Черновик! Не все операции завершены и описаны

Задача: Перенастроить контроллер домена (PDC) на sambe на использование openLDAP + samba
Серверная ОС – CentOS 5.2
Рабочие станции комплектуются ОС MS Windows XP.

Сервер имеет два сетевых интерфейса:
внешний: eth0 xxx.xxx.xxx.xxx
внутренний: eth1 192.168.1.1/255.255.255.0

1. Устанавливаем yum install openldap-servers openldap-clients gcc nss_ldap

2. Копируем схемы самбы в openldap:


3. Копируем smbldap-tools


Если их там нет, то лезем на сайт https://gna.org/projects/smbldap-tools/ и качаем нужную нам версию:



Даем права на исполнение скриптам (если их нету):



4. Правим /etc/openldap/slapd.conf
Добавляем строки (подключаем файлы схем):



ищем строку access to attrs и приводим блок к виду (при необходимости добавляем):

таким образом, определим доступ к атрибуту пароль пользователя. Сам пользователь имеет право записи, анонимному пользователю предоставляется возможность пройти аутентификацию (после этого он представляет уже другой объект и доступа к паролям анонимного пользователя не происходит, как можно было бы подумать) а пользователь с контекстом "uid=root,dc=sclad,dc=lan" имеет право на запись. Другие же пользователи доступа к паролю не имеют никакого. Т.е. другими словами никто, кроме администратора и самого пользователя не имеют доступа к паролю.

добавляем блок:

доступ к остальным полям базы LDAP – сам пользователь может читать атрибуты, а пользователь с контекстом root может писать всё что угодно, а анонимному пользователю предоставляется возможность пройти аутентификацию, остальные ничего не могут.

с помощью проги slappasswd генерим пароль root
и исправляем строки:


здесь
database - тип базы данных
suffix - основной суффикс БД (к этому я вернусь немного ниже)
rootdn – описание объекта root
rootpw - это поле содержит пароль администратора объекта root (то есть всей БД LDAP), используем в зашифрованном виде – сгенерированный slappasswd

добавляем строки:

Таким образом, мы определяем первичные и вторичные индексы БД, что может ускорить поиск по БД


Этот ключ устанавливает slapd уровень отладки.

Текущие уровни отладки:
-1 включает всю отладочную информацию
0 без отладки
1 трассировать вызовы функций
2 отладка обработки пакетов
4 тщательная отладочная трассировка
8 управление соединением
16 печать принятых и отправленных пакетов
32 обработка фильтров поиска
64 обработка конфигурационного файла
128 обработка списка контроля доступа
256 регистрировать статистику соединения/обработки/результатов
512 регистрировать статистику отправленных элементов
1024 печать коммуникаций с shell механизмом базы данных
2048 печать отладки анализа элемента

Для того чтобы увидеть логи ЛДАП-а мы так же должны добавить в файл /etc/syslog.conf следующее:



5. Копируем параметры базы LDAP


Назначаем права на папку


После того как вы настроили OpenLDAP, запустите его командой и посмотрим, слушает ли он порты:



6. Правим /etc/ldap.conf, исправляя строки:


7. Копируем ldap.conf или делаем ссылку


8. Создаем файл /etc/ldap.secret и в него пишем пароль в открытом виде, задаем права на файл:



Причем very_secret_passwort – это тот же пароль, который генерили в 6 пункте (в конце пароля должен стоять символ возврата каретки). Права на файл все же лучше выставить такие - root:root 400.

9. Заполняем базу:

Теперь нужно создать корневой объект нашего дерева. Создадим файл base.ldif с таким содержанием:


Теперь добавим эту запись в ldap:


Параметры запуска:
-x : не использовать sasl
-D "dn" : под каким пользователем подключаться
-W : запросить ввод пароля
-w : указать пароль в командной строке
-f file : имя файла из которого брать информацию о добавляемом объекте.

Далее для работы с samba требуется поместить в ldap следующую древовидную схему:

dn: dc=sclad,dc=lan
|
+-dn: ou=Users,dc= sclad,dc=lan
|
+-dn: ou=Groups,dc= sclad,dc=lan
|
+-dn: ou=Computers,dc= sclad,dc=lan

Т.е. внутри главного контейнера dc=sclad,dc=lan создаются ещё три: Users - для хранения пользовательских аккаунтов, Group - группы, Computers - аккаунты компьютеров в домене.

Получаем следующий ldif-файл newentry.ldif:



Хочу обратить внимание, что между блоками описания различных объектов дерева необходима пустая строка, чтобы утилита ldapadd корректно их разделяла.

Добавим записи в ldap:


На этом этапе уже можно подключиться к лдап-серверу и посмотреть, что же мы имеем.
Я использовал утилиту LDAP Admin:


Описание настройки LDAP Admin:

10. Включаем авторизацию по лдап authconfig --enableldap --update
Проверяем в /etc/nsswitch.conf:



11. После того как мы настроим samba на работу с лдап-ом нам нужно будет изменить SID root-a в ldap-е на такой же какой у нас был в sambe. Поэтому посмотрим и запишем SID root-a в samba в файл sid_root_smb:



12. Правим /etc/samba/smb.conf
конфиг исходный – см в статье в него добавляем строки:



ldap suffix - это основной суффикс БД. В определении системы директорий существует так называемый корневой объект root. Суффикс определяет этот объект. Вообще существует 2 стандарта LDAP имен для скелета дерева:
- метод для глобальных сетей - имеет подобный вид и описывает URL адрес: person.domain.com (cn=person,dc=domain,dc=com)
- метод для глобальных сетей - описывает организацию (вообще-то этот вид является стандартным) и имеет следующий вид: person.organization_unit.organization.country (cn=person,ou=otd1,o=lab,c=RU)
Выбор метода зависит от конкретного назначения LDAP и особого значения не имеет. Обычно в компаниях применяется второй способ построения скелета дерева. Я же использую интернет наименование для краткости.

13. Перезагружаем службы (чтобы применить новые конфиги):


14. Устанавливаем ldap admin password (даем самбе права на чтение ldap базы):


15. Устанавливаем перловые модули нужные для smbldap-tools


16. Конфигурируем smbldap-tools:

16.1. Смотрим SID домена - его нужно будет указать при конфигурировании /etc/smbldap-tools/configure.pl


16.2. Запускаем скрипт и отвечаем на вопросы:


За “…” скрывается куча вопросов. Скрипт генерит файлы конфигурации /etc/smbldap-tools/smbldap.conf и /etc/smbldap-tools/smbldap_bind.conf, которые используются следующим скриптом.

16.3. Запускаем скрипт и задаем новый пароль (я использовал тот же самый):


Можно заметить, что скрипт ругнулся на уже существующие записи, которые мы создали вручную выше.

17. Введем наш сервер в наш же домен:


18. Теперь необходимо изменить SID root-a в LDAP-e на такой же какой используется в sambe.
Выше мы смотрели и даже записали SID root-a в sambe.
При использовании схемы с LDAP нам потребуется поместить в LDAP учётную запись пользователя root и задать для неё nt-пароль. Важно, что у пользователя root аттрибуты sambaSID, sambaPrimaryGroupSID должны иметь вид:

sambaSID: DOMAINSID-1000
sambaPrimaryGroupSID: DOMAINSID-1001

Связано это с тем, что ldapsam использует специальный алгоритм для связи uid с sid:

rid='2*uidNumber+1000'
primaryGroup='2*uidNumber+1001'

Посмотрим SID root-a в LDAP-e:



Т.е. SID root-a в samba:

User SID: S-1-5-21-2564309360-712306396-2862245629-1000
Primary Group SID: S-1-5-21-2564309360-712306396-2862245629-513
ldap
sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512
sambaSID: S-1-5-21-93199991-951995455-3406427012-500

Странно – здесь мы наблюдаем не только rid не правильные, но и даже отличающиеся DOMAINSID. Видимо на одной из стадий установки была допущена ошибка. Нужно будет проверить при аналогичной установке!

В общем, нам нужно установить для root-a:
sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512
sambaSID: S-1-5-21-93199991-951995455-3406427012-1000

т.е. подменить только sambaSID. Для этого создадим следующий ldif-файл rootedit.ldif:


Для добавления информации в базу воспользуйтесь командой:


И посмотрим, что же у нас получилось:


Мы видим, что sambaSID изменился на нужный.

Если бы это был новый сервер, то на этом можно было бы и закончить.
Однако, у нас уже есть рабочая система с учетсками юзеров, компов и групп в самбе. Их то и нужно перенести в лдап.

18. Необходимо перенести всё из самбы