tgkonvent
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помучался, я помучался и научил Kerio Connect Application дружить с Microsoft AD. А, точнее Debian Squeeze под которым работает наш Kerio. Что дает возможность авторизации пользователей по логину и паролю из AD.
Привожу все шаги действия, которые я предпринял!
1. Перед запуском образа, увеличим размер виртуального диска до нужного размера под почтовые базы
2. После установки сервера Kerio Connect Application и первоначальной его настройки – сеть, временная зона и т.п. Нажимаем Alt+F2, вводим логин (root) и пароль.
3. Первым делом обновим репозитарий
sudo apt-get update
4. Установим NTP пакет для синхронизации времени
sudo apt-get install ntp ntpdate
Поскольку Kerberos должен синхронизироваться с контроллерами домена настроим NTP. Для этого в командной строке введите - vi /etc/ntp.conf
И в конфигурационном файле найдите раздел по настройке серверов, например как указано ниже.
# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example
server domaincontroller1.example.local
server server2.example.local
Указываем свои контроллеры домена в сети, где установлены службы времени.
5. Перезапускаем службу и протестируем ее.
service ntp stop
service ntp start
invoke-rc.d ntp restart
ntpq –p
Вы должны увидеть сервера с которыми будет синхронизироваться данная служба.
Если в поле reach есть хотя бы 2 единицы, то все в порядке. В противном случае нужно проверить список серверов в /etc/ntp.conf и сетевую конфигурацию сервера и конфигурацию сетевого фильтра.
Я еще настроил вот этот файлик /etc/defaults/rcS
поставил UTC=no.
UTC=yes - ОС считает время BIOS по Гринвичу и + часовой пояс
UTC=no, тогда ОС работает по времени биоса
Указал системе получать текущее время из биоса. Все равно часы на сервере Hyper-V синхронизируется с контроллером домена. В общем поступайте, кому как ндравиться.
6. Для работы с доменной структурой на основе Windows, нам необходимы две службы -Kerberos, Samba. Установим их:
sudo aptitude install krb5-user samba
Настройку можете пропустить, это сделаем через изменение параметров конфигурационных файлов.
7. Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname
8. Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
# Имена этого компьютера
127.0.0.1 localhost
127.0.1.1 smbsrv01.domain.com smbsrv01
9. Перезагрузим систему
10. Теперь настроим авторизацию через Kerberos
Вам потребуется изменить файл /etc/krb5.conf
У меня он выглядит вот так:
[libdefaults]
default_realm = DOMAIN.COM
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
ticket_lifetime=1d
renew_lifetime=1d
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
DOMAIN.COM = {
kdc = dc. DOMAIN.com
kdc = dc2. DOMAIN.com
admin_server = dc. DOMAIN.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[login]
krb4_convert = true
krb4_get_tickets = false
Вам конечно нужно изменить domain.com на ваш домен и dc и dc2 на ваши доменконтроллеры. Кстати, возможно вам понадобится написать полные имена доменконтроллеров, т.е. в моём случае dc.domain.com и dc2.domain.com. Поскольку у меня прописан домен поиска в DNS, то мне это делать не нужно.
Обратите особое внимание на регистр написания имени домена - везде, где домен написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре. Иначе волшебным образом ничего может не заработать.
11. Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду:
kinit username@DOMAIN.COM
Вместо username естественно стоит вписать имя существующего пользователя домена.
Имя домена необходимо писать заглавными буквами!
Если вы не получили никаких ошибок - значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Убедиться в том, что билет получен, можно выполнив команду -klist
Удалить все билеты (они вам вообще говоря не нужны) можно командой -kdestroy
12. Настройка Samba и вход в домен
Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf.
У меня они выглядят вот так:
[global]
security = ADS
password server = dc.domain.com
encrypt passwords = yes
workgroup = DOMAIN
realm = DOMAIN.COM
netbios name = «NetBios имя вашей системы»
local master = no
winbind refresh tickets = yes
#winbind offline logon - yes
domain master = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
preferred master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%U
template shell = /bin/bash
os level = 0
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
dns proxy = no
socket options = TCP_NODELAY
13. После того, как вы отредактируете smb.conf выполните команду testparm
Она проверит ваш конфиг на ошибки и выдаст суммарную сводку о нём:
# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Если есть ошибка в виде «rlimit_max: rlimit_max (1024) below minimum Windows Limit (16384)» выполните следующую команду «ulimit -n 16384». И после опять протестируете настройки Samba.
14. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду
sudo net ads join -U username -D DOMAIN
Вместо username необходимо подставить имя какого-нибудь администратора домена, вместо DOMAIN - собственно сам домен3). У вас спросят пароль для введённого пользователя и в случае успеха вы увидите что-то похожее на:
# net ads join -U username -D DOMAIN
Enter username's password:
Using short domain name -- DOMAIN
Joined 'SMBSRV01' to realm 'domain.com'
Если больше никаких сообщений нет - значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.
15. Заходите через веб в настройки Kerio Connect Application. Делаете все настройки которые Вам нужны. Настраиваете Службу каталогов в разделе Домены, проверяете как коннектится Kerio к домену. Добавляете нужных пользователей из домена в Пользователи.
16. Теперь пользователи могут заходить в свои почтовые ящики используя логин и пароль из AD.
17. Наслаждаетесь жизнью 
PS. Просьба сильно не пинать! Я с Linuxom на ВЫ, перерыл кучу информации и сделал как мог. Может какие то параметры в настройках и лишние. Я даже вижу какие, но влом редактировать и убирать их. Так, что не обессудьте! |
Всего записей: 438 | Зарегистр. 02-11-2005 | Отправлено: 16:42 25-09-2013 | Исправлено: tgkonvent, 05:05 26-09-2013 |
|
