SDB:Samba и LDAP на openSUSE 11.1 Быстрый старт

(перенаправлено с «Quick Samba PDC LDAP openSUSE 11.1»)
Перейти к: навигация, поиск

В данной статье рассказывается как быстро установить и настроить Samba в качестве контроллера домена, с хранением пользователей в базе openLDAP на openSUSE 11.1

Предполагается что все действия производятся на свежеустановленной openSUSE 11.1

Все нижеописанные действия в YaST можно сделать и в консольном режиме, здесь приведены снимки графического YaST только для лучшего восприятия.

Предварительная настройка

Откройте в YaST модуль Управление программным обеспечением

Установка openLDAP

Отметьте для установки шаблон "Сервер Каталогов (LDAP)" или просто пакеты nss_ldap, openldap2, pam_ldap и yast2-ldap-server

Shadow.01-install ldap.png

Установка Samba

Отметьте для установки пакеты samba, samba-client и yast2-samba-server в шаблоне "Файловый сервер" или просто найдите их воспользовавшись встроенным поиском.

Shadow.02-install samba.png

Настройка YaST

Перед началом настройки Samba и openLDAP нужно настроить YaST, для того чтобы отображались все настройки. Для этого откройте /etc/YaST/ProductFeatures в любом текстовом редакторе от имени суперпользователя

Shadow.03-enable expert.png

Найдите опцию ui_mode и установите ее значение в expert

Shadow.04-enable expert.png

После этого закройте все открытые окна YaST и запустите его снова

Настройка сервера openLDAP

Запустите модуль настройки сервера openLDAP выбрав его в YaST -> Сетевые службы

Shadow.05-start ldap config.png

На странице общих настроек сервера установите переключатель "Запустить сервер LDAP" в положение "Да"

Shadow.06-ldap config.png

На странице настройки TLS оставьте TLS выключенным.

Shadow.07-ldap config.png

Создайте новую базу данных. Тип базы данных - 'bdb', заполните Базовый DN значениями для вашего будущего домена, в поле DN Администратора укажите желаемое имя администратора LDAP, в данном примере cn=Admin и отметьте флажок "Добавить базовый DN". Укажите пароль администратора LDAP и каталог, где будет храниться созданная база данных, что-то вроде /var/lib/ldap/example.com

08-ldap db config.png

Проверьте введенные значения и если все правильно нажмите Завершить, либо вернитесь назад и исправьте введенные значения.

09-ldap db config.png

После завершения создания базы данных модуль настройки сервера LDAP закроется, запустите его снова. В дереве настроек, слева, выберите "Файлы схем" и в открывшемся окне нажмите кнопку "Добавить". В диалоге выбора файлов выберите схему samba3.schema

10-ldap schema config.png

Перейдите в Общие настройки -> Настройка уровня журнала. Отметьте "Журналировать соединения, операции и результат". Это поможет в случае возникновения проблем. Остальные варианты пишут слишком много информации в журнал.

11-ldap log config.png

Нажмите кнопку "Завершить" и переходите к настройке клиента LDAP

Настройка клиента LDAP

Запустите модуль "Клиент LDAP" из YaST -> Сетевые службы. Установите переключатель "Аутентификация пользователей" в режим "Использовать LDAP, но отключить вход в систему". В случае если предполагается вход LDAP пользователей не только через smb, то нужно выбрать "Использовать LDAP", это может быть полезно например для входа пользователей с тонких Linux клиентов.

В поле адрес сервера LDAP введите "localhost" или "127.0.0.1". Поле базовый DN заполните вручную, либо нажмите кнопку "Запрос DN" для выбора из доступных на данном сервере.

Снимите флажок "LDAP TLS/SSL", так как сервер выше настроен без поддержки TLS

Нажмите кнопку "Дополнительная настройка"

12-ldap client config.png

На экране дополнительной настройки перейдите на вкладку "Настройка Администратора". Укажите имя пользователя - Администратора LDAP, отметьте "Добавить базовый DN"

Нажмите кнопку "Настройка параметров управления пользователями...".

13-ldap client admin config.png

YaST спросит хотите ли вы создать поддерево ldapconfig, нажмите "Да"

14-ldap client admin config.png

Нажмите кнопку "Новый" для создания нового конфигурационного модуля в созданном поддереве ldapconfig

15-ldap client admin config.png

Для объекта "susegroupconfiguration", соответствующий модуль будет называться "groupconfiguration". Нажмите "OK".

16-ldap client group conf.png

Снова нажмите "Новый, и создайте объект "suseuserconfiguration", со значением "userconfiguration". Нажмите "OK".

17-ldap client user conf.png

В модуле конфигурации выберите suseminuniqueid для модуля userconfiguration, и ведите новое значение 10000.

18-ldap client min id.png

Теперь выберите susenextuniqueid для модуля userconfiguration, и введите новое значение 10000.

19-ldap client next id.png

После установки этих значений нажмите Ok для выхода из модуля конфигурации обратно в дополнительные настройки.

Перейдите на вкладку "Настройка клиента". Убедитесь что "Атрибут члена группы" установлен в "member". Нажмите OK для возвращения в "Настройку клиента LDAP".

Нажмите OK. Конфигурация клиента LDAP будет записана.

20-ldap client client-member.png

Нужно снова запустить модуль настройки клиента LDAP и перейти на страницу Дополнительной настройки для настройки Отображения пользователей.

Пользователи и пароли должны извлекаться из подразделения "ou=people" и группы из "ou=group".

21-ldap client mapping.png

Нажмите OK для подтверждения изменений и выхода из модуля конфигурации клиента LDAP и переходите к настройке samba

Настройка Samba

Запустите модуль Сервер Samba из YaST -> Сетевые службы.

Введите имя рабочей группы или домена в котором будет состоять сервер.

22-samba group.png

Выберите "Основной контроллер домена (PDC)"

23-samba role.png

Установите переключатель "Запуск службы" в положение "Во время загрузки".

24-samba start.png

На вкладке идентификация вы увидите уже введенные рабочую группу или имя домена и роль сервера. В общем случае здесь не нужно больше ничего менять кроме имени узла netBIOS, которое будет соотнесено с данным samba сервером. Обычно это имя вашего компьютера, до 15 символов в верхнем регистре. При переходе с данной вкладки на другую вы получите предупреждение о том что пользователи будут привязаны к SID созданному из имени узла netBIOS, заданного здесь name. Если вы измените его, то будет создан новый SID и пользователи больше не смогут авторизоваться как члены домена.

25-samba ident.png

Перейдите на вкладку "Параметры настройки LDAP". Установите здесь флажок "Использовать пароль LDAP базы данных". Будет показано всплывающее сообщение о том что вся текущая конфигурация будет перезаписана.

26-samba ldap.png

Все значения будут заполнены автоматически, вам нужно будет только указать пароль для доступа к серверу LDAP (для пользователя cn=Admin), и проверить соединение.

27-samba ldap ok.png

Нажмите OK, для завершения настройки samba. YaST попросит ввести пароль для пользователя root для сервера samba. Этот пароль понадобится в дальнейшем при введении машины в домен.

28-samba root.png

Создание пользоватей

Запустите из "YaST -> Безопасность и пользователи" модуль "Управление пользователями и группами" Перейдите на вкладку "Группы" и установите фильтр на "LDAP группы"

29-users group edited.png

Откройте базу LDAP с паролем cn=Admin.

Нажмите кнопку Добавить

30-users group ask pass.png

На вкладке "Информация о группе" установите имя группы. Идентификатор этой группы (gid) будет равен 1000 как задано в модуле конфигурации ldap "groupconfiguration", объекта "suseminuniqueid". Нажмите "OK"

31-users group create.png

В модуле управления пользователями и группами перейдите на вкладку "Пользователи" и установите фильтр на Пользователи LDAP и нажмите кнопку "Добавить" На странице добавления пользователя на вкладке "Информация о пользователе" введите имя пользователя и другую информацию, а затем перейдите на вкладку "Подробности"

32-users user create.png

Идентификатор пользователя (uid) должен быть 10000 как было ранее указано в конфигурации LDAP. Установите параметры, которые вам нужны, и например добавьте пользователя в созданную группу пользователей users LDAP. Вы можете так же проверить параметры Samba для пользователя на вкладке "Дополнения"

33-users user create details.png

Здесь вы можете запустить модули настройки различных параметров кнопкой "Запуск". Запустите "Управление параметрами учетной записи samba" и посмотрите значения.

35-users user create plugins.png

Для начала можно все оставить по умолчанию.

34-users user create samba defaults.png

После нажатия Ok вы снова попадете на страницу "Управление пользователями и группами", созданный пользователь будет виден в списке.

Жмите Ok и выходите из модуля обратно в YaST

36-users user creatd.png

Обозреватель LDAP

Пришло время проверить создались ли пользователи в базе LDAP.

Откройте "Обозреватель LDAP" в YaST -> Сетевые службы YaST спросит у вас пароль для пользователя cn=Admin

37-ldap browser login.png

Здесь вы можете посмотреть структуры в базе LDAP и их значения. Убедимся что пользователи созданы и внесены в базу с корректными значениями

38-ldap browser browse users.png

Здесь же можно будет увидеть машины введенные в домен. после добавления хотя бы одной машины.

39-machine success added.png

Проверка работы

LDAP сервера

Для проверки правильности настройки LDAP сервера и LDAP клиента введите в терминале команду

id имя_пользователя

в данном случае

id hws

команда должна вернуть uid и gid пользователя примерно в таком виде:

uid=10000(hws) gid=100(users) группы=1000(users),100(users)

Samba сервера

Введите в адресной строке Konqueror адрес smb://hws@myserver, если все в порядке, то вы должны увидеть список ресурсов вашего сервера. При входе на ресурсы система должна запросить пароль для пользователя и после его ввода отобразить ресурс.

41-testing.png

Ввод машин в домен

Для ввода Windows машины в домен необходимо открыть Свойства "Мой компьютер" и перейти на вкладку имя компьютера. Там Нажать кнопку Изменить и в открывшемся окне выбрать "Является членом домена" и ввести имя созданного домена. В данном примере EXGROUP. Windows спросит имя и пароль администратора samba. Необходимо ввести имя root и пароль заданный при завершении конфигурации Samba.

40-domain request.png

После удачного входа на компьютер пользователем-членом домена можно видеть смонтированный сетевой диск P:

41-domain logon.png