Suse Linux: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Mkurs (talk | contribs)
Mkurs (talk | contribs)
 
(41 intermediate revisions by the same user not shown)
Line 2: Line 2:
* Marko Kurs
* Marko Kurs
=Sissejuhatus=
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.
 
<b>TÄHELEPANU:</b> Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!


=OpenSuSE 12.2 install=
=OpenSuSE 12.2 install=
==Alginstall==
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* pane paika regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* Vajuta install et installiga alustada
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
* network configuration ajal vali change
** general alt IPv6 maha
** general alt IPv6 maha
** firewall alt disable automatic starting
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** seadista proxy, kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** kui soovitakse restarti, tee seda
** Kliki OK kuni lõpuni
** kliki OK kuni lõpuni
* Suse ongi peal
* Suse ongi peal


==Soovituslikud tööriistad==
==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
<pre>
zypper in mc
zypper in mc
zypper in yast2-runlevel
zypper in yast2-runlevel
</pre>
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General


=DNS(Bind9)=
=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int.        IN SOA          ns.minudomeen.int.    root.localhost. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum
                IN NS          ns
ns              IN A            177.12.12.205
www            IN A            177.12.12.205
sales          IN A            177.12.12.50
</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa.        IN SOA          ns.minudomeen.int.  root.markodomeen.int. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum
                IN NS          ns.minudomeen.int.
205            IN PTR          www.minudomeen.int.
50              IN PTR          sales.minudomeen.int
</pre>
===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
type hint;
file "root.hint";
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
    file "127.0.0.zone";
};
</pre>
* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>
zone "minudomeen.int" IN {
    type master;
    file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
    type master;
    file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>
=Apache 2.2=
=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
==Konfiguratsioon==
===HTTP Lehed===
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Main Host jääb vaike seadeks
** Hosts all vali Add
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
===Sertifikaadi genereerimine===
Line 60: Line 185:
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<pre>
Line 80: Line 205:
</pre>
</pre>


* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
<pre>
SSLEngine on
SSLEngine on
Line 89: Line 214:
</pre>
</pre>


=Samba=
=Samba 3.6=
* Koos active directory vastu autentimisega
* Koos active directory vastu autentimisega
==Eelduste Install==
==Eelduste Install==
Line 106: Line 231:
* Käivita yast2 root õigustes
* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
* Pane linnuke "Use SMB Information for Linux Authentication"
Line 113: Line 238:
** Luuakse domeeni kontole automaatselt kodukaust
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Jäta vaikimisi OU
* Server on nüüd domeenis
* Server on nüüd domeenis


===Serveri turvamine===
===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
* ava /etc/security/pam_winbind.conf
Line 145: Line 270:
** security = ADS
** security = ADS
** realm = domeeni fqdn
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!


===Failisüsteemi kaustad===
===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
<pre>
mkdir /home/Kasutajate\ failid
mkdir /home/Kasutajate\ failid
Line 155: Line 280:
chmod 770 /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
<pre>
mkdir /home/Kasutajate\ failid
mkdir /home/salajane\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/Kasutajate\ failid
chmod 770 /home/salajane\ failid
</pre>
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.


===Kaustade jagamine===
===Kaustade jagamine===
* valid users = @domeen\\grupp
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.


* Ava /etc/samba/smb.conf  
* Ava /etc/samba/smb.conf  
Line 196: Line 321:
rcsmb restart
rcsmb restart
</pre>
</pre>
=Allikad=
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html
http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Latest revision as of 10:40, 15 December 2012

Autor

  • Marko Kurs

Sissejuhatus

Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

TÄHELEPANU: Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!

OpenSuSE 12.2 install

Alginstall

  • arvutit plaadilt / isolt buutides vali installation
  • vali keel ja klaviatuuri layout
  • eemalda linnuke use automatic configuration eest
  • pane paika regionaalsätted
  • desktop selectionilt võta other ja minimal server selection
  • kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
  • sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
  • vajuta install, et installiga alustada
  • peale installi avaneb YaST2 aken, sisesta hostname ja domain name
  • network configuration ajal vali change
    • general alt IPv6 maha
    • firewall alt disable automatic starting
    • seadista proxy, kui tarvis
    • vajuta next, kuni lõpuni server uuendatakse
    • kui soovitakse restarti, tee seda
    • kliki OK kuni lõpuni
  • Suse ongi peal

Tähtsad esmased seadistused

  • Paigaldame tarvikud, mis hõlbustavad tööd
zypper in mc
zypper in yast2-runlevel
  • YaST alt system -> System services enable SSHD
  • Nüüd saad puttyga kaugelt serverisse logida

DNS(Bind9)

Eelduste install

  • Paigaldame bind9 DNS serveri
zypper in bind
  • Käivitame nimeserveri, yast system services runlevel all "named"

Konfiguratsioon

Forwarderid

  • Esimese asjana vaja seadistada forwarderid, ava:
/etc/named.conf
  • Otsi üless rida:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
  • Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
  • Salvesta muudatused ja taaskäivita named
rcnamed restart

Tsoonide kirjeldused

  • Kõik tsooni failid asuvad
/var/lib/named
  • Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
  • Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
  • A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
$TTL 1W
minudomeen.int.        IN SOA          ns.minudomeen.int.     root.localhost. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns
ns              IN A            177.12.12.205
www             IN A            177.12.12.205
sales           IN A            177.12.12.50

  • Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
$TTL 1W
12.12.177.in-addr.arpa.         IN SOA          ns.minudomeen.int.   root.markodomeen.int. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns.minudomeen.int.
205             IN PTR          www.minudomeen.int.
50              IN PTR          sales.minudomeen.int

Teenindatavad tsoonid

  • Ava fail
/etc/named.conf
  • Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
    file "127.0.0.zone";
};
  • Lisame enda domeeni kirjeldused:
    • Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named

zone "minudomeen.int" IN {
    type master;
    file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
    type master;
    file "12.12.177.zone";
};
  • Seadistuse testimiseks jooksuta:
    • Kui vigu ei tagastata, siis OK
named-checkconf /etc/named.conf
  • Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
named-checkzone minudomeen.int /var/named/minudomeen.int

Apache 2.2

Eelduste install

  • Paigaldame apache ja yast-http-server
zypper in apache2
zypper in yast-http-server

Konfiguratsioon

HTTP Lehed

  • Käivita yast ja mine Network Services -> HTTP Server
    • Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
    • Server Modules alt SSL enabled
    • Main Host jääb vaike seadeks
    • Hosts all vali Add
      • Server name pane nimi, mille peale soovid pöörduda browseris
      • Server content root määra veebilehe failide asukoht
      • Määra virtualhost
      • Vali Determine Requests by Server IP Adress
  • Nüüd peaks soovitud HTTP lehed näha olema

SSL Konfiguratsioon

Sertifikaadi genereerimine

  • Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
  • Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
  • Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
  • Täida väljad, veendu, et common name on õige!
  • Request täida oma CA peal (siin puhul windows CA)
  • Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

Apache seadistamine sertifikaati kasutama

  • Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
  • Seadista ära nagu tavaline HTTP leht
  • All olev on lisaks standard HTTP lehe seadetele
    • Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80>
 ServerName serveriFQDN
 ErrorLog /var/log/apache2/FQDN
 CustomLog /var/log/apache2/FQDN_log combined

 redirect / https://FQDN/

</VirtualHost>
  • Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
  • Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

Samba 3.6

  • Koos active directory vastu autentimisega

Eelduste Install

  • Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
  • Kasutades zypper haldurit käivita järgnev:
zypper in samba
  • Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client

Serveri lisamine domeeni

  • Käivita yast2 root õigustes
  • Mine network services -> Windows Domain Membership
    • Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
  • Domain or workgroup alla sisesta oma domeeni nimi
  • Pane linnuke "Use SMB Information for Linux Authentication"
    • Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
  • Pane linnuke "Create Home Directory on Login"
    • Luuakse domeeni kontole automaatselt kodukaust
  • Pane linnuke "Offline Authentication"
    • Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
  • Käivita "NTP Configuration"
  • Seadista "Start NTP Daemon" seadega "Now and on Boot"
  • "Synchronization Type Adress" alt eemalda kõik vaikeseaded
  • Lisa domeenikontroller kasutades "Add"
    • "Type" vali server
      • "Adress" pane domeenikontrolleri FQDN
  • 2x OK
  • Pakutakse installida samba-winbind, vali OK
  • Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
  • Jäta vaikimisi OU
  • Server on nüüd domeenis

Serveri turvamine

  • Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
  • Kasutajate ringi piiramiseks käitu järgnevalt:
  • ava /etc/security/pam_winbind.conf
    • Lisa [global] alla require_membership_of = domeen\grupinimi
  • Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

Samba seadistamine

  • Käivita teenused:
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
  • Ava /etc/samba/smb.conf
  • Veendu järgnevas:
    • Workgroup = Sinudomeen
    • security = ADS
    • realm = domeeni fqdn
  • Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

Failisüsteemi kaustad

  • TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
  • Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
  • Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
  • Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

Kaustade jagamine

  • valid users = @domeen\\grupp
    • Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
  • force create mode = 770
    • Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • force directory mode = 770
    • Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • Ava /etc/samba/smb.conf
  • Lisa faili lõppu järgnev:
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
  • Taaskäivita smb teenus
rcsmb restart

Allikad

https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/