http://forum.mait.

vn

SAMBA DOMAIN CONTROLLER WITH OPEN LDAP BACKEND ON CENTOS

Tài liệu này hướng dẫn các bạn cấu hình Domain Controller trên Linux với SDC làm frontend và openLDAP làm backend. Ngoài ra nó còn chỉ ra những đặc điểm của DC trên linux. Máy làm DC là 1 máy cài Centos Linux. Máy trạm là máy WinXP pro. LDAP sẽ được cấu hình để chứa tài khoảng người dùng, nhóm, tài khoảng máy tính để đăng nhập và sử dụng các dịch vụ mạng.

Trần Hữu Nhân - nhanth87@gmail.com MaIT Research Team Mọi thắc mắc các bạn vui lòng liên hệ http://forum.mait.vn mục mạng và bảo mật.

trang 1

12/10/2008

DC sẽ kiểm tra trong cơ sở dữ liệu và cấp chứng thực cho user đó. quản lý tài nguyên mạng. Windows. các nguồn tài nguyên trên domain đó. Nó giúp cho máy linux có thể kết nối đến các máy dùng windows hoặc unix. Tính năng SAMBA phiên bản 3 Join vào Active Directory dùng LDAP hoặc kerberos Hỗ trợ Unicode Win Xp có thể kết nối tới máy chủ samba mà không cần hack registry • Chức năng của SAMBA: Chia sẻ thư mục dùng chung và chia sẻ máy in cho Linux. Trên Linux chúng ta dùng SAMBA như một Domain Controller (Primary hoặc Backup) • Giới thiệu SAMBA: Samba là một sản phẩm mã nguồn mở dùng SMB(server Messenger Block) protocol. 445 nmbd: hiểu và trả lời dịch vụ netBIOS name winbind: phân giải user và group trên windows trang 2 12/10/2008 .http://forum. printing service.mait.vn I) Giới thiệu: • Domain Controller: một domain controller dùng để chứng thực user để dùng các dịch vụ. chứng thực user. Tuy nhiên SAMBA không thể: Làm BDC cho windows PDC hoặc ngược lại Làm ADC • Những điểm chú ý trong khi cấu hình SAMBA: Cài đặt yum install samba samba-common samba-client samba-swat các Daemons của SAMBA: smbd: cung cấp file sharing. Unix Chứng thực để máy linux login vào AD Cung cấp dịch vụ wins Làm Primary domain controller ( bằng Win NT) Làm Backup domain controller cho Samba Primary Domain Controller ……. Khi có một yêu cầu chứng thực gửi tới DC. smbd lắng nghe trên port 139.

LDAP được xây dựng trên chuẩn X. thêm các dữ liệu khác.conf /etc/openldap/ldap. LDAP không phải chỉ dùng để chứng thực user trên controller mà còn dùng cho các mục đích khác như: chứng thực cho các dịch vụ zimbra.conf Database file: /var/lib/dirsvr/slapd-* trang 3 12/10/2008 .mait. id….conf tài liệu samba: /usr/share/doc/samba{tab} samba có thể chứa dữ liệu chứng thực ở: plaintext smbpasswd ldapsam_compat tbdsam ldapsam mysqlsam • LDAP: LDAP là một tập hợp các protocol (lightweight directory access protocol) để truy cập vào các dữ liệu trung tâm. Directory service của Microsoft base trên LDAP chuẩn RFC1777 • openLDAP: Cung cấp những thư viện để chạy openldap-servers và open-ldap-clients. radius. Openldap-clients cung cấp các công cụ dòng lệnh để xem. LDAP chứa dữ liệu trong một cấu trúc dữ liệu hình cây.500 nhưng ít phức tạp và nhẹ hơn X. Các dữ liệu này bao gồm: username. Vd như mô hình danh bạ điện thoại. phone number. password. Server dùng nhiều loại cơ sở dữ liệu để chứa cấu trúc hình cây này.http://forum.500.vn file cấu hình: /etc/samba/smb. dịch vụ mail đặc biệt là các dịch vụ hội nghị trực tuyến. chính sửa dữ liệu của LDAP Openldap-servers cung cấp máy chủ dịch vụ LDAP Các điểm cần chú ý khi cấu hình LDAP Yum install openldap openldap-servers openldap-clients Các file cấu hình: /etc/openldap/slapd. LDAP có dạng server/client. Client kết nối vào server để đọc. chỉnh sửa.

168.1.2 Subnetmask:255.255.mait.vn Mô hình cài đặt samba – openldap SAMBA PDC SERVER ====================== chứng thực user || openLDAP ================= radius server ====== chứng thực radius || LDAP databases II) Cấu hình: B1: cấu hình sơ bộ Cài đặt Centos và đặt tên là dc1.0.vn Đầu tiên gõ lệnh: # config eth0: Add:192.vn Tên miền được dùng trong tài liệu này là mait.168.mait.http://forum.0 Gateway:192.1 Sửa etc/hosts: # vi /etc/hosts 127.mait.255.0. Tên đầy đủ của máy CentOS này là dc1.vn dc01 B2: Cài đặt các gói cần thiết: Cài đặt Samba: # yum –disablerepo=\* --enablerepo=c5-media install samba samba-client smbldap-tools smbclient samba-doc trang 4 12/10/2008 .0.1 dc01.

vn) Rootdn (dn là Manager của LDAP ví dụ : cn=admin.conf Suffix (suffix của LDAP. dc=mait.conf cho đúng với suffix ldap mới: # vi /etc/openldap/slapd.conf BASE (suffix của LDAP dc=mait.dc=vn )(tương đương với mait.vn Hoặc: # yum install samba samba-client smbldap-tools smbclient samba-doc Cài đặt openLDAP: # yum –disablerepo=\* --enablerepo=c5-media install openldap openldap-servers openldap-clients Hoặc # yum install openldap openldap-servers openldap-clients Cài đặt BIND DNS: # yum –disablerepo=\* --enablerepo=c5-media install bind bind-chroot systemconfig-bind Cài đặt perl: # yum –disablerepo=\* --enablerepo=c5-media install perl* B3: Cấu hình để openLDAP dùng Samba: Kiểm tra xem có file samba.dc=vn ) # chown –R ldap /var/lib/ldap Khởi động lại LDAP # service ldap restart trang 5 12/10/2008 . ví dụ dc=mait.http://forum.dc=vn) Rootpw (Password tương ứng) Chỉnh sửa lại /etc/openldap/ldap.chema trong /etc/openldap/schema chưa: # dir /etc/openldap/schema Chỉnh sửa lại /etc/openldap/slapd.conf # vi etc/openldap/ldap.mait.

mait.vn Lưu ý: nếu gặp lỗi DB_CONFIG không tồn tại thì hãy post lên diễn đàn MaIT ở http://forum.dc=local ldap suffix = dc=example.mait.conf workgroup = mait security = user passdb backend = ldapsam:ldap://localhost/ obey pam restrictions = no # # cấu hình của LDAP # ldap admin dn = cn=admin. dc=local ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Users ldap passwd sync = Yes passwd program = /usr/sbin/smbldap-passwd %u passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated* add user script = /usr/sbin/smbldap-useradd -m "%u" ldap delete dn = Yes delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" domain logons = yes Hoặc có thể dùng samba-swat (xem file film) Khởi động lại samba: # service smb restart # chkconfig smb on trang 6 12/10/2008 .http://forum.dc=example.conf lại: # vi smb.vn B4: Cấu hình Samba: Chỉnh sửa file smb.

conf cho phù hợp với suffix của chúng ta.vn # chkconfig nmb on # chkconfig swat on # smbpasswd –w <passOfAdmin> B5: Cấu hình smbldap-tools: # mkdir /etc/smbldap-tools # cd /usr/share/doc/samba{tab}/LDAP/smbldap-tools # cp smbldap-* /usr/local/sbin # cp smbldap_* /usr/local/sbin # cp smbldap..conf /etc/smbldap-tools # chmod +x /usr/local/sbin/smbldap* Chỉnh sửa smbldap. Sau đó chúng ta bắt đầu xây dựng LDAP directory: # smbldap-populate <passw> kêu gọi máy server chứng thực bằng LDAP setup  authentication chọn LDAP  Next  chọn các suffix cho phù hợp # chkconfig ldap on B6: cấu hình BIND-CHROOT DNS trang 7 12/10/2008 .http://forum.conf và smbldap_bind.conf smbldap_bind.mait.

vn #chmod777/var/named/chroot/var/run/named/ # cd /var/named/chroot/var/named/ # cp /usr/share/doc/bind{tab}/sample/var/named/named.local # cp /usr/share/doc/bind-9.local /var/named/chroot/var/named/named.howtoforge.4/sample/var/named/named.conf # chkconfig --levels 235 named on # service named restart Sau đó dùng system-config-bind để tạo record và PTR-record cho domain mait.http://forum.3.root /var/named/chroot/var/named/named.com trang 8 12/10/2008 .vn Restart lại máy: # shutdown –r now Sau khi khởi động xong ta có thể join máy win xp vào domain của chúng ta. openLDAP manuals Web: www. Samba definion Guide. III) Tài liệu tham khảo: Sách: Redhat Deployment Guide.root # touch /var/named/chroot/etc/named.mait.

Sign up to vote on this title
UsefulNot useful