Поиск по сайту:

Создание инфраструктуры Active Directory с помощью Samba4 в Ubuntu. Часть 1.


Samba — это бесплатное программное обеспечение с открытым исходным кодом, обеспечивающее стандартную совместимость между операционными системами Windows и Linux/Unix.

Samba может работать как автономный файловый сервер и сервер печати для клиентов Windows и Linux через набор протоколов SMB/CIFS или выступать в качестве контроллера домена Active Directory или присоединяться к контроллеру домена Active Directory или присоединяться к SMB/CIFS.Realm в качестве члена домена. Самый высокий уровень домена и леса AD DC, который в настоящее время может эмулировать Samba4, — это Windows 2008 R2.

Серия будет называться Настройка контроллера домена Samba4 Active Directory и охватывает следующие темы для Ubuntu, CentOS и Windows.:

Это руководство начнется с объяснения всех шагов, которые необходимо выполнить для установки и настройки Samba4 в качестве контроллера домена в Ubuntu 16.04. и Ubuntu 14.04.

Эта конфигурация предоставит центральную точку управления для пользователей, компьютеров, общих томов, разрешений и других ресурсов в смешанной инфраструктуре Windows и Linux.

Требования:

  1. Установка сервера Ubuntu 16.04.
  2. Установка сервера Ubuntu 14.04.
  3. Статический IP-адрес, настроенный для вашего сервера AD DC.

Шаг 1. Начальная настройка Samba4

1. Прежде чем приступить к установке Samba4 AD DC, давайте сначала выполним несколько необходимых шагов. Сначала убедитесь, что в системе установлены последние функции безопасности, ядра и пакеты, выполнив следующую команду:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Затем откройте файл /etc/fstab на компьютере и убедитесь, что в файловой системе вашего раздела включены ACL, как показано на снимке экрана ниже.

Обычно распространенные современные файловые системы Linux, такие как ext3, ext4, xfs или btrfs, поддерживаются и имеют списки ACL, включенные по умолчанию. Если это не так с вашей файловой системой, просто откройте файл /etc/fstab для редактирования и добавьте строку acl в конце третьего столбца и перезагрузите. > машина для того, чтобы применить изменения.

3. Наконец, настройте имя хоста вашего компьютера с описательным именем, например adc1, используемым в этом примере, отредактировав файл /etc/hostname или выдача.

sudo hostnamectl set-hostname adc1

После изменения имени компьютера необходима перезагрузка, чтобы изменения вступили в силу.

Шаг 2. Установите необходимые пакеты для Samba4 AD DC

4. Чтобы превратить ваш сервер в контроллер домена Active Directory, установите Samba и все необходимые пакеты на свой компьютер, выполнив следующую команду: команду с правами root в консоли.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Во время установки установщик задаст ряд вопросов для настройки контроллера домена.

На первом экране вам нужно будет добавить имя для Kerberos по умолчанию REALM в верхнем регистре. Введите имя, которое вы будете использовать для своего домена, в верхнем регистре и нажмите Ввод, чтобы продолжить.

6. Затем введите имя хоста сервера Kerberos для вашего домена. Используйте то же имя, что и для вашего домена, на этот раз с строчными буквами, и нажмите Ввод, чтобы продолжить.

7. Наконец, укажите имя хоста для административного сервера вашей области Kerberos. Используйте тот же домен, что и ваш, и нажмите Ввод, чтобы завершить установку.

Шаг 3. Подготовьте Samba AD DC для вашего домена

8. Прежде чем приступить к настройке Samba для вашего домена, сначала выполните приведенные ниже команды, чтобы остановить и отключить все демоны samba.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Затем переименуйте или удалите исходную конфигурацию Samba. Этот шаг абсолютно необходим перед подготовкой Samba AD, поскольку во время подготовки Samba создаст новый файл конфигурации с нуля и выдаст некоторые ошибки, если обнаружит старый smb.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Теперь запустите подготовку домена в интерактивном режиме, введя приведенную ниже команду с правами root и приняв параметры по умолчанию, которые предоставляет вам Samba.

Кроме того, убедитесь, что вы указали IP-адрес DNS-сервера пересылки в вашем помещении (или внешнем) и выбрали надежный пароль для учетной записи администратора. Если вы выберете недельный пароль для учетной записи администратора, предоставление домена не удастся.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Наконец, переименуйте или удалите основной файл конфигурации Kerberos из каталога /etc и замените его, используя символическую ссылку, новым созданным Samba файлом Kerberos, расположенным в /var/lib. /samba/private, выполнив следующие команды:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Запустите и включите демоны Samba Active Directory Controller Domain.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Затем используйте команду netstat, чтобы проверить список всех служб, необходимых Active Directory для правильной работы.

sudo netstat –tulpn| egrep ‘smbd|samba’

Шаг 4. Окончательные настройки Samba

14. В этот момент Samba должна быть полностью работоспособна у вас. Самый высокий уровень домена, который эмулирует Samba, должен быть Windows AD DC 2008 R2.

Это можно проверить с помощью утилиты samba-tool.

sudo samba-tool domain level show

15. Чтобы разрешение DNS работало локально, вам необходимо открыть и отредактировать настройки сетевого интерфейса и указать разрешение DNS, изменив dns-nameservers. > IP-адрес вашего Контроллера домена (используйте 127.0.0.1 для локального разрешения DNS) и оператор dns-search, чтобы указать на ваш область.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

По завершении перезагрузите свой сервер и проверьте файл преобразователя, чтобы убедиться, что он указывает на правильные DNS-серверы имен.

16. Наконец, протестируйте преобразователь DNS, отправив запросы и пинги к некоторым важным записям AD DC, как показано в приведенном ниже фрагменте. Замените доменное имя соответствующим образом.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Выполните следующие несколько запросов к контроллеру домена Samba Active Directory.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Кроме того, проверьте аутентификацию Kerberos, запросив билет для учетной записи администратора домена и перечислив кэшированный билет. Напишите часть имени домена заглавными буквами.

kinit [email 
klist

Вот и все! Теперь у вас есть полностью работоспособный контроллер домена AD, установленный в вашей сети, и вы можете приступить к интеграции компьютеров с Windows или Linux в Samba AD . .

В следующей серии мы рассмотрим другие темы Samba AD, например, как управлять контроллером домена из командной строки Samba, как интегрировать Windows 10 в имя домена и удаленно управлять Samba AD. использование RSAT и другие важные темы.