[HOWTO] Ubuntu Small Buisness Server (LDAP + Samba)

[satch]

могу выложить конфиги все для ebox в качестве сервера, а клиентов altlinux 4.0

было-бы очень неплохо
я сейчас как раз тестирую ебокс, думаю со временем поставить на основной сервак

[vitalyl]

Я сейчас перевожу потихоньку всех с сервера2003 на  Ubuntu 8.04 i386 server & ebox. Несколько человек работают и никаких проблем пока не было. На сервере 2003 как раз кончались лицензии подключений.. Видимо докупать не придется

[Neksi]

eBox работает на Ubuntu 8.10

[vadim-nsk]

Настройка клиента ПСПО для работы с eBox

Сервер на котором установлен eBox ip=192.168.15.254, созданный домен SampleDomain, клиент на котором установлен ПСПО mehost
Сервер
Добавляем в конфиг самбы для корректного отображения кириллицы

(Нажмите, чтобы показать/скрыть)

[global]
 dos charset = CP866
 display charset = UTF-8
 unix charset = UTF-8
.....

также чтоб затем при добавлении или изменении шар не происходило перезаписи
/usr/share/ebox/stubs/samba/smb.conf.mas, сразу после вхождения [global] эти же строки

(Нажмите, чтобы показать/скрыть)

.....
</%init>
[global]
 dos charset = CP866
 display charset = UTF-8
 unix charset = UTF-8
.....

Клиент
Устанавливаем необходимое ПО. (nss-ldap, pam-ldap samba-client,smbldap-tools, openldap), может чего лишнего или не хватает не помню (завтра на коиенте посмотрю что установлено).
Cоздаем файл /etc/ldap.secret выставляем на него права 600 и вписываем в него пароль, который можно посмотреть на сервере в /etc/ldap/slapd.conf  из параметра rootpw
Затем исправляем /etc/ldap_pam.conf

(Нажмите, чтобы показать/скрыть)

# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1

# The distinguished name of the search base.
base dc=ebox

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
uri ldap://192.168.15.254/

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

bind_policy soft

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbindn cn=admin,dc=ebox

nss_base_passwd           ou=Users,dc=ebox?one
nss_base_passwd           ou=Computers,dc=ebox?one
nss_base_shadow           ou=Users,dc=ebox?one
nss_base_group      ou=Groups,dc=ebox?one

и /etc/nss_ldap.conf

(Нажмите, чтобы показать/скрыть)

# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1

# The distinguished name of the search base.
base dc=ebox

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
uri ldap://192.168.15.254

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

bind_policy soft

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbindn cn=admin,dc=ebox
   
nss_base_passwd           ou=Users,dc=ebox?one
nss_base_passwd           ou=Computers,dc=ebox?one
nss_base_shadow           ou=Users,dc=ebox?one
nss_base_group      ou=Groups,dc=ebox?one

исправляем /etc/nsswitch.conf

(Нажмите, чтобы показать/скрыть)

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Правим конфиг самбы /etc/samba/smb.conf

(Нажмите, чтобы показать/скрыть)

[global]
    unix charset = UTF-8
    dos charset = cp866
    display charset = UTF-8
    workgroup = SAMPLEDOMAIN
    netbios name = MEHOST
    security = DOMAIN
    log level = 1
    syslog = 0
    log file = /var/log/samba/%m
    max log size = 50
    smb ports = 137 138 139 445
    name resolve order = wins bcast hosts
    printcap name = CUPS
    wins server = 192.168.15.254
    ldap suffix = dc=ebox
    ldap machine suffix = ou=Computers
    ldap user suffix =  ou=Users
    ldap group suffix =  ou=Groups
    ldap idmap suffix = ou=Idmap
    ldap admin dn = cn=admin,dc=ebox
    idmap backend = ldap:ldap://192.168.15.254
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind trusted domains only = Yes
    printing = cups

Остается только настроить pam, рекомендуется сделать бэкап изменяемых файлов
/etc/pam.d/sshd

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth     required   pam_userpass.so
auth     sufficient   pam_ldap.so use_first_pass
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok nodelay blank_nolog use_first_pass
auth     required   pam_nologin.so
account  include   system-auth
password include   system-auth
session  include   system-auth

/etc/pam.d/system-auth

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth   sufficient /lib/security/pam_ldap.so
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
account   sufficient /lib/security/pam_ldap.so
account  required   pam_tcb.so shadow fork use_first_pass
password required   pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password   sufficient /lib/security/pam_ldap.so use_authtok
password required   pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb use_first_pass

session   optional /lib/security/pam_ldap.so
session  required   pam_tcb.so
session   required   /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0077
session  required   pam_limits.so

/etc/pam.d/system-auth-use_first_pass

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth    sufficient   /lib/security/pam_ldap.so   use_first_pass
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
password    sufficient   /lib/security/pam_ldap.so   use_first_pass
password required   pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

Присоедиямся к домену
net join -U admin
Вроде все.
PS еще раз делайте резервные копии файлов при внесении изменений.
PS PS есть удивительная вешь называется pam-mount позволяет монтировать сетевые ресурсы при авторизации клиента.

[Neksi]

На каждом из двухсот клиентов ручками?

[aim]

На каждом из двухсот клиентов ручками?

что мешает скрипты запустить?

[satch]

vadimka, ты openvpn поднимал?

[vadim-nsk]

vadimka, ты openvpn поднимал?

да

[satch]

с сертификатами или без? хочется без сертификатов, но инфы по этому варианту практически нет нашел тут вариант решения, но туманно как-то все

[$Alchemist]

Имхо все приимущество Ebox в простой установке и некой модульности, что являются плюсом для не подготовленных пользователей. При желании что-то более тонко подкрутить начинаются проблемы... Вобщем это не Unix Way

[vadim-nsk]

Имхо все приимущество Ebox в простой установке и некой модульности, что являются плюсом для не подготовленных пользователей. При желании что-то более тонко подкрутить начинаются проблемы... Вобщем это не Unix Way

Что именно тонко не получается подкрутить? Конкретики можно? Вот допустим у меня есть один сервер на котором 4 домена для каждого из которых, дополнительно настроен фтп(proftpd+mysql), веб-сервер(виртальные сайты), это функционал который не представлен из коробки, но который легко прикрутить, также как и любой другой. Какие могут быть такие задачи, которые нельзя тонко настроить, я пока еще не встретил.
Это, нормальный дистрибутив для тех кому нужно быстро и срочно поднять сервер со следующими задачами по выбору: шлюз, маршрутизатор, днс сервер, дхцп сервер, веб сервер, сервер печати, самба сервер, лдап сервер, опен впн сервер, прокси сервер. При этом сервера легко между собой связать по впн (филиал-главный офис). Дальше все легко можно тюнить и совершенствовать, если какой-либо функционал не устраивает вам никто не запрещает настроить по другому. У дистрибутива больше плюсов чем минусов. Ставиться минут за 30, дальше настраивается еще минут 20, но уже с помощью вебморды и готово офис может свободно работать в нете и соединяться с главным.
Я вообще не понимаю зачем хаять хороший качественный продукт (причем, как вы знаете, всякие коммерческие подобные продукты сколько стоят не обладая даже 10 долей настраиваемости) при этом делая голословные выводы и не приводя фактов.
Что конкретно нельзя настроить в eBox, чего можно допустим на freeBSD или Ubuntu serve?
Еще раз повторю. Я все задачи, которые реализую под BSD и GNU/Linux также легко реализую и под eBox(при этом затрачиваю на много времени меньше, которое сильно ценю, как в прочем ценю время с теми с кем работаю).
Могу еще хорошие продукты здесь посоветовать, но так это форум убунты я не расписываю преимуществ допустим SME Server или других аналогичных продуктов.
Мне нравится то, что делает команда разработчиков eBox и буду всегда способствовать таким проектам тем чем смогу. ОН хотя-бы полезен тем, что те кто первый раз устанавливают сервер смогут сразу получить результат, а уже затем, они уже в процессе работы смогут начитаться манов и начать править конфиги по своему усмотрению.

[$Alchemist]

2 vadimka: Спокойно, никто вобщем-то и не хаил
Я просто подчеркнул что это простой вариант, который не является лучшим вариантом для сисадмина в плане получения опыта администрирования unix серверов. Lamer's Way. 
А по поводу более тонкой настройки: сходу создал несколько виртуальных хостов и не обнаружил никаких упоминаний о них там где надо. Возможно поторопился с выводами, но недавнее знакомство с Trixbox этому очень поспособствовало...

[$Alchemist]

Вопрос по теме, может даже и в сторону Ебокса: каким образом поднимать BDC для существующего домена?

[.life.deb]

не работает...(((
пишу на сервере: ldapsearch -x -h 10.10.155.1 -b cn=admin,dc=test,dc=lan
ldap_bind: Can't contact LDAP server (-1)

однако если писать ldapsearch -x -h 127.0.0.1 -b cn=admin,dc=test,dc=lan   - всё работает!
как результат вендовые клиенты могут логиниться - бубунтовые нет(((
где грабли? 

[.life.deb]

вроде разобрался) все заработало.
но появился следующий вопрос: есть лдап-учётка скажем test, и у этого test'a группа Домен Админс. если я под этой учёткой захожу на вендовую машину всё норм - у меня админские права, но если на бунтовскую... то я там вообще никто
прав нет никаких(((
как их можно добавить?
+ можно как-то сделать чтой бы пользователи и под бунтой могли сами менять себе доменный пароль?
опять же под win Ctrl+Alt+Del -> сменить пароль, а под nix??