Samba и LDAP на openSUSE 11.1 Быстрый старт

Материал из openSUSE.

В данной статье рассказывается как быстро установить и настроить Samba в качестве контроллера домена, с хранением пользователей в базе openLDAP на openSUSE 11.1

Предполагается что все действия производятся на свежеустановленной openSUSE 11.1

Все нижеописаные действия в YaST можно сделать и в консольном режиме, здесь скриншоты графического YaSt приведены только для лучшего восприятия.

Предварительная настройка

Откройте в YaST модуль Управление программным обеспечением

Установка openLDAP

Отметьте для установки шаблон "Сервер Каталогов (LDAP)" или просто пакеты nss_ldap, openldap2, pam_ldap и yast2-ldap-server

Установка Samba

Отметьте для установки пакеты samba, samba-client и yast2-samba-server в шаблоне "Файловый сервер" или просто найдите их воспользовавшись встроенным поиском.

Настройка YaST

Перед началом настройки Samba и openLDAP нужно настроить YaST, для того чтобы отображались все настройки. Для этого откройте /etc/YaST/ProductFeatures в любом текстовом редакторе от имени суперпользователя

Найдите опцию ui_mode и установите ее значение в expert

После этого закройте все открытые окна YaST и запустите его снова

Настройка сервера openLDAP

Запустите модуль настройки сервера openLDAP выбрав его в YaST -> Сетевые службы

На странице общих настроек сервера установите переключатель "Запустить сервер LDAP" в положение "Да"

На странице настройки TLS оставьте TLS выключенным.

Создайте новую базу данных. Тип базы данных - 'bdb', заполните Базовый DN значениями для вашего будущего домена, в поле DN Аминистратора укажите желаемое имя администратора LDAP, в данном примере cn=Admin и отметьте флажок "Добавить базовый DN". Укажите пароль администратора LDAP и каталог, где будет храниться созданная база данных, что-то вроде /var/lib/ldap/example.com

Проверьте введенные значения и если все правильно нажмите Завершить, либо вернитесь назад и исправьте введенные значения.

После завершения создания базы данных модуль настройки сервера LDAP закроется, запустите его снова. В дереве настроек слева выберите "Файлы схем" и в открывшемся окне нажмите кнопку "Добавить". В диалоге выбора файлов выберите схему samba3.schema

Перейдите в Общие настройки -> Настройка уровня журнала. Отметьте "Журналировать соединения, операции и результат". Это поможет в случае возникновения проблем. Остальные варианты пишут слишком много информации в журнал.

Нажмите кнопку "Завершить" и переходите к настройке клиента LDAP

Настройка клиента LDAP

Запустите модуль "Клиент LDAP" из YaST -> Сетевые службы. Установите переключатель "Аутентификация пользователей" в режим "Использовать LDAP, но отключить вход в систему". В случае если предполагается вход LDAP пользователей не только через smb, то нужно выбрать "Использовать LDAP", это может быть полезно например для входа пользователей с тонкий Linux клиентов.

В поле адрес сервера LDAP введите "localhost" или "127.0.0.1". Поле базовый DN заполните вручную, либо нажмите кнопку "Запрос DN" для выбора из доступных на данном сервере.

Снимите флажок "LDAP TLS/SSL", так как сервер выше настроен без поддержки TLS

Нажмите кнопку "Дополнительная настройка"

На экране дополнительной настройки перейдите на вкладку "Настройка Администратора". Укажите имя пользователя - Администратора LDAP, отметьте "Добавить базовый DN"

Нажмите кнопку "Настройка параметров управления пользователями...".

YaST спросит хотите ли вы создать поддерево ldapconfig, нажите "Да"

Нажмите кнопку "Новый" для создания нового конфигурационного модуля в созданном поддереве ldapconfig

Для объекта "susegroupconfiguration", соотвествующий модуль будет называться "groupconfiguration". Нажмите "OK".

Снвоа нажмите "Новый, и создайте объект "suseuserconfiguration", со значением "userconfiguration". Нажмите "OK".

В модуле конфигурации выберите suseminuniqueid для модуля userconfiguration, и ведите новое значение 10000.

Теперь выберите susenextuniqueid для модуля userconfiguration, и введите новое значение 10000.

После установки этих значений нажмите Ok для выхода из модуля конфигурации обратно в дополнительные настройки.

Перейдите на вкладку "Настройка клиента". Убедитесь что "Атрибут члена группы" установлен в "member". Нажмите OK для возвращения в "Настройку клиента LDAP".

Нажмите OK. Конфигурация клиента LDAP будет записана.

Нужно снова запустить модуль настройки клиента LDAP и перейти на страницу Дополнительной настройки для настройки Отражения пользователей.

Пользователи и пароли должны извлекаться из подразделения "ou=people" и группы из "ou=group".

Нажмите OK для подтверждения изменений и выхода из модуля конфигурации клиента LDAP и переходите к настройке samba

Настройка Samba

Запустите мудуль Сервер Samba из YaST -> Сетевые службы.

Введите имя рабочей группы или домена в котором будет состоять сервер.

Выберите "Основной контроллер домена (PDC)"

Установите переключатель "Запуск службы" в положение "Во время загрузки".

На вкладке идентификация вы увидите уже введенные рабочую группу или имя домена и роль сервера. В общем случае здесь не нужно больше ничего менять кроме имени узла netBIOS, которое будет соотнесено с данным samba сервером. Обычно это имя вашего компьютера. до 15 символов в верзнем регистре. При переходе с данной вкладки на другую вы получите предупреждение о том что пользователи будут привязаны к SID созданому из имени узла netBIOS, заданного здесь name. Если вы измените его, то будет создан новый SID и пользователи больше не смогут авторизироваться как члены домена.

Перейдите на вкладку "Параметры настройки LDAP". Установите здесь флажок "Использовать пароль LDAP базы данных". Будет показано всплывающее сообщение о том что вся текущая конфигураци будет перезаписана.

Все значения будут заполены автоматически, вам нужно будет толкьо указать пароль для доступа к серверу LDAP (для пользователя cn=Admin), и проверить соединение.

Нажмите OK для завершения настройки samba. YaST попросит ввести пароль для пользователя root для сервера samba. Этот пароль понадобится в дальнейшем при введении машины в домен.

Создание пользоватей

Запустите из "YaST -> Безопасность и пользователи" модуль "Управление пользователями и группами" Перейдите на вкладку "Группы" и установите фильтр на "LDAP группы"

Откройте базу LDAP с паролем cn=Admin.

Нажмите кнопку Добавить

На вкладке "Информация о группе" установите имя группы. Идентификатор этой группы (gid) будет равен 1000 как задано в модуле конфигурации ldap "groupconfiguration", объекта "suseminuniqueid". Нажмите "OK"

В модуле управления пользователями и группами перейдите на вкладку "Пользователи" и установите фильтр на Пользователи LDAP и нажмите кнопку "Добавить" На странице добавления пользователя на вкладке "Информация о пользователе" введите имя пользователя и другую информацию, а затем перейдите на вкладку "Подробности"

Идентификатор пользователя (uid) должен быть 10000 как было ранее указано в конфигурации LDAP. Установите параметры, которые вам нужны, и например добавьте пользователя в созданую группу пользователей users LDAP. Вы можете так же проверить параметры Samba для пользователя на вкладке "Дополнения"

Здесь вы можете запустить модули настройки различных параметров кнопкой "Запуск". Запустите "Управление параметрами учетной записи samba" и посмотрите значения.

Для начала можно все оставить по умолчанию.

После нажатия Ok вы снова попадете на страницу "Управление пользователями и группами", созданый пользователь будет виден в списке.

Жмите Ok и выходите из модуля обратно в YaST

Обозреватель LDAP

Пришло время проверить создались ли пользователи в базе LDAP.

Откройте "Обозреватель LDAP" в YaST -> Сетевые службы YaST спросит у вас пароль для пользователя cn=Admin

Здесь вы можете посмотреть структуры в базе LDAP и их значения. Убедимся то пользователи созданы и внесены в базу с корректныи значениями

Здесь же можно будет увидеть машины введенные в домен. после добавления хотя бы одной машины.

Проверка работы

LDAP сервера

Для проверки правильности настройки LDAP сервера и LDAP клиента введите в терминале команду

id имя_пользователя

в данном случае

id hws

команда должна вернуть uid и gid пользователя примерно в таком виде:

uid=10000(hws) gid=100(users) группы=1000(users),100(users)

Samba сервера

Введите в адресной строке Konqueror адрес smb://hws@myserver, если все в порядке, то вы должны увидеть список ресурсов вашего сервера. При входе на ресурсы система должна запросить пароль для пользователя и после его ввода отобразить ресурс.

Ввод машин в домен

Для ввода Windows машины в домен необходимо открыть Свойства "Мой компьютер" и перейти на вкладку имя компьюера. Там Нажать кнопку Изменить и в открывшемся окне выбрать "Является членом дмена" и ввести имя созданного домена. В данном примере EXGROUP. Windows спросит имя и пароль администратора samba. Необходимо ввести имя root и пароль заданный при завершении конфииигурации Samba.

После удачного входа на компьютер пользователем-членом домена можно видеть смонтирваный сетевой диск P: