tgkonvent
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помучался, я помучался и научил Kerio Connect Application дружить с Microsoft AD. А, точнее Debian Squeeze под которым работает наш Kerio. Что дает возможность авторизации пользователей по логину и паролю из AD. Привожу все шаги действия, которые я предпринял! 1. Перед запуском образа, увеличим размер виртуального диска до нужного размера под почтовые базы 2. После установки сервера Kerio Connect Application и первоначальной его настройки – сеть, временная зона и т.п. Нажимаем Alt+F2, вводим логин (root) и пароль. 3. Первым делом обновим репозитарий sudo apt-get update 4. Установим NTP пакет для синхронизации времени sudo apt-get install ntp ntpdate Поскольку Kerberos должен синхронизироваться с контроллерами домена настроим NTP. Для этого в командной строке введите - vi /etc/ntp.conf И в конфигурационном файле найдите раздел по настройке серверов, например как указано ниже. # You do need to talk to an NTP server or two (or three). #server ntp.your-provider.example server domaincontroller1.example.local server server2.example.local Указываем свои контроллеры домена в сети, где установлены службы времени. 5. Перезапускаем службу и протестируем ее. service ntp stop service ntp start invoke-rc.d ntp restart ntpq –p Вы должны увидеть сервера с которыми будет синхронизироваться данная служба. Если в поле reach есть хотя бы 2 единицы, то все в порядке. В противном случае нужно проверить список серверов в /etc/ntp.conf и сетевую конфигурацию сервера и конфигурацию сетевого фильтра. Я еще настроил вот этот файлик /etc/defaults/rcS поставил UTC=no. UTC=yes - ОС считает время BIOS по Гринвичу и + часовой пояс UTC=no, тогда ОС работает по времени биоса Указал системе получать текущее время из биоса. Все равно часы на сервере Hyper-V синхронизируется с контроллером домена. В общем поступайте, кому как ндравиться. 6. Для работы с доменной структурой на основе Windows, нам необходимы две службы -Kerberos, Samba. Установим их: sudo aptitude install krb5-user samba Настройку можете пропустить, это сделаем через изменение параметров конфигурационных файлов. 7. Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname 8. Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP: # Имена этого компьютера 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01 9. Перезагрузим систему 10. Теперь настроим авторизацию через Kerberos Вам потребуется изменить файл /etc/krb5.conf У меня он выглядит вот так: [libdefaults] default_realm = DOMAIN.COM krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true ticket_lifetime=1d renew_lifetime=1d v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] DOMAIN.COM = { kdc = dc. DOMAIN.com kdc = dc2. DOMAIN.com admin_server = dc. DOMAIN.com } [domain_realm] .domain.com = DOMAIN.COM domain.com = DOMAIN.COM [login] krb4_convert = true krb4_get_tickets = false Вам конечно нужно изменить domain.com на ваш домен и dc и dc2 на ваши доменконтроллеры. Кстати, возможно вам понадобится написать полные имена доменконтроллеров, т.е. в моём случае dc.domain.com и dc2.domain.com. Поскольку у меня прописан домен поиска в DNS, то мне это делать не нужно. Обратите особое внимание на регистр написания имени домена - везде, где домен написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре. Иначе волшебным образом ничего может не заработать. 11. Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду: kinit username@DOMAIN.COM Вместо username естественно стоит вписать имя существующего пользователя домена. Имя домена необходимо писать заглавными буквами! Если вы не получили никаких ошибок - значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Убедиться в том, что билет получен, можно выполнив команду -klist Удалить все билеты (они вам вообще говоря не нужны) можно командой -kdestroy 12. Настройка Samba и вход в домен Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf. У меня они выглядят вот так: [global] security = ADS password server = dc.domain.com encrypt passwords = yes workgroup = DOMAIN realm = DOMAIN.COM netbios name = «NetBios имя вашей системы» local master = no winbind refresh tickets = yes #winbind offline logon - yes domain master = no winbind use default domain = yes winbind enum users = yes winbind enum groups = yes preferred master = no idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/%U template shell = /bin/bash os level = 0 load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes dns proxy = no socket options = TCP_NODELAY 13. После того, как вы отредактируете smb.conf выполните команду testparm Она проверит ваш конфиг на ошибки и выдаст суммарную сводку о нём: # testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions Если есть ошибка в виде «rlimit_max: rlimit_max (1024) below minimum Windows Limit (16384)» выполните следующую команду «ulimit -n 16384». И после опять протестируете настройки Samba. 14. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду sudo net ads join -U username -D DOMAIN Вместо username необходимо подставить имя какого-нибудь администратора домена, вместо DOMAIN - собственно сам домен3). У вас спросят пароль для введённого пользователя и в случае успеха вы увидите что-то похожее на: # net ads join -U username -D DOMAIN Enter username's password: Using short domain name -- DOMAIN Joined 'SMBSRV01' to realm 'domain.com' Если больше никаких сообщений нет - значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо. 15. Заходите через веб в настройки Kerio Connect Application. Делаете все настройки которые Вам нужны. Настраиваете Службу каталогов в разделе Домены, проверяете как коннектится Kerio к домену. Добавляете нужных пользователей из домена в Пользователи. 16. Теперь пользователи могут заходить в свои почтовые ящики используя логин и пароль из AD. 17. Наслаждаетесь жизнью PS. Просьба сильно не пинать! Я с Linuxom на ВЫ, перерыл кучу информации и сделал как мог. Может какие то параметры в настройках и лишние. Я даже вижу какие, но влом редактировать и убирать их. Так, что не обессудьте! | Всего записей: 438 | Зарегистр. 02-11-2005 | Отправлено: 16:42 25-09-2013 | Исправлено: tgkonvent, 05:05 26-09-2013 |
|