Calculate Directory Server
Содержание |
Установка Calculate Directory Server (CDS)
Загружаемся с установочного диска, затем:
# calculate --disk=/dev/sda --set-lang=ru_RU --set-hostname=server --set-video_resolution=1024x768
После перезагрузки настраиваем сеть, задаем статический адрес.
# mcedit /etc/config.d/net
config_eth0=( "192.168.0.1/24" ) modules_eth0=( "!plug" )
Для второй сетевой карты (внешней) создаем символьную ссылку. Адрес будет назначаться по DHCP.
# cd /etc/init.d/# ln -s net.lo net.eth1# rc-update add net.eth1 boot
Устанавливаем сервисы. При установке можно явным образом задать название домена и net-BIOS имя сервера.
# cl-setup ldap# cl-setup unix# cl-setup -w WORKGROUP -n SERVER samba
Настройка контроллера домена
Для начала следует задать пароль администратора сервера: пользователя с логином [admin] для ввода клиентских Windows компьютеров в домен, домашней директории этот пользователь не имеет.
# cl-passwd --smb admin samba
Если нужен администратор домена для управления Windows компьютерами, добавьте нового пользователя который будет включен в доменную группу "Domain Admins" и задайте ему пароль.
# cl-useradd -p --gid 'Domain Admins' -c 'Администратор домена' Administrator samba# cl-passwd Administrator samba
Или включите в эту группу существующего пользователя admin.
# cl-groupmod -a admin 'Domain Admins' samba
Создание встроенной группы "Power Users" - пользователи имеющие дополнительные права.
# cl-groupadd -g 547 --rid 547 -t 5 'Power Users' samba
Меняем настройки Samba, чтобы клиенты Windows могли сами менять пароль (Отсутствует pазpешение на смену паpоля).
# mcedit /etc/samba/smb.conf
unix password sync = no
Подключение к домену рабочей станции MS Windows
При подключении указываем домен [calculate], логин администратора [admin]. Если при включении в домен отображается ошибка «Присоединенное к системе устройство не работает», достаточно повторно ввести имя администратора домена и пароль.
Настройка прокси-сервера
Устанавливаем прокси-сервер. У клиентов в настройках адрес прокси-сервера: 192.168.0.1:8080
# cl-setup proxy
Создадим группу [inet], имеющую доступ ко всем протоколам.
# cl-groupadd -p 1-65535 inet proxy
Теперь создаем пользователя [username] и назначаем ему группу доступа [inet].
# cl-useradd -p -g inet username proxy
Либо предоставляем пользователю доступ к отдельным протоколам.
# cl-usermod -G http,https username proxy
Если не хотим вникать в разграничение доступа, ставим настройки по умолчанию. Адрес прокси: 192.168.0.1:3128
# cd /etc/squid# cp squid.conf squid.conf.old# cp squid.conf.default squid.conf
Маршрутизатор на CDS
Устанавливаем DNS сервер.
# cl-setup dns
Сервис установится сам, но нам придётся кое-что подправить. Эти строки указывают на какие сервера будут перенаправляться DNS запросы. Если не известны адреса DNS провайдера и нет предубеждения против Google, можно вставить адреса Google Public DNS.
# mcedit /etc/bind/named.conf
forward first;
forwarders {
8.8.8.8;
8.8.4.4;
};
Теперь установим DNS сервер.
# cl-setup --net 192.168.0.0/24 --router 192.168.0.1 --dnames mydomain.ru\--dnsip 192.168.0.1 --range 192.168.0.100,192.168.0.254 dns
Настроим маршрутизацию, чтобы пользователи внутренней сети могли использовать глобальную сеть. Для этого можно использовать скрипт, приведённый ниже:
#!/bin/bash
#################################################################
# Данный скрипт основан на древнем мануале с сайта gentoo.ru. #
# За всё время не дал ни одной осечки, если конечно я его хорошо#
# скопировал! ;) Удачи всем! #
#################################################################
#Обнуляем все правила в iptables
iptables -F
iptables -t nat -F
#Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Для наглядности
export LAN=eth0
export WAN=eth1
#Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
##Дадим доступ к портам dns(53), почте (995,25) и если хотите, SSH, но это не всегда полезно.
#iptables -A INPUT -p TCP --dport 53 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 995 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 25 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT
#Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
#Создадим правила для NAT
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
#Сообщаем ядру, что ip-форвардинг разрешен
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
#Сохраняем правила, чтоб не запускать больше этот скрипт и добаляем iptables в автозагрузку
/etc/init.d/iptables save
rc-update add iptables default
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf
#Закомментируйте, если у вас статический адрес у провайдера
echo "net.ipv4.ip_dynaddr = 1" >> /etc/sysctl.conf
/etc/init.d/iptables start
################################################
# end script #
################################################
Ссылки
- http://www.calculate-linux.org/main/ru/migration_to_linux
- http://www.calculate-linux.org/main/ru/building_network_using
- http://old.calculate-linux.ru/Документация
- http://www.calculate-linux.org/main/ru/cds_manuals
- Маршрутизатор на CDS
Смена пароля
Ошибка "Отсутствует pазpешение на смену паpоля" http://forum.shelek.ru/index.php/topic,15506.0.html
unix password sync = no
