Создаем конфигурационные файлы для smbldap-tools:
#nano /etc/smbldap-tools/smbldap_bind.conf
slaveDN="cn=admin,dc=kontora,dc=lan"
slavePw="example"
masterDN="cn=admin,dc=kontora,dc=lan"
masterPw="example"
В следующий файлик надо будет вставить наши данные и SID, который получили пару шагов назад:
#nano /etc/smbldap-tools/smbldap.conf
SID="S-1-2-51-6367416939-3848486559-4512677050"
sambaDomain="KONTORA"
ldapTLS="0"
suffix="dc=kontora,dc=lan"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=KONTORA,${suffix}"
scope="sub"
hash_encrypt="SSHA"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\\PDC-KONTORA\%U"
userProfile="\\PDC-KONTORA\profiles\%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="kontora.lan"
smbpasswd="/usr/bin/smbpasswd"
Задаем права на файлы:
#chmod 0644 /etc/smbldap-tools/smbldap.conf
#chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Теперь заполнеям ldap базу и создаем аккаунт администратора (Administrator):
#smbldap-populate -m 512 -a Administrator
Populating LDAP directory for domain KONTORA (S-1-2-51-6367416939-3848486559-4512677050)
(using builtin directory structure)
entry dc=kontora,dc=lan already exist.
adding new entry: ou=Users,dc=kontora,dc=lan
adding new entry: ou=Groups,dc=kontora,dc=lan
adding new entry: ou=Computers,dc=kontora,dc=lan
adding new entry: ou=Idmap,dc=kontora,dc=lan
adding new entry: uid=Administrator,ou=Users,dc=kontora,dc=lan
adding new entry: uid=nobody,ou=Users,dc=kontora,dc=lan
adding new entry: cn=Domain Admins,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Users,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Guests,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Computers,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Administrators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Account Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Print Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Backup Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Replicators,ou=Groups,dc=kontora,dc=lan
entry sambaDomainName=KONTORA,dc=kontora,dc=lan already exist. Updating it...
Please provide a password for the domain Administrator:
Changing UNIX and samba passwords for Administrator
New password:
Retype new password:
В двух послених строчках думаю все понятно - задаем пароль. Я как и везде выбрал example.
Так же добавим Administrator в Domain Users:
#smbldap-usermod -u 3000 -G "Domain Users" Administrator
Заменим /etc/nsswitch.conf на предложенный MMC:
#cp /usr/share/doc/python-mmc-base/contrib/ldap/nsswitch.conf /etc/nsswitch.conf
И создадим каталоги описанные в smb.conf:
#mkdir -p /home/samba/shares/public/
#mkdir /home/samba/netlogon/
#mkdir /home/samba/profiles/
#mkdir /home/samba/partage/
#mkdir /home/samba/archives/
Поправим права доступа:
#chmod 777 /var/spool/samba/ /home/samba/shares/public/
#chmod 755 /home/samba/netlogon/
#chmod 770 /home/samba/profiles/ /home/samba/partage/
#chmod 700 /home/samba/archives/
PAM LDAP
Добавляем поддержку ldap в PAM. После редакции необходимых нам файлов, они должны выглядеть так:
#nano /etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_ldap.so
#nano /etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
#nano /etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.so
#nano /etc/pam.d/common-session
session required pam_unix.so
session optional pam_ldap.so
Теперь reboot
ОБЯЗАТЕЛЬНО!
Теперь можно сделать то, что в оригинальной документации написанно раньше, но без настройки взоимодействия PAM и ldap - точно не работает:
# chown -R :"Domain Users" /home/samba/
Теперь надо дать право Domain Admins добавлять машины в домен:
#net -U Administrator rpc rights grant 'KONTORA\Domain Admins' SeMachineAccountPrivilege
Enter Administrator's password:
Successfully granted rights.
На этом настройка домена закончилась. Поздравляю!
Продолжение следует...
#nano /etc/smbldap-tools/smbldap_bind.conf
slaveDN="cn=admin,dc=kontora,dc=lan"
slavePw="example"
masterDN="cn=admin,dc=kontora,dc=lan"
masterPw="example"
В следующий файлик надо будет вставить наши данные и SID, который получили пару шагов назад:
#nano /etc/smbldap-tools/smbldap.conf
SID="S-1-2-51-6367416939-3848486559-4512677050"
sambaDomain="KONTORA"
ldapTLS="0"
suffix="dc=kontora,dc=lan"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=KONTORA,${suffix}"
scope="sub"
hash_encrypt="SSHA"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\\PDC-KONTORA\%U"
userProfile="\\PDC-KONTORA\profiles\%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="kontora.lan"
smbpasswd="/usr/bin/smbpasswd"
Задаем права на файлы:
#chmod 0644 /etc/smbldap-tools/smbldap.conf
#chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Теперь заполнеям ldap базу и создаем аккаунт администратора (Administrator):
#smbldap-populate -m 512 -a Administrator
Populating LDAP directory for domain KONTORA (S-1-2-51-6367416939-3848486559-4512677050)
(using builtin directory structure)
entry dc=kontora,dc=lan already exist.
adding new entry: ou=Users,dc=kontora,dc=lan
adding new entry: ou=Groups,dc=kontora,dc=lan
adding new entry: ou=Computers,dc=kontora,dc=lan
adding new entry: ou=Idmap,dc=kontora,dc=lan
adding new entry: uid=Administrator,ou=Users,dc=kontora,dc=lan
adding new entry: uid=nobody,ou=Users,dc=kontora,dc=lan
adding new entry: cn=Domain Admins,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Users,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Guests,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Domain Computers,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Administrators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Account Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Print Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Backup Operators,ou=Groups,dc=kontora,dc=lan
adding new entry: cn=Replicators,ou=Groups,dc=kontora,dc=lan
entry sambaDomainName=KONTORA,dc=kontora,dc=lan already exist. Updating it...
Please provide a password for the domain Administrator:
Changing UNIX and samba passwords for Administrator
New password:
Retype new password:
В двух послених строчках думаю все понятно - задаем пароль. Я как и везде выбрал example.
Так же добавим Administrator в Domain Users:
#smbldap-usermod -u 3000 -G "Domain Users" Administrator
Заменим /etc/nsswitch.conf на предложенный MMC:
#cp /usr/share/doc/python-mmc-base/contrib/ldap/nsswitch.conf /etc/nsswitch.conf
И создадим каталоги описанные в smb.conf:
#mkdir -p /home/samba/shares/public/
#mkdir /home/samba/netlogon/
#mkdir /home/samba/profiles/
#mkdir /home/samba/partage/
#mkdir /home/samba/archives/
Поправим права доступа:
#chmod 777 /var/spool/samba/ /home/samba/shares/public/
#chmod 755 /home/samba/netlogon/
#chmod 770 /home/samba/profiles/ /home/samba/partage/
#chmod 700 /home/samba/archives/
PAM LDAP
Добавляем поддержку ldap в PAM. После редакции необходимых нам файлов, они должны выглядеть так:
#nano /etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_ldap.so
#nano /etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
#nano /etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.so
#nano /etc/pam.d/common-session
session required pam_unix.so
session optional pam_ldap.so
Теперь reboot
ОБЯЗАТЕЛЬНО!
Теперь можно сделать то, что в оригинальной документации написанно раньше, но без настройки взоимодействия PAM и ldap - точно не работает:
# chown -R :"Domain Users" /home/samba/
Теперь надо дать право Domain Admins добавлять машины в домен:
#net -U Administrator rpc rights grant 'KONTORA\Domain Admins' SeMachineAccountPrivilege
Enter Administrator's password:
Successfully granted rights.
На этом настройка домена закончилась. Поздравляю!
Продолжение следует...
А почему вы выбрали именно эту tools для управления доменом ведь есть другие более именитые например 389 Directory Server или Apache Directory Project. Меня этот вопрос сейчас очень интересует так сам собираюсь подымать PDC но Linux
ОтветитьУдалитьНа тот момент больше всего понравилась
УдалитьПервый раз натыкаюсь на руководство где сказано про PAM, но в Mandrive 2011 я увы не вижу подобных файлов.
ОтветитьУдалить