IPBrick como membro de um dom19 nio AD

Transcrição

Actualização do Esquema do AD
IPBrick
iPortalMais
Outubro 2006
2
c iPortalMais
Copyright Todos os direitos reservados. Outubro 2006.
A informação contida neste documento está sujeita a alterações sem aviso prévio.
As declarações, dados técnicos, configurações e recomendações deste documento
são supostamente precisas e fiáveis, mas são apresentadas sem garantias expressas
ou implicı́tas.
iPortalMais - 2006
Conteúdo
1 Active Directory - LDAP
1.1 Microsoft Services For Unix . . . .
1.2 AD Schema . . . . . . . . . . . . .
1.3 Support Tools . . . . . . . . . . . .
1.4 AutoFS LDAP Schema . . . . . . .
1.4.1 Especificação do Esquema .
1.4.2 Registo do Esquema no AD
1.4.3 Organizational Unit . . . . .
1.4.4 Acesso anónimo . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
5
8
8
9
9
10
13
14
2 IPBrick
15
2.1 Dados da AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.2 Configuração da IPBrick . . . . . . . . . . . . . . . . . . . . . . . . 17
iPortalMais - 2006
4
CONTEÚDO
iPortalMais - 2006
Capı́tulo 1
Active Directory - LDAP
1.1
Microsoft Services For Unix
O software MS Services For Unix foi descarregado da internet do site da Microsoft:
http://www.microsoft.com/windowsserversystem/sfu/
http://www.microsoft.com/windowsserversystem/sfu/downloads/default.asp
É necessário iniciar sessão com um login ”passport”(é o mesmo de um qualquer
cliente do MS Messenger).
O ficheiro descarregado tem cerca de 217.6 MB, é um zip auto-executável.
Para proceder à instalação do software, é necessário fazer login com um utilizador que pertença ao grupo ”Schema Admins”, para além de ser necessário,
obviamente, permissões para instalar software. Para instalar, então, procedemos
da seguinte forma:
1. Transferimos o ficheiro para o servidor
2. Descompactamos para a pasta c:\tempsfu
3. Fechamos todas as consolas MMC e todas as janelas abertas de gestão do
Active Directory
4. Executamos o c:\tempsfu\setup.exe (posteriormente pode ser apagado)
5. Seleccionámos sempre as opções por defeito - Não escrevemos em nenhum
dos campos!
6. No final é pedido um Reboot do servidor para que as alterações sejam efectivamente aplicadas - Este reboot não é obrigatório ser feito neste momento.
Pode ser feito mais tarde!
Este software deverá ser instalado em todos os domain controllers onde se pretendam criar utilizadores. Acrescenta os separadores necessários ao Active Directory para editar/gerir as propriedades UNIX (LINUX), como User Identifier (UID)
e Group Identifier (GID) dos vários objectos (grupos, utilizadores, máquinas).
Após a instalação deste software, é necessário atribuir os Unix Attributes para:
iPortalMais - 2006
6
• Grupos;
• Utilizadores;
Isso pode ser feito no AD em: Users and Computers
Nos grupos (Figura 1.1) é necessário indicar os seguintes campos:
Figura 1.1: Propriedades do grupo administradores
• Nis Domain: é o domı́nio da AD (no exemplo: iporatal2003);
• GID: identificador do grupo (group id);
Mais informação:
• GID Domain Users : 513;
• GID Domain Admin : 512.
• UID administrador : 10000
iPortalMais - 2006
1.1 Microsoft Services For Unix
7
Só após existirem grupos com Unix Attributes definidos é possı́vel atribuir os
Unix Attributes aos utilizadores, uma vez que é necessário indicar o Primary Group
ID para cada utilizador.
Nos utilizadores (Figura 1.2) é necessário indicar os seguintes campos:
Figura 1.2: IPBrick como membro da AD - Utilizadores
• Nis Domain: é o domı́nio da AD (no exemplo: iporatal2003);
• UID: identificador do utilizador (user id);
• Home Directory: o directório do utilizador;
• Primary Group: qual o grupo do utilizador.
⇒ Nota: Para que os grupos sejam migrados para a IPBrick com
os utilizadores incluı́dos, é necessário que:
iPortalMais - 2006
8
• Os grupos a serem migrados possuam os Unix Attributes definidos;
• Os utilizadores membros dos grupos a serem migrados, possuam
os Unix Attributes definidos;
• Os utilizadores devem ser adicionados aos grupos através das Propriedades do Utilizador, Member of.
1.2
Active Directory - Schema SNAP-IN
Para trabalharmos no esquema do LDAP do AD é preciso activar o respectivo
MMC SNAP-IN. Isto será feito apenas uma vez por servidor:
INICIAR -> Executar
regsvr32 schmmgmt.dll
Acedemos a este SNAP-IN da seguinte forma:
1. INICIAR -> Executar : mmc
2. File -> Add/Remove Snap-in
3. Add
4. Active Directory Schema
5. Add
6. Close
7. Ok
1.3
Windows 2003 Server Support Tools
É necessário instalar o Windows 2003 Server Support Tools. Vamos precisar
da ferramenta ADSI Edit.
Acedemos a esta ferramenta da seguinte forma:
1. INICIAR -> Executar : mmc
2. File -> Add/Remove Snap-in
3. Add
4. ADSI Edit
5. Add
6. Close
7. Ok
iPortalMais - 2006
1.4 AutoFS LDAP Schema
9
Para trabalharmos no próprio servidor é necessário ainda o seguinte:
1. Clicar com o botão direito sobre ADSI Edit
2. Seleccionar Connect To...
3. No quadro seleccionaremos:
• Connection Point: Domain e/ou Configuration
• Computer: Default ou o Domain domain.com
⇒ Nota: Adiante trabalharemos com Connection Point seleccionado
para Domain ou para Configuration.
1.4
AutoFS LDAP Schema
Registar o esquema do serviço Automount no LDAP.
1.4.1
#
#
#
#
#
Especificação do Esquema
OID Base is 1.3.6.1.4.1.2312.4
Attribute types are under 1.3.6.1.4.1.2312.4.1
Object classes are under 1.3.6.1.4.1.2312.4.2
Syntaxes are under 1.3.6.1.4.1.2312.4.3
# Attribute Type Definitions
attributetype ( 1.3.6.1.1.1.1.25 NAME ’automountInformation’
DESC ’Information used by the autofs automounter’
EQUALITY caseExactIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
objectclass ( 1.3.6.1.1.1.1.9 NAME ’automount’ SUP top STRUCTURAL
DESC ’An entry in an automounter map’
MUST ( cn $ automountInformation $ objectclass )
MAY ( description ) )
objectclass ( 1.3.6.1.4.1.2312.4.2.2 NAME ’automountMap’ SUP top STRUCTURAL
DESC ’An group of related automount objects’
MUST ( ou ) )
iPortalMais - 2006
10
1.4.2
Registo do Esquema no AD
Abaixo exemplificámos dois procedimentos alternativos para procedermos ao
registo do Esquema LDAP da classe automount no LDAP no AD. Um é o procedimento automático e o outro é o manual. Só deverá ser aplicado um único
destes procedimentos e não os dois!
AUTOMÁTICO
Utilizámos o ficheiro auto.ldf abaixo incluı́do:
dn: CN=automountInformation,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
changetype: add
objectClass: top
objectClass: attributeSchema
cn: automountInformation
distinguishedName:
CN=automountInformation,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
instanceType: 4
attributeID: 1.3.6.1.1.1.1.25
attributeSyntax: 2.5.5.5
isSingleValued: TRUE
adminDisplayName: automountInformation
adminDescription: Information used by the autofs automounter
oMSyntax: 22
lDAPDisplayName: automountInformation
name: automountInformation
objectGUID:: bX2hccX+lkKIq28wzfX4DA==
schemaIDGUID:: hW1aZ+cuk0av85ejQRYd3A==
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
showInAdvancedViewOnly: TRUE
dn:
changetype: modify
replace: schemaUpdateNow
schemaUpdateNow: 1
dn: CN=automount,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
changetype: add
objectClass: top
objectClass: classSchema
cn: automount
defaultObjectCategory:
CN=automount,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
governsID: 1.3.6.1.1.1.1.9
instanceType: 4
iPortalMais - 2006
11
objectCategory:
CN=Class-Schema,CN=Schema,CN=Configuration,<DOMAIN_BASE_DN>
schemaIDGUID:: beDUWpwClU2UTzStxwtdVw==
subClassOf: top
mustContain: automountInformation
mustContain: cn
mustContain: objectClass
mayContain: description
rDNAttID: cn
adminDisplayName: automount
adminDescription: An entry in an automounter map
objectClassCategory: 1
lDAPDisplayName: automount
name: automount
possSuperiors: container
possSuperiors: organizationalUnit
showInAdvancedViewOnly: TRUE
objectGUID:: 3tsP09E/dEea64uGAcwbsA==
systemOnly: FALSE
defaultSecurityDescriptor:
D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
dn:
changetype: modify
replace: schemaUpdateNow
schemaUpdateNow: 1
Neste ficheiro substituı́mos <DOMAIN_BASE_DN pelo respectivo domı́nio. Exemplo
para o domı́nio domain.com: DC=domain,DC=com
Procedimento:
1. No servidor de domı́nio (Schema Master Server) é necessário activar a permissão para fazer o update do esquema do Active Directory. Iniciar o Editor
de Registro (Iniciar -> Executar -> regedt32
2. Localizar a seguinte chave
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
NTDS
Parameters
- Schema Update Allowed
iPortalMais - 2006
12
3. Editar a variável (Schema Update Allowed)
4. Clicar em Binary e alterar o valor para 1
Executar na linha de comandos a instrução para adicionar o LDIF ao AD:
ldifde -i -k -c CN=Schema,CN=Configuration,DC=domain,DC=com
CN=Schema,CN=Configuration,DC=domain,DC=com -s localhost
-f auto.ldf
\
\
MANUAL
Entramos na consola do Active Directory Schema. Procedemos da seguinte
forma:
1. Botão direito sobre Attributes e seleccionámos Create Attribute
2. Lemos o aviso e prosseguimos
3. Preenchemos o formulário (Create New Attribute) com os seguintes valores:
• Common Name: automountInformation
• LDAP Display Name: automountInformation
• Unique X500 Object ID: 1.3.6.1.1.1.1.25
• Description: Information used by the autofs automounter
• Syntax: IA5-String
• OK
4. Botão direito sobre Classes e seleccionámos Create Class
6. Preenchemos o formulário (Create New Schema Class) com os seguintes valores:
• Common Name: automount
• LDAP Display Name: automount
• Unique X500 Object ID: 1.3.6.1.1.1.1.9
• Description: An entry in an automounter map
• Parent Class: top
• Class Type: Structural
• Next
• Mandatory: cn, automountInformation, objectClass
• Optional: description
• Finish
iPortalMais - 2006
13
7. Botão direito sobre Classes e seleccionámos Create Class
9. Preenchemos o formulário (Create New Schema Class) com os seguintes valores:
• Common Name: automountMap
• LDAP Display Name: automountMap
• Unique X500 Object ID: 1.3.6.1.4.1.2312.4.2.2
• Description: An group of related automount objects
• Parent Class: top
• Class Type: Structural
• Next
• Mandatory: ou
• Optional:
• Finish
Ainda antes de terminar falta apenas o seguinte:
1. Seleccionamos as Classes e procuramos a classe automount
2. Botão direito sobre a classe automount e seleccionámos Properties
3. Separador Relationship
4. Adicionamos em Possible superior: organizationalUnit e top
5. OK
1.4.3
Organizational Unit
A Organizational Unit (OU) onde serão registadas as entradas da localização
da home de cada utilizador.
Entrámos no ADSI Edit e ligámo-nos ao Domain. Procedemos depois da seguinte forma:
1. Botão direito do rato sobre o dominio DC=domain,dc=com e seleccionámos
New Object.
2. Class: organizationalUnit
3. Next
4. Value: auto.home
5. Next
6. Finish
iPortalMais - 2006
14
1.4.4
Acesso anónimo
Precisamos de permitir acesso anónimo à informação no LDAP. Isto é feito
através do ADSI Edit em na vertente Configuration.
1. Clicar com o botão direito do rato sobre a entrada abaixo e seleccionar
Propriedades
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
DC=domain,DC=com
2. Editar a variável dsHeuristics e colocar o sétimo digito com o valor 2. Exemplos:
Valor original - Valor Final
<Not Set>
0000002
001
0010002
3. OK
4. OK
Depois apenas precisamos de configurar as ACLs na OU=auto.home:
1. ADSI Edit - Domain
2. Seleccionar OU=auto.home e clicar com o botão direito
3. Seleccionar Propriedades e aceder a Security
4. Aqui adicionar a seguinte entrada
• Add : ANONYMOUS LOGON : Add : Read
• Advanced
• Seleccionar a linha ANONYMOUS LOGON e depois Edit...
• Alterar Apply onto: This object and all child objects
• OK
• OK
ATENÇÃO: As permissões para ANONYMOUS LOGON só são definidas para a entrada OU=auto.home e seus descendentes.
iPortalMais - 2006
Capı́tulo 2
IPBrick
2.1
Dados da AD
Para descobrir mais facilmente os Base DNs necessários, é necessário utilizar
a ferramenta ADSI Edit referida em 1.3.
Após estar efectuada a ligação ao servidor (conforme referido em 1.3), é visı́vel
uma janela como a da Figura 2.1, na qual é visı́vel o domı́nio em utilização
(dc=iporatal2003,dc=local).
Figura 2.1: ASDI Edit - Domı́nio
Na Figura 2.2 é visı́vel o BASE DN dos utilizadores, no caso concreto do utilizador cujo username é administrador. É visı́vel então que o BASE DN para esse utilizador é: cn=administrador,cn=users,dc=iporatal2003,dc=local, de onde se
pode tirar também que o BASE DN de utilizadores é cn=users,dc=iporatal2003,dc=local.
iPortalMais - 2006
16
IPBrick
Figura 2.2: ASDI Edit - Utilizadores
Ao nı́vel dos grupos (Figura 2.2), pode ver-se que o BASE DN é
cn=builtin,dc=iporatal2003,dc=local.
Figura 2.3: ASDI Edit - Grupos
iPortalMais - 2006
2.2 Configuração da IPBrick
2.2
17
Configuração da IPBrick
Ao nı́vel da IPBrick a mesma deverá ser configurada conforme o AD em questão.
No exemplo da Figura 2.4 a junção será feita a um AD cujas definições são:
• Endereço IP do servidor AD: 192.168.69.28
• Domı́nio Netbios: iporatal2003
• Realm: iporatal2003.local
• Administrador do Domı́nio: administrador;
• Password: (do utilizador anterior);
• Base DN: dc=iporatal2003,dc=local;
• Administrador DN: cn=administrador,cn=users,dc=iporatal2003,dc=local;
• DN base de procura de utilizadores: cn=users,dc=iporatal2003,dc=local;
• DN base de procura de grupos: ou=builtin,dc=iporatal2003,dc=local
! Atenção: Estes dados tem de estar conforme a configuração da
AD. Os dados aqui indicados servem só como exemplo. Consulte o
administrador do AD para saber os BASE DN’s exactos ou veja como
obtê-los em 2.1.
Figura 2.4: IPBrick como membro da AD
Para aceder a esta configuração, na interface da IPBrick tem de aceder à Secção
Definiç~
oes Avançadas IPBrick Autenticaç~
ao.
iPortalMais - 2006

IPBrick como membro de um dom19 nio AD

Transcrição

Documentos relacionados

EMPORT Os utilizadores do projeto EMPORT

Mini-Howto Compilando o Pure ftpd com suporte ao OpenLDAP

GERANDO MODELO RELACIONAL COM O SQL

Guia de Modelagem de Dados - DATASUS

Aula 7: Criando Sua Primeira Base de Dados

Instrues aos Autores de Contribuies para o SIBGRAPI

ESCOLHA A VERSÃO MAIS ADEQUADA PARA O SEU CENÁRIO A

VALE UMA SEMANA GRÁTIS NO VIRGIN ACTIVE HEALTH

Esquema Eléctrico/Schéma Électrique Electric Scheme/Electrisches

apresentação