LDAP and Samba on openSUSE11.1 Quick start

From openSUSE

There is a little howto for empoying Samba as PDC (Primary Domain Controller) using LDAP for storing users. I've used openSUSE 11.1

It assumes that all actions are performed on newly installed openSUSE 11.1

All things described above can be done in console YaST,screenshots given only for better understanding.

Preparations

Open YaST and module Управление программным обеспечением

OpenLDAP Setup

Select pattern "Directory Server (LDAP)" (LDAP)" or just packages nss_ldap, openldap2, pam_ldap и yast2-ldap-server

600px

Samba Setup

Select following packages: samba, samba-client и yast2-samba-server in pattern "File Server" or just fing them using search.

600px

YaST Configuration

Before you start configure Samba and openLDAP you need to configure YaST in expert mode to have all settings. To do so , please open /etc/YaST/ProductFeatures in your favorite text editor as root.

Изображение:Shadow.03-enable expert.png

Find ui_mode and set value: expert

600px

After these close all active YaST windows and run Yast again

Setting up openLDAP Server

Load LDAP Server module. It can be found in YaST -> Network Services

Image:Shadow.05-start ldap config.png

On first page На странице общих настроек сервера установите переключатель "Запустить сервер LDAP" в положение "Да"

Image:Shadow.06-ldap config.png

Disable TLS on next Part

Image:Shadow.07-ldap config.png

Create new database. DB Type is 'bdb' Set DN of your domain. In field Administrator set desired LDAP Administrator's name. This example uses cn=Admin. Also check "Append base DN". Set passworf and path to database (something like /var/lib/ldap/example.com)

Image:08-ldap db config.png

Press Done if finished.

Image:09-ldap db config.png

After you press Done Module LDAP Server will close. Restart it once again. In left part of window you can see tree. Select Schhema files and press Add. Add samba3.schema

Image:10-ldap schema config.png

Go to Common Settings -> Log Setup and select "Log connections, operations and result". It will help with troubleshooting.

Image:11-ldap log config.png

Press Done and move to LDAP Client Setup

Aufsetzen eines LDAP-Klienten/Настройка клиента LDAP

Wählen SIe LDAP-Klient aus 'YaST' -> 'Netzwerkdienste'. Запустите модуль "Клиент LDAP" из YaST -> Сетевые службы. Установите переключатель "Аутентификация пользователей" в режим "Использовать LDAP, но отключить вход в систему". В случае если предполагается вход LDAP пользователей не только через smb, то нужно выбрать "Использовать LDAP", это может быть полезно например для входа пользователей с тонкий Linux клиентов.

В поле адрес сервера LDAP введите "localhost" или "127.0.0.1". Поле базовый DN заполните вручную, либо нажмите кнопку "Запрос DN" для выбора из доступных на данном сервере.

Снимите флажок "LDAP TLS/SSL", так как сервер выше настроен без поддержки TLS

Нажмите кнопку "Дополнительная настройка"

600px

На экране дополнительной настройки перейдите на вкладку "Настройка Администратора". Укажите имя пользователя - Администратора LDAP, отметьте "Добавить базовый DN"

Нажмите кнопку "Настройка параметров управления пользователями...".

600px

YaST спросит хотите ли вы создать поддерево ldapconfig, нажите "Да"

Изображение:14-ldap client admin config.png

Нажмите кнопку "Новый" для создания нового конфигурационного модуля в созданном поддереве ldapconfig

600px

Для объекта "susegroupconfiguration", соотвествующий модуль будет называться "groupconfiguration". Нажмите "OK".

Изображение:16-ldap client group conf.png

Снвоа нажмите "Новый, и создайте объект "suseuserconfiguration", со значением "userconfiguration". Нажмите "OK".

Изображение:17-ldap client user conf.png

В модуле конфигурации выберите suseminuniqueid для модуля userconfiguration, и ведите новое значение 10000.

Изображение:18-ldap client min id.png

Теперь выберите susenextuniqueid для модуля userconfiguration, и введите новое значение 10000.

Изображение:19-ldap client next id.png

После установки этих значений нажмите Ok для выхода из модуля конфигурации обратно в дополнительные настройки.

Перейдите на вкладку "Настройка клиента". Убедитесь что "Атрибут члена группы" установлен в "member". Нажмите OK для возвращения в "Настройку клиента LDAP".

Нажмите OK. Конфигурация клиента LDAP будет записана.

600px

Нужно снова запустить модуль настройки клиента LDAP и перейти на страницу Дополнительной настройки для настройки Отражения пользователей.

Пользователи и пароли должны извлекаться из подразделения "ou=people" и группы из "ou=group".

600px

Нажмите OK для подтверждения изменений и выхода из модуля конфигурации клиента LDAP и переходите к настройке samba

Настройка Samba

Запустите мудуль Сервер Samba из YaST -> Сетевые службы.

Введите имя рабочей группы или домена в котором будет состоять сервер.

600px

Выберите "Основной контроллер домена (PDC)"

600px

Установите переключатель "Запуск службы" в положение "Во время загрузки".

600px

На вкладке идентификация вы увидите уже введенные рабочую группу или имя домена и роль сервера. В общем случае здесь не нужно больше ничего менять кроме имени узла netBIOS, которое будет соотнесено с данным samba сервером. Обычно это имя вашего компьютера. до 15 символов в верзнем регистре. При переходе с данной вкладки на другую вы получите предупреждение о том что пользователи будут привязаны к SID созданому из имени узла netBIOS, заданного здесь name. Если вы измените его, то будет создан новый SID и пользователи больше не смогут авторизироваться как члены домена.

600px

Перейдите на вкладку "Параметры настройки LDAP". Установите здесь флажок "Использовать пароль LDAP базы данных". Будет показано всплывающее сообщение о том что вся текущая конфигураци будет перезаписана.

600px

Все значения будут заполены автоматически, вам нужно будет толкьо указать пароль для доступа к серверу LDAP (для пользователя cn=Admin), и проверить соединение.

600px

Нажмите OK для завершения настройки samba. YaST попросит ввести пароль для пользователя root для сервера samba. Этот пароль понадобится в дальнейшем при введении машины в домен.

600px

Создание пользоватей

Запустите из "YaST -> Безопасность и пользователи" модуль "Управление пользователями и группами" Перейдите на вкладку "Группы" и установите фильтр на "LDAP группы"

600px

Откройте базу LDAP с паролем cn=Admin.

Нажмите кнопку Добавить

600px

На вкладке "Информация о группе" установите имя группы. Идентификатор этой группы (gid) будет равен 1000 как задано в модуле конфигурации ldap "groupconfiguration", объекта "suseminuniqueid". Нажмите "OK"

600px

В модуле управления пользователями и группами перейдите на вкладку "Пользователи" и установите фильтр на Пользователи LDAP и нажмите кнопку "Добавить" На странице добавления пользователя на вкладке "Информация о пользователе" введите имя пользователя и другую информацию, а затем перейдите на вкладку "Подробности"

600px

Идентификатор пользователя (uid) должен быть 10000 как было ранее указано в конфигурации LDAP. Установите параметры, которые вам нужны, и например добавьте пользователя в созданую группу пользователей users LDAP. Вы можете так же проверить параметры Samba для пользователя на вкладке "Дополнения"

600px

Здесь вы можете запустить модули настройки различных параметров кнопкой "Запуск". Запустите "Управление параметрами учетной записи samba" и посмотрите значения.

600px

Для начала можно все оставить по умолчанию.

600px

После нажатия Ok вы снова попадете на страницу "Управление пользователями и группами", созданый пользователь будет виден в списке.

Жмите Ok и выходите из модуля обратно в YaST

600px

Обозреватель LDAP

Пришло время проверить создались ли пользователи в базе LDAP.

Откройте "Обозреватель LDAP" в YaST -> Сетевые службы YaST спросит у вас пароль для пользователя cn=Admin

600px

Здесь вы можете посмотреть структуры в базе LDAP и их значения. Убедимся то пользователи созданы и внесены в базу с корректныи значениями

600px

Здесь же можно будет увидеть машины введенные в домен. после добавления хотя бы одной машины.

600px

Проверка работы

LDAP сервера

Для проверки правильности настройки LDAP сервера и LDAP клиента введите в терминале команду

id имя_пользователя

в данном случае

id hws

команда должна вернуть uid и gid пользователя примерно в таком виде:

uid=10000(hws) gid=100(users) группы=1000(users),100(users)

Samba сервера

Введите в адресной строке Konqueror адрес smb://hws@myserver, если все в порядке, то вы должны увидеть список ресурсов вашего сервера. При входе на ресурсы система должна запросить пароль для пользователя и после его ввода отобразить ресурс.

600px

Ввод машин в домен

Для ввода Windows машины в домен необходимо открыть Свойства "Мой компьютер" и перейти на вкладку имя компьюера. Там Нажать кнопку Изменить и в открывшемся окне выбрать "Является членом дмена" и ввести имя созданного домена. В данном примере EXGROUP. Windows спросит имя и пароль администратора samba. Необходимо ввести имя root и пароль заданный при завершении конфииигурации Samba.

Изображение:40-domain request.png

После удачного входа на компьютер пользователем-членом домена можно видеть смонтирваный сетевой диск P:

600px Категория:YaST Категория:Samba Категория:Системное администрирование Категория:HOWTOs