Дополнительные серверы и member-сервисы в домене ALT Linux: различия между версиями
Pauli (обсуждение | вклад) |
Pauli (обсуждение | вклад) |
||
Строка 49: | Строка 49: | ||
[user@client ~]$ host server | [user@client ~]$ host server | ||
Host server not found: 3(NXDOMAIN) | Host server not found: 3(NXDOMAIN) | ||
Чтобы иметь возможность обращаться к серверу по имени, его следует зарегистрировать в зоне test.lab на DNS сервере. | Чтобы иметь возможность обращаться к серверу по имени, его следует зарегистрировать в зоне test.lab на DNS сервере. | ||
Строка 62: | Строка 63: | ||
smbd is running | smbd is running | ||
Практически к серверу уже теперь можно обратиться по адресу smb://server, однако на нём пока не настроено ни одного ресурса. Сохраним оригинальный smb.conf для справки, а за основу конфигурации возьмём smb.conf c контроллера домена dcserver. | |||
[root@server samba]# mv /etc/samba/smb.conf /etc/samba/smb.conf.orig | |||
а за основу конфигурации возьмём smb.conf c контроллера домена dcserver. | |||
<code> | |||
[root@dcserver samba]# cat smb.conf | |||
[global] | |||
realm = TEST.LAB | |||
server string = Samba server on %h (v. %v) | |||
security = user | |||
dedicated keytab file = /etc/krb5.keytab | |||
kerberos method = dedicated keytab | |||
log file = /var/log/samba/log.%m | |||
max log size = 50 | |||
printcap name = cups | |||
dns proxy = No | |||
use sendfile = Yes | |||
passdb backend = ldapsam:ldap://127.0.0.1/ | |||
ldap admin dn = cn=ldaproot,dc=test,dc=lab | |||
ldap suffix = dc=test,dc=lab | |||
ldap group suffix = ou=Group | |||
ldap user suffix = ou=People | |||
workgroup = TEST.LAB | |||
local master = yes | |||
preferred master = yes | |||
domain master = yes | |||
domain logons = yes | |||
add user script = /usr/sbin/ldap-useradd "%u" | |||
delete user script = /usr/sbin/ldap-userdel "%u" | |||
add group script = /usr/sbin/ldap-groupadd "%g" | |||
delete group script = /usr/sbin/ldap-groupdel "%g" | |||
add user to group script = /usr/sbin/ldap-groupmod -m "%u" "%g" | |||
delete user from group script = /usr/sbin/ldap-groupmod -x "%u"<code> "%g" | |||
set primary group script = /usr/sbin/ldap-usermod -g "%g" "%u" | |||
add machine script = /usr/sbin/ldap-useradd -w -i "%u" | |||
ldap machine suffix = ou=Computers | |||
encrypt passwords = yes | |||
ldap delete dn = no | |||
logon script = netlogon.bat | |||
[share] | |||
comment = Commonplace | |||
path = /srv/share | |||
read only = No | |||
</code> | |||
Совершенно очевидно, что кое-что здесь требуется изменить. Прежде всего, | |||
passdb backend = ldapsam:ldaps://10.10.10.1/ | |||
поскольку на контроллере ALT-домена LDAP работает только для 127.0.0.1 (loopback), по сети только LDAPS. А отсюда же следует | |||
ldap ssl = no | |||
чтобы Samba не делала бессмысленной попытки | |||
[[Категория:Centaurus]] | [[Категория:Centaurus]] | ||
[[Категория:Домен]] | [[Категория:Домен]] | ||
[[Категория:Мастер-классы]] | [[Категория:Мастер-классы]] |
Версия от 09:23, 1 августа 2014
Демонстрационный стенд
Хост-машина с характеристиками не ниже:
- Процессорных ядер 2, лучше 4. Рекомендуется процессор не хуже Intel Core i5
- Оперативная память не менее 4 Гб, рекомендуется 8 Гб
- Свободное дисковое пространство от 100 Гб
Виртуализатор VirtualBox. Для демонстрации потребуется не менее трёх виртуальных машин:
- Домен - первый сервер в сети, осуществляющий функции контроллера домена
- Клиент - рабочая станция, клиентский компьютер
- Сервер - сервер, не являющийся контроллером домена. Компьютер, предоставляющий свои ресурсы Клиенту с аутентификацией последнего на Домене.
Для установки всех виртуальных машин используется один и тот же установочный образ altlinux-7.0.4-centaurus-i586-ru-install-dvd5.iso
N.B. По завершении установки не забыть отключить дистрибутив от виртуального привода. Само по себе не мешает, но может создать проблему в случае переноса готового образа на другой хост.
Домен
- Процессор класса i686 — один;
- Оперативная память 1Гб;
- Виртуальный диск 20 Гб, динамический;
- Виртуальные сетевые интерфейсы — два. Адаптер 1 тип подключения NAT, с пробросом портов хоста 8081 и 2201 на 8080 (alterator) и 22 (ssh) гостя соответственно. Адаптер 2 тип подключения внутренняя сеть `intnet`.
Тип установки "Сервер", установка по умолчанию. Имя хоста dcserver, пароль суперпользователя пусть будет 123, системный пользователь admin тоже с паролем 123. Cетевому адаптеру в intnet необходим статический IP, в нашем случае 10.10.10.1/24. Если всё сделано правильно, интерфейс Alterator виртуальной машины должен быть доступен с хоста по адресу https://localhost:8081. Через меню Система-Домен настроим поддержку домена с именем (например) test.lab как описано в документации. Далее, через меню Пользователи, создадим в домене test.lab тестового пользователя user c паролем 123.
Клиент
- Процессор класса i686 — один;
- Оперативная память 1Гб;
- Виртуальный диск 40 Гб, динамический;
- Виртуальный сетевой интерфейс Адаптер 1 тип подключения внутренняя сеть `intnet`.
Тип установки "Рабочая станция", установка по умолчанию. Имя хоста client, пароль суперпользователя 123, системный пользователь admin с паролем 123. По завершении установки и перезагрузки, зайти системным пользователем admin и включить client в домен test.lab
Если всё сделано правильно, доменный пользователь user может открыть сеанс работы (войти с паролем 123) на рабочей станции client.
Сервер
- Процессор класса i686 — один;
- Оперативная память 1Гб;
- Виртуальный диск 40 Гб, динамический;
- Виртуальные сетевые интерфейсы — два. Адаптер 1 тип подключения NAT, с пробросом портов хоста 8082 и 2202 на 8080 (alterator) и 22 (ssh) гостя соответственно. Адаптер 2 тип подключения внутренняя сеть `intnet`.
Тип установки "Сервер", установка по умолчанию. Имя хоста server, пароль суперпользователя 123, системный пользователь admin тоже с паролем 123. Сетевому адаптеру intnet назначим статический IP 10.10.10.2/24. Если всё сделано правильно, интерфейс Alterator виртуальной машины должен быть доступен с хоста по адресу https://localhost:8082 С машиной server можно соединиться по ssh с хоста командой
$ ssh admin@localhost -p 2202
Файловый сервер Samba
Цель демонстрации - показать, как файловые ресурсы сервера server могут быть доступны пользователю user домена test.lab, открывшему сеанс на рабочей станции client. Для начала убедимся, что server доступен по сети:
[user@client ~]$ ping 10.10.10.2 PING 10.10.10.2 (10.10.10.2) 56(84) bytes of data. 64 bytes from 10.10.10.2: icmp_req=1 ttl=64 time=0.975 ms [user@client ~]$ host server Host server not found: 3(NXDOMAIN)
Чтобы иметь возможность обращаться к серверу по имени, его следует зарегистрировать в зоне test.lab на DNS сервере.
По умолчанию сервис Samba на server не включен и не настроен, для начала его следует просто включить
[root@server ~]# service smb status smbd is stopped [root@server ~]# chkconfig smb on [root@server ~]# service smb start Starting SMB services: Starting smbd service: [ DONE ] [root@server ~]# service smb status smbd is running
Практически к серверу уже теперь можно обратиться по адресу smb://server, однако на нём пока не настроено ни одного ресурса. Сохраним оригинальный smb.conf для справки, а за основу конфигурации возьмём smb.conf c контроллера домена dcserver.
[root@server samba]# mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
а за основу конфигурации возьмём smb.conf c контроллера домена dcserver.
[root@dcserver samba]# cat smb.conf
[global]
realm = TEST.LAB
server string = Samba server on %h (v. %v)
security = user
dedicated keytab file = /etc/krb5.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=test,dc=lab
ldap suffix = dc=test,dc=lab
ldap group suffix = ou=Group
ldap user suffix = ou=People
workgroup = TEST.LAB
local master = yes
preferred master = yes
domain master = yes
domain logons = yes
add user script = /usr/sbin/ldap-useradd "%u"
delete user script = /usr/sbin/ldap-userdel "%u"
add group script = /usr/sbin/ldap-groupadd "%g"
delete group script = /usr/sbin/ldap-groupdel "%g"
add user to group script = /usr/sbin/ldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/ldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/ldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/ldap-useradd -w -i "%u"
ldap machine suffix = ou=Computers
encrypt passwords = yes
ldap delete dn = no
logon script = netlogon.bat
[share]
comment = Commonplace
path = /srv/share
read only = No
Совершенно очевидно, что кое-что здесь требуется изменить. Прежде всего,
passdb backend = ldapsam:ldaps://10.10.10.1/
поскольку на контроллере ALT-домена LDAP работает только для 127.0.0.1 (loopback), по сети только LDAPS. А отсюда же следует
ldap ssl = no
чтобы Samba не делала бессмысленной попытки