Kontroler domeny na Linux’ie

II. Konfiguracja domain member serwera Domain member server charakteryzuje się tym, że z punktu widzenia domeny nie pełni żadnej ważnej roli lecz jest traktowany jako zwykła stacja robocza. Domain memeber […]

II. Konfiguracja domain member serwera

Domain member server charakteryzuje się tym, że z punktu widzenia domeny nie pełni żadnej ważnej roli lecz jest traktowany jako zwykła stacja robocza. Domain memeber server jest serwerem plików Samby z usługami autentykacji i autoryzacji wyniesionymi na zdalny kontroler domeny.

Aby member serwer działał poprawnie należy poznać adresy IP lub nazwy NetBIOS dostępnych kontrolerów domeny i na tej podstawie skonfigurować:

  • lokalnego klienta LDAP dla zdalnego serwera/serwerów LDAP
  • ekspozycję obiektów zdalnego katalogu LDAP w lokalnym systemie plików
  • serwer plików Samba jako domain member server

Zakładamy, że co najmniej główny kontroler domeny jest widoczny przez hosta domain member serwera.

Zakładamy, że obsługa komunikacji SSL jest poprawnie skonfigurowana po stronie serwerów LDAP skojarzonych z dostępnymi kontrolerami domeny.

7. Konfiguracja klienta LDAP dla zdalnego serwera LDAP

7.1. Instalacja

Instalujemy narzędzia klienckie OpenLDAP:
root / #emerge openldap
Uwaga: Jeżeli oprogramowanie klienckie jest rozpowszechniane razem z serwerem wówczas pozostawiamy zainstalowany serwer LDAP bez konfiguracji i nie uruchamiamy go – w końcu klient będzie łączył się jedynie ze zdalnym serwerem LDAP.

7.2. Konfiguracja programów klienckiech dla zdalnego serwera LDAP

Upewniamy się, iż certyfikat CA został zainstalowany na kliencie LDAP zgodnie z instrukcją umieszczoną w rozdziale 14.1. Instalacja certyfikatu CA.

Ze wzgledów bezpieczeństwa wszelkie połączenia ze zdalnym serwerem usług katalogowych LDAP powinny być szyfrowane.

Edytujemy plik /etc/openldap/ldap.conf:


#/etc/openldap/ldap.conf (SSL)
BASE dc=bogus,dc=com,dc=pl
URI   ldaps://ldap_server_address:636
TLS_CACERT  /etc/openldap/ssl/cacert.pem
TLS_REQCERT demand#------------- END --------------

Uwaga: Parametr URI może zawierać listę adresów IP (lub nazw NetBIOS) serwerów oddzielonych znakiem spacji.

8. Ekspozycja obiektów zdalnego katalogu LDAP w lokalnym systemie plików

Ze względów bezpieczeństwa wszelkie połączenia ze zdalnym serwerem usług katalogowych LDAP powinny być szyfrowane.

Ekspozycja ma sens tylko, jeżeli lokalny serwer plików Samba będzie stosował kontrole dostępu do udostępnianych zasobów (pliki, drukarki) na bazie dostępnych użytkowników/grup lub na udostępnianych zasobach będą stosowane tzw. rozszerzone atrybuty systemu plików (extended attributes – patrz rozdział 17.3.2. Udział z dostępem dla wielu grupy ).

8.1. Instalacja

Instalujemy dwa dodatkowe pakiety potrzebne do dokonania integracji:

root / #emerge pam_ldap nss_ldap

8.2. Konfiguracja Pluggable Authentication Module

Konfiguracja PAM powinna być wykonana zgodnie ze wskazówkami zamieszczonymi w rozdziale 5.2. Konfiguracja Pluggable Authentication Module.

8.3. Dostęp systemu operacyjnego do zdalnego katalogu LDAP

Modyfikujemy plik /etc/ldap.conf tak, by ekspozycja zdalnego katalogu LDAP wykonywana była z pomocą szyfrowanych połączeń:


#/etc/ldap.conf (SSL)# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host ldap_server_address

# The distinguished name of the search base.
base dc=bogus,dc=com,dc=pl

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbinddn cn=nssldap,ou=DSA,dc=bogus,dc=com,dc=pl

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=Users,dc=bogus,dc=com,dc=pl?one
nss_base_passwd ou=Computers,dc=bogus,dc=com,dc=pl?one
nss_base_shadow ou=Users,dc=bogus,dc=com,dc=pl?one
nss_base_group ou=Groups,dc=bogus,dc=com,dc=pl?one

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is “no”
tls_checkpeer yes

# CA certificates for server certificate verification
tls_cacertfile /etc/ssl/created/cacert.pem

pam_password md5

#------------- END --------------

Uwaga: Parametr host może zawierać listę adresów IP (lub nazw NetBIOS) serwerów oddzielonych znakiem spacji.

Następnie definiujemy hasło dostępowe zgodnie z zaleceniami zamieszczonymi w rozdziale 5.3.1. Konfiguracja hasła dostępowego do katalogu LDAP dla systemu operacyjnego.

8.4. Konfiguracja Name Service Switch dla LDAP

Konfiguracja NSS powinna być wykonana godnie ze wskazówkami zamieszczonymi w rozdziale 5.4. Konfiguracja Name Service Switch dla LDAP.

9. Konfiguracja serwera plików Samba jako domain member server.

Instalujemy serwer plików:
root / #emerge samba

9.1. Konfiguracja domain member serwera

Edytujemy plik /etc/samba/smb.conf:


#/etc/samba/smb.conf
[global]
workgroup = BOGUS.COM.PL
netbios name = DMS-BOGUS
server string =
security = domain
password server = DC1_adress DC2_adress ...#bind interfaces only = Yes
interfaces = lo,eth0domain master = No
local master = No
preferred master = No
os level = 20

logon script =
logon path =

domain logons = No
logon home =
logon drive = H:

#wins support = No
wins server = WINS1_address WINS2_address ...
time server = No

#admin users= @"Domain Admins"
username map = /etc/samba/smbusers

log level = 0
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

dos charset = 852
unix charset = ISO8859-2

map acl inherit = Yes
enable privileges = Yes

#------------- END --------------

9.2. Dołączenie domain member serwera do domeny

Na domain member serwerze z linii komend wykonujemy następujące polecenie:


root / #/net rpc join –Uroot –I adres_PDC
Password: <haslo_roota>
Joined domain BOGUS.COM.PL.

Dołączenie do domenu wiąże się ze stworzeniem tzw. Workstation Trust Account w katalogu LDAP kontrolera domeny.

9.3. Dostęp Samby do katalogu LDAP

Wykonaj polecenia zgodnie z opisem w rozdziale 6.3. Dostęp Samby do lokalnego katalogu LDAP.

9.4. Uruchomienie domian member servera

Po prostu startujemy serwer Samby:
root / #/etc/init.d/samba start
I oto mamy w pełni działający domain member server z funkcjami autoryzacji i autentykacji wyniesionymi na kontroler domeny 🙂

Strony: 1 2 3 4 5 6