Oppsett Samba Domain Controller med LDAP Backend i Ubuntu 13.04

Vi har allerede vist deg hvordan du installerer og konfigurerer en grunnleggende Samba server i vår forrige artikkel. I dag skal jeg vise deg hvordan du installerer og konfigurerer en Samba domenekontroller med LDAP backend. ie. Brukerne opprettet i LDAP-serveren kan logge inn på din domenekontroller

I denne opplæringen, er min test boks scenario som følger:.

 Samba vertsnavn: serverSamba FQDN: server.unixmen.comIp Adresse: 192.168.1.200The passord jeg brukt der behovet er: ubuntuClient: Windows 7 ProfessinalIP Adresse: 192.168.1.50 

Forutsetninger

For å kunne fortsette, må du forsikre deg om at du har installert og konfigurert LDAP-serveren riktig. Naviger til denne lenken for å installere og konfigurere OpenLDAP i Ubuntu Server 12.04 /12.10 /13.04

Kontroller at du har lagt til vertsnavnet i /etc /hosts som vist nedenfor.

 sk server: ~ $ sudo vi /etc/hosts127.0.0.1 localhost192.168.1.200 server.unixmen.com server # Følgende linjer er ønskelig for IPv6 dyktige verter :: en IP6-localhost IP6-loopbackfe00 :: 0 ip6- localnetff00 :: 0 IP6-mcastprefixff02 :: en IP6-allnodesff02 :: 2 IP6-allrouters 

For testing formål, gjorde jeg en fersk installasjon av både Ubuntu 13.04 Server og Windows 7 Professional. Allerede installert OS kanskje ikke fungerte som forventet. Selv om det testet under Ubuntu, kan det fungere på Debian også. Det er ikke full fledged how-to, men det bør oppfylle dine krav. På grunn av mangel på ressurser, jeg testet dette under Oracle VM VirtualBox. Det fungerte for meg som jeg forventet. Jeg kan ikke gi noen garanti for at dette vil fungere for deg. Vel la meg gå videre og se

LDAP-autentisering

Installer libnss-ldap-pakken for å aktivere LDAP-autentisering:

 sk @ server: ~ $ sudo apt-get install libnss -ldap 

Skriv inn LDAP-serveren FQDN som vist nedenfor og klikk på OK.


Skriv inn navnet på LDAP-søkebasen.


Velg LDAP-versjon og klikk OK.


Velg Ja.


Deaktiver LDAP database innlogging ved å klikke No.


Tast LDAP root privilegert kontonavnet og LDAP suffiks den som vist nedenfor.


Enter LDAP admin-kontoen passord som du har opprettet tidlig mens du installerer OpenLDAP.


Deretter kjøre følgende kommandoer for å sette opp LDAP profil for NSS og informere systemet til å bruke den for godkjenning:

 sk @ server: ~ $ sudo auth-klient-config -t NSS -p lac_ldapsk @ server: ~ $ sudo pam-auth-oppdatering 


Samba Installasjon

Nå installere Samba pakker ved hjelp av følgende kommando:

 sk @ server: ~ $ sudo apt-get install samba samba-doc smbldap-verktøy 

Import samba schema inn LDAP

 sk @ server:. ~ $ sudo cp /usr /share /doc /samba-doc /eksempler /LDAP /samba.ldif.gz /etc /ldap /schema /sk @ server: ~ $ sudo gzip -d /etc/ldap/schema/samba.ldif.gzsk@server:~$ sudo ldapadd -Q -Y EKSTERN -H ldapi: ///-f /etc/ldap/schema/samba.ldifadding ny entry "cn = samba, cn = skjema, cn = config" 

Lag en fil som heter samba_indices.ldif og legge ut innholdet som vist nedenfor:

 sk @ server: ~ $ sudo vi /etc/ldap/schema/samba_indices.ldifdn: olcDatabase = {1} hdb, cn = configchangetype: modifyadd: olcDbIndexolcDbIndex: uidNumber eqolcDbIndex: gidNumber eqolcDbIndex: loginShell eqolcDbIndex: uid eq, pres, subolcDbIndex: memberUid eq, pres, subolcDbIndex: uniqueMember eq, presolcDbIndex: sambaSID eqolcDbIndex: sambaPrimaryGroupSID eqolcDbIndex: sambaGroupType eqolcDbIndex: sambaSIDList eqolcDbIndex: sambaDomainName eqolcDbIndex: default sub 

Nå importere den ved hjelp av følgende kommando:
< pre> sk @ server: ~ $ sudo ldapmodify Q-Y EKSTERN -H ldapi: ///-f /etc/ldap/schema/samba_indices.ldifmodifying entry "olcDatabase = {1} hdb, cn = config"

Åpne smbldap.conf og smbldap_bind.conf filer og redigere dem med LDAP-innstillingene som vist nedenfor:

 sk @ server: ~ $ sudo cp /usr /share /doc /smbldap-verktøy /eksempler /smbldap. conf.gz /etc /smbldap-verktøy /sk @ server: ~ $ sudo cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc /smbldap-verktøy /sk @ server: ~ $ sudo gzip - d /etc/smbldap-tools/smbldap.conf.gz

Find følgende linjer og gjøre de endringene som vist nedenfor. Før du gjør dette, får du Samba domene SID ved hjelp av følgende kommando:

 sk @ server: ~ $ sudo netto getlocalsidSID for domenet SERVER er: S-1-5-21-3102374607-2088646784-3588851380 

Noter SID. Vi må skrive det inn i smbldap.conf filen:

 sk @ server: ~ $ sudo vi /etc/smbldap-tools/smbldap.conf[...]SID="S-1-5- 21-3102374607-2088646784-3588851380 "## Erstatt med din Domain SID ## sambaDomain =" UNIXMEN "## Skriv inn ditt domenenavn ### slaveLDAP =" ldap: //ldap.example.com/"## Gjør det kommentar , har vi ikke slave LDAP ## masterLDAP = "ldap: //server.unixmen.com/" ## Skriv inn LDAP Domenenavnet ## ldapTLS = "0" ## Vi bruker ikke TLS, så sett det "0" ## verifisere = "ingen" ## Sett den til "none"clientcert="/etc/smbldap-tools/smbldap-tools.unixmen.com.pem"clientkey="/etc/smbldap-tools/smbldap-tools.unixmen.com.key"suffix="dc=unixmen,dc=com"userSmbHome="\\\\SERVER\\%U" ## Angi vertsnavn her ## brukerprofil = "\\\\ server \\ profiler \\% U" ## Sett din vertsnavn her ## userHomeDrive = "H:" ## Sett din Hjem-stasjonen ## mailDomain = "unixmen.com "[...] 

Åpne smbldap_bind.conf filen og gjøre de endringene som vist nedenfor:

 sk @ server: ~ $ sudo vi /etc/smbldap-tools/smbldap_bind.conf [... ] # slaveDN = "cn = sjef, dc = eksempel, dc = com" ## gjør det kommentere. vi har ikke en slave LDAP ### slavePw = "hemmelig" ## Gjør det kommentere ## masterDN = "cn = admin, dc = unixmen, dc = com" ## Angi LDAP admin brukernavn og LDAP suffikser ## masterPw = "ubuntu" ## Oppgi LDAP root administrative passord ## 

Skriv inn følgende kommando for å fylle LDAP database:

 sk @ server: ~ $ sudo smbldap-populatePopulating LDAP katalog for domene UNIXMEN (S- 1-5-21-3102374607-2088646784-3588851380) (ved hjelp av innebygd katalogstruktur) entry dc = unixmen, dc = com allerede exist.adding ny oppføring: ou = Brukere, dc = unixmen, dc = comadding ny oppføring: ou = Grupper , dc = unixmen, dc = comadding ny oppføring: ou = Computers, dc = unixmen, dc = comadding ny oppføring: ou = Idmap, dc = unixmen, dc = comadding ny oppføring: sambaDomainName = UNIXMEN, dc = unixmen, dc = comadding ny oppføring: uid = rot, ou = Brukere, dc = unixmen, dc = comadding ny oppføring: uid = ingen, ou = Brukere, dc = unixmen, dc = comadding ny oppføring: cn = Domain Admins, ou = grupper, dc = unixmen, dc = comadding nye inngangs: cn = domenebrukere, ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = Domain Gjester, ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = Domenedatamaskiner , ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = Administratorer, ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = Account Operatører, ou = grupper, dc = unixmen, dc = comadding nytt Inngang: cn = Utskriftoperatører, ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = Sikkerhetskopioperatører, ou = grupper, dc = unixmen, dc = comadding ny oppføring: cn = replikatorer, ou = grupper, dc = unixmen, dc = comPlease oppgi et passord for domenet root: Endre UNIX og samba passord for rootNew passord ## Angi passord ## Gjenta nytt passord ## Angi passord på ## 

Sjekk nå LDAP-databasen for Samba grupper:

 sk @ server: ~ $ sudo getent gruppe [...] Domain Admins: *: 512: rootDomain Brukere: *: 513: Domain Gjester: *: 514: Domenedatamaskiner: *: 515: Administratorer: *: 544: kontoførere: *: 548: Utskriftsoperatører: *: 550: Backup Operatører: *: 551: replikatorer: *: 552: 

Konfigurering av Samba

Åpne Samba hovedkonfigurasjonsfilen smb .conf og gjøre de endringene som vist nedenfor:

 sk @ server: ~ $ sudo cp /usr/share/doc/smbldap-tools/examples/smb.conf.example /etc/samba/smb.confsk server: ~ $ sudo vi /etc/samba/smb.conf[global]workgroup = UNIXMEN ## domenenavnet ## NetBIOS name = SERVER ## Samba server vertsnavn ## dødt = 10log nivå = 1log file = /var /log/samba/log.%mmax logge size = 5000debug pid = yesdebug UID = yessyslog = 0utmp = yessecurity = Brukerdomene pålogginger = YESOS nivå = 64logon path = logon home = pålogging kjøretur = H: ## Logon kjøre ## logon script = PassDB backend = ldapsam: "ldap: //server.unixmen.com/" ## Samba server FQDN ## ldap ssl = av ## satt til Av for å deaktivere SSLldap admin dn = cn = admin, dc = unixmen, dc = com ## LDAP admin konto og LDAP suffikser ## ldap slette dn = no # Sync UNIX passord med Samba-passord ## Metode 1: LDAP-passord sync = ja ## Metode 2:; LDAP-passord sync = no; unix passord sync = ja; passwd program = /usr /sbin /smbldap-passwd -u '% u'; passwd chat = "Endre * \\ nnew passord *"% n \\ n "* Gjenta nytt passord *"% n \\ n "ldap suffix = dc = unixmen, dc = com ## LDAP suffiks ## ldap bruker suffiks = ou = Usersldap gruppe suffiks = ou = Groupsldap maskin suffiks = ou = Computersldap idmap suffiks = ou = Idmapadd user script = /usr /sbin /smbldap-useradd -m ' % u '-t 1rename user script = /usr /sbin /smbldap-usermod -r'% unew ''% uold'delete user script = /usr /sbin /smbldap-userdel '% u'set primærgruppe script = /usr /sbin /smbldap-usermod -g '% g' '% u'add gruppe script = /usr /sbin /smbldap-groupadd -p'% g'delete gruppe script = /usr /sbin /smbldap-groupdel '% g' legge brukeren til gruppen script = /usr /sbin /smbldap-groupmod -m '% u' '% g'delete bruker fra gruppe script = /usr /sbin /smbldap-groupmod -x'% u ''% g'add maskin script = /usr /sbin /smbldap-useradd-w '% u' tl en [NETLOGON] path = /var /lib /samba /netlogonbrowseable = noshare moduser = ingen [PROFILER] path = /var /lib /samba /profilesbrowseable = nowriteable = yescreate maske = 0611directory maske = 0700profile ACL = yescsc politikk = disablemap system = yesmap skjulte = yes 

Endelig start Samba tjenester:

 sk @ server: ~ $ sudo /etc/init.d /smbd restartsk @ server: ~ $ sudo /etc/init.d/nmbd restartsk @ server: ~ $ sudo smbpasswd -w ubuntuSetting lagret passord for "cn = admin, dc = unixmen, dc = com" i secrets.tdb 

Konfigurering av LAM

Det er mulig å opprette LDAP-brukere fra kommandolinjen, og det er litt vanskelig. Så her Jeg bruker LAM (LDAP Account Manager) for å få ting gjort mye enklere og enklere.

LAM, er LDAP Account Manager et GUI verktøyet brukes til å administrere LDAP-serveren. For mer om LAM besøke offcial nettstedet

Hvis du vil installere LAM, skriver du inn følgende kommando i terminal.

 sk @ server: ~ $ sudo apt-get install ldap-konto-leder 

Nå kan du få tilgang til LAM fra nettleseren du bruker "http: //ip-adresse /lam. Standard passord for lam administratorkontoen er "lam". Du kan endre det hvis du ønsker det.


Før login til Lam, vi må gå inn våre LDAP admin brukernavn og LDAP suffiks i lam konfigurasjonsfil. For å gjøre dette, klikk på LAM konfigurasjonen på høyre kornett av lam hovedkonsollen.


Klikk på Rediger-serverprofiler og skriv inn standardpassordet. ie. lam.


Angi LDAP suffikset og admin kontoopplysninger "cn = admin, dc = unixmen, dc = com" i Generelle innstillinger.



Naviger til kontotyper siden og inn LDAP suffikset detaljene som er nevnt ovenfor, og klikk på Lagre.


Nå kan du logge inn Lam bruker LDAP root-kontoen passord.


Klikk på Opprett for å opprette nye suffikser.


Opprette brukere og grupper

Nå la oss lage en sample gruppe kalt "test" og et eksempel bruker som heter "senthil".

Klikk på Ny gruppe i gruppen delen. Skriv inn gruppenavnet, og klikk lagre.



Klikk på Ny-knappen i delen Brukere. I den personlige kategorien, skriv fornavn, etternavn og adresse etc.


I kategorien Unix, skriv inn brukernavn, hjemmekatalog etc.


Nå Naviger til Samba 3 fanen og klikk på Legg til Samba 3 forlengelse. Her kan du sette passord utløp detaljer, konto deaktivering og funksjonshemmede detaljer, hjem driv detaljer og så videre.


Og til slutt klikke på Password fanen ligger på oversiden, og angi passordet for den nye brukeren og klikker på Lagre.


Det var det. Vi har skapt brukere og grupper nå.

Testing Samba Domain Controller

Nå kan du prøve å slutte seg til samba domene fra Windows OS klient som bruker den nyopprettede bruker.

Skriv inn din Samba domenenavn i Domene-feltet og klikk på OK.


Skriv inn ditt Samba brukernavn og passord som du har opprettet i tidligere trinn.


Oops !! Feil!! Du kan få en feilmelding som vist nedenfor hvis du har Windows 7 OS klient.

 "Den angitte domenet finnes ikke, eller kan ikke kontaktes" 


Oppløsning 1

For å bli kvitt denne feilen, åpne Windows-registret. Gå til HKEY_LOCAL_MACHINE - > SYSTEM - > CurrentControlSet - > Tjenester - > LanmanWorkstation - > Parametre.


Opprett en ny to DWORD verdier kalt "DomainCompatibilityMode" og "DNSNameResolutionRequired". Og sette verdier for "DomainCompatibilityMode" som en (en) og "DNSNameResolutionRequired" som 0 (null).


Nå prøver igjen å bli med i Samba-domenet.

Igjen kan du få en feilmelding som som vist nedenfor

 "Pålogging mislyktes: Ukjent brukernavn eller feil passord". 


Dette betyr at vi ikke legger til og gjøre det mulig for Samba brukere ennå . Her er tips hva jeg gjorde for å bli kvitt denne feilen ved hjelp av følgende kommando:

Oppløsning 2

 sk @ server: ~ $ sudo smbpasswd -a senthilNew SMB passord: Gjenta nytt SMB passord : Lagt bruker senthil.sk@server:. ~ $ sudo smbpasswd -e senthilEnabled bruker senthil 

Merk: Kommandoen "smbpasswd -a brukernavn" brukes til å legge en Samba bruker og "smbpasswd -e brukernavn" brukes til å aktivere Samba bruker. Begge er forskjellige kommandoer, ikke bli forvirret.

Nå la oss prøve igjen. Nå også jeg fikk en feilmelding som som vist nedenfor.

 "The bli Operasjonen ble ikke successful.This kan være fordi en eksisterende datamaskin konto med navnet" admin-PC "ble tidligere opprettet med et annet sett med legitimasjon. Bruk en annen datamaskin navn eller ta kontakt med systemansvarlig for å fjerne gammel konflikt konto Feilen ble. Access denied "


Oppløsning 3

Her er det hva jeg gjorde for å løse. ovenfor feilen. Åpne terminal og skriv inn følgende kommando:

 sk @ server: ~ $ sudo netto sam rettigheter innvilge senthil SeMachineAccountPrivilege [sudo] password for sk: Gitt SeMachineAccountPrivilege å UNIXMEN \\ senthil 

Her Sendt er min Samba brukernavn .

La oss prøve igjen å bli med til Samba domene. Boom !! Ja det fungerte


Start Windows OS-maskin, og du vil kunne logge inn på Samba domene nå

Merk:.. Jeg vet ikke hvorfor dette var vanskelig å legge en klient Windows 7 til domenekontrolleren. Hvis noen kjenner en fix, dele den i kommentarfeltet. Den første gangen bare jeg gjorde disse resolusjonene til å bli med til Samba domene. For resten av de nye brukerne, er det ikke nødvendig å gjøre alle de vedtak. Bare jeg opprettet brukerne i LAM og det kan bli med å domenet uten problemer. Hvis jeg finner en vei rundt for denne feilen, vil jeg oppdatere det samme.