Понедельник, 20.11.2017, 00:26
УзкоеМесто
Главная | Мои написания | Регистрация | Вход
Меню сайта
Категории каталога
Мои статьи [3]
ВМЕМОРИЗ [12]
Жизнь Сисадмина [18]
Полезные (на мой взгляд) сведения для сисадминов
Оченно рекомендую! [8]
Материалы и работы, с которыми я рекомендую ознакомиться
Поэзия [3]
Ссылки, строки. Поэтическое - не только стихотворное...
Наш опрос
Что мешает Вам стать "законным" пользователем программ?
Всего ответов: 71
Главная » Статьи » Жизнь Сисадмина

PPTPD с авторизацией через AD
Емержим
squid
samba (с winbindd и AD)
libkrb5-1.3.1-alt5
pppd
pptpd

Настраиваем

Samba
Нам она нужна, чтобы иметь возможность общаться с Win-PDC (Primery Domain Controler) — то место где лежат логины и пароли пользователей win-сети. Нужно заставить нашу машину стать частью win-сети.

Для этого, нам нужны некоторые тело движения.

   1. Настроить kerberos для работы с PDC
   2. Собственно samba
   3. Некоторые телодвижения с запуском winbind.

Условимся:
Домен нашего AD = office.glh.ru
IP PDC = 192.168.1.1

Настраиваем kerberos

Для этого правим /etc/krb5.conf из libkrb5
Важно: Регистр букв и расположение точек важны в конфиге kerberos
#==/etc/krb5.conf==========================
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = OFFICE.GLH.RU # ставим имя своего локального домена AD
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
 OFFICE.GLH.RU = {
  kdc = 192.168.1.1:88
  admin_server = 192.168.1.1:749
  default_domain = office.glh.ru
 }

[domain_realm]
 .office.glh.ru = OFFICE.GLH.RU #обращаем внимание на точку вначале
 office.glh.ru = OFFICE.GLH.RU

[kdc]
 profile = /var/lib/kerberos/krb5kdc/kdc.conf

[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
#==/etc/krb5.conf==========================
*  имя.домена — можно найти следующим способом
Правой кнопкой мыши на значки Мой Компьютер на машине Win-PDC -> Свойства -> Сетевая Идентификация напротив слова Домен будет стоять что, типа этого «my_domen.local» или еще чего-нибудь, зависит от фантазии сисадмина, устанавливавшего AD (Active Directory) на PDC. В приведенном выше конфиге надо слова «имя.домена» заменить на «my_domain.local».

Проверяем:

Перед тем, как соединяться с AD в DNS нужно создать A-запись для нашего ppptp-сервера.
Для этого:  Start -> Administrative Tools -> DNS, там откройте ваш домен, правой кнопкой - "New host (A)..." и там впишите "Netbios name" и IP-адрес ppptp-сервера.

После этого проверяем (домен заглавными буквами!):

#kinit -V chip@OFFICE.GLH.RU
Password for chip@OFFICE.GLH.RU:
Authenticated to Kerberos v5

Проверяем Kerberos tickets:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: skwok@EXAMPLENET.ORG

Valid starting Expires Service principal
     09/03/05 14:43:47 09/04/05 00:43:04 krbtgt/EXAMPLENET.ORG@EXAMPLENET.ORG
   renew until 09/04/05 14:43:47

Kerberos 4 ticket cache: /tmp/tkt0
     klist: You have no tickets cached


Настраиваем саму Samba

Правим конфиг /etc/samba/smb.conf

#====/etc/samba/smb.conf=============
[global]
   workgroup = office.glh.ru
   server string =  lambada
   local master = no
   log file = /var/log/samba/log.%m
   max log size = 50
   realm = office.glh.ru
   security = ads
   password server = server
   encrypt passwords = yes
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-20000
   winbind gid = 10000-20000

   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   dns proxy = no
   use sendfile = yes
#===================================
Запускаем samba
#/etc/init.d/samba start
#/etc/init.d/winbind start

Далее пробуем зарегестрировать нашу машину как машину домена

#net ads join -S ip_адрес_PDC -U имя_пользотеля_входящего_в_группу_администраторы_домена_PDC

Нас мило просят ввести пароль пользотеля_входящего_в_группу_администраторы_домена_PDC и указанного после -U.
Вводим, получаем:

#Joined 'LAMBADA' to realm 'OFFICE.GLH.RU'

<b>Проверяем winbind</b>

#[root@linux-gw root]# wbinfo -p
#Ping to winbindd succeeded on fd 4
#[root@linux-gw root]# wbinfo -u
#Куча имен людей входящих в наш домен
#...
#[root@linux-gw root]# wbinfo -g

Настраиваем pptpd

Перво-наперво /etc/pptpd.conf
Находим  правим

#===========/etc/pptpd.conf========
localip 192.168.1.242 #IP нашего сервера, смотрящего в локалку
remoteip 10.0.0.101-200 #адреса, которые будут у клиентов
#===========/etc/pptpd.conf========

Обращаем внимание на то, что для клиентов определено 100 адресов. их количество можно переопределить в pptp.conf - читаем комментарии в файле на предмет "connections".

Второй файл - /etc/ppp/options.pptpd
Без комментариев это должно выглядеть так:

#==========/etc/ppp/options.pptpd=========
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 10.0.0.1
ms-wins 10.0.0.1
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
auth
nodefaultroute
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"
#==========/etc/ppp/options.pptpd=========

Теперь главное:
Всё вышеприведённое позволяет всем пользователям, зарегистрированным в AD присоединяться. Для определения нужного списка создаём в AD группу "inet_proxy", добавляем туда нужных пользователей и правим /etc/ppp/options.pptpd, добавив туда строчку:

#========/etc/ppp/options.pptpd============
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of=OFFICE+INET_PROXY"
#========/etc/ppp/options.pptpd============

Категория: Жизнь Сисадмина | Добавил: Capitoshka (04.08.2008) | Автор: Константин Пронин
Просмотров: 2842 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск

Друзья сайта

Диаграмма вирусной активности в сети за последние 24 часа
Статистика
Copyright MyCorp © 2017