Пн, 25.09.2017, 23:28
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 11
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » Контроллер домена на Linux (Samba+LDAP) (настройка, варианты реализации)
Контроллер домена на Linux (Samba+LDAP)
Andrey123q Дата: Вт, 06.07.2010, 22:22 | Повідомлення № 1
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Идея заключается в том, чтобы заменить стандартный контроллер домена Windows Server 200x на Linux сервер. В предыдущей теме было описано как реализовать централизованную регистрацию пользователей Linux-сети, осталось дошлифовать сервер до аналогичных задач, но под Windows-клиентов.

Серверная ОС: OpenSUSE Linux 11.2
В этом дистрибутиве особо привлекло то, что не так уж много настроек нужно было делать через командную строку и редактированием конфиг-файлов (как описано во многих мануалах в сети), а в основном через графический интерфейс - в принципе для любого начинающего пользователя очевидно удобнее. Соответственно специфика настройки под другие дистрибутивы немного изменится, но суть та же - подробно см. в ссылках вконце.

Реализация.
Установленные пакеты: dapsmb,pam_ldap,perl-ldap,nss_ldap,yast2-ldap-client,yast2-ldap,openldap2-client,openldap2,yast2-ldap-server,php5-ldap,samba,yast2-samba-cli ent,yast2-samba-server.

Для начала необходимо настроить LDAP-сервер - см. http://informatic.org.ua/forum/104-1381-1
После основных настроек (из соседней темы) нужно настроить samba.
Запускаем через YaST Сервер Samba, выставляем настройки:
- вкладка Загрузка: Во время загрузки,
- Идентификация: Имя рабочей группы или домена (я прописал site), Контроллер домена [domain_name], Контроллер домена Основной PDC (Primary Domain Controller)
- Настройки LDAP: ставим галочки и заполняем все поля, см. рис:

Дальше нужно создать пользователей, которые смогут регистрироваться на Windows машинах. Создаем пользователей LDAP точно так же как в предыдущей теме, но при создании во вкладке Дополнения нужно поставить галочку Управление параметрами учетной записи samba, см. рис:

Новых созданных пользователей я переместил в ou=users (используя phpLDAPadmin, можно это и не делать). Для каждого созданного пользователя создал соответсвующую папку в /home (обязательно сменив владельца и группу). Далее нужно подредактировать конфиг-файл samba, секцию отвечающую за перемещаемые профили (используются по умолчанию) /etc/samba/smb.conf:
---
[profiles]
comment = Network Profiles Service
path = /home/%U
---
В секции [global] можно добавить строчку запуска скрипта при входе пользователя:
logon script = yourscript.bat # скрипты размещаются по пути описанному в секции [netlogon]
Другая важная опция - добавление сетевого диска:
logon home = \\%L\%U\.9xprofile
logon drive = P:

Переменные в Samba:
%a - архитектура ОС на клиентской машине (возможные значения Win95, Win NT, UNKNOWN и т.д.);
%m - NetBIOS-имя компьютера клиента;
%L - NetBIOS-имя сервера Samba;
%v - версия Samba;
%I - IP-адрес компьютера клиента;
%T - дата и время;
%u - имя пользователя, использующего сервис;
%H - домашняя директория пользователя %u.

Ну и наконец нужно добавить Windows-клиента в домен - делается аналогично добавлению в Windows домен, только от имени суперпользователя root:

После регистрации клиентсокой машины в LDAP появится новая группа ou=Machines, в которой будут содержатся uid с именами компьютеров клиентов.

Следует заметить, что по умолчанию используются перемещаемые, а не локальные профили. Место хранения профиля папка .msprofile в папке пользователя на сервере (у меня это /home/user_name/.msprofile). Автоматично туда перемещается и папка Мои документы. Если желательно ее хранить не на сервере (например, чтобы исключить перенагрузку сети), а локально, нужно перенаправить место хранения, либо в редакторе групповых политик (gpedit.msc) исключить из перемещаемого профиля, там же можно запретить изменения в перемещаемом профиле, заставить использовать только локальный профиль и т.д. и т.п.

Удобнее конечно настраивать групповые политики на сервере, как в AD, чтобы получить достойный аналог AD. Для этого нужно в папку netlogon поместить файл NTConfig.POL - именно с него будут применяться при входе правила групповых политик.
Создать этот файл можно с помощью Редактора системных правил (Poledit.exe) - см в прикреплении. Чтобы Poledit заработал кидаем все темы (файлы с расширением «.adm») в папку «C:\Windows\inf». Обязательно проследите что бы файлы common.adm и winnt.adm скопировались, без них программа не будет работать. С помощью этой программки создаем правила для отдельных пользователей, групп и нужно закинуть на сервер.

На этом минимально необходимые настройки можно закончить, хотя в принципе можно еще много чего настраивать.

Тема я думаю может пригодится тем, кто не имеет возможности купить лицензии на серверную ОС Windows, а в контроллере домена необходимость есть. Кроме описанного варианта поднятия домена существуют другие, например, Mandriva Directory Server, Novell eDirectory (платный, но с очень большими возможностями) и т.д.

Вот, кстати, отличная статья Samba и LDAP на openSUSE 11.1 Быстрый старт (наткнулся на нее у себя в избранном, когда во всем разобрался и создал тему): http://ru.opensuse.org/Samba_%....0%D1%82

Ссылки.
http://unixforum.org/index.php?showtopic=84474
http://www.xakep.ru/post/43923/default.asp
http://ru.opensuse.org/%D0%9D%....mba_PDC
http://ru.gentoo-wiki.com/wiki....%D0%B5% D0%BC_LDAP
http://wiki.samba.org/index.php/Samba_%26_Windows_Profiles
http://unix-man.livejournal.com/11183.html

Прикріплення: POLEDIT.rar(100Kb)


Відредаговано: Andrey123q - Ср, 07.07.2010, 04:06
detektuv Дата: Пт, 10.12.2010, 22:49 | Повідомлення № 2
Новий користувач
Повідомлень: 8
Нагороди: 0
Рейтинг: 0
є готове рышення bslos.com

Основные возможности
Управление системой с помощью web-интерфейса
Централизованное управление учётными данными пользователей
Сервер динамической настройки узлов (DHCP)
поддержка динамических обновлений DNS
Сервер имён (DNS)
поддержка динамических обновлений
Почтовый сервер (SMTP, IMAP4, POP3, SIEVE)
Журнальный сервер (Syslog)
Первичный контроллер Samba-домена совместим с MS Windows NT4 PDC
поддержка перемещаемых профилей и домашних каталогов пользователей
Файловый сервер (протоколы SMB/CIFS, SFTP)
Сервер резервного копирования (устанавливается дополнительно)
резервное копирование сетевых SMB/CIFS-ресурсов
резервное копирование локальных ресурсов

Администрирование системы
Удалённый доступ по протоколу SSH v2
Сохранение/восстановление системных настроек
Обновление системы с предыдущей версии до текущей

звичайно без ldap але для школи достатньо

в мене стоїть на віртуалці і все чудово працює

діти задоволені

квоти будуть у наступній версії

хоча я собі вже сам настроїв

Відредаговано: detektuv - Пт, 10.12.2010, 23:41
Andrey123q Дата: Пт, 10.12.2010, 23:08 | Повідомлення № 3
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Еще одно интересное решение Mandriva Directory Server: http://mds.mandriva.org/wiki/Screenshots .
Содержит следующие службы:

1.Расширенный почтовый сервер Postfix, с поддержкой Imap и POP3 сервера (Dovecot), с проверкой на вирусы и фильтрации почты (Amavis, Spamassassin, ClamAV), SMTP сервером, с поддержкой квот, SSL и TSL. (можно не ставить )
2.Сам контроллер домена (Ldap+samba)
3.Корпоративный кэширующий прокси сервер (SQUID). (Можно не ставить)
4.DNS сервер (Bind).
5.CUPS сервер печати
6.Управлением общими сетевыми ресурсами.
7.Служба DHCP
8.Перемещаемые профиля

*Плюс к этому MDS не ограничивает вас в службах сервера. Вы можете так же оснастить сервер к примеру NFS сервером, антивирусной защитой и т.д.

Сайт: http://mds.mandriva.org/

xpom Дата: Чт, 21.04.2011, 12:54 | Повідомлення № 4
Новий користувач
Повідомлень: 2
Нагороди: 0
Рейтинг: 0
Вот я делал все как там написано, но почему-то не получается... При подключении к домену, на ХР, выдает ошибку, что не найдено имя пользователя... что может быть? Которую неделю уже бьюсь... везде, вроде, все одно и тоже...
Andrey123q Дата: Чт, 21.04.2011, 14:20 | Повідомлення № 5
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
что в логах пишет?
xpom Дата: Чт, 21.04.2011, 15:55 | Повідомлення № 6
Новий користувач
Повідомлень: 2
Нагороди: 0
Рейтинг: 0
no challenge sent to client
Andrey123q Дата: Пт, 22.04.2011, 21:13 | Повідомлення № 7
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
xpom, вот это выставили:

Еще раз пересмотрите по этой ссылке: http://ru.opensuse.org/Samba_%....0%D1%82

Если не поможет выложите логи самбы и tail -n 20 /var/log/messages при попытке регистрации.

detektuv Дата: Ср, 28.12.2011, 01:20 | Повідомлення № 8
Новий користувач
Повідомлень: 8
Нагороди: 0
Рейтинг: 0
Quote
є готове рышення bslos.com Основные возможности Управление системой с помощью web-интерфейса Централизованное управление учётными данными пользователей Сервер динамической настройки узлов (DHCP) поддержка динамических обновлений DNS Сервер имён (DNS) поддержка динамических обновлений Почтовый сервер (SMTP, IMAP4, POP3, SIEVE) Журнальный сервер (Syslog) Первичный контроллер Samba-домена совместим с MS Windows NT4 PDC поддержка перемещаемых профилей и домашних каталогов пользователей Файловый сервер (протоколы SMB/CIFS, SFTP) Сервер резервного копирования (устанавливается дополнительно) резервное копирование сетевых SMB/CIFS-ресурсов резервное копирование локальных ресурсов Администрирование системы Удалённый доступ по протоколу SSH v2 Сохранение/восстановление системных настроек Обновление системы с предыдущей версии до текущей звичайно без ldap але для школи достатньо в мене стоїть на віртуалці і все чудово працює діти задоволені квоти будуть у наступній версії хоча я собі вже сам настроїв


до речі я помилився ldap все таки є
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » Контроллер домена на Linux (Samba+LDAP) (настройка, варианты реализации)
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2017.