作者 主題: [整合方案]SambaPDC+LDAP  (閱讀 13204 次)

0 會員 與 1 訪客 正在閱讀本文。

fjufirefox

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
[整合方案]SambaPDC+LDAP
« 於: 2006-01-13 22:15 »
環境 Mandriva 2005 + winxp_sp2_client x 3(增加為三台client端,為了配合權限與軟體派送)


系統設計目的:提出整體使用Linux方案與Winxp整合解決策略

套件安裝
openldap相關
squid相關
dhcpd相關
pam相關
samba相關
postfix相關
pureftpd相關

環境說明(可能畫得不好)
http://stmail.fju.edu.tw/~a8832078/linux/env.pdf


新的下載點:google
http://fjufirefox.googlepages.com/LdapSamba-part1.rar
http://fjufirefox.googlepages.com/LdapSamba-part2.rar
http://fjufirefox.googlepages.com/LdapSamba-part3.rar
http://fjufirefox.googlepages.com/LdapSamba-part4.rar



修正版
v11(將系統改為 debian)

v10(釋出 Scalix 相關知識)
建議透過 Scalix 與 AD 整合, 藉此與 LDAP 合併可以加快整合.
Scalix 有推出 AD 整合套件, 因為由 AD 管理所有帳戶.
Samba 做為集中管理項目仍有難度, 不過目前 Samba 團隊仍在努力.
希望未來 Samba 可以與 Windows Server 有相同功能, 呵呵.
Samba 加油喔...

v9(導入 Scalix)

v8(加入squid防毒,讓使用者上網有多一層安全)
http://www.fastdump.net/files/f4b2394a02e8

v7(windows工具管理samba+管理套件SRVTOOLS.EXE)

v6(加入samba防毒)

v5(新增bind view的概念,主要用於分隔內外網)

v4(新增samba SSH Tunneling)

v3(新增bind設定未加入view概念)
http://www.ccit.edu.tw/~g961213/samba_v3.pdf

v2
http://stmail.fju.edu.tw/~a8832078/linux/samba_v2.pdf


未整理版v1
http://www.ccit.edu.tw/~g961213/samba.swf
http://www.ccit.edu.tw/~g961213/samba.pdf


風險評估v1
1.評估導入802.1x風險(暫停導入)


目前正在增加的項目
v2
1.系統轉換為 Mandriva 2006測試(ok)
2.samba支援DFS測試
3.samba軟體與權限派送
4.導入postfix + courier + pam

v1
1.samba防毒方案(ok)
2.windows工具管理samba帳號(ok)

測試回報
v6
1.使用者登入網域不用再使用WinXP_SignOrSeal.reg就可以加入網域,只要使用smbldap-useradd -i 電腦名稱 就可以了

v5
1.使samba支援MAC要安裝netatalk與netatalk-devel套件

v4
1.urpmi-ldap直接對使用者與電腦做更新內容的動作(修改-內容錯誤)

v3
1.smbldap-populate 新版與舊版都要關閉 TLS=0才能完全使用。
 因為會造成新版會 Broken Pipe
 而舊版會造成windows管理工具無法管理
2.新增電腦用 smbldap-useradd -i 電腦名稱 就可以,要打密碼(修正,可以不用打密碼)
 -i 指 is a trust account (Windows Workstation)
3.出現漫遊失敗解決方法
 a.DNS要正確 /etc/named.conf or hosts or /var/named/
 b.ldapsearch -x -b "dc=homeland,dc=net" -ZZ 無法執行,請修改/etc/openldap/ldap.conf
 將TLS_REQCERT 改為 allow或更低的要求,如never等
 c.如果安全設為 msec 4 的主機要修改 perm.4
  /usr/share/msec/perm.4 加入
  /var/lib/samba/profiles/                        nobody.nogroup          1777
  才可以

v2
1.使用者可以使用ssh,putty登入主機(ok)
2.使用者可以用passwd更改密碼(ok)

v1
1.使用者可以直接在windows上更改密碼,是直接改ldap上的密碼(ok)
2.使用者檔案可以漫遊,存放在samba主機上(ok)
3.pureftp可以直接使用(ok)
4.postfix仍在測試,還差smtp for pam的部份(進度落後~~~~~OMG)
5.dns安全設定補強(ok)

分項計畫
1.介紹Mandriva Desktop系統介面
 a.提供一般使用者有互動式的防火牆如Panda的功能
 b.提供方便無線上網機制,別牌的Linux有待加強

仍然在整理與整合

如果有更好的點子可否回覆或PM或e-mail,因為這些只是集合網路上各分享者集結而成的


小組織適用方案(20 人以下方案)
wrt54g 設備改為 dd-wrt, 透過內含之 vlan, 進行區塊分割.
(連結之下行設備要是 switches)
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=1160
http://www.dd-wrt.com/wiki/index.php/VLan_Configuration
http://www.geek-pages.com/articles/latest/dd-wrt_-_setting_up_a_separate/isolated_vlan_on_port_4_with_dhcp.html

將部分設備轉為 linkstation 來處理, 並且將部分功能轉移(ftp, www, samba, postfix, webmail.....), 主要目標應付 20 人以下組織.
改為 u-boot 模式, 能夠自動進入 debian.
預計降低電力消耗 10 倍, 400W -> 17 W.(省電省錢)
linkstation 改機資料如下:
http://fjufirefox.blogspot.com/2007/08/linkstation-hg-telnet.html
http://fjufirefox.blogspot.com/2007/08/linkstation-hg-kernels-26.html
http://fjufirefox.blogspot.com/2007/08/linkstation-hg-debian.html
http://fjufirefox.blogspot.com/2007/08/linkstation-hg-u-boot.html
http://fjufirefox.blogspot.com/2007/08/linkstation-hg-u-boot_14.html


目前可執行之開發狀況, 大家可以試試:
(Ldap+samba+radius+ipcop+pureftpd+emos+fon ap):
Joolma+Ldap
http://extensions.joomla.org/component/option,com_mtree/task,listcats/cat_id,1786/Itemid,35/
http://www.onestopjoomla.com/component/option,com_remository/Itemid,47/func,select/id,36/
http://ictnew.ukzn.ac.za/index.php?option=com_content&task=view&id=22&Itemid=53
http://forum.joomla.org/index.php?PHPSESSID=ffb8d511c0486b2b0748baf644c5cb08&/topic,3391.0.html

Fon AP+Radius
http://xtradius.sourceforge.net/index.html
http://people.debian.org.tw/~chihchun/2006/06/18/hacking-fonera/
http://www.wi-fiplanet.com/tutorials/article.php/3114511
http://www.wi-fiplanet.com/tutorials/article.php/3287481

Radius+LDAP
http://www.nchu.edu.tw/~official/journal/23/1.doc
http://www.freeradius.org/

IPCop+LDAP


EMOS+LDAP
http://openmyhand.com/cms/index.php?option=com_frontpage&Itemid=1
http://www.extmail.org/projects/emos/




Fon AP + LDAP
Fon -> www.fon.com
送的改為 DD-WRT, 加上 Radius Server(Samba+Radius+LDAP)
可以參考這個:
http://fjufirefox.blogspot.com/2007/06/tip-fon-ap.html

Fon 要改的是 vi /jffs/etc/chilli.conf

類似下面, 各位可以調整你要的.
代碼: [選擇]

radiusserver1 radius01.fon.comradiusserver2 radius02.fon.comradiussecret garrafondhcpif eth1uamsecret garrafonuamanydnsuamallowed www.martinvarsavsky.net,www.google.com,www.flickr.com,static.flickr.com,video.google.com,216.239.51.0/24,66.249.81.0/24uamallowed www.fon.com,www.paypal.com,www.paypalobjects.com,www.skype.com,66.249.93.0/24,72.14.207.0/24,72.14.209.0/24,84.96.67.0/24,213.91.9.0/24,80.118.99.0/24uamallowed shop.fon.co.kr,secure.nuguya.com,inilite.inicis.com,fon-en.custhelp.com,maps.fon.com,c20.statcounter.com,fon-en.custhelp.comuamallowed www.excite.co.jp,image.excite.co.jp,adimp.excite.co.jp,202.47.16.159,202.47.16.161,202.47.17.159,202.47.17.161,202.47.18.159uamallowed 202.47.18.161,202.47.19.159,202.47.19.161,ssl.google-analytics.com,c26.statcounter.com,www.fonshop.jp,gringo.fon.comuamserver https://www.fon.com/login/gateway/sec/fb1303f1198de5671d32ab3f91d641cb




下一波改版目標: samba 4 + mandriva
目前 samba 4 以可以直接與 ad 或其他服務直接整合.
(postfix, pureftp............)
Single Sign-On(SSO)會越來越容易執行.
大家一起來努力吧...............................

補充資料 samba 4 ad
http://fjufirefox.googlepages.com/abartlet_thesis.pdf

分項計畫: EMOS+IPCop
這是聽 1/27 ldap&mail server ,臨時想的方案.



參考文獻:
http://phorum.study-area.org/viewtopic.php?t=33551
http://web.vcs.u52.k12.me.us/linux/smbldap/
http://66.102.7.104/search?q=cache:8Y11e4mAbAUJ:meta.elixus.org/admin.cgi%3F3-7-4+openldap&hl=zh-TW
http://phorum.study-area.org/viewtopic.php?t=19991
http://www.opennet.ru/tips/info/925.shtml
http://66.102.7.104/search?q=cache:NTLCH7OfmMcJ:rondo.study-area.org/~linux/student_samba/server/samba/+samba+%25u+%25U&hl=zh-TW
http://www.idealx.org/prj/samba/smbldap-howto.en.html
http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/html/ldap+samba+cups+pykota.html
http://66.102.7.104/search?q=cache:p12pPgSD1LoJ:www.yale.edu/its/security/Presentations/ByDate/2005/SambaSecurity.ppt+ssh+putty+samba&hl=zh-TW
http://web.singnet.com.sg/~garyttt/
http://phorum.study-area.org/viewtopic.php?t=15554

Samba Anti-Virus
http://clamav.skc.com.pl/howtos/samba_clamav.html
http://www.gentoo.org/doc/en/quick-samba-howto.xml
http://wiki.samba.hk/w/Scan_virus_on_Samba_with_ClamAV


做 SSH Tunneling 的解決方法
http://support.microsoft.com/?id=884020
http://www.cs.toronto.edu/support/remote_ssh_tunneling_windows_samba.html


TLS
http://72.14.203.104/search?q=cache:i2NdVFCc2V4J:islab.cis.thu.edu.tw/files/course/12.doc+demoCA&hl=zh-TW
http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
http://www.study-area.org/tips/certs/certs.html
http://wiki.debian.org.hk/index.php?title=Generate_SSL_cert&variant=zh-tw
http://wiki.debian.org.hk/w/How_to_have_your_own_CA


PAM
http://phpbb2.vh.com.tw/viewtopic.php?t=346

BIND
http://www.madboa.com/geek/soho-bind/
http://phpbb2.vh.com.tw/viewtopic.php?t=457
http://dns-learning.twnic.net.tw/DNS94/
http://turtle.ee.ncku.edu.tw/~tung/dns/bind_conf.html
http://72.14.203.104/search?q=cache:aOAmZI6_1WAJ:media.pccu.edu.tw/go2school/jackh/linux8/SourcePPT/07_%E5%90%8D%E7%A8%B1%E4%BC%BA%E6%9C%8D%E5%99%A8-DNS10.PPT+named-bootconf.pl&hl=zh-TW

BIND view
http://72.14.203.104/search?q=cache:3WM6IRMQAu4J:lists.nchc.org.tw/pipermail/articles/2003-May/000653.html+named-bootconf.pl&hl=zh-TW
http://sysadmin.oreilly.com/news/views_0501.html
http://72.14.203.104/search?q=cache:3D5DuTcl_7AJ:plog.longwin.com.tw/post/1/203+domain+%E5%88%86%E6%88%90%E5%85%A7%E9%83%A8%E8%88%87%E5%A4%96%E9%83%A8%E5%81%9A%E4%B8%8D%E5%90%8C%E7%9A%84%E8%A7%A3%E6%9E%90&hl=zh-TW
http://phorum.study-area.org/viewtopic.php?t=21298
http://www.knowplace.org/pages/howtos/split_view_with_bind_9_howto.php

Squid-Clamav
http://www.jackal-net.at/tiki-view_articles.php
/usr/share/doc/squidclam-0.11/README

Scalix
http://www.scalix.com/community/downloads/index.php



注意事項
http://phorum.study-area.org/viewtopic.php?t=21092
http://phorum.study-area.org/viewtopic.php?t=21066[/code]

fandy

  • 懷疑的國中生
  • **
  • 文章數: 75
    • 檢視個人資料
[整合方案]SambaPDC+LDAP
« 回覆 #1 於: 2006-01-20 13:59 »
fjufirefox大大,好像以下的連接地址不正常!

修正版
v5(新增bind view的概念)
http://www.ccit.edu.tw/~g961213/add_v2.pdf

不知道是不連接地址有錯誤啦!

fandy

  • 懷疑的國中生
  • **
  • 文章數: 75
    • 檢視個人資料
[整合方案]SambaPDC+LDAP
« 回覆 #2 於: 2006-01-23 09:09 »
好東西一定要支持和學習!

cch

  • 憂鬱的高中生
  • ***
  • 文章數: 194
    • 檢視個人資料
[整合方案]SambaPDC+LDAP
« 回覆 #3 於: 2006-12-01 16:56 »
很多link都不對了....

allen42

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
[整合方案]SambaPDC+LDAP
« 回覆 #4 於: 2007-02-02 12:01 »
不能下載了!
可以再放一次嗎