Подготовка домена на основе дистрибутива ROSA Enterprise Linux Server 6.6 в графическом режиме с помощью ROSA Management Console

Материал из Rosalab Wiki
Версия от 18:33, 16 апреля 2015; StasFomin (обсуждение | вклад) (Новая страница: «Основные службы, которые должны работать в домене: * Kerberos * LDAP * DNS * NTP * ssh * rsyslog * Apache (исполь…»)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Основные службы, которые должны работать в домене:

  • Kerberos
  • LDAP
  • DNS
  • NTP
  • ssh
  • rsyslog
  • Apache (используется для работы ROSA Management Console)

Дополнительные службы:

  • NFSv4
  • CUPS
  • SMTP
  • POP3
  • IMAP4

Настройка сервера

В приведённом примере адрес сервера назначается в ручную: 192.168.100.1

При установке RELS 6.6 выбирается стандартная конфигурация сервера.

  • После установки, на рабочем столе зайти в ROSA Management Console с помощью ярлыка «ROSA Server Setup».
  • В ROSA Directory Server выбрать:
  • Основные компоненты RDS
  • Сервер DNS
  • Сервер аутентификации Kerberos
  • Настройка компонентов:
    • Основные компоненты RDS:
  • Hostname: server.testdom.info
  • Имя домена RDS: testdom.info
  • Пароль RDS: P@ssW0rd
    • Сервер DNS:
  • Мои сети: 192.168.100.0/24
  • Сервер аутентификации Kerberos:
  • TESTDOM.INFO
  • KDC host name: server
  • DNS domain name: testdom.info
  • KDC database master key: kP@ssW0rd
  • Убрать галочку: DNS lookup for KDC

Если всё настроено верно, мастер завершит свою работу без ошибок.

  • Имя пользователя: root
  • Пароль: 12345678
    • Управление сетью → Сеть → Добавить DNS-зону
  • FQDN DNS-зоны: testdom.info
  • Имя первичного сервера имён: server
  • IP-адрес сервера имён: 192.168.100.1
    • Для обратной зоны:
  • 192.168.100.0
  • Маска подсети: 24
  • Администрировать обратную зону: V
    • Управление службами сети:
  • Перезапустить DNS
  • Сменить адрес DNS-сервера в управлении сетью — eth0 → Параметры Ipv4: 127.0.0.1
  • Перезапустить NetworkManager (убрать/поставить галку «Управление сетью»).
  • В консоли mmc: Пользователи → Добавить:
  • После создания пользователя можно проверить список принципалов в разделе Kerberos консоли mmc.
  • В командной строке на сервере:
    • Войти под именем суперпользователя:
su
authconfig --enableldap --enablekrb5 --update

10. С помощью утилит kinit и klist проверяется список принципалов в разделе Kerberos:

Должна появится запись следующего содержания:

Valid starting Expires Service principal

04/07/15 11:10:26 04/08/15 11:10:26 krbtgt/TESTDOM.INFO@TESTDOM.INFO

11. Настройка NTP на сервере от имени root

1. Отредактировать /etc/ntp.conf, раскомментировать две строчки:

  1. server 127.127.1.0
  1. fudge 127.127.1.0 statum 10

server 127.127.1.0

fudge 127.127.1.0 statum 10

или же добавить в конфиг, если таких строчек нет.

Проверить синхронизацию времени:

  • ntpd -qg

Запустить службу ntpd и настроить её автозапуск:

  • service ntpd start
  • chkconfig ntpd on

Проверка автузапуска службы ntpd:

  • chkconfig —list ntpd

Должна появиться запись следующего содержания:

ntpd 0:выкл 1:вкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл

Настройка клиентской станции на основе

ROSA Fresh R5 KDE, ROSA DX Cobalt 1.0 IK1 и ROSA DX Chrome 1.0 IK1

IP-адрес клиентской станции: 192.168.100.20

1. Включить ssh в коносли от имени root

  • systemctl enable sshd.service
  • systemctl start sshd.service

2. Настройка адреса DNS-сервера с помощью виджета «Управление сетью»

  • ip-адрес DNS-сервера: 192.168.100.1
  • Домены поиска: testdom.info

3. Перезапустить NetworkManager (убрать / поставить галку «Управление сетью»)

Перезапустить resolvconf

  • systemctl restart resolvconf.service

4. Запустить drakauth

Выбрать вариант Kerberos 5

Область: testdom.info

Серверы KDC: server.testdom.info

Убрать галку «Использовать автономный режим» → Далее «Получать информацию о пользователях из LDAP»

LDAP-сервер: server.testdom.info

Получить базу Dn: (dc=testdom,dc=info)

5. Отредактировать файл /etc/krb5.conf и привести его к следующему виду:

[libdefaults]

default_realm = TESTDOM.INFO

dns_lookup_kdc = false

dns_lookup_realm = false

[realms]

TESTDOM.INFO = {

kdc = server.testdom.info:88

admin_server = server.testdom.info:749

default_domain = testdom.info

[domain_realm]

.testdom.info = TESTDOM.INFO

testdom.info = TESTDOM.INFO

[kdc]

profile = /etc/kerberos/krb5kdc/kdc.conf

[pam]

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

[login]

krb4_convert = false

krb4_get_tickets = false

В существующем файле нужно изменить три строки:

  • default_domain = testdom.info
  • .testdom.info = TESTDOM.INFO
  • testdom.info = TESTDOM.INFO

6. В файле /etc/pam.d/system-auth не добавляются записи для Kerberos. Необходимо добавить их вручную. Для этого необходимо открыть для редактирования файл /etc/pam.d/system-auth и привести к следующему виду:

  1. %PAM-1.0

auth required pam_env.so

auth sufficient pam_unix.so shadow try_first_pass nullok

auth sufficient pam_krb5.so use_first_pass

auth required pam_deny.so

account sufficient pam_unix.so

account [default=bad success=ok user_unknown=ignore] pam_krb5.so

account required pam_deny.so

password required pam_cracklib.so try_first_pass retry=3

password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow

password sufficient pam_krb5.so use_authtok

password required pam_deny.so

session optional map_mkhomedir.so skel=/etc/skel/ umask=0022

session optional pam_keyinit.so revoke

session required pam_limits.so

session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session required pam_unix.so

session optional pam_krb5.so

-session optional pam_systemd.so

Достаточно добавить в стандартный файл конфигурации строки:

  • auth sufficient pam_krb5.so use_first_pass
  • account [default=bad success=ok user_unknown=ignore] pam_krb5.so
  • password sufficient pam_krb5.so use_authtok
  • session optional pam_krb5.so

7. Перезапустить службу nscd, выполнив команду:

  • systemctl restart nscd.service

8. Проверка доступности пользователя

С помощью ssh

С помощью утилит kinit и klist проверяется список принципалов в разделе Kerberos:

Должна появится запись следующего содержания:

Valid starting Expires Service principal

04/07/15 11:10:26 04/08/15 11:10:26 krbtgt/TESTDOM.INFO@TESTDOM.INFO

9. Настройка NTP на клиенте от имени root

Отредактировать /etc/ntp.conf

server 127.127.1.0

fudge 127.127.0 stratum 10

  1. server 127.127.1.0
  1. fudge 127.127.0 stratum 10

server server.testdom.info

Проверить синхронизацию времени:

  • ntpd -qg

Запустить службу ntpd и настроить её автозапуск

Для ROSA Fresh R5 KDE

  • systemctl enable ntpd.service
  • systemctl start ntpd.service

Для ROSA DX Cobalt 1.0 IK1

  • chkconfig ntpd on
  • service ntpd start

Убедиться в том, что время синхронизировано с локальным сервером

  • ntpq -p
10. Выйти из системы и войти с именем testuser, паролем uP@ssW0rd