Izveidojiet Active Directory infrastruktūru ar Samba4 operētājsistēmā Ubuntu - 1. daļa


Samba ir bezmaksas atvērtā pirmkoda programmatūra, kas nodrošina standarta sadarbspēju starp Windows OS un Linux/Unix operētājsistēmām.

Samba var darboties kā atsevišķs failu un drukas serveris Windows un Linux klientiem, izmantojot SMB/CIFS protokolu komplektu, vai var darboties kā Active Directory domēna kontrolleris vai pievienots valstībai kā domēna loceklis. Augstākais AD DC domēna un meža līmenis, ko pašlaik var atdarināt Samba4, ir Windows 2008 R2.

Sērijas nosaukums būs Samba4 Active Directory domēna kontrollera iestatīšana, kas aptver šādas Ubuntu, CentOS un Windows tēmas:

Šī apmācība sāksies, izskaidrojot visas darbības, kas jums jāņem vērā, lai instalētu un konfigurētu Samba4 kā domēna kontrolleri Ubuntu 16.04 un Ubuntu 14.04.

Šī konfigurācija nodrošinās centrālo vadības punktu lietotājiem, mašīnām, apjoma koplietošanai, atļaujām un citiem resursiem jauktā Windows - Linux infrastruktūrā.

  1. Ubuntu 16.04 servera instalēšana.
  2. Ubuntu 14.04 servera instalēšana.
  3. statiska IP adrese, kas konfigurēta jūsu AD DC serverim.

1. darbība: sākotnējā Samba4 konfigurēšana

1. Pirms turpināt Samba4 AD DC instalēšanu, vispirms veiciet dažas iepriekš nepieciešamās darbības. Vispirms pārliecinieties, ka sistēma ir atjaunināta ar pēdējiem drošības elementiem, kodoliem un pakotnēm, izsniedzot šādu komandu:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Pēc tam atveriet mašīnu/etc/fstab failu un pārliecinieties, ka jūsu starpsienu failu sistēmā ir iespējotas ACL, kā parādīts zemāk redzamajā ekrānuzņēmumā.

Parasti parastās mūsdienu Linux failu sistēmas, piemēram, ext3, ext4, xfs vai btrfs, atbalsta un pēc noklusējuma ir iespējotas ACL. Ja tas nenotiek ar jūsu failu sistēmu, vienkārši rediģēšanai atveriet failu/etc/fstab un trešās kolonnas beigās pievienojiet virkni acl un restartējiet mašīnu, lai veiktu izmaiņas.

3. Visbeidzot iestatiet iekārtas resursdatora nosaukumu ar aprakstošu nosaukumu, piemēram, adc1 , ko izmanto šajā piemērā, rediģējot failu/etc/hostname vai izdodot.

$ sudo hostnamectl set-hostname adc1

Pēc tam, kad esat mainījis datora nosaukumu, ir nepieciešams atsāknēšana, lai piemērotu izmaiņas.

2. darbība: instalējiet Samba4 AD DC nepieciešamās pakotnes

4. Lai pārveidotu serveri par Active Directory domēna kontrolleri, datorā instalējiet Samba un visas nepieciešamās pakotnes, konsolē izsniedzot zemāk esošo komandu ar root tiesībām.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Kamēr instalācija darbojas, instalētājs uzdos vairākus jautājumus, lai konfigurētu domēna kontrolleri.

Pirmajā ekrānā lielajiem burtiem būs jāpievieno nosaukums Kerberos noklusējuma REALM . Ievadiet lielo burtu nosaukumu, kuru izmantosiet savam domēnam, un nospiediet taustiņu Enter, lai turpinātu.

6. Pēc tam ievadiet sava domēna Kerberos servera resursdatora nosaukumu. Izmantojiet to pašu nosaukumu kā savam domēnam, šoreiz lietojiet mazos burtus un nospiediet taustiņu Enter, lai turpinātu.

7. Visbeidzot, norādiet sava Kerberos valstības administratīvā servera resursdatora nosaukumu. Izmantojiet to pašu, ko domēnā, un nospiediet taustiņu Enter, lai pabeigtu instalēšanu.

3. solis: nodrošiniet Samba AD DC savam domēnam

8. Pirms sākat konfigurēt Samba savam domēnam, vispirms izpildiet tālāk norādītās komandas, lai apturētu un atspējotu visus samba dēmonus.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Pēc tam pārdēvējiet vai noņemiet samba sākotnējo konfigurāciju. Šis solis ir obligāti nepieciešams pirms Samba AD nodrošināšanas, jo nodrošināšanas laikā Samba no jauna izveidos jaunu konfigurācijas failu un uzmetīs dažas kļūdas, ja tā atradīs veco smb.conf failu.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Tagad sāciet domēna nodrošināšanu interaktīvi, izsniedzot zemāk esošo komandu ar root tiesībām un pieņemiet Samba piedāvātās noklusējuma opcijas.

Pārliecinieties, ka esat piegādājis DNS ekspeditora IP adresi savās telpās (vai ārējā) un izvēlieties stingru paroli administratora kontam. Ja administratora kontam izvēlaties nedēļas paroli, domēna nodrošināšana neizdosies.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Visbeidzot, pārdēvējiet vai noņemiet Kerberos galveno konfigurācijas failu no/etc direktorija un nomainiet to, izmantojot simlink ar Samba jaunizveidoto Kerberos failu, kas atrodas/var/lib/samba/private path, izsniedzot šādas komandas:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Sāciet un iespējojiet Samba Active Directory domēna kontrollera dēmonus.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Pēc tam izmantojiet komandu netstat, lai pārbaudītu visu pakalpojumu sarakstu, kas nepieciešami, lai Active Directory darbotos pareizi.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

4. solis: Samba galīgās konfigurācijas

14. Pašlaik Samba ir pilnībā jāspēj darboties jūsu telpās. Augstākajam domēna līmenim, ko Samba atdarina, jābūt Windows AD DC 2008 R2.

To var pārbaudīt, izmantojot samba-tool lietderību.

$ sudo samba-tool domain level show

15. Lai DNS izšķirtspēja darbotos lokāli, jums jāatver tīkla saskarnes iestatījumu rediģēšanas beigas un jānorāda DNS izšķirtspēja, modificējot dns-nameservers paziņojumu uz sava domēna kontrollera IP adresi (vietējai DNS izšķirtspējai izmantojiet 127.0.0.1) un dns-search paziņojums, lai norādītu uz jūsu valstību.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Kad esat pabeidzis, restartējiet serveri un apskatiet savu izšķirtspējas failu, lai pārliecinātos, ka tas norāda atpakaļ uz pareizajiem DNS vārdu serveriem.

16. Visbeidzot, pārbaudiet DNS risinātāju, izsniedzot vaicājumus un pingus pret dažiem AD DC izšķirošajiem ierakstiem, kā parādīts zemāk esošajā fragmentā. Attiecīgi nomainiet domēna vārdu.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Palaidiet dažus vaicājumus pret Samba Active Directory domēna kontrolleri.

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Pārbaudiet arī Kerberos autentifikāciju, pieprasot biļeti domēna administratora kontam un norādiet kešatmiņā saglabāto biļeti. Uzrakstiet domēna vārda daļu ar lielajiem burtiem.

$ kinit [email 
$ klist

Tas ir viss! Tagad jūsu tīklā ir instalēts pilnībā darbināms AD domēna kontrolleris, un jūs varat sākt integrēt Windows vai Linux mašīnas Samba AD.

Nākamajā sērijā mēs aplūkosim citas Samba AD tēmas, piemēram, kā pārvaldīt domēna kontrolleri no Samba komandrindas, kā integrēt Windows 10 domēna nosaukumā un pārvaldīt Samba AD attālināti, izmantojot RSAT un citas svarīgas tēmas.