自宅サーバ/ネットワーク – ページ 4

SambaでPDC構築

まずはバックアップ
pdumpfs /etc /home/backup pdumpfs /var/lib/ldap /home/backup slapcat > /home/backup/ldapdata.ldif
必要なパッケージのインストール
apt-get install slapd libpam-ldap libnss-ldap ldap-utils smbldap-tools
LDAPのAdmin Password(*)は簡単なものにしないと後々ハマる
nss,pamの設定
ハマるとログインできなくなるため、rootのコンソールを予備にとっておく。以下のファイルを編集
/etc/nsswitch.conf /etc/pam.d/*

続きを読む SambaでPDC構築

pptpの認証もLDAPで行いたいと思い、色々調べてみた。
どうやら、pptp—>LDAPではなく、間にradiusを挟むのが一般的のようだ。ほぼWindowsからのVPN接続認証をLDAPで管理する on FreeBSD5.2.1の通りで良いが、本サーバの設定では、ユーザのobjectClassにSambaのアカウントが含まれていなかったため、再設定。
smbldap-userdelでは、同時にユーザのホームディレクトリを有無を言わさず削除という仕様になっているため、該当するスクリプトを修正した後、

smbldap-userdel uep
smbldap-useradd -a uep

(削除されていない)ホームディレクトリのパーミッションに注意する。

続きを読む続 sambaldap-tools

NICTがNTPの配信を開始

/.Jによると、NICTが独自開発のボード(FPGA!)を装備したサーバによるNTPサービスを開始したようだ。
早速設定してみたが、今は落ちているか、Niftyからは接続できないように見える。

kevin:/etc/default# ntpq -p
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
2001:2f8:29::ff .INIT.          16 u    -   64    0    0.000    0.000 4000.00
2001:2f8:29::ff .INIT.          16 u    -   64    0    0.000    0.000 4000.00
2001:2f8:29::ff .INIT.          16 u    -   64    0    0.000    0.000 4000.00
*ntp1.jst.mfeed. 210.173.160.56   2 u   47   64   17   11.214   -0.709   0.177
+ntp2.jst.mfeed. 210.173.160.86   2 u   46   64   17   10.279   -0.419   0.023
+ntp3.jst.mfeed. 210.173.160.86   2 u   44   64   17   11.324   -1.161   0.281
LOCAL(0)        LOCAL(0)        13 l   43   64   17    0.000    0.000   0.004

darでバックアップ ver.2

/mnt 以下に、ユーザ名日付というファイル名でバックアップファイルが作成される。
-y オプションで圧縮すると処理時間がかなりかかるため、無圧縮で。
#!/bin/sh
ORIG=/home
DEST=/mnt
DATE=`date +%y%m%d`
USERS=”user1 user2 user3″ /home のバックアップ対象ディレクトリを列記
cd $ORIG
for USER in $USERS
do
dar -c $DEST/$USER-all$DATE -g $USER
done

libpam-ldap

apt-get remove libpam-ldap
dpkg --purge libpam-ldap
apt-get install libpam-ldap

ローカルの root データベース管理者を作成するはい
- pam_ldap.confのrootbinddnがセットされると共に /etc/ldap.secretが作成される。これによりpamがroot権限で呼ばれた場合、 cn=admin,dc=hoehoe,dc=japanの権限でアクセスすることができるようになる
データベースへのログインが必要ですいいえ
暗号化方式 crypt(デフォルト)

UNIXのユーザ情報

access to attrs=userPassword
by dn="cn=admin,dc=hayate,dc=mine,dc=nu" write   LDAP管理者は読み書き可能
by anonymous auth   認証前は匿名でのアクセス
by self write   自分自身は読み書き可能
by * none   それ以外からのアクセスはなし

Windowsユーザ情報

access to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChan
ge
by dn="cn=admin,dc=hayate,dc=mine,dc=nu" write
by self write
by * none

証明書の更新

CACert.org(orzではない)から、証明書を更新してくれというメールが来たので、仕方なく更新。

ssl設定ディレクトリのサーバ証明書をバックアップ
新しい証明書をコピペで作成
apacheを再起動

smbldap-tools

/etc/smbldap-tools/{smbldap.conf,smbldap_bind.conf} を、/usr/share/doc以下にあるexampleを探して設定。
その後、smbldap-populateで初期ツリーの構築。できたかも。

kevin:/etc/smbldap-tools# smbldap-populate
Using workgroup name from sambaUnixIdPooldn (smbldap.conf): sambaDomainName=SMB3
Using builtin directory structure
entry dc=hayate,dc=mine,dc=nu already exist.
adding new entry: ou=Users,dc=hayate,dc=mine,dc=nu
adding new entry: ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: ou=Computers,dc=hayate,dc=mine,dc=nu
adding new entry: ou=Idmap,dc=hayate,dc=mine,dc=nu
adding new entry: sambaDomainName=SMB3,dc=hayate,dc=mine,dc=nu
adding new entry: uid=Administrator,ou=Users,dc=hayate,dc=mine,dc=nu
adding new entry: uid=nobody,ou=Users,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Domain Admins,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Domain Users,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Domain Guests,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Domain Computers,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Administrators,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Print Operators,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Backup Operators,ou=Groups,dc=hayate,dc=mine,dc=nu
adding new entry: cn=Replicators,ou=Groups,dc=hayate,dc=mine,dc=nu

続きを読む smbldap-tools

pam設定変更

昨日の続き。OSの認証をLDAPでできるようにする。以下のファイルを変更。

/etc/ldap/{ldap,slapd}.conf
/etc/pam.d/common-{auth,session,password}
slapdの自動起動を有効に

この状態でリブートし、ログイン、パスワード変更ができるか確認…○
次にユーザ登録するために、LDAP Treeを検討するのだが、smbldap-toolsが使えるはず。
cp /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz /etc/smbldap-tools/
この後設定する必要あり。

sargeでslapd

少し前にLDAPでアカウントの統合ができたと言っていたが、トラブルがあって元に戻した。今週末は少しゆっくりしているため、再び挑戦中。Webの情報はどうしてもこま切れになりやすいため、Samba LDAPサーバ構築という本を図書館から借りてきた。やっぱり本はイイ。で、色々試行錯誤中に、非常に参考になるスレッドを発見。謎が一つ解けた。
とりあえず

slapd, libnss-ldap, libpam-ldap, smbldap-tools, libpam-smbpassをインストール
slapd.conf に sambaのスキーマを追加
ldap.confでBASEの設定
ldapsearch -x でtop objectとadminができているか確認

この後、migration-toolsで一気に変換しても良いが、そうすると、必要のないアカウントまでLDAPのデータベースに移行してしまい気持ちが悪い。次回に続く…
参考文献

procmail + ubiqun でメール転送

以前からprocmailは使っていたが、携帯に転送する場合に添付ファイルだけ削除する方法を探していると、ubiqunというperl scriptを発見した。

単に転送するだけでなく、メール本文から改行などを削除したり、無料受信の範囲に分割できる優れ物。