RedHat Enterprise Linux Server 4.3 + OpenLDAP(Master/Slave) + DNS(Master/Slave) + Samba
作者:Fandy
电子邮箱:[email]cbbc@163.com[/email]、[email]cbbc@avl.com.cn[/email]
QQ号码:332018422
建立日期:2006年03月27日,最后修改日期:2006年04月30日
版权说明:本文章的内容归作者版权所有,同时也接受大家的转贴,但一定要保存作者信息和出处,多谢!
因为软件版权和费用的问题,一值是公司凝难问题(我们是一家中小型企业,没有那么多钱来投资和购买软件license费用)。经过公司高层领导的决定,公司准备将所有Microsoft服务器操作系统更改为RedHat Enterprise Server 4.3服务器操作系统!公司高层领导对新网络改造要求也不高就是可以共享上网和打印机、公司邮件和用户数据统一管理。
在网络配置过程中遇到了许多不明白的问题,好在有google.com这个好朋友顶力帮助,还得到“Extmail、fjufirefox”等几位Linux前辈的指导,才可以顺利完成这一次网络改造任务,真的要好多谢几位前辈的帮助,多谢!
文章分为四大部分介绍实施情况:
第一部分:OpenLDAP Master、Slave主机安装RedHat Enterprise Linux Server 4.3操作系统过程;
第二部分:配置OpenLDAP Master、Slave服务器和DNS Master、Slave服务器;
第三部分:Samba PDC主机安装RedHat Enterprise Linux Server 4.3操作系统过程;
第四部分:配置Samba PDC服务器、Clamav + Samba-Vscan、五笔输入法安装等服务器;
第五部分:Mail主机安装RedHat Enterprise Linux Server 4.3操作系统过程;
第六部分:配置Postfix、OpenWebmail、E-Groupware等服务器;
第七部分:客户端Windows XP、Fedora Core 5加入Samba PDC和配置电子邮件正常收发;
Setp0、实现网络图:
Setp1、OpenLDAP Master、Slave主机安装RedHat Enterprise Linux Server 4.2操作系统截图
磁盘配置:
设备 类型 大小
/ ext3 39911
swap 1024
网络基本配置(Master主机的网络详细配置):
etho IP/Gateway:192.168.1.254/255.255.255.0
主机名:master.easy.com
网关:192.168.1.1
主/次DNS:192.168.1.254/192.168.1.253/202.96.128.68
网络基本配置(Slave主机的网络详细配置):
etho IP/Gateway:192.168.1.253/255.255.255.0
主机名:slave.easy.com
网关:192.168.1.1
主/次DNS:192.168.1.254/192.168.1.253/202.96.128.68
防火墙基本配置:
⊙ 无防火墙
⊙ 是否启用 SELinux:已禁用
安装方式的选项:
⊙ 定制要安装的软件包(C)
桌面选项:
(√) X窗口系统 (选取全部)
(√) GNOME桌面环境 (选取全部)
应用程序选项:
(√) 工程和科学 (选取默认)
(√) 图形化互联网 (选取默认)
(√) 基于文本的互联网 (选取默认)
(√) 办公/生产率 (选取默认)
服务器选项:
(√) 服务器配置工具 (选取全部)
(√) 万维网服务器 (选取全部)
(√) Windows文件服务器 (选取全部)
(√) DNS服务器 (选取全部)
开发选项:
(√) 开发工具 (选择全部)
系统选项:
(√) 管理工具 (选取默认)
(√) 打印支持 (选取默认)
杂项选项:
全部不要选择;
主从OpenLDAP、DNS服务器所需要的全部软件包清单:
详细清单:
bind-9.2.4-2.i386.rpm bind-chroot-9.2.4-2.i386.rpm
bind-devel-9.2.4-2.i386.rpm
db4-4.2.52-7.1.i386.rpm db4-utils-4.2.52-7.1.i386.rpm
db4-devel-4.2.52-7.1.i386.rpm
openldap-2.2.13-3.i386.rpm openldap-clients-2.2.13-3.i386.rpm
openldap-devel-2.2.13-3.i386.rpm openldap-servers-2.2.13-3.i386.rpm
nss_ldap-226-6.i386.rpm
--------------------------------------------------------------------------------------------------------------------------------
特别说明:请确定以上所列表的软件包是否完全安装,如没有安装的请补完以上全部的软件包(软件包可以在系统的四张光盘中找到)!
--------------------------------------------------------------------------------------------------------------------------------
Setp2、配置OpenLDAP Master、Slave服务器和DNS Master、Slave服务器
配置主DNS服务器,详细过程:
修改主DNS服务器/var/named/chroot/etc/named.conf文件,添加以下内容(注意修改/etc/目录下的named.conf也可以,因为是一个连接文件):
详细内容:
zone "easy.com" { #正解
type master;
file "/var/named/easy.com.hosts";
};
zone "1.168.192.in-addr.arpa" { #反解
type master;
file "/var/named/192.168.1.rev";
};
在主DNS服务器/var/named/chroot/var/named/目录建立正解easy.com.hosts文件,完整内容如下:
详细内容:
$ttl 38400
@ IN SOA @ fandy.easy.com. (
1137063120
10800
3600
604800
38400 )
@ IN MX 10 mail.easy.com
@ IN A 192.168.1.254
@ IN A 192.168.1.253
@ IN NS master.easy.com.
@ IN NS slave.easy.com.
master.easy.com. IN A 192.168.1.254
slave.easy.com. IN A 192.168.1.253
pdc.easy.com. IN A 192.168.1.252
在主DNS服务器/var/named/chroot/var/named/目录建立反解192.168.1.rev文件,完整内容如下:
详细内容:
$ttl 38400
@ IN SOA @ fandy.easy.com. (
1137063120
10800
3600
604800
38400 )
@ IN NS master.easy.com.
@ IN NS slave.easy.com.
253.1.168.192.in-addr.arpa. IN PTR easy.com.
254.1.168.192.in-addr.arpa. IN PTR easy.com.
253.1.168.192.in-addr.arpa. IN PTR slave.easy.com.
254.1.168.192.in-addr.arpa. IN PTR master.easy.com.
252.1.168.192.in-addr.arpa. IN PTR pdc.easy.com.
-----------------------------------------------------------------------------------------------------------------------
特别说明:Serial数值是随着easy.com.hosts和192.168.1.rev 两个文件发生变化时,Serial数值也要发生变化。Serial数值同是master及slave是否同步有关!一般而言,如果这个数值变大了,slave 才会同步更新。
-----------------------------------------------------------------------------------------------------------------------
修改主DNS服务器的/etc/resolv.conf文件,文件完整内容如下:
详细内容:
search easy.com
nameserver 192.168.1.254
nameserver 192.168.1.253
修改主DNS服务器的/var/named/chroot/var/named/localhost.zone文件,完整内容如下:
详细内容:
$TTL 86400
@ IN SOA @ root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
1D IN NS @
1D IN A 127.0.0.1
修改主DNS服务器的/var/named/chroot/var/named/named.local文件,完整内容如下:
详细内容:
$TTL 86400
@ IN SOA localhost. root.localhost. (
2005112401 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.
修改主DNS服务器的/var/named/chroot/var/named/named.zero文件,完整内容如下::
详细内容:
$TTL 86400
@ IN SOA localhost root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS localhost
启动主DNS服务器:
详细操作:
# service named start (启动named服务器)
启动 named: [ 确定 ]
配置从DNS服务器,详细过程:
修改从DNS服务器/var/named/chroot/etc/named.conf文件,添加以下内容(注意修改/etc/目录下的named.conf也可以,因为是一个连接文件):
详细内容:
zone "easy.com" { #正解内容
type slave;
masters{192.168.1.254;};
file "/var/named/easy.com.hosts";
};
zone "1.168.192.in-addr.arpa" { #反解内容
type slave;
masters{192.168.1.254;};
file "/var/named/192.168.1.rev";
};
修改从DNS服务器的/etc/resolv.conf文件,文件完整内容如下:
详细内容:
search easy.com
nameserver 192.168.1.254
nameserver 192.168.1.253
因为RHEL 4.0系统使用CHROOT机制,所以需要使用以下的命令更改目录属性,使管理员有写入的权限:
详细操作:
# chmod g+w /var/named/chroot/var/named
使用scp命令复制主DNS服务器主机中三个文件到从DNS服务器内(注意:复制文件的路径要跟主DNS主机的一样):
-----------------------------------------------------------------------------------------------------------------------
特别说明:以下的这一步操作,请在master.easy.com主机(即主DNS服务器主机)中进行,请大家一定要注意啊,重要(^_^)!
-----------------------------------------------------------------------------------------------------------------------
详细操作:
# cd /var/named/chroot/var/named/
# scp localhost.zone [email]root@slave.easy.com[/email]:/var/named/chroot/var/named/
The authenticity of host 'slave.easy.com (192.168.1.253)' can't be established.
RSA key fingerprint is c1:e3:eb:ee:62:2b:e8:6c:a2:5a:21:3b:ef:79:ec:79.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'slave.easy.com,192.168.1.253' (RSA) to the list of known hosts.
[email]root@slave.easy.com[/email]'s password: jinbiao (输入slave主机的root超级管理员的密码)
localhost.zone 100% 183 0.2KB/s 00:00
# scp named.local [email]root@slave.easy.com[/email]:/var/named/chroot/var/named/
[email]root@slave.easy.com[/email]'s password: jinbiao (输入slave主机的root超级管理员的密码)
named.local 100% 433 0.4KB/s 00:00
# scp named.zero [email]root@slave.easy.com[/email]:/var/named/chroot/var/named/
[email]root@slave.easy.com[/email]'s password: jinbiao (输入slave主机的root超级管理员的密码)
named.zero 100% 418 0.4KB/s 00:00
启动从DNS服务器:
详细操作:
# service named start (启动named服务器)
启动 named: [ 确定 ]
对主、从DNS服务器进行测试,使用nslookup命令来测试DNS服务器:
详细操作:
# nslookup (DNS解释查询)
> easy.com (输入要解释的域名:easy.com)
Server: 192.168.1.254
Address: 192.168.1.254#53
Name: easy.com
Address: 192.168.1.254
Name: easy.com
Address: 192.168.1.253
> slave.easy.com (输入要查询的域名主机名:mail.easy.com)
Server: 192.168.1.254
Address: 192.168.1.254#53
Name: slave.easy.com
Address: 192.168.1.253
> master.easy.com (输入要查询的域名主机名:ldap.easy.com)
Server: 192.168.1.254
Address: 192.168.1.254#53
Name: master.easy.com
Address: 192.168.1.254
检查主、从DNS服务器运行是否同步:
在主DNS服务器/var/named/chroot/var/named/easy.com.hosts文件新增一个正解主机记录内容:
详细内容:
@ IN SOA @ fandy.easy.com. (
1137063120
更改为:
@ IN SOA @ fandy.easy.com. (
1137063121 (每改一次在原值基础1137063120+1=1137063121)
mail.easy.com. IN A 192.168.1.251 (新增一个正解主机记录)
在主DNS服务器/var/named/chroot/var/named/192.168.1.rev文件新增一个反解主机记录内容:
详细内容:
@ IN SOA @ fandy.easy.com. (
1137063120
更改为:
@ IN SOA @ fandy.easy.com. (
1137063121 (每改一次在原值基础1137063120+1=1137063121)
251.1.168.192.in-addr.arpa. IN PTR mail.easy.com. (新增一个反解主机记录)
重新启动主DNS服务器:
详细操作:
# service named restart (重新启动named服务器)
停止 named: [ 确定 ]
启动 named: [ 确定 ]
检查从DNS服务器的日志记录,以便分析主、从DNS同步的情况:
详细内容:
# tail -n 15 /var/log/messages
Mar 22 20:16:42 master named[3327]: running
Mar 22 20:16:42 master named[3327]: zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 1137063123)
Mar 22 20:16:42 master named[3327]: zone easy.com/IN: sending notifies (serial 1137063123)
Mar 22 20:16:42 master named[3327]: client 192.168.1.253#32777: transfer of '1.168.192.in-addr.arpa/IN': AXFR-style IXFR started
Mar 22 20:16:42 master named[3327]: received notify for zone '1.168.192.in-addr.arpa'
Mar 22 20:16:42 master named[3327]: received notify for zone '1.168.192.in-addr.arpa'
Mar 22 20:16:42 master named[3327]: received notify for zone 'easy.com'
Mar 22 20:16:42 master named[3327]: client 192.168.1.253#32778: transfer of 'easy.com/IN': AXFR-style IXFR started
Mar 22 20:16:42 master named[3327]: received notify for zone 'easy.com'.easy.com.
如出现以上的日志信息,主、从DNS服务器主、从DNS已经同步。
[ 本帖最后由 fandy 于 2006-4-5 17:03 编辑 ]
fandy回复于:2006-04-05 16:55:25
配置主Op enLDAP服务器,详细过程:
在配置主Op enLDAP前,先复制samba.schema文件到/etc/openldap/schema/目录下(添加ldap所需要的samba认证的资料文件到schema目录):
详细操作:
# cp /usr/share/doc/samb-3.0.10/LDAP/samba.schema /etc/openldap/schema/
-----------------------------------------------------------------------------------------------------------------------
说明:请一定要复制samba.schema文件到/etc/openldap/schema目录下, 否则在启动ldap时会出现以下的错误提示信息:
# service ldap start
检查 的配置文件:slaptest: bad configuration file! [失败]
-----------------------------------------------------------------------------------------------------------------------
修改主Op enLDAP服务器/etc/openldap/目录中的slapd.conf文件,主要说明修改的关键部分:
详细配置内容:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
部分增加以下一行内容:
include /etc/openldap/schema/samba.schema
database ldbm(定义ldap的数据库类型)
更改为:
database bdb
suffix "dc=my-domain,dc=com" (定义ldap搜索的域后缀)
rootdn "cn=Manager,dc= my-domain,dc=com" (定义ldap的管理DN)
更改为:
suffix "dc=easy,dc=com"
rootdn "cn=admin,dc=easy,dc=com"
# rootpw {crypt}ijFYNcSNctBYg (设置管理DN的密码)
更改为:
rootpw {SSHA}zW6nrZ8Muho9GOl/nAk3grt4Xqq0ZpJi
继续slapd.conf文件内容:
详细配置内容:
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
更改为:
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
# bindmethod=sasl saslmech=GSSAPI
# authcId=host/ldap-master.example.co
更改为:
replogfile /var/lib/ldap/openldap-slave.replog
replica host=slave.easy.com:389
binddn="cn=admin,dc=easy,dc=com"
bindmethod=simple credentials=jinbiao
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read
-----------------------------------------------------------------------------------------------------------------------
特别说明:DN管理者密码的制造过程:
# slappasswd -h {SSHA} -s jinbiao (产生SSHA密码的加密方式)
{SSHA}ahKxZL3yjzLtZxXgx+WEMOrpcYH5/D3m
# slappasswd -h {MD5} -s jinbiao (产生MD5密码的加密方式)
{MD5}aQM3a2IdXua7HkURAn0Gbg==
特别说明:新增权限设定。在slapd.conf文件最后部分添加的内容,作用为定义ldap的访问权限(注意书写的格式,因为作者就是因为这个问题浪费了不少的时间和感情啦!
-----------------------------------------------------------------------------------------------------------------------
修改主Op enLDAP服务器/etc/openldap/ldap.conf文件内容,主要说明修改的关键部分:
详细配置内容:
BASE dc=example,dc=com (更改ldap搜索的域后缀)
更改为:
BASE dc=easy,dc=com
TLS_CACERTDIR /etc/openldap/cacerts(不使用TLS服务项目)
更改为:
# TLS_CACERTDIR /etc/openldap/cacerts
启动主Op enLDAP服务器项目,详细操作如下:
详细操作:
# service ldap start
检查 slapd 的配置文件:config file testing succeeded
启动 slapd: [ 确定 ]
启动 slurpd: [ 确定 ]
查询master.easycom的目录内容:
详细操作:
# ldapsearch -x -h master.easy.com -b "dc=easy,dc=com"
# extended LDIF
#
# LDAPv3
# base <dc=easy,dc=com> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 32 No such object
# numResponses: 1
配置从OpenLDAP服务器,详细过程:
在配置从OpenLDAP服务器前,请先停止主OpenLDAP服务器,详细操作如下(请在Master主机内操作):
详细操作:
# service ldap stop
停止 slapd: [ 确定 ]
停止 slurpd: [ 确定 ]
同时配置从OpenLDAP服务器,也要复制samba.schema文件到/etc/openldap/schema/目录下(添加ldap所需要的samba认证的资料文件到schema目录):
详细操作:
# cp /usr/share/doc/samb-3.0.10/LDAP/samba.schema /etc/openldap/schema/
-----------------------------------------------------------------------------------------------------------------------
说明:请一定要复制samba.schema文件到/etc/openldap/schema目录下, 否则在启动ldap时会出现以下的错误提示信息:
# service ldap start
检查 的配置文件:slaptest: bad configuration file! [失败]
-----------------------------------------------------------------------------------------------------------------------
使用scp命令复制主OpenLDAP服务器主机中/var/lib/ldap所有文件到从DNS服务器内(注意:复制文件的路径要跟主DNS主机的一样):
-----------------------------------------------------------------------------------------------------------------------
特别说明:以下的这一步操作,请在master.easy.com主机(即主DNS服务器主机)中进行,请大家一定要注意啊,重要(^_^)!
-----------------------------------------------------------------------------------------------------------------------
详细操作:
# cd /var/lib/ldap
# scp * [email]root@slave.easy.com[/email]:/var/lib/ldap/
[email]root@slave.easy.com[/email]'s password: jinbiao (输入slave主机的root超级管理员的密码)
cn.bdb 100% 8192 8.0KB/s 00:00
__db.001 100% 16KB 16.0KB/s 00:00
__db.002 100% 272KB 272.0KB/s 00:00
__db.003 100% 96KB 96.0KB/s 00:00
__db.004 100% 16KB 96.0KB/s 00:00
__db.005 100% 1KB 96.0KB/s 00:00
dn2id.bdb 100% 8192 8.0KB/s 00:00
id2entry.bdb 100% 32KB 32.0KB/s 00:00
log.0000000001 100% 161KB 161.1KB/s 00:00
更改从OpenLDAP服务器/var/lib/ldap/目录的用户权限和属性,详细操作如下(请在Slave主机内操作):
详细操作:
# chown -R ldap.ldap /var/lib/ldap
# chmod 700 /var/lib/ldap
修改从OpenLDAP服务器/etc/openldap/目录中的slapd.conf文件,主要说明修改的关键部分(请在Slave主机内操作):
详细配置内容:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
部分增加以下一行内容:
include /etc/openldap/schema/samba.schema
database ldbm(定义ldap的数据库类型)
更改为:
database bdb
suffix "dc=my-domain,dc=com" (定义ldap搜索的域后缀)
rootdn "cn=Manager,dc= my-domain,dc=com" (定义ldap的管理DN)
更改为:
suffix "dc=easy,dc=com"
rootdn "cn=admin,dc=easy,dc=com"
# rootpw {crypt}ijFYNcSNctBYg (设置管理DN的密码)
更改为:
rootpw jinbiao
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
更改为:
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
#新增加查找Master主机的方式
updatedn "cn=admin,dc=easy,dc=com"
updateref ldap://master.easy.com
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read
修改从OpenLDAP服务器/etc/openldap/ldap.conf文件内容,主要说明修改的关键部分:
详细配置内容:
BASE dc=example,dc=com (更改ldap搜索的域后缀)
更改为:
BASE dc=easy,dc=com
TLS_CACERTDIR /etc/openldap/cacerts(不使用TLS服务项目)
更改为:
# TLS_CACERTDIR /etc/openldap/cacerts
先启动主OpenLDAP服务器项目,详细操作如下(请在Master主机内操作):
详细操作:
# service ldap start
检查 slapd 的配置文件:config file testing succeeded
启动 slapd: [ 确定 ]
启动 slurpd: [ 确定 ]
再启动从OpenLDAP服务器项目,详细操作如下(请在Slave主机内操作):
详细操作:
# service ldap start
检查 slapd 的配置文件:config file testing succeeded
启动 slapd: [ 确定 ]
fandy回复于:2006-04-05 16:56:39
Setp3、Samba PDC主机安装RedHat Enterprise Linux Server 4.3操作系统过程截图
磁盘配置:
设备 类型 大小
/ ext3 39911
swap 1024
网络基本配置(Master主机的网络详细配置):
etho IP/Gateway:192.168.1.252/255.255.255.0
主机名:pdc.easy.com
网关:192.168.1.1
主/次DNS:192.168.1.254/192.168.1.253/202.96.128.68
防火墙基本配置:
⊙ 无防火墙
⊙ 是否启用 SELinux:已禁用
安装方式的选项:
⊙ 定制要安装的软件包(C)
桌面选项:
(√) X窗口系统 (选取全部)
(√) GNOME桌面环境 (选取全部)
应用程序选项:
(√) 工程和科学 (选取默认)
(√) 图形化互联网 (选取默认)
(√) 基于文本的互联网 (选取默认)
(√) 办公/生产率 (选取默认)
服务器选项:
(√) 服务器配置工具 (选取全部)
(√) 万维网服务器 (选取全部)
(√) Windows文件服务器 (选取全部)
开发选项:
(√) 开发工具 (选择全部)
系统选项:
(√) 管理工具 (选取全部)
(√) 系统工具 (选取全部)
(√) 打印支持 (选取全部)
杂项选项:
全部不要选择;
Samba PDC服务器所需要的全部软件包清单:
详细清单:
openldap-clients-2.2.13-3.i386.rpm nss_ldap-226-6.i386.rpm
perl-Crypt-SmbHash-0.12-1.rhel4.noarch.rpm
perl-Digest-MD4-1.5-2.rhel4.i386.rpm
perl-Digest-SHA1-2.07-5.i386.rpm
perl-LDAP-0.31-5.noarch
perl-XML-SAX-0.12-7.noarch.rpm
samba-3.0.10-1.4E.2.i386.rpm samba-client-3.0.10-1.4E.2.i386.rpm
samba-common-3.0.10-1.4E.2.i386.rpm smbldap-tools-0.9.1-1.2.el4.rf.noarch.rpm
--------------------------------------------------------------------------------------------------------------------------------
特别说明:请确定以上所列表的软件包是否完全安装,如没有安装的请补完以上全部的软件包(软件包可以在系统的四张光盘中找到)!
--------------------------------------------------------------------------------------------------------------------------------
Setp4、配置Samba PDC服务器、Clamav + Samba-Vscan、五笔输入法安装等服务器
配置Samba PDC服务器,详细过程:
更改为使用LDAP帐号做pdc.easy.com主机的系统帐号,修改/etc/目录中的nsswitch.conf文件,主要说明修改的关键部分:
详细配置内容:
passwd: files
shadow: files
group: files
更改为:
passwd: files ldap
shadow: files ldap
group: files ldap
使用setup命令来配置用户和验证的详细信息:
详细操作:
# setup
选择一种工具项目中选择:验证配置,然后按“运行工具”键;
用户信息项目中点选:
“缓存信息”、“使用LDAP”;
验证项目中点选:
“使用MD5口令”、“使用屏蔽口令”、“使用LDAP验证”;
然后按“下一步”键;
LDAP设置:
[ ] 使用TLS (不要点选);
服务器:192.168.1.254 (按默认地址)
基点 DN:dc=easy,dc=com (更改为:dc=easy,dc=com)
然后按“确定”键:
系统自动执行过程如下:
setsebool: SELinux is disabled.
停止 nscd: [ 失败 ]
启动 nscd: [ 确定 ]
执行后以上的操作后,将后回到“选择一种工具”介面,按“退出”键,完成所有ldap进认证过程。
修改/etc/pam.d/目录中的sshd文件,完整文件内容如下:
详细配置内容:
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account sufficient /lib/security/pam_ldap.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
修改/etc/openldap/目录中的ldap.conf文件,主要说明修改的关键部分:
详细配置内容:
TLS_CACERTDIR /etc/openldap/cacerts
更改为:
# TLS_CACERTDIR /etc/openldap/cacerts
修改/etc/目录中的ldap.conf文件,主要说明修改的关键部分:
详细配置内容:
# rootbinddn cn=Manager,dc=easy,dc=com
更改为:
rootbinddn cn=admin,dc=easy,dc=com
#krb5_ccname FILE:/etc/.ldapcache
添加以下内容:
#krb5_ccname FILE:/etc/.ldapcache
nss_base_passwd ou=Users,dc=easy,dc=com?one
nss_base_passwd ou=Computers,dc=easy,dc=com?one
nss_base_shadow ou=Users,dc=easy,dc=com?one
nss_base_group ou=Groups,dc=easy,dc=com?one
TLS_CACERTDIR /etc/openldap/cacerts
更改为:
# TLS_CACERTDIR /etc/openldap/cacerts
调整系统中的pam_ldap模组设定,详细操作如下:
详细配置内容:
# echo jinbiao > /etc/ldap.secret
# chmod 600 /etc/ldap.secret
Samba的主要配置文件/etc/samba/smb.conf,其实系统中存有一个实际的例子配置文件可提供参考,只要更换成例子文件和按照自己的实际情况做一定的修改就可供使用:
详细操作:
# cp /usr/share/doc/smbldap-tools-0.9.1/smb.conf /etc/samba/
cp:是否覆盖‘/etc/samba/smb.conf’? y
修改/etc/samba/smb.conf文件,以下为完整文件的详细内容::
详细配置内容:
############################## Global parameters############################
[global]
workgroup = easy-pdc
netbios name = PDC
server string = Samba Server %v
log file = /var/log/samba/log.%m
security = user
encrypt passwords = Yes
obey pam restrictions = No
ldap passwd sync = Yes
log level = 3
syslog = 0
max log size = 100000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = UTF-8
Unix charset = UTF-8
logon scrīpt = %U.bat
logon drive = H:
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
passdb backend = ldapsam:ldap://192.168.1.254
ldap admin dn = cn=admin,dc=easy,dc=com
ldap suffix = dc=easy,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap ssl = off
ldap delete dn = Yes
add user scrīpt = /sbin/smbldap-useradd -m "%u"
add machine scrīpt = /sbin/smbldap-useradd -t 0 -w "%u"
add group scrīpt = /sbin/smbldap-groupadd -p "%g"
add user to group scrīpt = /sbin/smbldap-groupmod -m "%u" "%g"
delete user from group scrīpt = /sbin/smbldap-groupmod -x "%u" "%g"
set primary group scrīpt = /sbin/smbldap-usermod -g '%g' '%u'
继续smb.conf文件内容:
详细配置内容:
############################## Homes parameters ############################
[homes]
comment = repertoire de %U, %u
browseable = no
writeable = yes
read only = no
force create mode = 0700
create mode = 0700
force directory mode = 0700
directory mode = 700
############################# Netlogone parameters ##########################
[netlogon]
path = /home/netlogon/
browseable = No
read only = yes
############################# Public parameters ##########################
[public]
comment = Public Directory
path = /home/public/
browseable = No
writable = yes
guest ok = yes
create mask = 0777
-----------------------------------------------------------------------------------------------------------------------
特别提示:在网上有一些文章介绍可以实现自动创建计算机帐号的方法,不知道可否正常使用,小弟没有试过!
操作如下在smb.conf文件的[global]里加入以下内容(注:适合Samba 3.0版以上):
add machind scrīpt = /usr/sbin/useradd –d /dev/null –g 100 –s /bin/false –M %u
-----------------------------------------------------------------------------------------------------------------------
建立相关共享目录操作:
详细操作:
# mkdir /home/netlogon
# mkdir /home/public
启动Samba服务项目:
详细操作:
# service smb start
启动 SMB 服务: [ 确定 ]
启动 NMB 服务: [ 确定 ]
添加Samba admin dn的ldap管理员密码(注意密码要和您openldap的rootdn密码要一致啊):
详细操作:
# smbpasswd -w jinbiao
Setting stored password for "cn=Manager,dc=easy,dc=com" in secrets.tdb
使用testparm命令来测试Samba PDC服务器配置是否正常启动:
详细操作:
# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[public]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Sambldap的配置使用过程:
详细操作:
# cd /usr/share/doc/smbldap-tools-0.9.1/
# ./configure.pl
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
smbldap-tools scrīpt configuration
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
. if your samba controller is up and running.
. if the domain SID is defined (you can get it with the 'net getlocalsid')
. you can leave the configuration using the Crtl-c key combination
. empty value can be set with the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...
Samba Configuration File Path [/etc/samba/smb.conf] >
The default directory in which the smbldap configuration files are stored is shown.
If you need to change this, enter the full directory path, then press enter to continue.
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scrīpts ...
. workgroup name: name of the domain Samba act as a PDC
workgroup name [easy-pdc] >
. netbios name: netbios name of the samba controler
netbios name [PDC] >
. logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:'
logon drive [H:] >
. logon home: home directory location (for Win95/98 or NT Workstation).
(use %U as username) Ex:'\\PDC\%U'
logon home (press the "." character if you don't want homeDirectory) [\\PDC\%U] >
. logon path: directory where roaming profiles are stored. Ex:'\\PDC\profiles\%U'
logon path (press the "." character if you don't want roaming profile) [\\PDC\profiles\%U] > . (输入“.”)
. home directory prefix (use %U as username) [/home/%U] >
. default users' homeDirectory mode [700] >
. default user netlogon scrīpt (use %U as username) [%U.bat] >
default password validation time (time in days) [45] >
. ldap suffix [dc=easy,dc=com] >
. ldap group suffix [ou=Groups] >
. ldap user suffix [ou=Users] >
继续smb.conf文件内容:
详细配置内容:
. ldap machine suffix [ou=Computers] >
. Idmap suffix [ou=Idmap] >
. sambaUnixIdPooldn: object where you want to store the next uidNumber
and gidNumber available for new users and groups
sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=easy-pdc] >
. ldap master server: IP adress or DNS name of the master (writable) ldap server
ldap master server [192.168.1.254] >
. ldap master port [389] >
. ldap master bind dn [cn=admin,dc=easy,dc=com] >
. ldap master bind password [] > jinbiao (Samba admin dn的ldap管理密码)
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
ldap slave server [192.
导入论坛
收藏
分享给好友
管理
举报
TAG:
Linux
标题搜索
数据统计
- 访问量: 10278
- 日志数: 16
- 建立时间: 2006-10-24
- 更新时间: 2007-06-16
|
