sábado, 27 de septiembre de 2014

Zelan instalatu Samba4 FreeBSD 10ean

ACL-ak gaitu fitxategi sisteman


Samba instalatu baino lehen ACLak (Access Control Lists) gaitu beharko ditugu fitxategi sisteman, SAMBA4 erabili ahal izateko beharrezkoa baita.


Horretarako /etc/fstab fitxategian acls direktiba gehituko dugu, adibidez:



# Device        Mountpoint      FStype  Options Dump    Pass#
/dev/da0p2      /               ufs     rw,noatime,acls 1       1
/dev/da0p3      none            swap    sw      0       0




Behin /etc/fstab fitxategia editatuta, ez dugu makina berrabiarazi behar, honekin nahikoa da:



# mount -o acls /


SAMBA4 INSTALATU


Orain gure Samba4 instalatuko dugu ports sistema edo paketeak erabiltzen:



Paketeak

# pkg install samba41




Ports

# cd /usr/ports/net/samba41

# make install distclean


Gure kasuan ports sistematik instalatzean defektuzko aukerak erabiliko ditugu, Sambaren berezko DNS zerbitzaria erabiliko baitugu.


image

Samba 4-k dependendentzia asko dauzkala kontuan izan behar dugu, beraz konpilazio prozesua nahiko luzea izango da, batez ere makina instalatu berria bada.


Arazorik sortzen ez bada, Samba4 instalatuta izango dugu jada, orain konfiguratu behar dugu.



DOMEINUKO HORNIKUNTZA (DOMAIN PROVISION)


Orain, samba-ko konfigurazio pausu garrantzitsuena egingo dugu. Daturen batean okertzen bagara, berriro has gaitezke, baina lehenago fitxategi bi hauek ezabatu beharko ditugu:



# rm /usr/local/etc/smb4.conf


# rm -rf /var/db/samba4/private



Domeinua hornitzeko, hurrengo komandoa erabiliko dugu:



# samba-tool domain provision –use-rfc2307 –host-ip=10.0.0.10 –interactive



Gure makinaren izena dc.example.org da eta gure domeinua SAMBA4 izango da. –use-rfc2307 aukerari buruzko informazioa topa dezakegu Samba-ko Wikian. Komandoa exekutatzean honen antzeko zerbait ikusiko dugu:





Realm [example.org]:
 Domain [EXAMPLE]: SAMBA4
 Server Role (dc, member, standalone) [dc]:
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
 DNS forwarder IP address (write ‘none’ to disable forwarding) [8.8.8.8]:
Administrator password:
Retype password:
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=example,DC=org
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=example,DC=org
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/db/samba4/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              dc
NetBIOS Domain:        SAMBA4
DNS Domain:            example.org
DOMAIN SID:            S-1-5-21-2871118269-3925592020-2766410856




Script horretan Samba4-ko barruko DNS zerbitzaria erabiliko dugula erantzun dugu, hori aktibatzeko, ondorengoa gehitu beharko dugu, [global] zatian, /usr/local/etc/smb4.conf fitxategian (scriptak sortu du oinarrizko konfigurazio fitxategi hau):



nsupdate command = /usr/local/bin/samba-nsupdate -g




SAMBA4 ONDO DABILELA FROGATU


Lehendabizi gure Samba4 instalazioa abiaraziko dugu:



# samba



Begirada bat emango diegu /var/log/messages eta /var/log/samba4 direktorioan dauden fitxategiei, ea arazoren bat topatzen dugun.


Ondoren froga batzuk egingo ditugu:



# sockstat -4 | grep samba



Dena ondo badago, samba prozesu batzuk entzuten daudela ikusiko dugu, bestela ondo begiratu arestian aipatutako fitxategiak.


Orain DNSa ondo dabilen aztertuko dugu (gogoratu /etc/resolv.conf 127.0.0.1 izan behar dela DNSak kontsultatzeko zerbitzaria), zerbitzarian bertan kontsulta bat egingo dugu (dns/bind-tools instalatuta daukat, bai, nslookup jarraitzen dut erabiltzen)



# nslookup



Idatzi dc.example.org eta 10.0.0.10 itzuliko digu, ondo!!!


Beste froga bat, orain aztertuko dugu gure samba zerbitzariarekin konektatzerik dagoen:



# smbclient -L localhost -U%




Honelako zerbait itzultzen badigu, ondo goaz!


Domain=[SAMBA4] OS=[Unix] Server=[Samba 4.1.11]

    Sharename       Type      Comment
    ———       —-      ——-
    netlogon        Disk     
    sysvol          Disk     
    IPC$            IPC       IPC Service (Samba 4.1.11)
Domain=[SAMBA4] OS=[Unix] Server=[Samba 4.1.11]

    Server               Comment
    ———            ——-

    Workgroup            Master
    ———            ——-


Orain saiatuko gara netlogon share-ko edukia ikusten, horretarako samba zerbitzarira konektatuko gara Administrator erabiltzaile bezala 'ls’ komandoa exekutatzeko:



# smbclient //localhost/netlogon -U Administrator -c 'ls’
Enter Administrator’s password:


Eta hurrengoa itzuliko digu:



Domain=[SAMBA4] OS=[Unix] Server=[Samba 4.1.11]
  .                                   D        0  Thu Aug 28 13:32:50 2014
  ..                                  D        0  Thu Aug 28 13:33:06 2014

        64456 blocks of size 1048576. 55132 blocks available

Ondo, orain arte itxura ona dauka, orain Direktorio Aktiboaren DNS sarrera bereziak aztertuko ditugu:





# host -t SRV _ldap._tcp.example.org.
_ldap._tcp.example.org has SRV record 0 100 389 dc.example.org.


# host -t SRV _kerberos._udp.example.org.
_kerberos._udp.unedbizkaia.es has SRV record 0 100 88 dc.example.org.


# host -t A dc.example.org.

dc.example.org has address 10.0.0.10




Eta azkenik, gure frogekin bukatzeko (zerbitzariaren aldetik behintzat…) Kerberos aztertuko dugu. Hasierako Samba4-ko bertsioetan hau ez zebilen oso ondo, baina ematen du dagoeneko konponduta dagoela. Ea ba!





# kinit administrator@EXAMPLE.ORG
administrator@EXAMPLE.ORG’s Password:



Ez digu ezer itzuliko, baina orain:



# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@EXAMPLE.ORG

  Issued                Expires               Principal
Aug 29 12:25:56 2014  Aug 29 22:25:56 2014  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG






SAMBA GEHIAGO…

Samba4ko konfigurazioarekin jarraitzeko, onena da Samba4ko Erabiltzailearen Dokumentazioa kontsultatzea, beharko ditugun ezaugarriak banan-banan ezartzeko.
Publicado por en No hay comentarios:
Etiquetas: , ,

miércoles, 21 de mayo de 2014

Zelan garbitu Windowseko profil zaharrak talde politikak erabiliz


Windowseko erabiltzaileen profil zaharrek askotan arazoak sortzen dizkigute, adibidez, diskoko lekua agortzen dutela. Garbiketa egiteko aukera batzuk daude, baina erosoena talde politikak erabiltzea da, honela automatikoki egingo dugulako.

Talde Politikako Objektu (GPO) berri bat sortuko dugu, nahi dugun izena emango diogu, Profilen Garbiketa, adibidez. Editatuko dugu eta “Computer Configuration\Policies\Administrative Templates\System\User Profiles” aukerara joango gara. Horretan “Delete User Profiles Older than a Specified Number of Days on System Restart” aukera gaituko dugu.

Lehenetsitako ezabatzeko epea (zaharra den erabakitzeko) 30 egunetakoa da. Nahiko ondo pentsatu beharko dugu zein den gure sareko ordenagailuen erabilera, epe hori egokia den edo ez, ganorazko datuak profiletik kanpo gordetzen ditugun (Karpeten berbideraketa erabiliz, adibidez?) Orduan agian epe laburragoa erabil dezakegu, 14 egun edo, baina beti kontuan izan beharko dugu zein da gure sareko erabilera erabaki hori hartu baino lehen.

Publicado por en No hay comentarios:
Etiquetas: , , , ,

lunes, 27 de enero de 2014

Zelan sortu CAcert-eko SSL zertifikatuak gure web zerbitzarietarako

Egun hauetan barne sareko zerbitzari batzuen ziurtagiriak eguneratzea tokatu zait. Horietarako CAcert-eko ziurtagiriak erabili ohi ditut azkenengo urteetan.


CACert-ek gutxieneko gako luzera 2048 bitekoa eskatzen duenez, nire ziurtagiri ohiak aldatu behar izan ditut, eta sortzeko hau egin behar izan dut:


# openssl req -nodes -newkey rsa:2048 -keyout privatekey.pem -out csr.pem

Generating a 2048 bit RSA private key
...++++++
........++++++
writing new private key to 'privatekey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:XX
State or Province Name (full name) [Some-State]:XXXX
Locality Name (eg, city) []:XXXXXX
Organization Name (eg, company) [Internet Widgits Pty Ltd]:XXXXXX
Organizational Unit Name (eg, section) []:XXXXX
Common Name (eg, YOUR name) []: Zerbitzariaren izena
Email Address []:XXXXX@XXXXX.XX

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Behin csr.pem sortuta CAcert webgunearen bitartez ziurtagiria sinatzeko eskatu, eta listo!

Publicado por en No hay comentarios:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)