Linux-система в сети Techexpert
Материал из Xgu.ru
Автор: Сергей Черепенин
В этой статье рассматривается как интегрировать Linux-систему в сеть компании Techexpert и пользоваться (практически) всеми сервисами доступными пользователям MS Windows. Приведённые настройки соответствуют дитрибутиву Debian. При использовании других дистрибутивов они могут незначитально отличаться.
[править] Настройка сетевого интерфейса
Настройка сетевого адреса производится с помощью следующих команд:
# ifconfig eth0 0.0.0.0 netmask 255.0.0.0 # route add default gw 10.0.1.1
Сетевой адрес задан только на время работы компьютера, т.е. после перезагрузки адрес вновь будет получен по DHCP. Чтобы такого не произошло необходимо отредактировать файл /etc/network/interfaces и привести его к следующему виду:
# This file describes the network interfaces available on your # system and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 0.0.0.0 netmask 255.0.0.0 network 10.0.0.0 broadcast 10.255.255.255 gateway 10.0.1.1 dns-nameservers 10.0.1.4
Примечание: на месте 0.0.0.0 – необходимо написать ip-адрес сетевого интерфейса Вашего компьютера.
Теперь при загрузке системы сетевые параметры будут назначены автоматически согласно этого файла.
[править] Настройка APT
Обновление программного обеспечения системы выполняется с помощью системы APT. Настройка APT производится в интерактивном режиме при помощи команды apt-setup:
# apt-setup
В ответ на введенную команду пользователю необходимо ответить на ряд вопросов:
- Выбор метода APT доступа к архивам: http
- Выбор зеркала: зеркало в Украине Ukraine
- Выбор зеркала для использования. Предлагается 2 варианта:
- debian.osdn.org.ua
- debian.org.ua
- Можно добавить оба зеркала.
- После выбора первого из зеркал (последовательность выбора не имеет значения) программа спросит о необходимости использования Proxy server`a. В случае необходимости его использования – потребуется ввести параметры Proxy в следующем формате:
http://username:userpassword@10.0.1.1:8080
После этого программа проверит возможность доступа к добавленному зеркалу и обновит список доступных для установки пакетов. 5. Далее программа спросит о необходимости добавления другого зеркала (см. п. 3). 6. После добавления последнего зеркала и проверки доступа к нему, программа спросит о необходимости использования обновлений безопасности. В случае утвердительного ответа программа проверит доступ к источнику. 7. Для проверки работоспособности APT можно дать команду, которая используется для обновления списка доступных пакетов:
# apt-get update Hit http://debian.osdn.org.ua testing/main Packages Hit http://debian.osdn.org.ua testing/main Release Hit http://debian.org.ua testing/main Packages Hit http://security.debian.org testing/updates/main Packages Hit http://debian.osdn.org.ua testing/main Sources Hit http://debian.osdn.org.ua testing/main Release Hit http://debian.osdn.org.ua testing/main Packages Hit http://debian.osdn.org.ua testing/main Release Hit http://debian.osdn.org.ua testing/main Sources Hit http://debian.osdn.org.ua testing/main Release ...
[править] Использование Evolution Exchange
Здесь рассматривается как с помощью Evolution Exchange получить доступ к корпоративной почтовой системе, работающей на MS Exchange сервере.
[править] Настройка источника установки
Для работы с MS Exchange сервером почтовому клиенту Evolution необходим модуль evolution-exchange. Для корректной установки рекомендуется отредактировать файл /etc/apt/sources.lst следующим образом:
#deb file:///cdrom/ sarge main deb cdrom:[Debian GNU/Linux testing _Sarge_ - Official Snapshot Binary-1 (200050211)]/ unstable contrib main deb http://security.debian.org/ testing/updates main contrib #deb http://debian.org.ua/debian/ testing main #deb-src http://debian.org.ua/debian/ testing main deb http://debian.org.ua/debian/ stable main contrib #deb http://debian.osdn.org.ua/debian/ testing main #deb-src http://debian.osdn.org.ua/debian/ testing main
В результате редактирования файла была отменена установка тестируемых пакетов дистрибутива. Далее следует обновить список доступных для установки пакетов:
# apt-get update Get:1 http://debian.org.ua stable/main Packages [3349kB] Hit http://security.debian.org testing/updates/main Packages Get:2 http://security.debian.org testing/updates/main Release [98B] Get:3 http://security.debian.org testing/updates/contrib Packages [20B] Hit http://security.debian.org testing/updates/contrib Release 11% [1 Packages 376329/3349kB 11%] ...
После произведенных операций для установки требуемого модуля необходимо дать следующую команду:
[править] Установка модуля evolution-exchange для почтового клиента Evolution
# apt-get install evolution-exchange
Во время установки программе конфигурации пакета нужно будет предоставить необходимую информацию:
- На этом этапе установки программа конфигурации сгенерирует выбранные локали для поддержки различных языков, и выбор локали по умолчанию. Рекомендуется выбрать следующие локали:
- en_GB.UTF-8 UTF-8 – поддержка английского языка с кодировкой UTF-8;
- ru_UA KOI8-U – поддержка украинского языка с кодировкой KOI8-U;
- ru_RU.UTF-8 UTF-8 – поддержка русского языка с кодировкой UTF-8;
- ru_RU.KOI8-R KOI8-R – поддержка русского языка с кодировкой KOI8-R.
- По умолчанию выбираем ru_RU.KOI8-R.
- Далее программа конфигурации спросит о необходимости использования менеджера шрифтов – отвечаем
Yes.
[править] Настройка модуля evolution-exchange
Проверка этапа установки и нахождение программы настройки модуля можно выполнить одной командой:
# dpkg –L evolution-exchange | grep bin/ /usr/bin/ximian-connector-setup-2.0
Откуда видно, что программа установки запускается с правами обычного пользователя командой:
$ /usr/bin/ximian-connector-setup-2.0
В результате будет вызван графический интерфейс настройки модуля. Первым открывшимся окном будет приветственное окно, информирующее о том, что запущена установка модуля evolution-exchange. После нажатия кнопки «Далее» - открывается новое окно, где необходимо будет внести следующую информацию:
- Адрес сайта доступа к Outlook через веб – интерфейс:
(Outlook Web Access URL) – http://backtown/exchange/
- Имя пользователя в формате DOMAIN/username
- Пароль пользователя.
При желании можно установить галочку в поле «Remember this password» – для автоматического доступа к Exchange–серверу. Ввод информации в этом окне закончен – переход к следующему окну осуществляется путём нажатия кнопки «Далее».
В следующем окне необходимо будет ввести имя сервера глобального каталога (Global Catalog server).
Справка: В составе службы Active Directory имеется механизм под названием «глобальный каталог» (Global Catalog), позволяющий администраторам строить специализированный каталог, содержащий подмножество атрибутов объектов, представляющих интерес за пределами одного домена. Глобальный каталог определяет порядок участия в нем доменов на основе концепции деревьев и лесов связанных доменов Windows ([1] )
GC Server: backtown.tech.inc
Следующее окно будет информативного характера, показывающее полученную с сервера Exchange информацию о настраиваемой учетной записи:
- Полное имя в поле «Full Name»
- Адрес электронной почты в поле «Email Address»
Кроме того, в этом окне можно сделать основной данную учетную запись для почтового клиента Evolution, установив галочку в поле «Make this default account». Переход к следующему окну, нажатием кнопки «Далее».
Следующее окно говорит о том, что настройка прошла успешно и в нем предлагается нажать кнопку «Применить» для сохранения произведенных настроек.
[править] Запуск почтового клиента
Запуск почтового клиента можно осуществить различными способами: из меню KDE или Gnome, или из контекстного меню рабочего стола, выбрав в нем «Выполнить команду», а проще всего дать команду:
$ evolution
В результате чего откроется почтовый клиент.
[править] Дополнительная информация
[править] Организация совместного доступа к файлам
Здесь пошагово описано как выполнить инсталляцию, конфигурирование и последующее добавление Samba-сервера в домен Windows 2003:
- для успешной аутентификации всех учасников этого процесса одним из необходимх условий является расхождение системного времени контроллера домена и его учасников не более 5 минут. Поэтому первое, что необходимо будет сделать - произвести синронизацию системного времени с системным временем контроллера домена;
- для получения доступа к ресурсам сети, а так же для предоставления собственных необходимо будет установить Samba-сервер;
- для получения права для доступа к ресурсам сети пользователям с доменной учётной записью понадобится демон Winbind;
- для обеспечения возможности аутентификации по Kerberos-протоколу необходим пакет heimdal-clients;
- для предоставления возможности использования служб локальной машины пользовалелям, имеющим доменные учетные записи необходимо произвести настройку системы аутентификации PAM на локальной машине
[править] Синхронизация времени
Первым шагом выполнения поставленных в этой части пособия задач, является синхронизация системного времени со временем контроллера домена. Для этого необходима утилита ntpdate. Её установка выполняется стандартным методом:
# apt-get install ntpdate
Синхронизация системного времени со временем контроллера домена:
# ntpdate 10.0.1.2 17 Jan 10:03:46 ntpdate[2119]: step time server 10.0.1.2 offset 42231.202378 sec
[править] Инсталляция Samba, Winbind и Kerberos
Теперь можно приступать к установке Samba-сервера:
# apt-get install samba
В процессе инсталляции необходимо будет ответить на ряд вопросов:
- Первым вопросом будет название домена, в который вводится Samba-сервер:TECH.INC
- Вторым – необходимо ли Samba-серверу использовать шифрование пароля? Рекомендуется ответить утвердительно: Yes
- Следующее, на что нужно будет ответить – это необходимость получения WINS опций по DHCP.В сети TechExpert адреса не являются динамическими, поэтому на этот вопрос следует ответить отрицательно: No
- Далее следует вопрос о том, каким образом будет стартовать Samba-сервер: как демон или супердемон? Выбираем супердемон: inetd
- Далее – вопрос о создании базы данных паролей Samba-сервера: Yes
На этом установка Samba-сервера завершена.
Для нормальной его работы необходимо установить еще несколько пакетов:
- демон winbind обеспечивает возможность использования учетных записей Windows домена в качестве учетных записей Linux-системы.
# apt-get install winbind
- пакет heimdal-clients необходим для обеспечения возможности аунтификации в домене Windows по Керберос–протоколу.
# apt-get install heimdal-clients
Во время инсталляции пакета heimdal-clients необходимо ответить на 4 вопроса:
- Имя области аунтификации (realm): TECH.INC
- Указать расширение DNS (Hesiod):.tech.inc. Примечание: Hesiod - это расширение DNS, в котором для хранения информации о пользователях, группах и других объектах используются записи DNS ([4])
- Имя Керберос-сервера в TECH.INC домене: backtown.tech.inc
- Имя компьютера административного сервера области аунтификации в домене TECH.INC:backtown.tech.inc
На этом установка пакета heimdal-clients завершена.
[править] Использование POP3-сервера в сети Windows (перенести)
- пакет qpopper – это POP3–сервер. Он необходим для использования PAM (Pluggable Authentification Modules – Подключаемые модули аунтификации). В качестве одного из модулей PAM используется pam_winbind - модуль для аунтификации в Windows домене. Установка его выполняется командой:
# apt-get install qpopper
Проверка правильной настройки пакета производится следующим образом:
В файле /etc/inetd.conf указан путь к модулю:
# vi /etc/inetd.conf ... #:MAIL: Mail, news and uucp services. pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.qpopper –f /etc/qpopper.conf ...
Следующим шагом проверки правильности установки – проверка, собран ли пакет с использованием модуля аунтификации PAM:
# ldd /usr/sbin/in.qpopper libgdbm.so.3 => /usr/lib/libgdbm.so.3 (0x40026000) libdb1.so.2 => /lib/libd1.so.2 (0x4002c000) libpam.so.0 =>/lib/libpam.so.0 (0x4002f000) ...
Как видно – пакет собран с поддержкой libpam.so.0. Это означает, что программа использует подключаемые модули аунтификации. Теперь необходимо проверить, действительно ли супердемон выполняет прослушивание 110 порта:
# netstat –ln | grep 110 tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
[править] Настройка PAM
Далее можно переходить к настройке самого PAM:
В файл свойств аунтификации /etc/pam.d/common-auth необходимо добавить строку:
auth sufficient pam_winbind.so
непосредственно перед строкой, описывающей стандартную аунтификацию в Unix. Она означает, что прохождение аунтификации в системе достаточно с использованием pam_winbind и переходить далее к стандартной аунтификации Unix не требуется.
Кроме того, необходимо в файле свойств авторизации /etc/pam.d/common-account также добавить строку:
auth sufficient pam_winbind.so
непосредственно перед строкой, описывающей стандартную авторизацию Unix, которая будет означать, что авторизации при помощи pam_winbind достаточно, и далее переходить к стандартной аунтификации Unix не требуется.
Необходимо проверить полное доменное имя компьютера в файле /etc/hostname: hostname. tech.inc
Локальная база данных узлов /etc/hosts должна иметь следующий формат:
#127.0.0.1 localhost.localdomain localhost username 0.0.0.0 hostname.tech.inc username # The following lines are desirable for IPv6 capable hosts ...
Примечание: вместо 0.0.0.0 – необходимо ввести ip-адрес машины, которая вводится в домен.
Указание доменного имени необходимо для корректной установки cookies. Если система эксплуатируется в тестовом режиме и доменное имя не зарегистрировано в DNS и, таким образом, невозможно обратиться к серверу по доменному имени, необходимо прописать IP адрес сервера и его имя в локальном файле /etc/hosts.
Файл конфигурации резольвера /etc/resolv.conf (resolver является комплектом программ в библиотеке C, которые обеспечивают доступ к системе имени доменов в Интернет) должен иметь следующий вид:
domain tech.inc nameserver 10.0.1.2
[править] Настройка nsswitch.conf
Следующее, что необходимо сделать – отредактировать конфигурационный файл системных баз данных и переключателя сервисов имен /etc/nsswitch.conf:
passwd: files winbind group: files winbind shadow: compat hosts: files wins dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Конфигурация файла говорит о том, что источником имен, групп, хостов могут быть не только файлы, но и демон winbind.
Необходимо проверить правильность файла конфигурации Керберос /etc/krb5.conf, а имненно:
... default_realm = TECH.INC ... [realms] TECH.INC = { kdc = backtown.tech.inc admin_server = backtown.tech.inc } ...
Примечание: в случае возникновения ошибки:
bads/kerberos.c: get_service_ticket (337) get_service_ticket:kerberos_kinit_password SERVER$@TECH.INC@TECH.INC failed: Preauthentication failed
необходимо закомментировать строку default_realm.
[править] Настройка Samba
Последним файлом, который необходимо отредактировать – есть файл конфигурации Samba-сервера /etc/samba/smb.conf.
Необходимо проверить следующие параметры:
- Проверить правильность указания рабочей группы: workgroup = TECH
- Настройка аунтификации в стиле Active Directory и имени Керберос-области (realm):
####### Authentication ####### security = ADS realm = TECH.INC
Настройка winbind для репликации NT-пользователей:
# Some defaults for winbind (make sure you`re not usig the ranges for something else.) idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash template home dir = /home/samba/%u winbind use default domain = yes ;winbind separator = +
Создание общего ресурса с полным доступом:
####### Share Definitions ####### [for_cd_recording] comment = for_cd_recording path = /home/samba/For_CD_Recording browseable = yes writable = yes create mask = 0775 directory = 0775
Настройка параметров для корректного отображения русских букв и ресурсов с кодировкой KOI8-R:
dos charset = cp866 unix cherset = KOI8-R display charset = KOI8-R
Теперь, чтобы все изменения вступили в силу необходимо перезапустить Samba–сервер и демон Winbind:
# /etc/init.d/samba restart;/etc/init.d/winbind restart Stopping Samba daemons: nmbd Starting Samba daemons: nmbd Restarting the Winbind daemon: winbind
[править] Добавление Samba–сервера в домен Windows
Добавление Samba–сервера в домен Windows производится с помощью команды:
# net ads join –U administrator administrator`s password:
Пароль должен ввести пользователь (administrator) с правами добавления компьютеров в Windows домен.
Проверка, добавлена ли машина в домен, осуществляется одним из следующих способов:
# net ads info LDAP server: 10.0.1.2 LDAP server name: backtown Realm: TECH.INC Bind Path: dc=TECH,dc=INC LDAP port: 389 Server time: Tue, 17 Jan 2006 18:20:35 GMT KDC server 10.0.1.2 Server time offset: 149
или
# net ads testjoin Join is ok
[править] Проверка
Проверка работы Winbind: проверка существования связи с Winbind:
# wbinfo –p Ping to winbindd succeeded on fd 4
проверка возможности получения списка пользователей контроллера домена:
# wbinfo –u downtown$ admin immortal$ tower$ backtown$ guest alex adm basic pback krbtgt tsinternetuser iusr_downtown ...
проверка доверия контроллера домена машине и его готовности проверять для неё имена и пароли:
# wbinfo –t checking the trust secret via RPC calls succeeded
Получение списка учетных записей системы и домена:
# getent passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh ... alexky$:x:10092:10000:ALEXKY:/home/samba/alexky_:/bin/bash kholod$:x:10093:10000:KHOLOD:/home/samba/kholod_:/bin/bash ....
[править] Использование графических программ для доступа к файловым ресурсам сети
Для просмотра компьютеров в сети необходимо установить обозреватель:
# apt-cache search samba tksmb – SMB (Samba and Windows) network browser ... xsmbrowser – X11 tool for navigating SMB Networks ... # apt-get install xsmbrowser $ xsmbrowser
В результате выполнения последней команды откроется окно обозревателя сети:
[править] Дополнительная информация
- XG-UnixWin
- [5] - Общие сведения о Samba
- [6] - Официальный сайт проекта
- [7] – The Linux-PAM System Administrators' Guide
[править] Печать
Здесь описано как с помощью программы RedHat Printtool выполнить настройку печати на сетевые принтеры компании, а также дополнительные вопросы, возникающие при печати из-под Linux.
[править] Настройка службы печати
RedHat Printtool - это программа с графическим интерфейсом для управления принтерами системы. Она изменяет файл /etc/printcap, файл в котором находятся данные о принтерах системы. Она также поможет распечатать тестовые страницы. Пакет Printtool входит в состав дистрибутива. Если пакет во время установки системы не установлен, то установку следует произвести стандартным способом:
# apt-get install printtool
На вопрос о возможности старта демона печати во время загрузки машины можно ответить на свое усмотрение. Но при этом необходимо не забывать, что всякий раз, при необходимости использования печати, необходимо будет стартовать этот демон.
Далее из контрольной панели от имени суперпользователя, необходимо запустить printtool – в результате чего запустится графический интерфейс настройки программы.
Первым, о чем программа конфигурации сообщит – будет информация о невозможности печати на сетевые принтеры NetWare.
Дальше, нажатием кнопки «Add» происходит добавление нового сетевого принтера. В окне «Printer type» необходимо выбрать «Remote Unix (lpd) Quere» (демон удаленной очереди печати).
В окне «Edit Remote Unix (lpd) Quere Entry» необходимо ввести следующую информацию.
Для принтера Sharp (в фойе на 4м этаже):
- Remote Host (ip-адрес удаленной машины) 10.0.2.1
- Remote Quere (имя очереди на удаленной машине) sharp
- Input Filter <драйвер для принтера> Sharp AR-161
Для принтера NRG (в менеджерской):
- Remote Host (ip-адрес удаленной машины) 10.0.2.2
- Remote Quere (имя очереди на удаленной машине) NRGC7417
- Input Filter <драйвер для принтера> Postscript
Примечание – выбор драйвера осуществляется после нажатия кнопки «Select». Кроме того, в открывшемся окне можно настроить количество страниц на печатаемой странице и размер бумаги в лотке.
После нажатия «ОК» необходимо перезапустить демон печати. Осуществляется это в меню «lpd» - и там – «Restart lpd».
Проверка настройки сетевого принтера можно распечатать тестовую страницу. Для этого в меню «Tests» выбрать "печать в Postscript" или "Печать в ASCII".
[править] Печать документов
Для того чтобы распечатать файл document.txt нужно выполнить команду:
$ cat document.txt | lpr
Аналогичным образом распечатываются PostScript-документы.
Если текстовый файл содержит символы, которые неверно печатаются, нужно предварительно преобразовать этот файл в PostScript, и полученный файл распечатать.
[править] Преобразование текстовых файлов в PostScript
Необходимо добиться правильной печати русских букв. Для этого потребуется программа a2ps.Сама по себе утилита a2ps является очень мощным и удобным инструментом, который умеет преобразовывать всё что угодно в PostScript (Any to PostScript - a2ps). Установка ее производится известным образом:
# apt-get install a2ps
После установки программы необходимо сообщить ей, где лежат кириллические шрифты и перегенерировать карту шрифтов. Осуществляется это следующим образом:
- Добавляем в раздел LibraryPath конфигурационного файла /etc/a2ps.cfg местонахождение кириллических шрифтов /usr/share/fonts/type1/cyrillic
- Генерация файла карты шрифтов выполнятся при помощи скрипта /usr/share/a2ps/afm/make_fonts_map.sh.
В результате выполнения данного скрипта будет создан новый файл fonts.map.new в домашнем каталоге пользователя, вызвавшего скрипт на выполнение. Этим файлом следует заменить файл #/usr/share/a2ps/afm/fonts.map#
# /usr/share/a2ps/afm/make_fonts_map.sh # mv fonts.map.new /usr/share/a2ps/afm/fonts.map
Теперь пробуем его распечатать русский текст:
$ cat TEST_a2ps Русский текст $ cat TEST_a2ps | a2ps –Xkoi8 | lp [stdin (простой): 1 страница на 1 листе] [Всего: 1 страница на 1 листе] отправлен на принтер по умолчанию
Текст должен быть успешно распечатан.
[править] Дополнительная информация
- [8] Red Hat Linux 7.2: The Official Red Hat Linux Customization Guide Chapter 21. Printer Configuration
- [9] Установка и настройка принтера. Утилита PrintTool
[править] Удалённый доступ к терминальным серверам Windows
Здесь рассказано как с помощью программы rdesktop получить удалённый доступ к Windows-системе по протоколу RDP. Программа предназначена для кроссплатформенного доступа к службе терминалов Windows 2000/2003.
[править] Установка программы rdesktop
Программа rdesktop есть в репозитории Debian и инсталлируется традиционным способом:
# apt-get install rdesktop
[править] Синтаксис программы rdesktop
rdesktop [опции] [порт] сервер
Единственным обязательным аргументом программы является сервер, все остальные – опциональны. Ниже перечислены основные опции программы:
- -u пользователь
- -d домен
- -a глубина цвета (8,15,16,24)
- -r перенаправление доступа к устройствам
- disk:<sharename>=<path> - предоставление сетевого ресурса с именем sharename и путем path
- printer:<printername> - перенаправление принтера printername
- sound:[local|off|remote] – перенаправление звука [перенаправить|выключить|оставить на удаленной машине]
- clipboard:[yes|no] - перенаправление буфера обмена [да|нет]
Более подробную информацию о программе можно найти в man rdesktop.
[править] Пример использования программы
Для того чтобы открыть терминальную сесиию на уделённой Windows-машине с IP-адресом 10.0.17.2 от имени пользователя administrator, необходимо дать следующую команду:
$ rdesktop –a 24 –u administrator 10.0.17.2
В результате на экране появится окно с приглашением аутентификации на удаленной Windows-машине.
[править] Дополнительная информация
- [10] Сайт проекта Rdesktop
- man rdesktop