34
Microsoft TechDayshttp://www.techdays.ru
Интеграция Linux с инфраструктурой предприятия на основе Active Directory (часть IV)
Цыганов ФедорSoftline
Microsoft TechDayshttp://www.techdays.ru
Интеграция Linux в AD - I• Обзор• Likewise Open• http://www.techdays.ru/videos/2475.
html
Интеграция Linux в AD - II• Identity Management for
Unix• http://www.techdays.ru/videos/2460.
html
Интеграция Linux в AD - III• Samba + Kerberos• http://www.techdays.ru/videos/2461.
html
Интеграция Linux в AD - IV• LDAP + Kerberos + AD
Microsoft TechDayshttp://www.techdays.ru
Содержание
Интеграция с использованием LDAP + Kerberos + AD NIS + [Samba]Демонстрация
Microsoft TechDayshttp://www.techdays.ru
LDAP + Kerberos + AD + [Samba]Преимущества использования
+ Пользователи работают с одним логином и паролем на всех системах
+ Администраторы создают одну учетную запись в AD
+ Блокировка учетной записи в AD
+ Политики паролей наследуются из AD
+ Использования для доступа к службе каталога протокола LDAP
+ Использование Samba позволяет подключение к домену и file & print sharing
Установка: Устанавливаем службу
На контроллере домена устанавливаем службу Identity Management for Unix роли AD Domain Services (1)
Установка: Устанавливаем службу На контроллере домена устанавливаем службу Identity Management for Unix роли AD Domain Services (2)
Установка: Устанавливаем службу
Перезагружаемся
Установка: настраиваем службу
Установка: Настройка атрибутовНастраиваем Unix-атрибуты для пользователей и групп
Установка: Учетная запись для LDAP запросов
Создаем учетную запись, от имени которой будут выполняться LDAP-запросы. Административные права для этой записи НЕ требуются.
PS>new-aduser –name linuxldap -samaccountname linuxldap -displayname “For Linux LDAP Requests“ -enable $true -changepasswordatlogon $false -accountpassword (convertto-securestring "P@ssword" -asplaintext -force) -path "ou=linux,dc=linwin,dc=local” -cannotchangepassword $true –passwordneverexpires $true
Установка: Ставим нужные компоненты
yum install krb5-libsyum install pam_krb5yum install krb5-workstationyum install openldap-*yum install nss_ldapyum install samba-client # Ставим, если yum install samba-common # требуются сервисыyum install samba # Samba
# Большинство перечисленных компонентов # устанавливаются по умолчанию во многих Linux-# дистрибутивах
Установка: Настраиваем распознавание имен
# редактируем /etc/hosts10.1.1.1 dc01 dc01.mydomain.com # контроллер домена127.1.0.1 lx01 lx01.mydomain.com # данный linux хост10.1.1.2 lx01 lx01.mydomain.com # данный linux хост
# редактируем /etc/resolv.confsearch mydomain.com # подставляемый доменный суффиксnameserver 10.1.1.1 # ссылаемся на контроллер доменаnameserver 8.8.8.8 # альтернативный DNS
# (необязательно)
Установка: Настраиваем распознавание имен
# редактируем /etc/sysconfig/network...hostname lx01.mydomain.com # задаем FQDN этого хоста...
# для проверкиdig dc01.mydomain.comdig somehost.mydomain.comping dc01
Установка: Настраиваем NTP
# 1. В качестве NTP-сервера указываем контроллер домена.# 2. Настраиваем временную зону и прочие параметры.
system-config-time # Запускаем в графической среде
# для проверки
date
Установка: Определяем создание домашних каталогов
# редактируем /etc/pam.d/system-auth...session required pam_mkhomedir.so skel=/etc/skel umask=0022...
# Каталоги создаются с использованием /etc/skel – аналог # профиля по умолчанию в Windows. Разрешения на домашний # каталог: владелец – полный доступ, все остальные – # чтение.
Установка: Настраиваем Kerberos
# редактируем /etc/krb.confMYDOMAIN.COM dc01.mydomain.com:88 # KDCMYDOMAIN.COM dc01.mydomain.com:749 admin server
# редактируем /etc/krb.realms.mydomain.com MYDOMAIN.COM
Установка: Настраиваем Kerberos
# редактируем /etc/krb5.conf[libdefaults]default_realm = MYDOMAIN.COMdns_lookup_realm = truedns_lookup_kdc = true[realms]MYDOMAIN.COM = {
kdc = dc01.mydomain.com:88admin_server = dc01.mydomain.com:749kpasswd_server = dc01.mydomain.com:464kpasswd_protocol = SET_CHANGE}
[domain_realm]*.addomain.local = MYDOMAIN.COM.addomain.local = MYDOMAIN.COM
Установка: Настраиваем Kerberos
# для проверки и настройки ряда параметров можно # воспользоваться:
system-config-authentication
Установка: Настраиваем LDAP
# Редактируем /etc/ldap.conf
host 172.16.0.7base dc=linwin, dc=localuri ldap://dc01.linwin.localbinddn cn=linuxldap,cn=Users,dc=linwin,dc=localbindpw P@ssw0rdscope subtimelimit 120bind_timelimit 120idle_timelimit 3600refferals no...
Установка: Настраиваем LDAP
# Редактируем /etc/ldap.conf (продолжение)
...ssl nonss_base_passwd dc=linwin,dc=local?subnss_base_shadow dc=linwin,dc=local?subnss_base_group dc=linwin,dc=local?sub?&(objectCategory=group)(gidnumber=*)
nss_map_objectclass posixAccount usernss_map_objectclass shadowAccount usernss_map_objectclass posixGroup groupnss_map_attribute uid SAMAccountNamenss_map_attribute homeDirectory unixHomeDirectorynss_map_attribute gecos cn...
Установка: Настраиваем порядок получения информации о пользователях, группах и т.д.
# редактируем /etc/nsswitch.com...passwd: files ldap winbindgroup: files ldap winbind hosts: files ldap winbind...
Установка: Подключаемся к AD
# Проверяем:
getent passwd # получаем список локальных и доменныхgetent group # пользователей и групп
su aduser # логинимся под aduser
# Выполняем поиск в базе AD:ldapsearch -Hldap://dc01.linwin.local -b "dc=linwin,dc=local“ -x -w P@ssw0rd -D "cn=linuxldap,cn=Users,dc=linwin,dc=local"
Установка: Настраиваем Samba (рекомендуется)
# редактируем /etc/samba/smb.conf# Примерный файл конфигурации:[global] unix charset = LOCALE workgroup = LINWIN # домен AD netbios name = LX01 # как имя хостаrealm = LINWIN.LOCAL # домен ADserver string = Some Comment security = ADS # используем Kerberosuse kerberos keytab = Yes# параметры сопоставления Windows SID – Linux UID/GUIDidmap backend = adldap idmap suffix = dc=linwin,dc=local ldap admin dn = cn=linuxldap,cn=Users,dc=linwin,dc=local ldap suffix = dc=linwin,dc=local idmap uid = 500-100000000 idmap gid = 500-100000000
Установка: Настраиваем Samba
# редактируем /etc/samba/smb.conf# Примерный файл конфигурации (продолжение):...log level = 1 syslog = 0 log file = /var/log/samba/%m printcap name = CUPS winbind use default domain = yes winbind nested groups = Yes...
[homes] comment = Home Directories valid users = %D\%U read only = No browseable = No
Установка: Подключаемся к AD
# Необязательные шаги. Нужны, если Samba использовалась # ранее. Останавливаем демоны, удаляем базы пользователей# Samba и чистим кэш.
service smb stopservice winbind stoprm –f /etc/samba/*tbdrm –f /var/cache/samba/*tbdrm –f .var/cache/samba/*dat
Установка: Подключаемся к AD
# Включаем хост в домен. Запускаем демоны и настраиваем # параметры их запуска.
net ads join –U administratorsmbpasswd –w P@ssw0rd # пароль пользователя linuxldapservice winbind startservice smb startchkconfig --level 35 smb onchkconfig --level 35 winbind on
Установка: Подключаемся к AD
# Проверяем:
getent passwd # получаем список локальных и доменныхgetent group # пользователей и групп
wbinfo –a aduser%password # проверка аутентификации# для пользователя aduser
su mydomain\\aduser # логинимся под aduser
Установка: Проблемы
# Включаем дебаг при подключению к домену (-d). # 10 – максимальный уровень.
net ads join –U administrator –d10
Microsoft TechDayshttp://www.techdays.ru
Конфигурация стенда
Microsoft TechDayshttp://www.techdays.ru
Интеграция с LDAP+Kerberos+NIS
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
Полезные ресурсы
http://interopsystems.comМного информации по интеграцииhttp://www.samba.org/Проект Sambahttp://www.openldap.org/Проект OpenLDAPhttp://www.microsoft.com/downloads/en/confirmation.aspx?familyId=144f7b82-65cf-4105-b60c-44515299797d&displayLang=en
Windows Security and Directory Services for Unix
Microsoft TechDayshttp://www.techdays.ru
