Маленький how-to по установке ebox-desktop и настройке авторизации на eBox-сервере с названием домена отличного от EBOX для Karmic-клиентов.
Устанавливаем ebox-desktop:
echo 'deb http://ppa.launchpad.net/jacalvo/ebox-desktop/ubuntu karmic main #eBox-desktop' | sudo tee -a /etc/apt/sources.list
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 6BEDDE6A57A64C28
sudo apt-get update && sudo apt-get install ebox-desktop
Будут установлены следующие пакеты: auth-client-config ebox-desktop ldap-auth-client ldap-auth-config ldap-utils libnss-ldap libpam-ldap
Важно! При установке некоторых пакетов будут заданы вопросы по LDAP-серверу. Во всех местах
ничего не изменяем и просто жмем Enter. Единственное, что потребуется ввести - это ip-адрес eBox-сервера в самом конце.
Для того, чтобы вносить дальнейшие изменения в конфигурационные файлы, нужно четко понимать разницу между именем домена, которое мы указываем через веб-интерфейс Office->Шаринг файлов->General settings->Domain name (это имя Samba-домена) и distinguished name (DN) в корне дерева LDAP, через которое модули авторизации обращаются к LDAP. Если вы устанавливали сервер eBox 1.3 из репозиториев, то при установке slapd (OpenLDAP) вы ввели имя домена типа my.company в виде dc=my,dc=company. Именно на него вам нужно заменить все упоминания dc=ebox в файле /etc/ldap.conf. Если же вы устанавливали eBox 1.3 из iso-образа, то distinguished name (DN) будет dc=nodomain. Именно на него вам нужно заменить все упоминания dc=ebox в файле /etc/ldap.conf.
Редактируем /etc/ldap.conf.
Было:
host 192.168.x.x
# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1
# The distinguished name of the search base.
base dc=ebox
# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldapi://%2fvar%2frun%2fslapd%2fldapi
# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3
bind_policy soft
# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
#rootbinddn cn=admin,dc=ebox
nss_base_passwd ou=Users,dc=ebox?one
nss_base_passwd ou=Computers,dc=ebox?one
nss_base_shadow ou=Users,dc=ebox?one
nss_base_group ou=Groups,dc=ebox?one
Стало:
host 192.168.x.x
# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1
# The distinguished name of the search base.
base dc=my,dc=company
# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldapi://%2fvar%2frun%2fslapd%2fldapi
# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3
bind_policy soft
# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
#rootbinddn cn=admin,dc=ebox
nss_base_passwd ou=Users,dc=my,dc=company?one
nss_base_passwd ou=Computers,dc=my,dc=company?one
nss_base_shadow ou=Users,dc=my,dc=company?one
nss_base_group ou=Groups,dc=my,dc=company?one
Теперь набираем
getent passwdи видим список локальных И LDAP-пользователей.
Можно авторизовываться в системе с серверными учетными записями.
Пользователь решил продолжить мысль 09 Декабря 2009, 22:12:06:
Мини how-to: как сделать Ubuntu-рабочую станцию членом samba-домена.
1. У вас
должна работать LDAP-авторизации по инструкции из предыдущего поста,
2. У вас
должна быть добавлена учётная запись с правами администратора через веб-интерфейс.
3. Далее правим /etc/samba.conf:
делаем резервную копию samba.conf
sudo cp /etc/samba/smb.conf{,.orig}меняем содержимое на
[global]
unix charset = LOCALE
workgroup = MY.DOMAIN
security = DOMAIN
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
smb ports = 137 138 139 445
name resolve order = wins bcast hosts
printcap name = CUPS
wins server = 192.168.x.x
ldap admin dn = cn=ebox,dc=my,dc=company
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Users
ldap suffix = dc=my,dc=company
ldap user suffix = ou=Users
idmap backend = ldap:ldap://192.168.x.x
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind trusted domains only = Yes
printing = cups
print command =
lpq command = %p
lprm command =
Где:
workgroup = MY.DOMAIN - имя самба-домена из Office->Шаринг файлов->General settings->Domain name;
wins server = 192.168.x.x - ip-адрес eBox-сервера;
ldap admin dn = cn=ebox,dc=my,dc=company - cn=ebox остается неизменным, а далее distinguished name (DN) из предыдущего поста;
ldap suffix = dc=my,dc=company - distinguished name (DN) из предыдущего поста;
idmap backend = ldap:ldap://192.168.x.x - ip-адрес eBox-сервера.
Тестируем конфиг на корректность
sudo testparmПерезапускаем samba
sudo /etc/init.d/samba restartРедактируем имя компьютера в /etc/hostname
Присоединяем компьютер к samba-домену
sudo net rpc join -U adminгде вместо
admin вводите имя учетной записи из пункта 2 (см. выше).
Получаем сообщение об успешном присоединении к домену. После этого данный компьютер становиться виден в "сетевом окружении" windows-рабочих станций и "Сеть" ubuntu-рабочих станций.
Тема: Zentyal (старое eBox) - администрирование корпоративной сети (Прочитано 307148 раз)
