Smbldap-tools. Руководство пользователя.
← назад | Оглавление | вперед → |
3. Конфигурирование smbldap-tools.
Как было сказано выше, для конфигурирования используется всего два файла. Первый – smbldap.conf
– позволяет вам установить общие параметры, и он доступен на чтение любому. Второй – smbldap_bind.conf
– определяет два административных аккаунта для связи с первичным и вторичным (главным и подчиненным) LDAP-серверами, вы должны позаботиться, чтобы он был доступен на чтение только суперпользователю root.
Скрипт configure.pl
, который вы можете найти в tarball или в директории с документацией (если установка была из prm-пакета) /usr/share/doc/smbldap-tools-0.9.3/
, поможет вам заполнить эти файлы, выполните команду:
/usr/share/doc/smbldap-tools-0.9.3/configure.pl
Вследствие выполнения этого скрипта, будут получены параметры файла smb.conf
и записаны в файлы конфигурации smbldap-tools
. Исходя из предназначения этого скрипта, очевидно, что файл smb.conf
уже должен быть сконфигурирован должным образом. Остановить скрипт можно командой Ctrl+C
.
Проверьте перед использованием этого скрипта, что:
-
два конфигурационных файла smbldap-tools
находятся в директории /etc/smbldap-tools/
;
-
ваш Samba-сервер сконфигурирован и запущен (так скрипт сможет получить SID вашего домена).
В этих файлах, параметры определяются следующим образом:
key="value"
Полный пример конфигурационного файла можно найти в главе 8.1.
Напоминаем, этот файл задает параметры, которые доступны для просмотра всем. Пример этого файла представлен в главе 8.1.1
Давайте рассмотрим параметры этого файла:
UID START / GID START
Недействующие параметры, должены быть удалены или закомментированы.
Доступные uid
и gid
сейчас по умолчанию определяются в значении sambaUnixIdPooldn="sambaDomainName=$"
.
Позже будут рассмотрены параметры, имеющие к этому отношение ${sambaDomain}
и ${suffix}
.
SID
Идентификатор безопасности домена. Пример:
SID="S-1-5-21-3703471949-3718591838-2324585696"
Примечание: вы можете получить SID, используя команду net getlocalsid
, сервер Samba при этом должен быть запущен.
sambaDomain
Имя домена Samba. Пример:
sambaDomain="DOMSMB"
Примечание: если затрудняетесь, посмотрите соответствующую секцию файла smb.conf
slaveLDAP
Вторичный (подчиненный) LDAP сервер. Пример:
slaveLDAP="127.0.0.1"
Примечание: должно быть указано разрешенное DNS имя или IP адрес
slavePort
Порт для связи со вторичным сервером. Пример:
slavePort="389"
masterLDAP
Первичный (основной) LDAP server. Пример:
masterLDAP="127.0.0.1"
masterPort
Порт для связи с первичный сервером. Пример:
masterPort="389"
ldapTLS
Определяет, желаете ли вы использовать TLS соединение для связи с LDAP сервером. Пример:
ldapTLS="1"
Примечание: LDAP сервер должен быть сконфигурирован для поддержки ТLS соединения. См. главу 5.2 документа Samba-LDAP Howto.
Если вы используете поддержку TLS, выберите порт 389 для соединения с первичным или вторичным сервером.
verify
Вид проверки сертификата (нет, опционально или требовать). Пример:
verify="require"
Примечание: изучите man-страницу Net::LDAP
, секция start tls section
для изучения подробностей.
cafile
Файл повышенной защищенности (дословно PEM-format file) включающий сертификат для CA которым будет доверять slapd
. Пример:
cafile="/etc/smbldap-tools/ca.pem"
clientcert
Файл, содержащий клиентский сертификат. Пример:
clientcert="/etc/smbldap-tools/smbldap-tools.iallanis.com.pem"
clientkey
Файл, содержащий приватный ключ, который соответствует клиентскому сертификату. Пример:
clientkey="/etc/smbldap-tools/smbldap-tools.iallanis.com.key"
suffix
Отличительное имя поиска по базе. Пример:
suffix="dc=idealx,dc=com"
usersdn
Ветвь (выражаясь терминами LDAP), в которой могут быть найдены, или в которую должны добавляться записи о пользователях. Пример:
usersdn="ou=Users,${suffix}"
Примечание: эта ветвь не связана со значением suffix
(см. выше)
computersdn
Ветвь, в которой могут быть найдены, или в которую должны добавляться записи о компьютерах. Пример:
computersdn="ou=Computers,${suffix}"
Примечание: эта ветвь не связана со значением suffix
(см. выше)
groupsdn
Ветвь, в которой могут быть найдены, или в которую должны добавляться записи о группах. Пример:
groupsdn="ou=Groups,${suffix}"
Примечание: эта ветвь не связана со значением suffix
(см. выше)
idmapdn
Строка указывает, где находятся значения Idmap
(используется, если сервер Samba является членом домена). Пример:
idmapdn="ou=Idmap,${suffix}"
Примечание: эта ветвь не связана со значением suffix
(см. выше)
sambaUnixIdPooldn
Параметр, описывающий где хранятся следующие свободные uidNumber
и gidNumber
. Пример:
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
Примечание: эта ветвь не связана со значением suffix
(см. выше)
scope
Поиск области. Пример:
scope="sub"
hash encrypt
Способ хэширования паролей пользователей. Пример:
hash encrypt="SSHA"
Примечание: параметр используется для хранения паролей unix и связан с параметром userPassword
.
crypt salt format="%s"
Если у предыдущего параметра установлено значение CRYPT
, вы можете установить тип шифрования «salt».
По умолчанию используется значение ”%s”, но большинство систем способны генерировать пароль с хэшированием MD5, если вы установите ”$1$%.8s”.
Этот параметр опционален.
userLoginShell
Оболочка пользователя по умолчанию. Пример:
userLoginShell="/bin/bash"
Примечание: значение хранится в атрибуте loginShell
(см. главу 8.2).
userHome
По умолчанию определяет, где будет находиться домашняя директория пользователя. Пример:
userHome="/home/%U"
Примечание: значение хранится в атрибуте homeDirectory
(см. главу 8.2).
userGecos
Описание учетной записи пользователя (в unix). Пример:
userGecos="System User"
defaultUserGid
По умолчанию основная группа для учетных записей пользователей. Пример:
defaultUserGid="513"
Примечание: значение хранится в атрибуте gidNumber
(см. главу 8.2).
defaultComputerGid
По умолчанию основная группа для компьютеров. Пример:
defaultComputerGid="550"
Примечание: значение хранится в атрибуте gidNumber
(см. главу 8.2).
skeletonDir
Место, где находится «скелетная» директория, являющаяся шаблоном для директорий пользователей. Пример:
skeletonDir="/etc/skel"
Примечание: эта опция используется лишь в том случае, если вы явно укажете создать домашнюю директорию пользователя в ходе создания нового пользователя.
defaultMaxPasswordAge
Параметр задает, через какое время (в днях) должен быть изменен пароль пользователя. Пример:
defaultMaxPassword="55"
userSmbHome
Общий ресурс Samba для хранения домашних директорий пользователей. Пример:
userSmbHome="\\PDC-SMB3\home\%U”
Примечание: значение хранится в атрибуте sambaHomePath
(см. главу 8.2).
userProfile
Общий ресурс Samba для хранения профилей пользователей. Пример:
userProfile="\\PDC-SMB3\profiles\%U"
Примечание: значение хранится в атрибуте sambaProfilePath
(см. главу 8.2).
userHomeDrive
Буква диска, использующаяся в Windows для назначения домашней директории. Пример:
userHomeDrive="K:"
userScript
По умолчанию имя скрипта, использующегося при входе пользователя в систему.
Если не определено, автоматически будет использоваться скрипт username.cmd
. Пример:
userScript="%U"
Примечание: значение хранится в атрибуте sambaProfilePath
.
mailDomain
Домен, добавляемый к атрибуту пользователя ”mail”. Пример:
mailDomain="idealx.org"
with_smbpasswd
Параметр, устанавливающий, будет ли использоваться команда smbpasswd
для установки пароля пользователя Samba (вместо утилиты mkntpwd
). Пример:
with smbpasswd="0"
Примечание: значение может быть 0 или 1.
smbpasswd
Путь, по которому находится smbpasswd
. Пример:
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd
Параметр, устанавливающий, будет ли использоваться команда slappasswd
для установки пароля пользователя Unix (вместо утилиты Crypt:: librairies
). Пример:
with smbpasswd="0"
Примечание: значение может быть 0 или 1.
slappasswd
Путь, по которому находится slappasswd
. Пример:
smbpasswd="/usr/sbin/slappasswd".
Напоминаем, что этот файл должен быть доступен для просмотра только суперпользователю. Файл используется при модификации базы данных LDAP каталога, он включает имя пользователя и его пароль, который имеет право подключаться к первичному и вторичному LDAP каталогу. Пример этого файла есть в главе 8.1.2
Рассмотрим параметры этого файла:
slaveDN
Отличительное имя, используемое для связи с вторичным сервером LDAP. Пример:
slaveDN="cn=Manager,dc=idealx,dc=com"
или
slaveDN=""
Примечание: это может быть административная учетная запись каталога или другая учетная запись LDAP, которая имеет достаточные права для чтения всего каталога (база данных вторичного сервера используется только для чтения).
Анонимные подключения подключаются, как показано в примере 2.
slavePw
Пароль для доступа к вторичному серверу LDAP. Пример:
slavePw="secret"
или
slavePw=""
Примечание: пароль должен быть записан в незашифрованном виде. Файл должен быть доступен для чтения только суперпользователю root!
Анонимные подключения конфигурируются по примеру 2.
masterDN
Отличительное имя, используемое для связи с первичным сервером LDAP. Пример:
masterDN="cn=Manager,dc=idealx,dc=com"
Примечание: это может быть административная учетная запись каталога или другая учетная запись LDAP, который имеет достаточные права для внесения изменений в базу данных LDAP.
Анонимный доступ к первичному серверу не допускается.
masterPw
Пароль пользователя с административными полномочиями. Пример:
masterPw="secret"
Примечание: пароль должен быть записан в незашифрованном виде.
Еще раз убедитесь, что доступ к файлу не имеют те, кто его не должен иметь.
← назад | Оглавление | вперед → |