Подготовка домена на основе дистрибутива ROSA Enterprise Linux Server 6.6 в графическом режиме с помощью ROSA Management Console — различия между версиями
StasFomin (обсуждение | вклад) (Новая страница: «Основные службы, которые должны работать в домене: * Kerberos * LDAP * DNS * NTP * ssh * rsyslog * Apache (исполь…») |
(нет различий)
|
Текущая версия на 18:33, 16 апреля 2015
Основные службы, которые должны работать в домене:
- Kerberos
- LDAP
- DNS
- NTP
- ssh
- rsyslog
- Apache (используется для работы ROSA Management Console)
Дополнительные службы:
- NFSv4
- CUPS
- SMTP
- POP3
- IMAP4
Настройка сервера
В приведённом примере адрес сервера назначается в ручную: 192.168.100.1
При установке RELS 6.6 выбирается стандартная конфигурация сервера.
- После установки, на рабочем столе зайти в ROSA Management Console с помощью ярлыка «ROSA Server Setup».
- В ROSA Directory Server выбрать:
- Основные компоненты RDS
- Сервер DNS
- Сервер аутентификации Kerberos
- Настройка компонентов:
- Основные компоненты RDS:
- Hostname: server.testdom.info
- Имя домена RDS: testdom.info
- Пароль RDS: P@ssW0rd
- Сервер DNS:
- Мои сети: 192.168.100.0/24
- Сервер аутентификации Kerberos:
- TESTDOM.INFO
- KDC host name: server
- DNS domain name: testdom.info
- KDC database master key: kP@ssW0rd
- Убрать галочку: DNS lookup for KDC
Если всё настроено верно, мастер завершит свою работу без ошибок.
- После установки:
- Зайти в браузере в http://localhost/mmc
- Имя пользователя: root
- Пароль: 12345678
- Управление сетью → Сеть → Добавить DNS-зону
- FQDN DNS-зоны: testdom.info
- Имя первичного сервера имён: server
- IP-адрес сервера имён: 192.168.100.1
- Для обратной зоны:
- 192.168.100.0
- Маска подсети: 24
- Администрировать обратную зону: V
- Управление службами сети:
- Перезапустить DNS
- Сменить адрес DNS-сервера в управлении сетью — eth0 → Параметры Ipv4: 127.0.0.1
- Перезапустить NetworkManager (убрать/поставить галку «Управление сетью»).
- В консоли mmc: Пользователи → Добавить:
- Имя: testuser
- Пароль: uP@ssW0rd
- После создания пользователя можно проверить список принципалов в разделе Kerberos консоли mmc.
- В командной строке на сервере:
- Войти под именем суперпользователя:
su authconfig --enableldap --enablekrb5 --update
- Проверка доступности пользователя на сервере
- С помощью ssh
- ssh testuser@TESTDOM.INFO или ssh testuser@192.168.100.1
- Пароль: uP@ssW0rd
10. С помощью утилит kinit и klist проверяется список принципалов в разделе Kerberos:
- kinit testuser@TESTDOM.INFO
- Пароль: uP@ssW0rd
- klist
Должна появится запись следующего содержания:
Valid starting Expires Service principal
04/07/15 11:10:26 04/08/15 11:10:26 krbtgt/TESTDOM.INFO@TESTDOM.INFO
11. Настройка NTP на сервере от имени root
1. Отредактировать /etc/ntp.conf, раскомментировать две строчки:
- server 127.127.1.0
- fudge 127.127.1.0 statum 10
→
server 127.127.1.0
fudge 127.127.1.0 statum 10
или же добавить в конфиг, если таких строчек нет.
Проверить синхронизацию времени:
- ntpd -qg
Запустить службу ntpd и настроить её автозапуск:
- service ntpd start
- chkconfig ntpd on
Проверка автузапуска службы ntpd:
- chkconfig —list ntpd
Должна появиться запись следующего содержания:
ntpd 0:выкл 1:вкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл
Настройка клиентской станции на основе
ROSA Fresh R5 KDE, ROSA DX Cobalt 1.0 IK1 и ROSA DX Chrome 1.0 IK1
IP-адрес клиентской станции: 192.168.100.20
1. Включить ssh в коносли от имени root
- systemctl enable sshd.service
- systemctl start sshd.service
2. Настройка адреса DNS-сервера с помощью виджета «Управление сетью»
- ip-адрес DNS-сервера: 192.168.100.1
- Домены поиска: testdom.info
3. Перезапустить NetworkManager (убрать / поставить галку «Управление сетью»)
Перезапустить resolvconf
- systemctl restart resolvconf.service
4. Запустить drakauth
Выбрать вариант Kerberos 5
Область: testdom.info
Серверы KDC: server.testdom.info
Убрать галку «Использовать автономный режим» → Далее «Получать информацию о пользователях из LDAP»
LDAP-сервер: server.testdom.info
Получить базу Dn: (dc=testdom,dc=info)
5. Отредактировать файл /etc/krb5.conf и привести его к следующему виду:
[libdefaults]
default_realm = TESTDOM.INFO
dns_lookup_kdc = false
dns_lookup_realm = false
[realms]
TESTDOM.INFO = {
kdc = server.testdom.info:88
admin_server = server.testdom.info:749
default_domain = testdom.info
[domain_realm]
.testdom.info = TESTDOM.INFO
testdom.info = TESTDOM.INFO
[kdc]
profile = /etc/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
В существующем файле нужно изменить три строки:
- default_domain = testdom.info
- .testdom.info = TESTDOM.INFO
- testdom.info = TESTDOM.INFO
6. В файле /etc/pam.d/system-auth не добавляются записи для Kerberos. Необходимо добавить их вручную. Для этого необходимо открыть для редактирования файл /etc/pam.d/system-auth и привести к следующему виду:
- %PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so shadow try_first_pass nullok
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account required pam_deny.so
password required pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password sufficient pam_krb5.so use_authtok
password required pam_deny.so
session optional map_mkhomedir.so skel=/etc/skel/ umask=0022
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_krb5.so
-session optional pam_systemd.so
Достаточно добавить в стандартный файл конфигурации строки:
- auth sufficient pam_krb5.so use_first_pass
- account [default=bad success=ok user_unknown=ignore] pam_krb5.so
- password sufficient pam_krb5.so use_authtok
- session optional pam_krb5.so
7. Перезапустить службу nscd, выполнив команду:
- systemctl restart nscd.service
8. Проверка доступности пользователя
С помощью ssh
- ssh testuser@TESTDOM.INFO или ssh testuser@192.168.100.1
- Пароль: uP@ssW0rd
С помощью утилит kinit и klist проверяется список принципалов в разделе Kerberos:
- kinit testuser@TESTDOM.INFO
- Пароль: uP@ssW0rd
- klist
Должна появится запись следующего содержания:
Valid starting Expires Service principal
04/07/15 11:10:26 04/08/15 11:10:26 krbtgt/TESTDOM.INFO@TESTDOM.INFO
9. Настройка NTP на клиенте от имени root
Отредактировать /etc/ntp.conf
server 127.127.1.0
fudge 127.127.0 stratum 10
→
- server 127.127.1.0
- fudge 127.127.0 stratum 10
server server.testdom.info
Проверить синхронизацию времени:
- ntpd -qg
Запустить службу ntpd и настроить её автозапуск
Для ROSA Fresh R5 KDE
- systemctl enable ntpd.service
- systemctl start ntpd.service
Для ROSA DX Cobalt 1.0 IK1
- chkconfig ntpd on
- service ntpd start
Убедиться в том, что время синхронизировано с локальным сервером
10. Выйти из системы и войти с именем testuser, паролем uP@ssW0rd
- ntpq -p