/i386/conf
config FREEBSD
cd /usr/src/sys/i386/compile/FREEBSD
make depend
make all
make install

- в /etc/rc.conf прописываем enable_quotas="YES" и check_quotas="YES"
- указываем в /etc/fstab файловые системы, для которых будет
включаться

поддержка квот, например:

/dev/da0s1e /home ufs rw,userquota,groupquota 2 2

- устанавливаем квоты для пользователей при помощи edquota, напр.
"edquota user1"
- если нужно установить одинаковые квоты для нескольких пользователей
как у user1:

edquota -p user1 startuid-enduid (квоты на диапазон uid)

пример: edquota -p user1 1001-1999

Посмотреть квоты у всех: repquota -a (из под root)

Использование ACL с Samba

Конфигурируем ACL для каталога /usr(Команда df -> /dev/ad0s1a)
Переводим систему в однопользовательский режим

# shutdown now

Enter full pathname of shell or RETURN for /bin/sh:
# /sbin/umount /usr
# /sbin/tunefs -a enable /dev/ad0s1f
tunefs: ACLs set
# /sbin/mount /usr
Используйте свое имя устройства, которое вы посмотрели в выводе
команды df.

Теперь давайте проверим, как это работает:

# /sbin/mount
/dev/ad0s1a on / (ufs, local)
devfs on /dev (devfs, local)
/dev/ad0s1e on /tmp (ufs, local, soft-updates)
/dev/ad0s1f on /usr (ufs, local, soft-updates, acls)
/dev/ad0s1d on /var (ufs, local, soft-updates)

И вернемся в многопользовательский режим:

# exit

Система готова к использованию ACL в Samba

Перевод домена WINDOWS 2003 на Samba 3 PDC LDAP FreeBSD 6.1

По мотивам Linux Samba-OpenLDAP Howto + собственный опыт.
Итак, у нас есть домен: WIN2003
Netbios имя сервера: WIN2003_server
Настройка Samba 3 PDC LDAP FreeBSD 6.1
http://argo-uln.blogspot.com/2006/08/samba-3-pdc-ldap-freebsd-61.html

Останавливаемся в месте Настройка smbldap-tools
Net rpc getsid -S WIN2003_server WIN2003

Получаем sid домена винды
Далее опять по статье Настройка Samba 3 PDC LDAP FreeBSD 6.1

В smb.conf

###########
Workgroup = WIN2003
Domain master = No
Preferred master = no
Os level = 33
Local master = no
###########

В файле lmhosts прописать виндовый сервер.

###########
192.168.0.1 WIN2003_server
192.168.0.1 WIN2003
###########

Загоняем samba в домен WIN2003

Net rpc join -Uadministrator%password

Выдергиваем учетные записи пользователей и компов из домена.
Пришлось переименовать логины пользователей по английски.

Net rpc vampire -S WIN2003_server

Останавливаем виндовый сервак.

В smb.conf
###########
Workgroup = WIN2003
Domain master = YES
Preferred master = YES
Os level = 255
Local master = YES
###########

В файле lmhosts прописать samba сервер.
Прибиваем ненужные нам виндовые группы. У меня сервер win2003 был
русский.

Пришлось группы Пользователи домена, Администраторы домена
переименовывать по английски.

Компы в домене пришлось вывести из домена и ввести снова в него же,
профили пользователей при этом сохранились.

P.S. Пишу по памяти, может чего нибудь и забыл.

Ссылки

HTML:
[BB Url]:

Похожие статьи
Название	Добавил	Добавлено
• Настройка Samba 3 PDC и перевод дом...	Vova	08.05.2012

Ни одного комментария? Будешь первым :).

Пожалуйста, авторизуйтесь для добавления комментария.

Статьи

Рецензия на Pressure Чтобы обратить на себя внимание, начинающие маленькие разработчики, как правило, уходят в жанры, ...
Рецензия на Lost Chron... Игры, сделанные без любви и старания, похожи на воздушный шар – оболочка есть, а внутри пусто. Lo...
Рецензия на The Bridge «Верх» и «низ» в The Bridge — понятия относительные. Прогуливаясь под аркой, можно запросто перей...
Рецензия на SimCity Когда месяц назад состоялся релиз SimCity, по Сети прокатилось цунами народного гнева – глупые ош...
Рецензия на Strategy &... Название Strategy & Tactics: World War II вряд ли кому-то знакомо. Зато одного взгляда на ее скри...
Рецензия на игру Scrib... По сложившейся традиции в информационной карточке игры мы приводим в пример несколько похожих игр...
Рецензия на игру Walki... Зомби и продукция-по-лицензии — которые и сами по себе не лучшие представители игровой биосферы —...