WackoWiki: RafaelMalikov/SmbLdap ...

Установка PDC и LDAP и их скрещивание

устанавливаем LDPA и Samba
apt-get install slapd
указываем ДНС название домена
указываем название организации
вводим пароль для пользователя admin (два раза)
apt-get install samba
указываем название домена
включаем криптование паролей
если есть DHCP подключаем его для WINS
последний вопрос мне не понятен, создавать базу пользователей или нет
в любом случае создаются tdb файлы в каталоге /usr/lib/samba
куда подкачиваются все пользователи из /etc/passwd
(посмотреть/почистить их можно с помощью утилиты pdbedit
рекомендую удалить всех, кроме root"а)

устанавливаем samba-doc (там есть файлы которые нужны для конфигурации LDAP)
apt-get install samba-doc

устанавливаем smbldap-tools
apt-get install smbldap-tools

Установки LDAP

берем схему самбы для LDAP (здесь есть грабли, если юзаешь Samba3
нужно проследить что бы и схема была от нее)
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > \
/etc/ldap/schema/samba.schema

Правим /etc/ldap/slapd.conf
добовляем строку в секцию схем
include /etc/ldap/schema/samba.schema

добавляем несколько строк в секцию индексов
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

добавляем аксес атрибуты
access to attribute=userPassword,sambaNTPassword,sambaLMPassword

Перезапускаем LDAP с новым конфигом
/etc/init.d/slapd restart

Установки Samba

В принципе файл прилогаемый по умолчанию при некоторой модификации может
сойти для воркстэйшен.

Общии установки
[global] workgroup = domen netbios name = server server string = server wins support = yes dns proxy = no time server = yes log level = 3 log file = /var/log/samba/log.%L os level = 65 local master = yes domain master = yes domain logons = yes prefered master = yes logon script = logon.cmd logon path = logon drive = U: logon home = \\%N\%U dos charset = CP866 unix charset = KOI8-R display charset = KOI8-R security = user encrypt passwords = yes
Способы администрирования домена:
1. Все пользоватли хранятся как в базах доступа Samba, так и
в /etc/passwd & /etc/groupe
admin users = @smbadmins passdb backend = tdbsam add user script = /usr/sbin/useradd -m -g smbusers %u add user to group script = /usr/sbin/adduser %u %g add group script = /usr/sbin/groupadd %g add machine script = /usr/sbin/useradd -g machines -c Machine_%M_%I -d /dev/null -s /bin/false %u delete user script = /usr/sbin/userdel %u delete user from group script = /usr/sbin/deluser %u %g delete group script = /usr/sbin/groupdel %g set primary group script = /usr/sbin/usermod -g "%g" "%u" passwd program = /bin/passwd %u passwd chat = *new*password* %n\\n*new*password* %n\\n *changed*
Дополнительно:
– необходимо в системе наличие групп smbusers, smbadmins, smbguests, machines

2. Все пользователи хранятся в базе LDAP.
admin users = @"Domain Adminis" passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap suffix = dc=domen,dc=ru ldap user suffix = ou=Users ldap group suffix = ou=Groups ldap machine suffix = ou=Computers ldap admin dn = "cn=admin,dc=domen,dc=ru" ldap delete dn = Yes add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" passwd program = /usr/sbin/smbldap-passwd %u passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
Дополнительно:
– необходимо в системе отстроеной pam – nss – аутинтификации

Необходимиы секции smb.conf
[homes] comment = Home Directories browseable = no writable = yes create mask = 0700 directory mask = 0700 [netlogon] comment = Network Logon Service path = /var/data/netlogon browseable = no guest ok = yes writable = no share modes = no [profile] path = /var/data/profiles read only = No create mask = 0600 browseable = No guest ok = Yes profile acls = Yes csc policy = disable force user = %U valid users = %U @"Domain Adminis" nt acl support = no [printers] comment = All Printers browseable = no path = /tmp printable = yes [print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes
далее перезапускаем самбу
/etc/init.d/samba restart

и запиваем пароль к лдапу в самбу
smbpasswd -w secter

Настройка аутинтификации

apt-get install libnss-ldap (nss_ldap)
указываем LDAP server 127.0.0.1
указываем имя базы dc=domen,dc=ru
указываем версию 3
yes на вход в базу
yes на выставление атрибутов
указываем привелигировано пользователя cn=admin,dc=domen,dc=ru
вводим пароль для него

apt-get install libpam-ldap (pam_ldap)
yes на мэйк
no на логин
вводим привелигированого пользователя cn=admin,dc=domen,dc=ru
вводим пароль для него
выбирмем криптование crypt
Примечание: устанавливать надо именно в таком порядке сначало nss
затем pam, иначе приходится ручками много работать. При этом формируются
три файла в /etc/ : libnss-ldap.conf pam_ldap.conf ldap.secret
в последнем хранится пароль привелигерованого пользователя лдап в плайт
виде.

Далее правим файлы из каталога /etc/pam.d/
common-auth
исправляем
auth required pam_unix.so nullok_secure
на
auth sufficient pam_unix.so nullok_secure
добавляем
auth sufficient pam_ldap.so use_first_pass

common-account
исправляем
account required pam_unix.so
на
account sufficient pam_unix.so
добавляем
account sufficient pam_ldap.so

common-password
исправляем
password required pam_unix.so nullok obscure min=4 max=8 md5
на
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
добавляем
password sufficient pam_ldap.so use_authtok

common-session
добавляем
session optional pam_ldap.so

Для корректного отображения лдап пользователей ставин кэш демон nscd
apt-get install nscd

Установки smbldap-tools

Правим файл /etc/nsswitch.conf
меняем
passwd: compat
group: compat
shadow: compat
на
passwd: files ldap
group: files ldap
shadow: files ldap

Берем файлы по умолчанию из доки от тулзов

zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > \

SID узнаем с помощью net getlocalsid
SID="S-1-5-21-1730680590-3962963518-200400939" slaveLDAP="127.0.0.1" slavePort="389" masterLDAP="127.0.0.1" masterPort="389" ldapTLS="0" verify="require" cafile="/etc/smbldap-tools/ca.pem" clientcert="/etc/smbldap-tools/smbldap-tools.pem" clientkey="/etc/smbldap-tools/smbldap-tools.key" suffix="dc=domen,dc=ru" usersdn="ou=Users,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Groups,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="sambaDomainName=domen,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" userLoginShell="/bin/bash" userHome="/home/%U" userGecos="System User" defaultUserGid="513" defaultComputerGid="515" skeletonDir="/etc/skel" defaultMaxPasswordAge="99" userSmbHome="" userProfile="" userHomeDrive="" userScript="" mailDomain="domen.ru" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" mk_ntpasswd="/sbin/mkntpwd"
cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf \

slaveDN="cn=admin,dc=domen,dc=ru" slavePw="secret" masterDN="cn=admin,dc=domen,dc=ru" masterPw="secret"
rem secret – пароль который вводился при установке лдапа

правим права на файлы

chmod 0644 /etc/smbldap-tools/smbldap.conf
chmod 0600 /etc/smbldap-tools/smbldap_bind.conf

Заведение акаунтов по умолчанию

smbldap-populate

устанавливаем пароль для пользователя Administrator
smbldap-passwd Administrator

Если хотим внести изменение в названии организации модифицируем файло base.ldif
dn:dc=domen,dc=ru objectClass:dcObject objectclass:organization dc:se o:Organization
ldapmodify -W -x -D «cn=admin,dc=domen,dc=ru» -f base.ldif

сервер