| OpenLDAP + DNS + Samba + Postfix + OpenWebmail(1) | |
| 来源: ChinaUnix博客 日期: 2007.10.12 13:30 (共有0条评论) 我要评论 | |
| RedHat Enterprise Linux Server 4.3 + OpenLDAP + DNS + Samba + Postfix + OpenWebmail 作者:Fandy 电子邮箱: 、 msn: QQ号码:332018422 主页地址: 建立日期:2006年03月27日,最后修改日期:2006年07月30日 版权说明:本文章的内容归作者版权所有,同时也接受大家转贴,但要保留作者的完整信息和出处,多谢! 环境: 因为软件版权和费用的问题,一值是公司凝难问题(我们是一家中小型企业,没有那么多钱来投资和购买软件license费用)。经过公司高层领导的决定,公 司准备将所有Microsoft服务器操作系统更改为RedHat Enterprise Server 4.3服务器操作系统!公司高层领导对新网络改造要求也不高就是可以共享上网和打印机、公司邮件和用户数据统一管理。 另外我也想说一下“在网络配置过程中遇到了许多不明白的问题,好在有google.com这个好朋友顶力帮助,还得到几位Linux前辈的指导,才可以顺利完成这一次网络改造任务,真的要好好多谢几位前辈的帮助,多谢!” 文章分为七大部分介绍实施情况: 第一部分:OpenLDAP Master、Slave主机安装RedHat Enterprise Linux Server 4.3操作系统过程; 第二部分:配置OpenLDAP Master、Slave服务器、DNS Master、Slave服务器; 第三部分:Samba PDC主机安装RedHat Enterprise Linux Server 4.3操作系统过程; 第四部分:安装和配置Samba PDC服务器、Clamav + Samba-Vscan免费杀毒软件、五笔输入法等; 第五部分:Mail主机安装RedHat Enterprise Linux Server 4.3操作系统过程; 第六部分:配置Postfix服务器、OpenWebmail、E-Groupware等程序; 第七部分:Windows XP客户端加入Samba PDC域和配置Outlook电子邮箱; Setp0、实现网络图:
Setp1、Master & Slave OpenLDAP主机安装RedHat Enterprise Linux Server 4.3操作系统截图 RedHat Enterprise Linux AS 4.3的欢迎介面: 系统开始启动图形界面的安装程序,然后出现安装欢迎界面,直接点击 “►Next”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的安装语言选择介面: 进入安装语言的选择界面,这里选择“Chinese(Simplified)(简体中文)”→“►Next”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的键盘配置介面: 进入“键盘配置”界面后,安装程序会自动为用户选取一个通用的键盘类型,请点击“U.S.English”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘分区设置介面: 进入磁盘分区界面后,请点击“用 Disk Druid 手工分区(D)”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘分区设置警告介面: 在新硬盘上执行安装,所以在此会出现一个警告对话框,提示用户硬盘sda上的分区表无法读取,安装程序需要对其硬盘执行初始化操作,硬盘上所有数据将会丢失,请点击“√ 是(Y)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘设置介面: 设 备 挂点 类型 格式化 大小 开始 结束 /dev/sda1 / ext3 √ 9201 1 1173 /dev/sda2 swap √ 1028 1028 1304 请点选“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的引导装载程序配置介面: 在引导引导装载程序配置介面中,可以设置引导装载程序GRUB的属性,请点选“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的网络配置介面: 在网络配置界面中,安装程序提供通过DHCP自动配置和手工设置两种配置网络的方法,对于服务器而言IP地址通常是固定的,所以应该使用手工方式来设置,请点选“►编辑(E)”按键,进一步配置eth0资料! RedHat Enterprise Linux AS 4.3的编辑接口eth0介面(Master主机的网络详细配置): 取消“使用DHCP进行配置(D)”选择项; 点选“引导时激活(A)”; IP 地址(I):192.168.1.254 子网掩码(M):255.255.255.0 请点选“√ 确定(O)”按键,继续网络其它资料的配置! RedHat Enterprise Linux AS 4.3的主机名、网关、DNS服务器地址配置(Master主机的网络详细配置): 设置主机:master.nseasy.net; 其它设置: 网关(G):192.168.1.1; 主要DNS(P):192.168.1.254 次要DNS(S):192.168.1.253 第三DNS(T):202.96.128.68 RedHat Enterprise Linux AS 4.3的编辑接口eth0介面(Slave主机的网络详细配置): 取消“使用DHCP进行配置(D)”选择项; 点选“引导时激活(A)”; IP 地址(I):192.168.1.253 子网掩码(M):255.255.255.0 请点选“√ 确定(O)”按键,继续网络其它资料的配置! RedHat Enterprise Linux AS 4.3的主机名、网关、DNS服务器地址配置(Slave主机的网络详细配置): 设置主机:slave.nseasy.net; 其它设置: 网关(G):192.168.1.1; 主要DNS(P):192.168.1.254 次要DNS(S):192.168.1.253 第三DNS(T):202.96.128.68 RedHat Enterprise Linux AS 4.3的防火墙基本配置介面: 考虑到睇小弟的朋友好多都是初学者在学习和测试网络服务时,经常会遇到虽然服务配置正确,但是由于开启了防火墙和SELinux功能(特别是 SELinux功能),因此在测试时经常会发现服务不能正常工作,所以为了读者能将精力放在服务的配置上,建议在学习的过程将防火墙和SELinux功能 关闭! 点选: ⊙ 无防火墙 ⊙ 是否启用 SELinux:已禁用 请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的无防火墙警告介面: 如果系统直接连接在互联网或大型公共网络上,推荐您配置一个防火墙来防止未经授权的进入,不过,如果您选择要不配置防火墙,请点击“继续(P)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的系统支持的语言界面设置介面: 在选择系统支持的语言界面中,可以选择系统安装的语言和系统默认语言,这里建议出除了选择常用的简体中文以外,还可以选择一些常用的语言,这里请点击“Chinese(P R. of China)”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的时区设置介面: 在时区选择界面中,应根据实际来选择,这里请点击“亚洲/上海”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的系统管理员设置密码介面: 在设置系统管理员密码中,可以为root管理员帐号设置口令(因为root帐号在系统中具有最高权限,它在系统中可以进行不受任何限制的操作,所以这个口令要尽可量设置复杂些) 根口令(P):%Rb65*( 确认根口令(C):%Rb65*( 请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的软件包安装的默认设置介面: 软件包安装的默认设置界面中,安装程序会显示将要安装的软件包 建议这里选择: ⊙ 定制要安装的软件包(C) 这样可以在这里进行定制要安装的软件包,请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的软件包组安装桌面程序选项: (√) X窗口系统 (选取全部) (√) GNOME桌面环境 (选取全部) RedHat Enterprise Linux AS 4.3的软件包组安装应用程序选项: (√) 工程和科学 (选取默认) (√) 图形化互联网 (选取默认) (√) 基于文本的互联网 (选取默认) (√) 办公/生产率 (选取默认) RedHat Enterprise Linux AS 4.3的软件包组安装服务器选项: (√) 服务器配置工具 (选取全部) (√) 万维网服务器 (选取全部) (√) Windows文件服务器 (选取全部) (√) DNS服务器 (选取全部) RedHat Enterprise Linux AS 4.3的软件包组安装开发选项: (√) 开发工具 (选择全部) RedHat Enterprise Linux AS 4.3的软件包组安装系统选项: (√) 管理工具 (选取默认) (√) 打印支持 (选取默认) RedHat Enterprise Linux AS 4.3的软件包组安装杂项选项: 全部不要选择; RedHat Enterprise Linux AS 4.3的即将安装介面: 在即将安装界面中,安装程序会让用户进行安装的最后确认,请单击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的需要准备的安装光盘提示介面: 安装程序会非常善意地提醒用户需要准备的安装光盘数量,请单击“继续(C)”按键,继续安装过程; 安装过程中的“格式化硬盘”; 安装过程中的“正在筹备RPM传输……”; 安装过程中的“正在开启安装进程”; 安装过程中的“正在进行安装筹备……”; RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘2,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘2的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘3,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘3的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘4,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘4的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘1,单击“请点选“√ 确定(O)”按键,继续安装过程; 再次执行安装光盘1的软件包过程…… RedHat Enterprise Linux AS 4.3的安装后配置提示介面: 复制和安装软件包组,执行安装后配置程序过程; RedHat Enterprise Linux AS 4.3的软件包组安装完成提示介面: 最后安装程序报告系统安装完毕,至此,RedHat Enterprise Linux AS 4.3的安装完全结束,取出光驱中的安装光盘,请单击“重新引导(T)”按键,完成安装任务重新引导系统; RedHat Enterprise Linux AS 4.3系统的配置过程: 首次启动RedHat Enterprise Linux AS 4.3系统,会运行系统设置代理程序,出现欢迎界面,请单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“许可协议”界面,选择“Yes, I agree to the License Agreement”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“日期和时间”设置界面,应根据实际设置正确的时间,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 在“显示”设置界面中,应根据实际设置,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“Red Hat 网络登录”界面中,选择“告诉我为什么需要注册并提供一个Red Hat登录帐户”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“为什么要注册”界面中,因为我没有正版的授权,所以只能选择试用版的方式来使用这套软件,选择“我现在还不能完成注册。请在以后提醒我。”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 在进入“系统用户”界面中,建立一个普通用户的资料: 用户名:fandy 全名:Fan Jin Biao 口令:1234567 确认口令:1234567(必须和口令相同) 单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“系统声卡”设置界面中,单击“播放测试声音”按键,系统将播放3次声音。若声音播放正确,就在随后弹出的声音播放成功对话框选择“是”声音设置完成后,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“额外光盘”界面中,可以通过额外光盘用来安装用户所需要的额外软件,由于可以在以后再安装软件包,所以单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的结束配置: 进入“结束设置”界面中,直接单击“►下一步(N)”按键,就可以完成首次启动的设置工作,接下来就可以开始使用RedHat Enterprise Linux系统了; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“用户登录”界面中,在用户名框中输入:root,按回车键,继续用户登录系统的过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“用户登录”界面中,在密码框中输入:%Rb65*(,按回车键,完成用户登录系统的过程; RedHat Enterprise Linux AS 4.3启动系统初始化过程: 启动系统相关功能项目; 用户正常登录操作系统界面 到这里为止Master & Slave OpenLDAP主机安装RedHat Enterprise Linux Server 4.3操作系统! Master & Slave OpenLDAP、DNS服务器所需要的全部软件包清单: 详细清单: bind-9.2.4-2.i386.rpm bind-chroot-9.2.4-2.i386.rpm bind-devel-9.2.4-2.i386.rpm bind-libs-9.2.4-2.i386.rpm bind-utils-9.2.4-2.i386.rpm db4-4.2.52-7.1.i386.rpm db4-devel-4.2.52-7.1.i386.rpm db4-java-4.2.52-7.1.i386.rpm db4-tcl-4.2.52-7.1.i386.rpm db4-utils-4.2.52-7.1.i386.rpm openldap-2.2.13-4.i386.rpm openldap-clients-2.2.13-4.i386.rpm openldap-devel-2.2.13-4.i386.rpm openldap-servers-2.2.13-4.i386.rpm openldap-servers-sql-2.2.13-4.i386.rpm ---------------------------------------------------------------------------------------------------------------------- 特别说明:请确定以上所列表的软件包是否完全安装,如没有安装的请补完以上全部的软件包(软件包可以在系统的四张光盘中找到)! ---------------------------------------------------------------------------------------------------------------------- Setp2、配置OpenLDAP Master、Slave服务器、DNS Master、Slave服务器 配置主DNS服务器,详细过程: 修改Master DNS服务器/var/named/chroot/etc/named.conf文件,添加以下内容(注意修改/etc/目录下的named.conf也可以,因为是一个连接文件): 详细内容: zone "nseasy.net " { #正解 type master; file "/var/named/nseasy.net.hosts"; }; zone "1.168.192.in-addr.arpa" { #反解 type master; file "/var/named/192.168.1.rev"; }; 在MasterDNS服务器/var/named/chroot/var/named/目录建立正解nseasy.net.hosts文件,完整内容如下: 详细内容: $ttl 38400 @ IN SOA @ fandy.nseasy.net. ( 1137063120 10800 3600 604800 38400 ) @ IN MX 10 mail. nseasy.net @ IN A 192.168.1.254 @ IN A 192.168.1.253 @ IN NS master.nseasy.net. @ IN NS slave.nseasy.net. master.nseasy.net. IN A 192.168.1.254 slave.nseasy.net. IN A 192.168.1.253 pdc.nseasy.net. IN A 192.168.1.252 在MasterDNS服务器/var/named/chroot/var/named/目录建立反解192.168.1.rev文件,完整内容如下: 详细内容: $ttl 38400 @ IN SOA @ fandy.nseasy.net. ( 1137063120 10800 3600 604800 38400 ) @ IN NS master.nseasy.net. @ IN NS slave.nseasy.net. 253.1.168.192.in-addr.arpa. IN PTR nseasy.net. 254.1.168.192.in-addr.arpa. IN PTR nseasy.net. 253.1.168.192.in-addr.arpa. IN PTR slave.nseasy.net. 254.1.168.192.in-addr.arpa. IN PTR master.nseasy.net. 252.1.168.192.in-addr.arpa. IN PTR pdc.nseasy.net. ---------------------------------------------------------------------------------------------------------------------- 特别说明:Serial数值是随着nseasy.net.hosts和192.168.1.rev 两个文件发生变化时,Serial数值也要发生变化。Serial数值同是master及slave是否同步有关!一般而言,如果这个数值变大了, slave 才会同步更新。 ---------------------------------------------------------------------------------------------------------------------- 修改Master DNS服务器的/etc/resolv.conf文件,文件完整内容如下: 详细内容: search nseasy.net nameserver 192.168.1.254 nameserver 192.168.1.253 修改Master DNS服务器的/var/named/chroot/var/named/localhost.zone文件,完整内容如下: 详细内容: $TTL 86400 @ IN SOA @ root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 1D IN NS @ 1D IN A 127.0.0.1 修改Master DNS服务器的/var/named/chroot/var/named/named.local文件,完整内容如下: 详细内容: $TTL 86400 @ IN SOA localhost. root.localhost. ( 2005112401 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS localhost. 1 IN PTR localhost. 修改Master DNS服务器的/var/named/chroot/var/named/named.zero文件,完整内容如下:: 详细内容: $TTL 86400 @ IN SOA localhost root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum @ IN NS localhost 启动Master DNS服务器: 详细操作: # service named start (启动named服务器) 启动 named: [ 确定 ] 配置Slave DNS服务器,详细过程: 修改Slave DNS服务器/var/named/chroot/etc/named.conf文件,添加以下内容(注意修改/etc/目录下的named.conf也可以,因为是一个连接文件): 详细内容: zone " nseasy.net " { #正解内容 type slave; masters{192.168.1.254;}; file "/var/named/nseasy.net.hosts"; }; zone "1.168.192.in-addr.arpa" { #反解内容 type slave; masters{192.168.1.254;}; file "/var/named/192.168.1.rev"; }; 修改Slave DNS服务器的/etc/resolv.conf文件,文件完整内容如下: 详细内容: search nseasy.net nameserver 192.168.1.254 nameserver 192.168.1.253 因为RHEL 4.0系统使用CHROOT机制,所以需要使用以下的命令更改Slave DNS服务器目录属性,使管理员有写入的权限: 详细操作: # chmod g+w /var/named/chroot/var/named 使用scp命令复制Master DNS服务器主机中三个文件到Slave DNS服务器内(注意:复制文件的路径要跟Master DNS主机的一样): ---------------------------------------------------------------------------------------------------------------------- 特别说明:以下的这一步操作,请在master.easy.com主机(即Master DNS服务器主机)中进行,请大家一定要注意啊,重要(^_^)! ---------------------------------------------------------------------------------------------------------------------- 详细操作: # cd /var/named/chroot/var/named/ # scp localhost.zone :/var/named/chroot/var/named/ The authenticity of host 'slave.nseasy.net (192.168.1.253)' can't be established. RSA key fingerprint is c1:e3:eb:ee:62:2b:e8:6c:a2:5a:21:3b:ef:79:ec:79. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'slave.nseasy.net,192.168.1.253' (RSA) to the list of known hosts. 's password: jinbiao (输入slave主机的root超级管理员的密码) localhost.zone 100% 183 0.2KB/s 00:00 # scp named.local :/var/named/chroot/var/named/ 's password: jinbiao (输入slave主机的root超级管理员的密码) named.local 100% 433 0.4KB/s 00:00 # scp named.zero :/var/named/chroot/var/named/ 's password: jinbiao (输入slave主机的root超级管理员的密码) named.zero 100% 418 0.4KB/s 00:00 启动Slave DNS服务器: 详细操作: # service named start (启动named服务器) 启动 named: [ 确定 ] 对Master、Slave DNS服务器进行测试,使用nslookup命令来测试DNS服务器: 详细操作: # nslookup (DNS解释查询) > nseasy.net (输入要解释的域名:nseasy.net) Server: 192.168.1.254 Address: 192.168.1.254#53 Name: nseasy.net Address: 192.168.1.254 Name: nseasy.net Address: 192.168.1.253 > slave.easy.com (输入要查询的域名主机名:slave.nseasy.net) Server: 192.168.1.254 Address: 192.168.1.254#53 Name: slave.nseasy.net Address: 192.168.1.253 > master.nseasy.net (输入要查询的域名主机名:master.nseasy.net) Server: 192.168.1.254 Address: 192.168.1.254#53 Name: master.nseasy.net Address: 192.168.1.254 检查Master、Slave DNS服务器运行是否同步: 在主DNS服务器/var/named/chroot/var/named/nseasy.net.hosts文件新增一个正解主机记录内容: 详细内容: @ IN SOA @ fandy.nseasy.net. ( 1137063120 更改为: @ IN SOA @ fandy.nseasy.net. ( 1137063121 (每改一次在原值基础1137063120+1=1137063121) mail.nseasy.net. IN A 192.168.1.251 (新增一个正解主机记录) 在Master DNS服务器/var/named/chroot/var/named/192.168.1.rev文件新增一个反解主机记录内容: 详细内容: @ IN SOA @ fandy.nseasy.net. ( 1137063120 更改为: @ IN SOA @ fandy.nseasy.net. ( 1137063121 (每改一次在原值基础1137063120+1=1137063121) 251.1.168.192.in-addr.arpa. IN PTR mail.nseasy.net. (新增一个反解主机记录) 重新启动Master DNS服务器: 详细操作: # service named restart (重新启动named服务器) 停止 named: [ 确定 ] 启动 named: [ 确定 ] 检查Slave DNS服务器的日志记录,以便分析Master、Slave DNS同步的情况: 详细内容: # tail -n 15 /var/log/messages Mar 22 20:16:42 master named[3327]: running Mar 22 20:16:42 master named[3327]: zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 1137063123) Mar 22 20:16:42 master named[3327]: zone nseasy.net/IN: sending notifies (serial 1137063123) Mar 22 20:16:42 master named[3327]: client 192.168.1.253#32777: transfer of '1.168.192.in-addr.arpa/IN': AXFR-style IXFR started Mar 22 20:16:42 master named[3327]: received notify for zone '1.168.192.in-addr.arpa' Mar 22 20:16:42 master named[3327]: received notify for zone '1.168.192.in-addr.arpa' Mar 22 20:16:42 master named[3327]: received notify for zone 'nseasy.net ' Mar 22 20:16:42 master named[3327]: client 192.168.1.253#32778: transfer of 'nseasy.net/IN': AXFR-style IXFR started Mar 22 20:16:42 master named[3327]: received notify for zone 'nseasy.net '.nseasy.net. 如出现以上的日志信息,Master、Slave DNS服务器Master、Slave DNS已经同步。 配置Master OpenLDAP服务器,详细过程: 在配置Master OpenLDAP前,先复制samba.schema文件到/etc/openldap/schema/目录下(添加ldap所需要的samba认证的资料文件到schema目录): 详细操作: # cp /usr/share/doc/samb-3.0.10/LDAP/samba.schema /etc/openldap/schema/ ---------------------------------------------------------------------------------------------------------------------- 说明:请一定要复制samba.schema文件到/etc/openldap/schema目录下, 否则在启动ldap时会出现以下的错误提示信息: # service ldap start 检查 的配置文件:slaptest: bad configuration file! [失败] ---------------------------------------------------------------------------------------------------------------------- 修改Master OpenLDAP服务器/etc/openldap/目录中的slapd.conf文件,主要说明修改的关键部分: Master OpenLDAP主机slapd.conf文件内容的配置: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema 更改为: include /etc/openldap/schema/core.schema include /etc/openldap/schema/corba.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/dyngroup.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/misc.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema database ldbm(定义ldap的数据库类型) 更改为: database bdb suffix "dc=my-domain,dc=com" (定义ldap搜索的域后缀) rootdn "cn=Manager,dc= my-domain,dc=com" (定义ldap的管理DN) 更改为: suffix "dc=nseasy,dc=net" rootdn "cn=admin,dc=nseasy,dc=net" 继续slapd.conf文件内容的配置(Master Openldap): # rootpw {crypt}ijFYNcSNctBYg (设置管理DN的密码) 更改为: rootpw {SSHA}zW6nrZ8Muho9GOl/nAk3grt4Xqq0ZpJi index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub 更改为: index objectClass,uidNumber,gidNumber eq index cn,sn,uid,displayName pres,sub,eq index memberUid,mail,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq #replogfile /var/lib/ldap/openldap-master-replog #replica host=ldap-1.example.com:389 starttls=critical # bindmethod=sasl saslmech=GSSAPI # authcId=host/ldap-master.example.co 更改为: replogfile /var/lib/ldap/openldap-slave.replog replica host=slave.nseasy.net:389 binddn="cn=admin,dc=nseasy,dc=net" bindmethod=simple credentials=jinbiao access to attrs=userPassword,sambaLMPassword,sambaNTPassword by self write by anonymous auth by * none access to * by * read ---------------------------------------------------------------------------------------------------------------------- 特别说明:DN管理者密码的制造过程: # slappasswd -h {SSHA} -s jinbiao (产生SSHA密码的加密方式) {SSHA}ahKxZL3yjzLtZxXgx+WEMOrpcYH5/D3m # slappasswd -h {MD5} -s jinbiao (产生MD5密码的加密方式) {MD5}aQM3a2IdXua7HkURAn0Gbg== 特别说明:新增权限设定。在slapd.conf文件最后部分添加的内容,作用为定义ldap的访问权限(注意书写的格式,因为作者就是因为这个问题浪费了不少的时间和感情啦! ---------------------------------------------------------------------------------------------------------------------- 修改Master OpenLDAP服务器/etc/openldap/ldap.conf文件内容,主要说明修改的关键部分: 详细配置内容: BASE dc=example,dc=com (更改ldap搜索的域后缀) 更改为: BASE dc=nseasy,dc=net TLS_CACERTDIR /etc/openldap/cacerts(不使用TLS服务项目) 更改为: # TLS_CACERTDIR /etc/openldap/cacerts 启动Master OpenLDAP服务器项目,详细操作如下: 详细操作: # service ldap start 检查 slapd 的配置文件:config file testing succeeded 启动 slapd: [ 确定 ] 启动 slurpd: [ 确定 ] 查询master.nseasy.net的目录内容: 详细操作: # ldapsearch -x -h master.nseasy.net -b "dc=nseasy,dc=net" # extended LDIF # # LDAPv3 # base with scope sub # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1 配置Slave OpenLDAP服务器,详细过程: 在配置Slave OpenLDAP服务器前,请先停止Master OpenLDAP服务器,详细操作如下(请在Master主机内操作): 详细操作: # service ldap stop 停止 slapd: [ 确定 ] 停止 slurpd: [ 确定 ] 同时配置Slave OpenLDAP服务器,也要复制samba.schema文件到/etc/openldap/schema/目录下(添加ldap所需要的samba认证的资料文件到schema目录): 详细操作: # cp /usr/share/doc/samb-3.0.10/LDAP/samba.schema /etc/openldap/schema/ ---------------------------------------------------------------------------------------------------------------------- 说明:请一定要复制samba.schema文件到/etc/openldap/schema目录下, 否则在启动ldap时会出现以下的错误提示信息: # service ldap start 检查 的配置文件:slaptest: bad configuration file! [失败] ---------------------------------------------------------------------------------------------------------------------- 使用scp命令复制Master OpenLDAP服务器主机中/var/lib/ldap所有文件到Slave DNS服务器内(注意:复制文件的路径要跟Master DNS主机的一样): ---------------------------------------------------------------------------------------------------------------------- 特别说明:以下的这一步操作,请在master.easy.com主机(即Master DNS服务器主机)中进行,请大家一定要注意啊,重要(^_^)! ---------------------------------------------------------------------------------------------------------------------- 详细操作: # cd /var/lib/ldap # scp * :/var/lib/ldap/ 's password: jinbiao (输入slave主机的root超级管理员的密码) cn.bdb 100% 8192 8.0KB/s 00:00 __db.001 100% 16KB 16.0KB/s 00:00 __db.002 100% 272KB 272.0KB/s 00:00 __db.003 100% 96KB 96.0KB/s 00:00 __db.004 100% 16KB 96.0KB/s 00:00 __db.005 100% 1KB 96.0KB/s 00:00 dn2id.bdb 100% 8192 8.0KB/s 00:00 id2entry.bdb 100% 32KB 32.0KB/s 00:00 log.0000000001 100% 161KB 161.1KB/s 00:00 更改Slave OpenLDAP服务器/var/lib/ldap/目录的用户权限和属性,详细操作如下(请在Slave主机内操作): 详细操作: # chown -R ldap.ldap /var/lib/ldap # chmod 700 /var/lib/ldap 修改Slave OpenLDAP服务器/etc/openldap/目录中的slapd.conf文件,主要说明修改的关键部分(请在Slave主机内操作): Slave OpenLDAP主机slapd.conf文件内容的配置: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema 更改为: include /etc/openldap/schema/core.schema include /etc/openldap/schema/corba.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/dyngroup.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/misc.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema database ldbm(定义ldap的数据库类型) 更改为: database bdb suffix "dc=my-domain,dc=com" (定义ldap搜索的域后缀) rootdn "cn=Manager,dc= my-domain,dc=com" (定义ldap的管理DN) 更改为: suffix "dc=nseasy,dc=net" rootdn "cn=admin,dc=nseasy,dc=net" # rootpw {crypt}ijFYNcSNctBYg (设置管理DN的密码) 更改为: rootpw jinbiao index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub 更改为: index objectClass,uidNumber,gidNumber eq index cn,sn,uid,displayName pres,sub,eq index memberUid,mail,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq #新增加查找Master主机的方式 updatedn "cn=admin,dc=nseasy,dc=net" updateref ldap://master.nseasy.net 继续slapd.conf文件内容的配置(Slave Openldap): #增加用户访问Openldap资料权限 access to attrs=userPassword,sambaLMPassword,sambaNTPassword by self write by anonymous auth by * none access to * by * read 修改Slave OpenLDAP服务器/etc/openldap/ldap.conf文件内容,主要说明修改的关键部分: 详细配置内容: BASE dc=example,dc=com (更改ldap搜索的域后缀) 更改为: BASE dc=nseasy,dc=net TLS_CACERTDIR /etc/openldap/cacerts(不使用TLS服务项目) 更改为: # TLS_CACERTDIR /etc/openldap/cacerts 先启动Master OpenLDAP服务器项目,详细操作如下(请在Master主机内操作): 详细操作: # service ldap start 检查 slapd 的配置文件:config file testing succeeded 启动 slapd: [ 确定 ] 启动 slurpd: [ 确定 ] 再启动Slave OpenLDAP服务器项目,详细操作如下(请在Slave主机内操作): 详细操作: # service ldap start 检查 slapd 的配置文件:config file testing succeeded 启动 slapd: [ 确定 ] Setp3、Samba PDC主机安装RedHat Enterprise Linux Server 4.3操作系统截图 RedHat Enterprise Linux AS 4.3的欢迎介面: 系统开始启动图形界面的安装程序,然后出现安装欢迎界面,直接点击 “►Next”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的安装语言选择介面: 进入安装语言的选择界面,这里选择“Chinese(Simplified)(简体中文)”→“►Next”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的键盘配置介面: 进入“键盘配置”界面后,安装程序会自动为用户选取一个通用的键盘类型,请点击“U.S.English”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘分区设置介面: 进入磁盘分区界面后,请点击“用 Disk Druid 手工分区(D)”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘分区设置警告介面: 在新硬盘上执行安装,所以在此会出现一个警告对话框,提示用户硬盘sda上的分区表无法读取,安装程序需要对其硬盘执行初始化操作,硬盘上所有数据将会丢失,请点击“√ 是(Y)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的磁盘设置介面: 设 备 挂点 类型 格式化 大小 开始 结束 /dev/sda1 / ext3 √ 39911 1 5088 /dev/sda2 swap √ 1028 5089 5219 请点选“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的引导装载程序配置介面: 在引导引导装载程序配置介面中,可以设置引导装载程序GRUB的属性,请点选“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的网络配置介面: 在网络配置界面中,安装程序提供通过DHCP自动配置和手工设置两种配置网络的方法,对于服务器而言IP地址通常是固定的,所以应该使用手工方式来设置,请点选“►编辑(E)”按键,进一步配置eth0资料! RedHat Enterprise Linux AS 4.3的编辑接口eth0介面(PDC主机的网络详细配置): 取消“使用DHCP进行配置(D)”选择项; 点选“引导时激活(A)”; IP 地址(I):192.168.1.252 子网掩码(M):255.255.255.0 请点选“√ 确定(O)”按键,继续网络其它资料的配置! RedHat Enterprise Linux AS 4.3的主机名、网关、DNS服务器地址配置(PDC主机的网络详细配置): 设置主机:pdc.nseasy.net; 其它设置: 网关(G):192.168.1.1; 主要DNS(P):192.168.1.254 次要DNS(S):192.168.1.253 第三DNS(T):202.96.128.68 RedHat Enterprise Linux AS 4.3的防火墙基本配置介面: 考虑到睇小弟的朋友好多都是初学者在学习和测试网络服务时,经常会遇到虽然服务配置正确,但是由于开启了防火墙和SELinux功能(特别是 SELinux功能),因此在测试时经常会发现服务不能正常工作,所以为了读者能将精力放在服务的配置上,建议在学习的过程将防火墙和SELinux功能 关闭! 点选: ⊙ 无防火墙 ⊙ 是否启用 SELinux:已禁用 请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的无防火墙警告介面: 如果系统直接连接在互联网或大型公共网络上,推荐您配置一个防火墙来防止未经授权的进入,不过,如果您选择要不配置防火墙,请点击“继续(P)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的系统支持的语言界面设置介面: 在选择系统支持的语言界面中,可以选择系统安装的语言和系统默认语言,这里建议出除了选择常用的简体中文以外,还可以选择一些常用的语言,这里请点击“Chinese(P R. of China)”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的时区设置介面: 在时区选择界面中,应根据实际来选择,这里请点击“亚洲/上海”→“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的系统管理员设置密码介面: 在设置系统管理员密码中,可以为root管理员帐号设置口令(因为root帐号在系统中具有最高权限,它在系统中可以进行不受任何限制的操作,所以这个口令要尽可量设置复杂些) 根口令(P):%Rb65*( 确认根口令(C):%Rb65*( 请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的软件包安装的默认设置介面: 软件包安装的默认设置界面中,安装程序会显示将要安装的软件包 建议这里选择: ⊙ 定制要安装的软件包(C) 这样可以在这里进行定制要安装的软件包,请点击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的软件包组安装桌面程序选项: (√) X窗口系统 (选取全部) (√) GNOME桌面环境 (选取全部) RedHat Enterprise Linux AS 4.3的软件包组安装应用程序选项: (√) 工程和科学 (选取默认) (√) 图形化互联网 (选取默认) (√) 基于文本的互联网 (选取默认) (√) 办公/生产率 (选取默认) RedHat Enterprise Linux AS 4.3的软件包组安装服务器选项: (√) 服务器配置工具 (选取全部) (√) 万维网服务器 (选取全部) (√) Windows文件服务器 (选取全部) RedHat Enterprise Linux AS 4.3的软件包组安装开发选项: (√) 开发工具 (选择全部) RedHat Enterprise Linux AS 4.3的软件包组安装系统选项: (√) 管理工具 (选取默认) (√) 打印支持 (选取默认) RedHat Enterprise Linux AS 4.3的软件包组安装杂项选项: 全部不要选择; RedHat Enterprise Linux AS 4.3的即将安装介面: 在即将安装界面中,安装程序会让用户进行安装的最后确认,请单击“►下一步(N)”按键,继续安装过程; RedHat Enterprise Linux AS 4.3的需要准备的安装光盘提示介面: 安装程序会非常善意地提醒用户需要准备的安装光盘数量,请单击“继续(C)”按键,继续安装过程; 安装过程中的“格式化硬盘”; 安装过程中的“正在筹备RPM传输……”; 安装过程中的“正在开启安装进程”; 安装过程中的“正在进行安装筹备……”; RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘2,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘2的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘3,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘3的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘4,单击“请点选“√ 确定(O)”按键,继续安装过程; 执行安装光盘4的软件包过程…… RedHat Enterprise Linux AS 4.3的更换安装光盘提示介面: 安装程序会非常善意地提醒用户需要更换安装光盘1,单击“请点选“√ 确定(O)”按键,继续安装过程; 再次执行安装光盘1的软件包过程…… RedHat Enterprise Linux AS 4.3的安装后配置提示介面: 复制和安装软件包组,执行安装后配置程序过程; RedHat Enterprise Linux AS 4.3的软件包组安装完成提示介面: 最后安装程序报告系统安装完毕,至此,RedHat Enterprise Linux AS 4.3的安装完全结束,取出光驱中的安装光盘,请单击“重新引导(T)”按键,完成安装任务重新引导系统; RedHat Enterprise Linux AS 4.3系统的配置过程: 首次启动RedHat Enterprise Linux AS 4.3系统,会运行系统设置代理程序,出现欢迎界面,请单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“许可协议”界面,选择“Yes, I agree to the License Agreement”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“日期和时间”设置界面,应根据实际设置正确的时间,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 在“显示”设置界面中,应根据实际设置,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“Red Hat 网络登录”界面中,选择“告诉我为什么需要注册并提供一个Red Hat登录帐户”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“为什么要注册”界面中,因为我没有正版的授权,所以只能选择试用版的方式来使用这套软件,选择“我现在还不能完成注册。请在以后提醒我。”,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 在进入“系统用户”界面中,建立一个普通用户的资料: 用户名:fandy 全名:Fan Jin Biao 口令:1234567 确认口令:1234567(必须和口令相同) 单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“系统声卡”设置界面中,单击“播放测试声音”按键,系统将播放3次声音。若声音播放正确,就在随后弹出的声音播放成功对话框选择“是”声音设置完成后,单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“额外光盘”界面中,可以通过额外光盘用来安装用户所需要的额外软件,由于可以在以后再安装软件包,所以单击“►下一步(N)”按键,继续系统的配置过程; RedHat Enterprise Linux AS 4.3系统的结束配置: 进入“结束设置”界面中,直接单击“►下一步(N)”按键,就可以完成首次启动的设置工作,接下来就可以开始使用RedHat Enterprise Linux系统了; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“用户登录”界面中,在用户名框中输入:root,按回车键,继续用户登录系统的过程; RedHat Enterprise Linux AS 4.3系统的配置过程: 进入“用户登录”界面中,在密码框中输入:%Rb65*(,按回车键,完成用户登录系统的过程; RedHat Enterprise Linux AS 4.3启动系统初始化过程: 启动系统相关功能项目; 用户正常登录操作系统界面 Samba PDC服务器所需要的全部软件包清单: 详细清单: openldap-clients-2.2.13-4.i386.rpm perl-Crypt-SmbHash-0.12-1.rhel4.noarch.rpm perl-Digest-MD4-1.5-2.rhel4.i386.rpm perl-Digest-SHA1-2.07-5.i386.rpm perl-LDAP-0.31-5.noarch.rpm perl-XML-SAX-0.12-7.noarch.rpm nss_ldap-226-10.i386.rpm nss_db-2.2-29.i386.rpm nss_db-compat-2.2-29.i386.rpm samba-3.0.10-1.4E.6.i386.rpm samba-client-3.0.10-1.4E.6.i386.rpm samba-common-3.0.10-1.4E.6.i386.rpm samba-swat-3.0.10-1.4E.6.i386.rpm smbldap-tools-0.9.1-1.2.el4.rf.noarch.rpm ---------------------------------------------------------------------------------------------------------------------- 特别说明:请确定以上所列表的软件包是否完全安装,如没有安装的请补完以上全部的软件包(软件包可以在系统的四张光盘中找到)! ---------------------------------------------------------------------------------------------------------------------- Setp4、安装和配置Samba PDC服务器、Clamav + Samba-Vscan免费杀毒软件、五笔输入法 配置Samba PDC服务器,详细过程: 更改为使用LDAP帐号做pdc.nseasy.net主机的系统帐号,修改/etc/目录中的nsswitch.conf文件,主要说明修改的关键部分: 详细配置内容: passwd: files shadow: files group: files 更改为: passwd: files ldap shadow: files ldap group: files ldap 使用setup命令来配置用户和验证的详细信息: 详细操作: # setup 选择一种工具项目中选择:验证配置,然后按“运行工具”键; 用户信息项目中点选: “缓存信息”、“使用LDAP”; 验证项目中点选: “使用MD5口令”、“使用屏蔽口令”、“使用LDAP验证”; 然后按“下一步”键; LDAP设置: [ ] 使用TLS (不要点选); 服务器:192.168.1.254 (按默认地址) 基点 DN:dc=nseasy,dc=net (更改为:dc=nseasy,dc=net) 然后按“确定”键: 系统自动执行过程如下: setsebool: SELinux is disabled. 停止 nscd: [ 失败 ] 启动 nscd: [ 确定 ] 执行后以上的操作后,将后回到“选择一种工具”介面,按“退出”键,完成所有ldap进认证过程。 修改/etc/pam.d/目录中的sshd文件,完整文件内容如下: 详细配置内容: #%PAM-1.0 auth sufficient /lib/security/pam_ldap.so auth required pam_stack.so service=system-auth auth required pam_nologin.so account sufficient /lib/security/pam_ldap.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth 修改/etc/openldap/目录中的ldap.conf文件,主要说明修改的关键部分: 详细配置内容: TLS_CACERTDIR /etc/openldap/cacerts 更改为: # TLS_CACERTDIR /etc/openldap/cacerts 修改/etc/目录中的ldap.conf文件,主要说明修改的关键部分: 详细配置内容: # rootbinddn cn=Manager,dc=easy,dc=com 更改为: rootbinddn cn=admin,dc=nseasy,dc=net #krb5_ccname FILE:/etc/.ldapcache 添加以下内容: #krb5_ccname FILE:/etc/.ldapcache nss_base_passwd ou=Users,dc=nseasy,dc=net?one nss_base_passwd ou=Computers,dc=nseasy,dc=net?one nss_base_shadow ou=Users,dc=nseasy,dc=net?one nss_base_group ou=Groups,dc=nseasy,dc=net?one TLS_CACERTDIR /etc/openldap/cacerts 更改为: # TLS_CACERTDIR /etc/openldap/cacerts 调整系统中的pam_ldap模组设定,详细操作如下: 详细配置内容: # echo jinbiao > /etc/ldap.secret # chmod 600 /etc/ldap.secret Samba的主要配置文件/etc/samba/smb.conf,其实系统中存有一个实际的例子配置文件可提供参考,只要更换成例子文件和按照自己的实际情况做一定的修改就可供使用: 详细操作: # cp /usr/share/doc/smbldap-tools-0.9.1/smb.conf /etc/samba/ cp:是否覆盖‘/etc/samba/smb.conf’? y 修改/etc/samba/smb.conf文件,以下为完整文件的详细内容:: 详细配置内容: ############################## Global parameters################# [global] workgroup = nseasy netbios name = PDC server string = Samba Server %v log file = /var/log/samba/log.%m security = user encrypt passwords = Yes obey pam restrictions = No ldap passwd sync = Yes log level = 3 syslog = 0 max log size = 100000 time server = Yes socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 mangling method = hash2 Dos charset = UTF-8 Unix charset = UTF-8 logon script = %U.bat logon drive = H: domain logons = Yes os level = 65 preferred master = Yes domain master = Yes passdb backend = ldapsam:ldap://192.168.1.254 ldap admin dn = cn=admin,dc=nseasy,dc=net ldap suffix = dc=nseasy,dc=net ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap ssl = off ldap delete dn = Yes add user script = /sbin/smbldap-useradd -m "%u" add machine script = /sbin/smbldap-useradd -t 0 -w "%u" add group script = /sbin/smbldap-groupadd -p "%g" add user to group script = /sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /sbin/smbldap-usermod -g '%g' '%u' ############################## Homes parameters ################ [homes] comment = repertoire de %U, %u browseable = no writeable = yes read only = no force create mode = 0700 create mode = 0700 force directory mode = 0700 directory mode = 700 ############################# Netlogone parameters ############### [netlogon] path = /home/netlogon/ browseable = No read only = yes ############################# Public parameters ################## [public] comment = Public Directory path = /home/public/ browseable = No writable = yes guest ok = yes create mask = 0777 ---------------------------------------------------------------------------------------------------------------------- 特别提示:在网上有一些文章介绍可以实现自动创建计算机帐号的方法,不知道可否正常使用,小弟没有试过! 操作如下在smb.conf文件的[global]里加入以下内容(注:适合Samba 3.0版以上): add machind script = /usr/sbin/useradd –d /dev/null –g 100 –s /bin/false –M %u ---------------------------------------------------------------------------------------------------------------------- 建立相关共享目录操作: 详细操作: # mkdir /home/netlogon # mkdir /home/public 启动Samba服务项目: 详细操作: # service smb start 启动 SMB 服务: [ 确定 ] 启动 NMB 服务: [ 确定 ] 添加Samba admin dn的ldap管理员密码(注意密码要和您openldap的rootdn密码要一致啊): 详细操作: # smbpasswd -w jinbiao Setting stored password for "cn=Manager,dc=nseasy,dc=net" in secrets.tdb 使用testparm命令来测试Samba PDC服务器配置是否正常启动: 详细操作: # testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[netlogon]" Processing section "[public]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Press enter to see a dump of your service definitions Sambldap的配置使用过程: 详细操作: # cd /usr/share/doc/smbldap-tools-0.9.1/ # ./configure.pl -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- smbldap-tools script configuration -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Before starting, check . if your samba controller is up and running. . if the domain SID is defined (you can get it with the 'net getlocalsid') . you can leave the configuration using the Crtl-c key combination . empty value can be set with the "." character -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Looking for configuration files... Samba Configuration File Path [/etc/samba/smb.conf] > The default directory in which the smbldap configuration files are stored is shown. If you need to change this, enter the full directory path, then press enter to continue. Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] > -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Let's start configuring the smbldap-tools scripts ... . workgroup name: name of the domain Samba act as a PDC workgroup name [nseasy] > . netbios name: netbios name of the samba controler netbios name [PDC] > . logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:' logon drive [H:] > . logon home: home directory location (for Win95/98 or NT Workstation). (use %U as username) Ex:'\\PDC\%U' logon home (press the "." character if you don't want homeDirectory) [\\PDC\%U] > . logon path: directory where roaming profiles are stored. Ex:'\\PDC\profiles\%U' logon path (press the "." character if you don't want roaming profile) [\\PDC\profiles\%U] > . . home directory prefix (use %U as username) [/home/%U] > . default users' homeDirectory mode [700] > . default user netlogon script (use %U as username) [%U.bat] > default password validation time (time in days) [45] > . ldap suffix [dc=nseasy,dc=net] > . ldap group suffix [ou=Groups] > . ldap user suffix [ou=Users] > 继续smb.conf文件内容: 详细配置内容: . ldap machine suffix [ou=Computers] > . Idmap suffix [ou=Idmap] > . sambaUnixIdPooldn: object where you want to store the next uidNumber and gidNumber available for new users and groups sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=nseasy] > . ldap master server: IP adress or DNS name of the master (writable) ldap server ldap master server [192.168.1.254] > . ldap master port [389] > . ldap master bind dn [cn=admin,dc=nseasy,dc=net] > ldap master bind password [] > jinbiao (Samba admin dn的ldap管理密码) . ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one ldap slave server [192.168.1.254] > . ldap slave port [389] > . ldap slave bind dn [cn=admin,dc=nseasy,dc=net] > ldap slave bind password [] > jinbiao (Samba admin dn的ldap管理密码) . ldap tls support (1/0) [0] > . SID for domain nseasy: SID of the domain (can be obtained with 'net getlocalsid PDC') SID for domain nseasy [S-1-5-21-3519350192-200481810-3753220053] > . unix password encryption: encryption used for unix passwords unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] > . default user gidNumber [513] > . default computer gidNumber [515] > . default login shell [/bin/bash] > . default skeleton directory [/etc/skel] > . default domain name to append to mail adress [] > nseasy.net -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= backup old configuration files: /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old writing new configuration file: /etc/smbldap-tools/smbldap.conf done. /etc/smbldap-tools/smbldap_bind.conf done. ---------------------------------------------------------------------------------------------------------------------- 重点说明:检查/etc/smbldap-tools/目录内的smbldap_bind.conf文件以下内容要一致: slaveDN=″cn=admin,dc=nseasy,dc=net″ slavePW =″jinbiao″ masterDN=″cn=admin,dc=nseasy,dc=net″ masterPW “jinbiao” ---------------------------------------------------------------------------------------------------------------------- 使用smbldap-populate命令初始化用户服务数据库: 详细操作: # smbldap-populate Populating LDAP directory for domain nseasy (S-1-5-21-3519350192-200481810-3753220053) (using builtin directory structure) adding new entry: dc=nseasy,dc=net adding new entry: ou=Users,dc=nseasy,dc=net adding new entry: ou=Groups,dc=nseasy,dc=net adding new entry: ou=Computers,dc=nseasy,dc=net adding new entry: ou=Idmap,dc=nseasy,dc=net adding new entry: uid=root,ou=Users,dc=nseasy,dc=net adding new entry: uid=nobody,ou=Users,dc=nseasy,dc=net adding new entry: cn=Domain Admins,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Domain Users,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Domain Guests,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Domain Computers,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Administrators,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Account Operators,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Print Operators,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Backup Operators,ou=Groups,dc=nseasy,dc=net adding new entry: cn=Replicators,ou=Groups,dc=nseasy,dc=net adding new entry: sambaDomainName=nseasy,dc=nseasy,dc=net Please provide a password for the domain root: Changing password for root New password : jinbiao (admin的ldap管理密码) Retype new password : jinbiao (admin的ldap管理密码) 查看Samba的SID编号: 详细操作: # net getlocalsid SID for domain PDC is: S-1-5-21-3519350192-200481810-3753220053 使用smbaldap-useradd命令来添加用户组和用户到Samba PDC域内: 详细操作: # smbldap-useradd -a -m user2 (添加一个samba帐号并创建主目录) # smbldap-groupadd -p acc (添加一个samba组帐号) # smbldap-groupmod -m user2 acc (添加user2用户帐号到acc帐号中) adding user user2 to group acc 使用smbaldap-useradd命令来添加计算机名到Samba PDC域内: 详细操作: # smbldap-useradd -w pyns01$ (添加一个域计算机帐号) 更改user2帐号的密码: 详细操作: # smbldap-passwd user2 Changing password for user2 New password : 123456 (用户密码) Retype new password : 123456 (确认用户密码) 添加user2帐号的信息: 详细操作: # smbldap-userinfo user2 Changing the user information for user2 Enter the new value, or press ENTER for the default User Shell [/bin/bash]:/bin/sh Full Name [System User]:fan jin biao Room Number []:4873 Work Phone []:013066396266 Home Phone []:82-020-84680605 Other []:ha ha! LDAP updated 查看user2帐号的信息: 详细操作: # smbldap-usershow user2 dn: uid=user2,ou=Users,dc=nseasy,dc=net objectClass: top,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount uid: user2 uidNumber: 1000 gidNumber: 513 homeDirectory: /home/user2 description: System User sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 displayName: System User sambaSID: S-1-5-21-3519350192-200481810-3753220053-3000 sambaPrimaryGroupSID: S-1-5-21-3519350192-200481810-3753220053-513 sambaLogonScript: user2.bat sambaHomePath: \\PDC\user2 sambaHomeDrive: H: sambaLMPassword: 15881AE64C222524AAD3B435B51404EE sambaAcctFlags: [U] sambaNTPassword: D577561A7CF0233733F6EA39BB596996 sambaPwdLastSet: 1153925912 sambaPwdMustChange: 1157813912 userPassword: {SSHA}DT0JnokCNuGkC1y7Hv281+MJSQMuWm5s gecos: fan jin biao,4873,013066396266,82-020-84680605,ha ha! cn: fan jin biao sn: biao givenName: fan jin roomNumber: 4873 telephoneNumber: 013066396266 homePhone: 82-020-84680605 loginShell: /bin/sh Samba用户登陆调试说明: 使用user2帐号登陆PDC服务器: 详细操作: # smbclient -L 192.168.1.254 -U user2 Password: Domain=[NSEASY] OS=[Unix] Server=[Samba 3.0.10-1.4E.6] Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba Server 3.0.10-1.4E.6) ADMIN$ IPC IPC Service (Samba Server 3.0.10-1.4E.6) user2 Disk repertoire de user2, user2 Domain=[NSEASY] OS=[Unix] Server=[Samba 3.0.10-1.4E.6] Server Comment --------- ------- PDC Samba Server 3.0.10-1.4E.6 Workgroup Master --------- ------- MYGROUP MASTER NSEASY PDC Samba域建立Windows用户登陆logon文件(本例为建立user2用户的user2.bat文件): 使用“文本编辑器”在/home/netlogon/目录新建user2.tmp文件,完整内容如下: 详细内容: net time \\PDC /set /yes (客户端与服务器的时间同步) net use T: \\PDC\public (设定public目录为T:盘) 将tmp文件转换成bat文件(因操作系统文件格式的不同,所以要进行一些特殊的转换工作): 详细内容: # cat -A user2.tmp | tr ‘$’ ‘\r’ > user2.bat 查看user2.bat文件转换结果: 详细内容: # cat -A user2.bat net time \\PDC /set /yes^M$ net use T: \\PDC\public^M$ 使用Clamav + Samba-Vscan查杀Samba服务器内设定的共享文件夹内容: 软件包格式:clamav-db-0.86.2-1.2.el4.rf.i386.rpm clamav-0.86.2-1.2.el4.rf.i386.rpm clamav-devel-0.86.2-1.2.el4.rf.i386.rpm clamd-0.86.2-1.2.el4.rf.i386.rpm clamav-milter-0.86.2-1.2.el4.rf.i386.rpm 软件包的大小分别为(KB):2385KB、602KB、153KB、58KB 、66KB 下载地址: http://dries.studentenweb.org/rpm/packages/clamav/info.html 软件包格式: samba-vscan-clamav-0.3.6-1.i386.rpm 软件包的大小(KB):56KB 下载地址: http://crash-hat.sd2.mirrors.redwire.net/crash-hat/3/samba-vscan/ 安装Clamav软件包: 详细操作: # clamav-db-0.86.2-1.2.el4.rf.i386.rpm warning: clamav-db-0.86.2-1.2.el4.rf.i386.rpm: V3 DSA signature: NOKEY, key ID 1aa78495 Preparing... ########################################### [100%] 1:clamav-db ########################################### [100%] # clamav-0.86.2-1.2.el4.rf.i386.rpm warning: clamav-0.86.2-1.2.el4.rf.i386.rpm: V3 DSA signature: NOKEY, key ID 1aa78495 Preparing... ########################################### [100%] 1:clamav ########################################### [100%] # clamav-devel-0.86.2-1.2.el4.rf.i386.rpm warning: clamd-0.86.2-1.2.el4.rf.i386.rpm: V3 DSA signature: NOKEY, key ID 1aa78495 Preparing... ########################################### [100%] 1:clamd ########################################### [100%] # clamd-0.86.2-1.2.el4.rf.i386.rpm warning: clamav-devel-0.86.2-1.2.el4.rf.i386.rpm: V3 DSA signature: NOKEY, key ID 1aa78495 Preparing... ########################################### [100%] 1:clamav-devel ########################################### [100%] # clamav-milter-0.86.2-1.2.el4.rf.i386.rpm warning: clamav-milter-0.86.2-1.2.el4.rf.i386.rpm: V3 DSA signature: NOKEY, key ID 1aa78495 Preparing... ########################################### [100%] 1:clamav-milter ########################################### [100%] ---------------------------------------------------------------------------------------------------------------------- 特别提示:请严格按照以上的安装顺序来安装Clamav软件包,否则出现安装不成功的情况! ---------------------------------------------------------------------------------------------------------------------- 安装Samba-Vscan软件包: 详细操作: # samba-vscan-clamav-0.3.6-1.i386.rpm warning: samba-vscan-clamav-0.3.6-1.i386.rpm: V3 DSA signature: NOKEY, key ID 6cdf2cc1 Preparing... ########################################### [100%] 1:samba-vscan-clamav ########################################### [100%] 升级病毒库文件: 详细操作: # freshclam –verbose Current working dir is /var/clamav Max retries == 3 ClamAV update process started at Fri Jan 27 17:37:45 2006 Querying current.cvd.clamav.net TTL: 900 Software version from DNS: 0.88 WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.86.2 Recommended version: 0.88 DON'T PANIC! Read http://www.clamav.net/faq.html main.cvd version from DNS: 35 Retrieving http://db.cn.clamav.net/main.cvd Downloading main.cvd main.cvd updated (version: 35, sigs: 41649, f-level: 6, builder: tkojm) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 5, recommended = 6 DON'T PANIC! Read http://www.clamav.net/faq.html daily.cvd version from DNS: 1252 Retrieving http://db.cn.clamav.net/daily.cvd Downloading daily.cvd daily.cvd updated (version: 1252, sigs: 1513, f-level: 7, builder: diego) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 5, recommended = 7 DON'T PANIC! Read http://www.clamav.net/faq.html Database updated (43162 signatures) from db.cn.clamav.net (IP: 221.6.197.162) ERROR: Clamd was NOT notified: Can't connect to clamd on 127.0.0.1:3310 connect(): Connection refused Freeing option list...done 修改/etc/samba/目录中的smb.conf文件中[global]配置部分加入以下内容,完整内容如下: 详细操作: ################# Global parameters################# [global] workgroup = nseasy netbios name = PDC server string = Samba Server %v log file = /var/log/samba/log.%m security = user encrypt passwords = Yes obey pam restrictions = No ldap passwd sync = Yes log level = 3 syslog = 0 max log size = 100000 time server = Yes socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 mangling method = hash2 Dos charset = UTF-8 Unix charset = UTF-8 logon script = %U.bat logon drive = H: domain logons = Yes os level = 65 preferred master = Yes domain master = Yes passdb backend = ldapsam:ldap://127.0.0.1/ ldap admin dn = cn=admin,dc=nseasy,dc=net ldap suffix = dc=nseasy,dc=net ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap ssl = off ldap delete dn = Yes add user script = /sbin/smbldap-useradd -m "%u" add machine script = /sbin/smbldap-useradd -t 0 -w "%u" add group script = /sbin/smbldap-groupadd -p "%g" add user to group script = /sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /sbin/smbldap-usermod -g '%g' '%u' vfs object = vscan-clamav vscan-oav: config-file = /etc/samba/vscan-clamav.conf 修改修改/etc/samba/目录中的vscan-clamav.conf文件,主要说明修改的关键部分,详细内容如下: 详细操作: infected file action = nothing (当找到感染的档案是否发出”警告popup 窗口”给windows) 更改为: infected file action = quarantine 修改修改/etc/目录中的clamd.conf文件,主要说明修改的关键部分,详细内容如下: 详细操作: TCPSocket 3310 (取消TCPSocket 3310) 更改为: #TCPSocket 3310 #LocalSocket /var/run/clamav/clamd.sock (clamd socket的位置) 更改为: LocalSocket /var/run/clamav/clamd.sock User clamav (更改操作用户帐号) 更改为: User root 重新启动Samba服务项目: 详细操作: # service smb restart 关闭 SMB 服务: [ 确定 ] 关闭 NMB 服务: [ 确定 ] 启动 SMB 服务: [ 确定 ] 启动 NMB 服务: [ 确定 ] 启动Samba服务项目: 详细操作: # service clamd start Starting Clam AntiVirus Daemon [ 确定 ] 如果看到以下的讯息表现已经成功: 详细操作: # tail /var/log/messages Jan 27 17:56:10 ldap clamd[3218]: HTML support enabled. Jan 27 17:56:10 ldap clamd[3218]: Self checking every 1800 seconds. Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: samba-vscan (vscan-clamav 0.3.6) connected (Samba 3.0), (c) by Rainer Link, OpenAntiVirus.org Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: INFO: connect to service IPC$ by user nobody Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: INFO: disconnected Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: samba-vscan (vscan-clamav 0.3.6) connected (Samba 3.0), (c) by Rainer Link, OpenAntiVirus.org Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: INFO: connect to service IPC$ by user user2 Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: samba-vscan (vscan-clamav 0.3.6) connected (Samba 3.0), (c) by Rainer Link, OpenAntiVirus.org Jan 27 17:56:26 ldap smbd_vscan-clamav[3209]: INFO: connect to service IPC$ by user nobody Jan 27 17:56:37 ldap smbd_vscan-clamav[3209]: INFO: disconnected 本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/27493/showart_399285.html |
