LAB Linux in heterogenen Netzen File Server: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=Installation= ==Interface anpassen== *vi /etc/network/interfaces <pre> # The loopback network interface auto lo iface lo inet loopback # The primary network…“)
 
 
(29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Installation=
+
=Ziel=
==Interface anpassen==
+
*Wir wollen einen Filseserver auf Linux aufsetzen
*vi /etc/network/interfaces
+
*Dieser soll als Domain Member agieren.
<pre>
+
=Aus dem Debian Template einen Klon erstellen=
# The loopback network interface
+
;Zuerst noch 2 50GByte Platten anhängen.
auto lo
+
*Name: fileserver
iface lo inet loopback
+
*Netz: server
 
+
*HOSTS: fileserver.lab34.linuggs.de
# The primary network interface
+
*IPv4: 172.26.54.7/24
auto enp0s3
+
*GWv4: 172.26.54.1
iface enp0s3 inet static
+
*NSv4:  172.26.54.2
  address 10.114.14.2/24
+
*DOM:  lab34.linuggs.de
  gateway 10.114.14.1
+
*HOSTS: fileserver.lab34.linuggs.de
iface enp0s3 inet6 static
+
*IPv6: 2a02:24d8:71:3036::7/64
  address 2a02:24d8:71:3037::2/64
+
*GWv6: 2a02:24d8:71:3036::1
  gateway 2a02:24d8:71:3037::1
+
*NSv6: 2a02:24d8:71:3036::2
</pre>
+
*DOM:  lab34.linuggs.de
 
 
==hosts anpassen==
 
*hostnamectl set-hostname fenetre.lab34.linuggs.de
 
*vi /etc/hosts
 
  127.0.0.1      localhost
 
127.0.1.1      fenetre.lab34.linuggs.de      fenetre
 
 
 
=resolv.conf=
 
nameserver 2a02:24d8:71:3036::101
 
nameserver 10.114.214.101
 
search lab34.linuggs.de  
 
 
 
'''reboot'''
 
  
 
==samba4 installieren==
 
==samba4 installieren==
*apt install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
+
*apt install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind acl
  
 
=Update der Pam=
 
=Update der Pam=
Zeile 83: Zeile 70:
 
[realms]
 
[realms]
 
       LAB34.LINUGGS.DE = {
 
       LAB34.LINUGGS.DE = {
             kdc = 10.114.214.101
+
             kdc = win2022.lab34.linuggs.de
             admin_server = 10.114.214.101
+
             admin_server = win2022.lab34.linuggs.de
 
       }
 
       }
  
 
[domain_realm]
 
[domain_realm]
       .mydomain.com = lab34.linuggs.de
+
       .lab34.linuggs.de = LAB34.LINUGGS.DE
       mydomain.com = lab34.linuggs.de
+
       lab34.linuggs.de = LAB34.LINUGGS.DE
  
  
Zeile 124: Zeile 111:
  
 
===/etc/nsswitch.conf ändern===
 
===/etc/nsswitch.conf ändern===
 +
;geschieht automatisch
 
  passwd:        files systemd winbind
 
  passwd:        files systemd winbind
 
  group:          files systemd winbind
 
  group:          files systemd winbind
Zeile 129: Zeile 117:
 
===services neustarten===
 
===services neustarten===
 
*systemctl restart smbd
 
*systemctl restart smbd
*systemctl restart nmbd
 
 
*systemctl restart winbind
 
*systemctl restart winbind
  
 
===ist winbind is "pingbar===  
 
===ist winbind is "pingbar===  
root@fenetre:~# wbinfo -p
+
*wbinfo -p
 
  Ping to winbindd succeeded
 
  Ping to winbindd succeeded
  
 
===anzeigen der userliste===
 
===anzeigen der userliste===
root@fenetre:~# wbinfo -u
+
*wbinfo -u
 
  Administrator
 
  Administrator
 
  Guest
 
  Guest
 
  krbtgt
 
  krbtgt
 +
 
==anzeigen der passwd==
 
==anzeigen der passwd==
 
;hier solten nun benutzer aus der ad autauchen
 
;hier solten nun benutzer aus der ad autauchen
Zeile 154: Zeile 142:
 
thomas:*:11104:10513::/home/thomas:/bin/bash
 
thomas:*:11104:10513::/home/thomas:/bin/bash
 
</pre>
 
</pre>
 +
==ZFS Installation==
 +
;In der /etc/apt/sources.list '''contrib''' hinzufügen.
 +
*apt  update
 +
*apt install zfsutils-linux
 +
*reboot
 +
==ZFS Mirror und Datasets anlegen==
 +
*zpool create share  mirror /dev/sdb /dev/sdc
 +
*zfs create share/buchhaltung
 +
*zfs create share/produktion
 +
;acls aktivieren
 +
*zfs set acltype=posixacl share/buchhaltung
 +
*zfs set acltype=posixacl share/produktion
  
*https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
+
=Shares anlegen=
 +
==/etc/samba/smb.conf ergänzen==
 +
<pre>
 +
[produktion]
 +
path = /share/produktion
 +
hide unreadable = yes
 +
force create mode = 0770
 +
force directory mode = 0770
 +
read only = no
 +
inherit acls = yes
 +
inherit permissions = yes
 +
 
 +
[buchhaltung]
 +
path = /share/buchhaltung
 +
hide unreadable = yes
 +
force create mode = 0770
 +
force directory mode = 0770
 +
read only = no
 +
inherit acls = yes
 +
inherit permissions = yes
 +
 
 +
</pre>
 +
 
 +
=Auf dem DC=
 +
*Gruppe '''buchhaltung''' und '''produktion''' anlegen
 +
*Benutzer nach Wahl hinzufügen
 +
=Auf dem Fileserver=
 +
;Rechte setzen
 +
*setfacl -m g:produktion:rwx /share/produktion
 +
*setfacl -m g:buchhaltung:rwx /share/buchhaltung
 +
=Testen=
 +
*Mit dem Windows Client
 +
=Addon Kerberos SSH Login=
 +
*[[Kerberos SSH Login]]
  
 
=LIBPAM=
 
=LIBPAM=
 
*[[pam samba winbind]]
 
*[[pam samba winbind]]
 
*http://trabauer.com/?p=383
 
*http://trabauer.com/?p=383
 +
 +
[[Kategorie: KERBEROS]]
 +
[[Kategorie: SAMBA]]
 +
[[Kategorie: PAM]]

Aktuelle Version vom 14. Oktober 2024, 17:26 Uhr

Ziel

  • Wir wollen einen Filseserver auf Linux aufsetzen
  • Dieser soll als Domain Member agieren.

Aus dem Debian Template einen Klon erstellen

Zuerst noch 2 50GByte Platten anhängen.
  • Name: fileserver
  • Netz: server
  • HOSTS: fileserver.lab34.linuggs.de
  • IPv4: 172.26.54.7/24
  • GWv4: 172.26.54.1
  • NSv4: 172.26.54.2
  • DOM: lab34.linuggs.de
  • HOSTS: fileserver.lab34.linuggs.de
  • IPv6: 2a02:24d8:71:3036::7/64
  • GWv6: 2a02:24d8:71:3036::1
  • NSv6: 2a02:24d8:71:3036::2
  • DOM: lab34.linuggs.de

samba4 installieren

  • apt install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind acl

Update der Pam

  • pam-auth-update

Debian-ads1.png

/etc/samba/smb.conf

[global]
  workgroup = lab34
  realm = lab34.linuggs.de
  security = ADS

  log level = 1 winbind:5

  winbind refresh tickets = Yes
  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

  winbind use default domain = yes
  winbind nss info = template

  winbind enum users = yes
  winbind enum groups = yes

  idmap config * : backend = tdb
  idmap config * : range = 3000-7999

  idmap config lab34.linuggs.de : backend = rid
  idmap config lab34.linuggs.de : range = 10000-99999

  template homedir = /home/%U
  template shell = /bin/bash

  # Mapping domain Administrator to local root
  username map = /etc/samba/user.map

  kerberos method = dedicated keytab
  dedicated keytab file = /etc/krb5.keytab

/etc/krb5.conf

[libdefaults]
      default_realm = LAB34.LINUGGS.DE
      dns_lookup_realm = true
      dns_lookup_kdc = true

[realms]
      LAB34.LINUGGS.DE = {
            kdc = win2022.lab34.linuggs.de
            admin_server = win2022.lab34.linuggs.de
      }

[domain_realm]
      .lab34.linuggs.de = LAB34.LINUGGS.DE
      lab34.linuggs.de = LAB34.LINUGGS.DE

Initiieren Sie ein Kerberos-Ticket

  • kinit administrator

List

  • klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@LAB34.LINUGGS.DE 

Valid starting       Expires              Service principal
10/02/2024 10:49:53  10/02/2024 20:49:53  krbtgt/LAB34.LINUGGS.DE@LAB34.LINUGGS.DE
	renew until 10/03/2024 10:49:47

Erstellen Sie eine Kerberos-Keytab-Datei

  • net ads keytab create -U administrator

Treten Sie der AD-Domäne bei

  • net ads join -U administrator

domaine beitreten


root@lang:~# net ads join -U administrator
Enter administrator's password:
Using short domain name -- LINUGGS
Joined 'LANG' to dns domain 'linuggs.lan'


/etc/nsswitch.conf ändern

geschieht automatisch
passwd:         files systemd winbind
group:          files systemd winbind

services neustarten

  • systemctl restart smbd
  • systemctl restart winbind

ist winbind is "pingbar

  • wbinfo -p
Ping to winbindd succeeded

anzeigen der userliste

  • wbinfo -u
Administrator
Guest
krbtgt

anzeigen der passwd

hier solten nun benutzer aus der ad autauchen
  • getent passwd
 
benutzer03:*:11107:10513::/home/benutzer03:/bin/bash
administrator:*:10500:10513::/home/administrator:/bin/bash
benutzer04:*:11108:10513::/home/benutzer04:/bin/bash
benutzer01:*:11105:10513::/home/benutzer01:/bin/bash
krbtgt:*:10502:10513::/home/krbtgt:/bin/bash
benutzer02:*:11106:10513::/home/benutzer02:/bin/bash
guest:*:10501:10513::/home/guest:/bin/bash
thomas:*:11104:10513::/home/thomas:/bin/bash

ZFS Installation

In der /etc/apt/sources.list contrib hinzufügen.
  • apt update
  • apt install zfsutils-linux
  • reboot

ZFS Mirror und Datasets anlegen

  • zpool create share mirror /dev/sdb /dev/sdc
  • zfs create share/buchhaltung
  • zfs create share/produktion
acls aktivieren
  • zfs set acltype=posixacl share/buchhaltung
  • zfs set acltype=posixacl share/produktion

Shares anlegen

/etc/samba/smb.conf ergänzen

[produktion]
path = /share/produktion
hide unreadable = yes
force create mode = 0770
force directory mode = 0770
read only = no
inherit acls = yes
inherit permissions = yes

[buchhaltung]
path = /share/buchhaltung
hide unreadable = yes
force create mode = 0770
force directory mode = 0770
read only = no
inherit acls = yes
inherit permissions = yes

Auf dem DC

  • Gruppe buchhaltung und produktion anlegen
  • Benutzer nach Wahl hinzufügen

Auf dem Fileserver

Rechte setzen
  • setfacl -m g:produktion:rwx /share/produktion
  • setfacl -m g:buchhaltung:rwx /share/buchhaltung

Testen

  • Mit dem Windows Client

Addon Kerberos SSH Login

LIBPAM

Abgerufen von „http://wiki.ixheim.de/index.php?title=LAB_Linux_in_heterogenen_Netzen_File_Server&oldid=57657