FreeBSD 8.2, सांबा 3.4, सक्रिय निर्देशिका और सिरिलिक लॉगिन

हमारी कंपनी ने इस तरह के बंडल को लंबे और सफलतापूर्वक संचालित किया है: FreeBSD पर स्थापित सांबा 3.x (6.x या 7.x) गेंदों को एक्सेस करने के लिए सक्रिय निर्देशिका डोमेन में उपयोगकर्ता प्रमाणीकरण का उपयोग करता है। सभी क्लाइंट विंडोज एक्सपी और इसके बाद के संस्करण हैं। AD डोमेन - विंडोज 2003।
FreeBSD सर्वर में से एक को संस्करण 8.2 में अपग्रेड किए जाने तक सब कुछ ठीक था। अपडेट के बाद, सिरिलिक लॉगिन वाले उपयोगकर्ता इस सर्वर के साझा संसाधनों तक पहुंचने में सक्षम नहीं थे। इसी समय, लैटिन में लॉगिन वाले उपयोगकर्ता सामान्य रूप से प्रमाणित होते हैं। Wbinfo -u और wbinfo -g कमांड्स, जैसा कि अपेक्षित था, साइरिलिक सहित सभी उपयोगकर्ताओं और AD समूहों को दिखाया। सांबा के 3.4 संस्करण के साथ एक और FreeBSD 7.3 सर्वर - 3.4.9 और उसी लॉगिन के साथ किसी भी लॉगिन के साथ ठीक काम किया।
सांबा लॉग के एक अध्ययन से पता चला है कि जब सिरिलिक लॉगिन का उपयोग करके प्रमाणित करने की कोशिश की जाती है, तो केबरोस लाइब्रेरी में एक त्रुटि होती है - क्लाइंट टिकट सत्यापन पास नहीं करता है:

[2011/04/26 15:06:18, 3] libads/kerberos_verify.c:378(ads_secrets_verify_ticket)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error Invalid argument
[2011/04/26 15:06:18, 3] libads/kerberos_verify.c:378(ads_secrets_verify_ticket)
ads_secrets_verify_ticket: enc type [1] failed to decrypt with error Message size is incompatible with encryption type
[2011/04/26 15:06:18, 3] libads/kerberos_verify.c:378(ads_secrets_verify_ticket)
ads_secrets_verify_ticket: enc type [3] failed to decrypt with error Message size is incompatible with encryption type

एक और बात देखी गई: यदि आप सर्वर को नाम से नहीं, बल्कि IP पते (\\ 192.168.1.1) द्वारा एक्सेस करते हैं, तो प्रमाणीकरण सफल है! सांबा लॉग में, हम पाते हैं कि इस मामले में, क्लाइंट NTLM प्रोटोकॉल का उपयोग करके प्रमाणीकरण आरंभ करता है, न कि केर्बोस के साथ। उसके बाद, यह स्पष्ट रूप से स्पष्ट हो गया कि हमारी परेशानी का कारण केर्बोस पुस्तकालय था।
एक लंबे समय के लिए, केरबरोस लाइब्रेरी को मूल फ्रीबीएसडी इंस्टॉलेशन में शामिल किया गया है। FreeBSD 8.2 पर, यह हेमडाल 1.1 है। इसके अलावा, बंदरगाहों में दो और केर्बोरस पुस्तकालय हैं: हेमडाल 1.4 और एमआईटी krb5 1.9। यह विचार था कि बंदरगाहों से केर्बोस के साथ सांबा को फिर से जोड़ा जाए और देखें कि क्या होता है।
सबसे पहले, हेमडाल की कोशिश करने का फैसला किया गया था, क्योंकि यह केर्बरोस कोर लाइब्रेरी के साथ अच्छी तरह से एकीकृत करता है (जैसा कि वे इंटरनेट पर कहते हैं, वैसे भी)। पोर्ट heimdal-1.4_1 सेट करें, पोर्ट samba34-3.4.9_2 का पुनर्निर्माण करें।

$ cd /usr/ports/security/heimdal
$ sudo make install clean
$ cd /usr/ports/net/samba34
$ sudo HEIMDAL_HOME=/usr/local make deinstall reinstall clean
$ sudo /usr/local/etc/rc.d/samba restart

HEIMDAL_HOME पर्यावरण चर का उपयोग करते हुए, हम संकेत देते हैं कि सांबा का संकलन करते समय, हमें बंदरगाहों (/ / usr / स्थानीय / lib) से स्थापित हेमडाल लाइब्रेरी का उपयोग करना चाहिए, अन्यथा मानक पुस्तकालय (/ usr / lib) का उपयोग किया जाएगा। लॉगिन करने की कोशिश कर रहा है। परिणाम वही है।
अब हेमदल को हटाकर MIT पुस्तकालय का प्रयास करें।

$ sudo pkg_delete heimdal-1.4_1
$ cd /usr/ports/security/krb5
$ sudo make install clean
$ cd /usr/ports/net/samba34
$ sudo KRB5_HOME=/usr/local make deinstall reinstall clean

पोर्ट असेंबली अनपेक्षित रूप से एक त्रुटि के साथ समाप्त होती है:

Compiling libsmb/clikrb5.c
libsmb/clikrb5.c:1623:2: error: #error UNKNOWN_KRB5_ENCTYPE_TO_STRING_FUNCTION

अप्रत्याशित रूप से, क्योंकि यह स्पष्ट रूप से उस व्यक्ति का दोष है जिसने फ्रीबीएसडी के लिए सांबा पोर्ट तैयार किया था। फ़ाइल काम खोलें / सांबा-3.4.9 / स्रोत 3 / शामिल करें / config.h और लाइन को ठीक करें
/* #undef HAVE_KRB5_ENCTYPE_TO_STRING_WITH_SIZE_T_ARG */
पर
#define HAVE_KRB5_ENCTYPE_TO_STRING_WITH_SIZE_T_ARG 1
उसके बाद हम फिर से संकलन शुरू करते हैं। KRB5_HOME चर को अब परिभाषित नहीं किया जा सकता है, क्योंकि यह केवल कॉन्फ़िगर चरण में आवश्यक था।

$ sudo vi work/samba-3.4.9/source3/include/config.h
$ sudo make deinstall reinstall clean
$ sudo /usr/local/etc/rc.d/samba restart

पोर्ट को इकट्ठा और स्थापित किया गया है, लेकिन सांबा शुरू नहीं करता है। सांबा लॉग में हम निम्नलिखित देखते हैं:
/libexec/ld-elf.so.1: /usr/local/sbin/smbd: Undefined symbol "krb5_set_default_tgs_ktypes"

इसका कारण यह है कि डायनेमिक लाइब्रेरी (.so) को पहले बूटलोडर द्वारा / usr / lib में देखा जाता है, और फिर / usr / लोकल / लिब में। चूंकि मानक हेइमल्ड और krb5 बंदरगाहों से स्थापित कुछ पुस्तकालय फाइलों के नाम समान हैं, इसलिए मानक पुस्तकालय को पहले खोजा और लोड किया गया है। और हमें सांबा डेमोंस के लिए खोज सूची में सबसे पहले लाइब्रेरियों / usr / लोकल / लीब से बनाने की जरूरत है। यह पर्यावरण चर LD_LIBRARY_PATH का उपयोग करके किया जा सकता है, जिसे डेमॉन चलाने से पहले परिभाषित किया जाना चाहिए। चर में निर्देशिका नाम होना चाहिए जिसमें पहली बार गतिशील पुस्तकालयों के लिए आवेदन लोडर खोज करेगा। यानी हमारे मामले में यह इस तरह होगा: LD_LIBRARY_PATH = / usr / स्थानीय / देय।
मुझे /usr/local/etc/rc.d/samba स्टार्टअप स्क्रिप्ट में बदलाव करने से बेहतर कुछ नहीं मिला। यह, ज़ाहिर है, एक अच्छा विकल्प नहीं है, क्योंकि यदि आप सांबा को पुनर्स्थापित या अपग्रेड करते हैं, तो परिवर्तन खो जाएगा। तो, samba_cmd फ़ंक्शन में, run_rc_command को कॉल करने से पहले, लाइन डालें:
samba_cmd() {
...
export LD_LIBRARY_PATH=/usr/local/lib
run_rc_command "${_rc_prefix}${rc_arg}" ${rc_extra_args}
...
}
अब हम सांबा को फिर से शुरू करते हैं और सिरिलिक लॉगिन के साथ जीवन का आनंद लेते हैं।

मरहम में उड़ना

इस तथ्य के कारण कि सिस्टम में दो केर्बरोस लाइब्रेरी स्थापित हैं, जो एक दूसरे के साथ बिल्कुल भी अनुकूल नहीं हैं, जटिलताएं पैदा हो सकती हैं। जो देखा गया है, उससे अब नेट विज्ञापन कमांड को इस तरह चलाने की जरूरत है:
LD_LIBRARY_PATH=/usr/local/lib net ads …
अन्य net उपकमांड LD_LIBRARY_PATH के बिना भी ठीक काम करते हैं।

खरोंच से स्थापना

सारांश के रूप में, मैं एक सक्रिय निर्देशिका वातावरण में FreeBSD 8.2 पर सांबा 3.4 चलाने के लिए आवश्यक बुनियादी संचालन और सेटिंग्स दूंगा। इंटरनेट पर सांबा को स्थापित करने और उसे कॉन्फ़िगर करने के बारे में बहुत कुछ लिखा गया है, इसलिए मैंने तुच्छ विवरण नहीं दिया।
यह समझा जाता है कि सभी कमांड को रूट के रूप में निष्पादित किया जाता है। Vi के बजाय, अपने पसंदीदा टेक्स्ट एडिटर का उपयोग करें।
# cd /usr/ports/security/krb5
# make install clean
# cd /usr/ports/net/samba34
# make config

विकल्प "सक्रिय निर्देशिका समर्थन के साथ" सेट करें।

# KRB5_HOME=/usr/local make configure
# vi work/samba-3.4.9/source3/include/config.h

ठीक
/* #undef HAVE_KRB5_ENCTYPE_TO_STRING_WITH_SIZE_T_ARG */
पर
#define HAVE_KRB5_ENCTYPE_TO_STRING_WITH_SIZE_T_ARG 1

# make install clean
# vi /usr/local/etc/rc.d/samba

एक्सपोर्ट LD_LIBRARY_PATH = / usr / स्थानीय / lib रन_rc_command को कॉल करने से पहले:
samba_cmd() {
...
export LD_LIBRARY_PATH=/usr/local/lib
run_rc_command "${_rc_prefix}${rc_arg}" ${rc_extra_args}
...
}

# echo samba_enable=\"YES\" >> /etc/rc.conf
# vi /etc/nsswitch.conf

लाइनों को बदलें
group: compat
passwd: compat
इस तरह से
group: files winbind
passwd: files winbind

# vi /usr/local/etc/smb.conf

मुख्य सेटिंग्स इस प्रकार हैं:
[global]
security = ads
# DNS- .
realm = DOMAIN.LOCAL
# NETBIOS- . , .
workgroup = DOMAIN
# smb.conf. AD . Samba 3.5 : UTF-8.
unix charset = CP1251
# . .
display charset = KOI8-R

उदाहरण गेंदों:
[share_name]
path = /tmp
valid users = \
+staff \
DOMAIN\. \
@"DOMAIN\ "
writable = yes

# LD_LIBRARY_PATH=/usr/local/lib net ads join -U administrator

हम अपने सर्वर को डोमेन से जोड़ते हैं। व्यवस्थापक - उपयोगकर्ता का नाम डोमेन व्यवस्थापक विशेषाधिकारों के साथ। आप डोमेन नाम को छोड़ सकते हैं, क्योंकि डिफ़ॉल्ट मान smb.conf से दायरे में है।
ध्यान दें कि Kerberos कॉन्फ़िगरेशन फ़ाइल /etc/krb5.conf, जिसके बारे में इंटरनेट पर बहुत कुछ लिखा गया है, पूरी तरह से अनावश्यक है। डोमेन और KDC के बारे में सभी आवश्यक जानकारी DNS से ​​ली गई है।

# /usr/local/etc/rc.d/samba start