Calculate Directory Server

Материал из LinTest Wiki
(перенаправлено с «CDS»)
Перейти к: навигация, поиск

Содержание

Установка Calculate Directory Server (CDS)

Загружаемся с установочного диска, затем:

# calculate --disk=/dev/sda --set-lang=ru_RU --set-hostname=server --set-video_resolution=1024x768

После перезагрузки настраиваем сеть, задаем статический адрес.

# mcedit /etc/config.d/net
config_eth0=( "192.168.0.1/24" )
modules_eth0=( "!plug" )

Для второй сетевой карты (внешней) создаем символьную ссылку. Адрес будет назначаться по DHCP.

# cd /etc/init.d/
# ln -s net.lo net.eth1
# rc-update add net.eth1 boot

Устанавливаем сервисы. При установке можно явным образом задать название домена и net-BIOS имя сервера.

# cl-setup ldap
# cl-setup unix
# cl-setup -w WORKGROUP -n SERVER samba

Настройка контроллера домена

Для начала следует задать пароль администратора сервера: пользователя с логином [admin] для ввода клиентских Windows компьютеров в домен, домашней директории этот пользователь не имеет.

# cl-passwd --smb admin samba

Если нужен администратор домена для управления Windows компьютерами, добавьте нового пользователя который будет включен в доменную группу "Domain Admins" и задайте ему пароль.

# cl-useradd -p --gid 'Domain Admins' -c 'Администратор домена' Administrator samba
# cl-passwd Administrator samba

Или включите в эту группу существующего пользователя admin.

# cl-groupmod -a admin 'Domain Admins' samba

Создание встроенной группы "Power Users" - пользователи имеющие дополнительные права.

# cl-groupadd -g 547 --rid 547 -t 5 'Power Users' samba

Меняем настройки Samba, чтобы клиенты Windows могли сами менять пароль (Отсутствует pазpешение на смену паpоля).

# mcedit /etc/samba/smb.conf
unix password sync = no

Подключение к домену рабочей станции MS Windows

При подключении указываем домен [calculate], логин администратора [admin]. Если при включении в домен отображается ошибка «Присоединенное к системе устройство не работает», достаточно повторно ввести имя администратора домена и пароль.

Настройка прокси-сервера

Устанавливаем прокси-сервер. У клиентов в настройках адрес прокси-сервера: 192.168.0.1:8080

# cl-setup proxy

Создадим группу [inet], имеющую доступ ко всем протоколам.

# cl-groupadd -p 1-65535 inet proxy

Теперь создаем пользователя [username] и назначаем ему группу доступа [inet].

# cl-useradd -p -g inet username proxy

Либо предоставляем пользователю доступ к отдельным протоколам.

# cl-usermod -G http,https username proxy

Если не хотим вникать в разграничение доступа, ставим настройки по умолчанию. Адрес прокси: 192.168.0.1:3128

# cd /etc/squid
# cp squid.conf squid.conf.old
# cp squid.conf.default squid.conf

Маршрутизатор на CDS

Устанавливаем DNS сервер.

# cl-setup dns

Сервис установится сам, но нам придётся кое-что подправить. Эти строки указывают на какие сервера будут перенаправляться DNS запросы. Если не известны адреса DNS провайдера и нет предубеждения против Google, можно вставить адреса Google Public DNS.

# mcedit /etc/bind/named.conf
forward first;
forwarders {
  8.8.8.8;
  8.8.4.4;
};

Теперь установим DNS сервер.

# cl-setup --net 192.168.0.0/24 --router 192.168.0.1 --dnames mydomain.ru\
--dnsip 192.168.0.1 --range 192.168.0.100,192.168.0.254 dns

Настроим маршрутизацию, чтобы пользователи внутренней сети могли использовать глобальную сеть. Для этого можно использовать скрипт, приведённый ниже:

#!/bin/bash

#################################################################
# Данный скрипт основан на древнем мануале с сайта gentoo.ru.   #
# За всё время не дал ни одной осечки, если конечно я его хорошо#
# скопировал! ;) Удачи всем!                                    #
#################################################################

#Обнуляем все правила в iptables
iptables -F
iptables -t nat -F

#Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Для наглядности
export LAN=eth0
export WAN=eth1

#Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

##Дадим доступ к портам dns(53), почте (995,25) и если хотите, SSH, но это не всегда полезно.
#iptables -A INPUT -p TCP --dport 53 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 995 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 25 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT

#Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

#Создадим правила для NAT
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

#Сообщаем ядру, что ip-форвардинг разрешен
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

#Сохраняем правила, чтоб не запускать больше этот скрипт и добаляем iptables в автозагрузку
/etc/init.d/iptables save
rc-update add iptables default
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf

#Закомментируйте, если у вас статический адрес у провайдера
echo "net.ipv4.ip_dynaddr = 1" >> /etc/sysctl.conf
/etc/init.d/iptables start

################################################
#               end script                     #
################################################

Ссылки

Смена пароля

Ошибка "Отсутствует pазpешение на смену паpоля" http://forum.shelek.ru/index.php/topic,15506.0.html

unix password sync = no
Персональные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты
Проекты