IPBrick como membro de um dom19 nio AD
Transcrição
IPBrick como membro de um dom19 nio AD
Actualização do Esquema do AD IPBrick iPortalMais Outubro 2006 2 c iPortalMais Copyright Todos os direitos reservados. Outubro 2006. A informação contida neste documento está sujeita a alterações sem aviso prévio. As declarações, dados técnicos, configurações e recomendações deste documento são supostamente precisas e fiáveis, mas são apresentadas sem garantias expressas ou implicı́tas. Actualização do Esquema do AD iPortalMais - 2006 Conteúdo 1 Active Directory - LDAP 1.1 Microsoft Services For Unix . . . . 1.2 AD Schema . . . . . . . . . . . . . 1.3 Support Tools . . . . . . . . . . . . 1.4 AutoFS LDAP Schema . . . . . . . 1.4.1 Especificação do Esquema . 1.4.2 Registo do Esquema no AD 1.4.3 Organizational Unit . . . . . 1.4.4 Acesso anónimo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 8 8 9 9 10 13 14 2 IPBrick 15 2.1 Dados da AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Configuração da IPBrick . . . . . . . . . . . . . . . . . . . . . . . . 17 iPortalMais - 2006 Actualização do Esquema do AD 4 Actualização do Esquema do AD CONTEÚDO iPortalMais - 2006 Capı́tulo 1 Active Directory - LDAP 1.1 Microsoft Services For Unix O software MS Services For Unix foi descarregado da internet do site da Microsoft: http://www.microsoft.com/windowsserversystem/sfu/ http://www.microsoft.com/windowsserversystem/sfu/downloads/default.asp É necessário iniciar sessão com um login ”passport”(é o mesmo de um qualquer cliente do MS Messenger). O ficheiro descarregado tem cerca de 217.6 MB, é um zip auto-executável. Para proceder à instalação do software, é necessário fazer login com um utilizador que pertença ao grupo ”Schema Admins”, para além de ser necessário, obviamente, permissões para instalar software. Para instalar, então, procedemos da seguinte forma: 1. Transferimos o ficheiro para o servidor 2. Descompactamos para a pasta c:\tempsfu 3. Fechamos todas as consolas MMC e todas as janelas abertas de gestão do Active Directory 4. Executamos o c:\tempsfu\setup.exe (posteriormente pode ser apagado) 5. Seleccionámos sempre as opções por defeito - Não escrevemos em nenhum dos campos! 6. No final é pedido um Reboot do servidor para que as alterações sejam efectivamente aplicadas - Este reboot não é obrigatório ser feito neste momento. Pode ser feito mais tarde! Este software deverá ser instalado em todos os domain controllers onde se pretendam criar utilizadores. Acrescenta os separadores necessários ao Active Directory para editar/gerir as propriedades UNIX (LINUX), como User Identifier (UID) e Group Identifier (GID) dos vários objectos (grupos, utilizadores, máquinas). Após a instalação deste software, é necessário atribuir os Unix Attributes para: iPortalMais - 2006 Actualização do Esquema do AD 6 Active Directory - LDAP • Grupos; • Utilizadores; Isso pode ser feito no AD em: Users and Computers Nos grupos (Figura 1.1) é necessário indicar os seguintes campos: Figura 1.1: Propriedades do grupo administradores • Nis Domain: é o domı́nio da AD (no exemplo: iporatal2003); • GID: identificador do grupo (group id); Mais informação: • GID Domain Users : 513; • GID Domain Admin : 512. • UID administrador : 10000 Actualização do Esquema do AD iPortalMais - 2006 1.1 Microsoft Services For Unix 7 Só após existirem grupos com Unix Attributes definidos é possı́vel atribuir os Unix Attributes aos utilizadores, uma vez que é necessário indicar o Primary Group ID para cada utilizador. Nos utilizadores (Figura 1.2) é necessário indicar os seguintes campos: Figura 1.2: IPBrick como membro da AD - Utilizadores • Nis Domain: é o domı́nio da AD (no exemplo: iporatal2003); • UID: identificador do utilizador (user id); • Home Directory: o directório do utilizador; • Primary Group: qual o grupo do utilizador. ⇒ Nota: Para que os grupos sejam migrados para a IPBrick com os utilizadores incluı́dos, é necessário que: iPortalMais - 2006 Actualização do Esquema do AD 8 Active Directory - LDAP • Os grupos a serem migrados possuam os Unix Attributes definidos; • Os utilizadores membros dos grupos a serem migrados, possuam os Unix Attributes definidos; • Os utilizadores devem ser adicionados aos grupos através das Propriedades do Utilizador, Member of. 1.2 Active Directory - Schema SNAP-IN Para trabalharmos no esquema do LDAP do AD é preciso activar o respectivo MMC SNAP-IN. Isto será feito apenas uma vez por servidor: INICIAR -> Executar regsvr32 schmmgmt.dll Acedemos a este SNAP-IN da seguinte forma: 1. INICIAR -> Executar : mmc 2. File -> Add/Remove Snap-in 3. Add 4. Active Directory Schema 5. Add 6. Close 7. Ok 1.3 Windows 2003 Server Support Tools É necessário instalar o Windows 2003 Server Support Tools. Vamos precisar da ferramenta ADSI Edit. Acedemos a esta ferramenta da seguinte forma: 1. INICIAR -> Executar : mmc 2. File -> Add/Remove Snap-in 3. Add 4. ADSI Edit 5. Add 6. Close 7. Ok Actualização do Esquema do AD iPortalMais - 2006 1.4 AutoFS LDAP Schema 9 Para trabalharmos no próprio servidor é necessário ainda o seguinte: 1. Clicar com o botão direito sobre ADSI Edit 2. Seleccionar Connect To... 3. No quadro seleccionaremos: • Connection Point: Domain e/ou Configuration • Computer: Default ou o Domain domain.com ⇒ Nota: Adiante trabalharemos com Connection Point seleccionado para Domain ou para Configuration. 1.4 AutoFS LDAP Schema Registar o esquema do serviço Automount no LDAP. 1.4.1 # # # # # Especificação do Esquema OID Base is 1.3.6.1.4.1.2312.4 Attribute types are under 1.3.6.1.4.1.2312.4.1 Object classes are under 1.3.6.1.4.1.2312.4.2 Syntaxes are under 1.3.6.1.4.1.2312.4.3 # Attribute Type Definitions attributetype ( 1.3.6.1.1.1.1.25 NAME ’automountInformation’ DESC ’Information used by the autofs automounter’ EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) objectclass ( 1.3.6.1.1.1.1.9 NAME ’automount’ SUP top STRUCTURAL DESC ’An entry in an automounter map’ MUST ( cn $ automountInformation $ objectclass ) MAY ( description ) ) objectclass ( 1.3.6.1.4.1.2312.4.2.2 NAME ’automountMap’ SUP top STRUCTURAL DESC ’An group of related automount objects’ MUST ( ou ) ) iPortalMais - 2006 Actualização do Esquema do AD 10 Active Directory - LDAP 1.4.2 Registo do Esquema no AD Abaixo exemplificámos dois procedimentos alternativos para procedermos ao registo do Esquema LDAP da classe automount no LDAP no AD. Um é o procedimento automático e o outro é o manual. Só deverá ser aplicado um único destes procedimentos e não os dois! AUTOMÁTICO Utilizámos o ficheiro auto.ldf abaixo incluı́do: dn: CN=automountInformation,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> changetype: add objectClass: top objectClass: attributeSchema cn: automountInformation distinguishedName: CN=automountInformation,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> instanceType: 4 attributeID: 1.3.6.1.1.1.1.25 attributeSyntax: 2.5.5.5 isSingleValued: TRUE adminDisplayName: automountInformation adminDescription: Information used by the autofs automounter oMSyntax: 22 lDAPDisplayName: automountInformation name: automountInformation objectGUID:: bX2hccX+lkKIq28wzfX4DA== schemaIDGUID:: hW1aZ+cuk0av85ejQRYd3A== objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> showInAdvancedViewOnly: TRUE dn: changetype: modify replace: schemaUpdateNow schemaUpdateNow: 1 dn: CN=automount,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> changetype: add objectClass: top objectClass: classSchema cn: automount defaultObjectCategory: CN=automount,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> governsID: 1.3.6.1.1.1.1.9 instanceType: 4 Actualização do Esquema do AD iPortalMais - 2006 1.4 AutoFS LDAP Schema 11 objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN> schemaIDGUID:: beDUWpwClU2UTzStxwtdVw== subClassOf: top mustContain: automountInformation mustContain: cn mustContain: objectClass mayContain: description rDNAttID: cn adminDisplayName: automount adminDescription: An entry in an automounter map objectClassCategory: 1 lDAPDisplayName: automount name: automount possSuperiors: container possSuperiors: organizationalUnit showInAdvancedViewOnly: TRUE objectGUID:: 3tsP09E/dEea64uGAcwbsA== systemOnly: FALSE defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) (A;;RPLCLORC;;;AU) dn: changetype: modify replace: schemaUpdateNow schemaUpdateNow: 1 Neste ficheiro substituı́mos <DOMAIN_BASE_DN pelo respectivo domı́nio. Exemplo para o domı́nio domain.com: DC=domain,DC=com Procedimento: 1. No servidor de domı́nio (Schema Master Server) é necessário activar a permissão para fazer o update do esquema do Active Directory. Iniciar o Editor de Registro (Iniciar -> Executar -> regedt32 2. Localizar a seguinte chave HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services NTDS Parameters - Schema Update Allowed iPortalMais - 2006 Actualização do Esquema do AD 12 Active Directory - LDAP 3. Editar a variável (Schema Update Allowed) 4. Clicar em Binary e alterar o valor para 1 Executar na linha de comandos a instrução para adicionar o LDIF ao AD: ldifde -i -k -c CN=Schema,CN=Configuration,DC=domain,DC=com CN=Schema,CN=Configuration,DC=domain,DC=com -s localhost -f auto.ldf \ \ MANUAL Entramos na consola do Active Directory Schema. Procedemos da seguinte forma: 1. Botão direito sobre Attributes e seleccionámos Create Attribute 2. Lemos o aviso e prosseguimos 3. Preenchemos o formulário (Create New Attribute) com os seguintes valores: • Common Name: automountInformation • LDAP Display Name: automountInformation • Unique X500 Object ID: 1.3.6.1.1.1.1.25 • Description: Information used by the autofs automounter • Syntax: IA5-String • OK 4. Botão direito sobre Classes e seleccionámos Create Class 5. Lemos o aviso e prosseguimos 6. Preenchemos o formulário (Create New Schema Class) com os seguintes valores: • Common Name: automount • LDAP Display Name: automount • Unique X500 Object ID: 1.3.6.1.1.1.1.9 • Description: An entry in an automounter map • Parent Class: top • Class Type: Structural • Next • Mandatory: cn, automountInformation, objectClass • Optional: description • Finish Actualização do Esquema do AD iPortalMais - 2006 1.4 AutoFS LDAP Schema 13 7. Botão direito sobre Classes e seleccionámos Create Class 8. Lemos o aviso e prosseguimos 9. Preenchemos o formulário (Create New Schema Class) com os seguintes valores: • Common Name: automountMap • LDAP Display Name: automountMap • Unique X500 Object ID: 1.3.6.1.4.1.2312.4.2.2 • Description: An group of related automount objects • Parent Class: top • Class Type: Structural • Next • Mandatory: ou • Optional: • Finish Ainda antes de terminar falta apenas o seguinte: 1. Seleccionamos as Classes e procuramos a classe automount 2. Botão direito sobre a classe automount e seleccionámos Properties 3. Separador Relationship 4. Adicionamos em Possible superior: organizationalUnit e top 5. OK 1.4.3 Organizational Unit A Organizational Unit (OU) onde serão registadas as entradas da localização da home de cada utilizador. Entrámos no ADSI Edit e ligámo-nos ao Domain. Procedemos depois da seguinte forma: 1. Botão direito do rato sobre o dominio DC=domain,dc=com e seleccionámos New Object. 2. Class: organizationalUnit 3. Next 4. Value: auto.home 5. Next 6. Finish iPortalMais - 2006 Actualização do Esquema do AD 14 Active Directory - LDAP 1.4.4 Acesso anónimo Precisamos de permitir acesso anónimo à informação no LDAP. Isto é feito através do ADSI Edit em na vertente Configuration. 1. Clicar com o botão direito do rato sobre a entrada abaixo e seleccionar Propriedades CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=com 2. Editar a variável dsHeuristics e colocar o sétimo digito com o valor 2. Exemplos: Valor original - Valor Final <Not Set> 0000002 001 0010002 3. OK 4. OK Depois apenas precisamos de configurar as ACLs na OU=auto.home: 1. ADSI Edit - Domain 2. Seleccionar OU=auto.home e clicar com o botão direito 3. Seleccionar Propriedades e aceder a Security 4. Aqui adicionar a seguinte entrada • Add : ANONYMOUS LOGON : Add : Read • Advanced • Seleccionar a linha ANONYMOUS LOGON e depois Edit... • Alterar Apply onto: This object and all child objects • OK • OK ATENÇÃO: As permissões para ANONYMOUS LOGON só são definidas para a entrada OU=auto.home e seus descendentes. Actualização do Esquema do AD iPortalMais - 2006 Capı́tulo 2 IPBrick 2.1 Dados da AD Para descobrir mais facilmente os Base DNs necessários, é necessário utilizar a ferramenta ADSI Edit referida em 1.3. Após estar efectuada a ligação ao servidor (conforme referido em 1.3), é visı́vel uma janela como a da Figura 2.1, na qual é visı́vel o domı́nio em utilização (dc=iporatal2003,dc=local). Figura 2.1: ASDI Edit - Domı́nio Na Figura 2.2 é visı́vel o BASE DN dos utilizadores, no caso concreto do utilizador cujo username é administrador. É visı́vel então que o BASE DN para esse utilizador é: cn=administrador,cn=users,dc=iporatal2003,dc=local, de onde se pode tirar também que o BASE DN de utilizadores é cn=users,dc=iporatal2003,dc=local. iPortalMais - 2006 Actualização do Esquema do AD 16 IPBrick Figura 2.2: ASDI Edit - Utilizadores Ao nı́vel dos grupos (Figura 2.2), pode ver-se que o BASE DN é cn=builtin,dc=iporatal2003,dc=local. Figura 2.3: ASDI Edit - Grupos Actualização do Esquema do AD iPortalMais - 2006 2.2 Configuração da IPBrick 2.2 17 Configuração da IPBrick Ao nı́vel da IPBrick a mesma deverá ser configurada conforme o AD em questão. No exemplo da Figura 2.4 a junção será feita a um AD cujas definições são: • Endereço IP do servidor AD: 192.168.69.28 • Domı́nio Netbios: iporatal2003 • Realm: iporatal2003.local • Administrador do Domı́nio: administrador; • Password: (do utilizador anterior); • Base DN: dc=iporatal2003,dc=local; • Administrador DN: cn=administrador,cn=users,dc=iporatal2003,dc=local; • DN base de procura de utilizadores: cn=users,dc=iporatal2003,dc=local; • DN base de procura de grupos: ou=builtin,dc=iporatal2003,dc=local ! Atenção: Estes dados tem de estar conforme a configuração da AD. Os dados aqui indicados servem só como exemplo. Consulte o administrador do AD para saber os BASE DN’s exactos ou veja como obtê-los em 2.1. Figura 2.4: IPBrick como membro da AD Para aceder a esta configuração, na interface da IPBrick tem de aceder à Secção Definiç~ oes Avançadas IPBrick Autenticaç~ ao. iPortalMais - 2006 Actualização do Esquema do AD
Documentos relacionados
Instrues aos Autores de Contribuies para o SIBGRAPI
um Diretório LDAP. Têm-se, desta forma, quatro modelos, a saber: Modelo de Informação – Provê as estruturas e tipos de dados necessários para construir uma DTI. Modelo de nomes – Define como as ent...
Leia mais