Pievienojieties papildu Ubuntu DC sistēmai Samba4 AD DC FailOver replikācijai - 5. daļa

Šī apmācība parādīs, kā esošajam Samba AD DC mežam pievienot otru Samba4 domēna kontrolleri, kas nodrošināts Ubuntu 16.04 serverī, lai nodrošinātu zināmu slodzes līdzsvarošanas/kļūmes pārsūtīšanas pakāpi dažiem būtiskiem AD DC pakalpojumiem, īpaši tādiem pakalpojumiem kā DNS un AD DC LDAP shēma ar SAM datu bāzi.

  1. Izveidojiet Active Directory infrastruktūru ar Samba4 operētājsistēmā Ubuntu - 1. daļa

Šis raksts ir Samba4 AD DC sērijas 5. daļa šādi:

1. darbība: sākotnējā konfigurācija Samba4 iestatīšanai

1. Pirms sākat reāli veikt domēna pievienošanu otrajam līdzstrāvai, jums jāparūpējas par dažiem sākotnējiem iestatījumiem. Vispirms pārliecinieties, ka sistēmas, kas tiks integrēta Samba4 AD DC, resursdatora nosaukumā ir aprakstošs nosaukums.

Pieņemot, ka pirmās nodrošinātās valstības resursdatora nosaukums ir adc1 , otro DC var nosaukt ar adc2 , lai nodrošinātu domēnu kontrolieriem konsekventu nosaukumu shēmu.

Lai mainītu sistēmas resursdatora nosaukumu, varat izdot šādu komandu.

# hostnamectl set-hostname adc2

pretējā gadījumā jūs varat manuāli rediģēt failu/etc/hostname un pievienot jaunu rindu ar vēlamo nosaukumu.

# nano /etc/hostname

Šeit pievienojiet resursdatora nosaukumu.

adc2

2. Pēc tam atveriet vietējās sistēmas izšķirtspējas failu un pievienojiet ierakstu ar IP adreses norādēm uz galvenā domēna kontrollera īso nosaukumu un FQDN, kā parādīts zemāk redzamajā ekrānuzņēmumā.

Izmantojot šo apmācību, primārais DC nosaukums ir adc1.tecmint.lan , un tas tiek atdalīts uz 192.168.1.254 IP adresi.

# nano /etc/hosts

Pievienojiet šādu rindu:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. Nākamajā solī atveriet/etc/network/interfaces un piešķiriet savai sistēmai statisku IP adresi, kā parādīts zemāk esošajā ekrānuzņēmumā.

Pievērsiet uzmanību mainīgajiem dns-nameservers un dns-search. Lai DNS izšķirtspēja darbotos pareizi, šīs vērtības jākonfigurē tā, lai tās atgrieztos uz primārās Samba4 AD DC un valstības IP adresi.

Restartējiet tīkla dēmonu, lai atspoguļotu izmaiņas. Pārbaudiet /etc/resolv.conf failu, lai pārliecinātos, ka abas jūsu tīkla saskarnes DNS vērtības ir atjauninātas uz šo failu.

# nano /etc/network/interfaces

Rediģējiet un aizstājiet ar pielāgotajiem IP iestatījumiem:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Restartējiet tīkla pakalpojumu un apstipriniet izmaiņas.

# systemctl restart networking.service
# cat /etc/resolv.conf

Dns-search vērtība automātiski pievienos domēna nosaukumu, kad vaicāsit resursdatoram pēc tā īsa nosaukuma (veidos FQDN).

4. Lai pārbaudītu, vai DNS izšķirtspēja darbojas kā paredzēts, izdodiet virkni ping komandu pret savu domēna īso vārdu, FQDN un valstību, kā parādīts zemāk esošajā ekrānuzņēmumā.

Visos šajos gadījumos Samba4 AD DC DNS serverim jāatbild ar galvenās DC IP adresi.

5. Pēdējais papildu solis, kas jums jārūpējas, ir laika sinhronizācija ar galveno domēna kontrolleri. To var panākt, instalējot NTP klienta utilītu savā sistēmā, izsniedzot šādu komandu:

# apt-get install ntpdate

Pieņemot, ka vēlaties manuāli piespiest laika sinhronizāciju ar samba4 AD DC, palaidiet komandu ntpdate pret primāro DC, izsniedzot šādu komandu.

# ntpdate adc1

2. solis: instalējiet Samba4 ar nepieciešamajām atkarībām

7. Lai reģistrētu Ubuntu 16.04 sistēmu savā domēnā, vispirms instalējiet Samba4, Kerberos klientu un dažas citas svarīgas paketes vēlākai izmantošanai no Ubuntu oficiālajiem krātuvēm, izsniedzot šādu komandu:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Instalēšanas laikā jums būs jānorāda Kerberos valstības nosaukums. Uzrakstiet savu domēna vārdu ar lielajiem burtiem un nospiediet taustiņu [Enter], lai pabeigtu instalēšanas procesu.

9. Pēc pakotņu instalēšanas beigām pārbaudiet iestatījumus, pieprasot Kerberos biļeti domēna administratoram, izmantojot komandu kinit. Izmantojiet komandu klist, lai uzskaitītu piešķirto Kerberos biļeti.

# kinit [email _DOMAIN.TLD
# klist

3. solis: Pievienojieties Samba4 AD DC kā domēna kontrolleris

10. Pirms datora integrēšanas Samba4 DC, vispirms pārliecinieties, ka visi jūsu sistēmā darbojošie Samba4 dēmoni ir apturēti, kā arī pārdēvējiet noklusējuma Samba konfigurācijas failu, lai sāktu tīrīt. Nodrošinot domēna kontrolleri, samba no jauna izveidos jaunu konfigurācijas failu.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Lai sāktu domēna pievienošanās procesu, vispirms sāciet tikai samba-ad-dc dēmonu, pēc kura palaidīsit komandu samba-tool, lai pievienotos valstībai, izmantojot kontu ar administratīvajām privilēģijām jūsu domēnā.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Domēna integrācijas fragments:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Kad domēnā ir integrēta programmatūra Ubuntu ar samba4, atveriet galveno samba konfigurācijas failu un pievienojiet šādas rindas:

# nano /etc/samba/smb.conf

Pievienojiet šādu fragmentu failam smb.conf.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Nomainiet DNS ekspeditora IP adresi ar savu DNS ekspeditora IP. Samba pārsūtīs visus DNS izšķirtspējas vaicājumus, kas atrodas ārpus jūsu domēna autoritatīvās zonas, uz šo IP adresi.

13. Visbeidzot restartējiet samba dēmonu, lai atspoguļotu izmaiņas un pārbaudītu aktīvo direktoriju replikāciju, izpildot šādas komandas.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Turklāt pārdēvējiet sākotnējo Kerberos konfigurācijas failu no/etc path un nomainiet to ar jauno krba5.conf konfigurācijas failu, ko ģenerējusi samba, nodrošinot domēnu.

Fails atrodas direktorijā/var/lib/samba/private. Izmantojiet Linux symlink, lai saistītu šo failu ar/etc direktoriju.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Pārbaudiet arī Kerberos autentifikāciju ar samba krb5.conf failu. Pieprasiet administratora lietotājam biļeti un norādiet kešatmiņā saglabāto biļeti, izsniedzot tālāk norādītās komandas.

# kinit administrator
# klist

4. darbība. Papildu domēna pakalpojumu apstiprināšana

16. Pirmais tests, kas jums jāveic, ir Samba4 DC DNS izšķirtspēja. Lai apstiprinātu sava domēna DNS izšķirtspēju, vaicājiet domēna nosaukumam, izmantojot resursdatora komandu, pret dažiem būtiskiem AD DNS ierakstiem, kā parādīts zemāk esošajā ekrānuzņēmumā.

DNS serverim tagad ir jāatkārto, katram vaicājumam izmantojot divas IP adreses.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Šiem DNS ierakstiem vajadzētu būt redzamiem arī no reģistrētās Windows mašīnas ar instalētiem RSAT rīkiem. Atveriet DNS pārvaldnieku un paplašiniet līdz sava domēna TCP ierakstiem, kā parādīts zemāk esošajā attēlā.

18. Nākamajam testam vajadzētu norādīt, vai domēna LDAP replikācija darbojas, kā paredzēts. Izmantojot samba rīku, izveidojiet kontu otrajā domēna kontrollerī un pārbaudiet, vai konts tiek automātiski atkārtots pirmajā Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Varat arī izveidot kontu no Microsoft AD UC konsoles un pārbaudīt, vai konts ir redzams abos domēna kontrolleros.

Pēc noklusējuma konts automātiski jāizveido abos samba domēna kontrolleros. Vaicājiet konta nosaukumu no adc1 , izmantojot komandu wbinfo.

20. Faktiski atveriet AD UC konsoli no Windows, izvērsieties līdz domēna kontrolleriem, un jums vajadzētu redzēt abas reģistrētās līdzstrāvas mašīnas.

5. darbība: iespējojiet Samba4 AD DC pakalpojumu

21. Lai visā sistēmā iespējotu samba4 AD DC pakalpojumus, vispirms atspējojiet dažus vecus un neizmantotus Samba dēmonus un iespējojiet tikai samba-ad-dc pakalpojumu, izpildot šādas komandas:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Ja attālināti administrējat Samba4 domēna kontrolleri no Microsoft klienta vai jūsu domēnā ir integrēti citi Linux vai Windows klienti, noteikti norādiet mašīnas adc2 IP adresi viņu tīkla interfeisa DNS serverī. IP iestatījumi, lai iegūtu dublēšanas līmeni.

Zemāk redzamie ekrānuzņēmumi ilustrē Windows vai Debian/Ubuntu klientam nepieciešamās konfigurācijas.

Pieņemot, ka pirmais DC ar 192.168.1.254 ir bezsaistē, mainiet DNS servera IP adrešu secību konfigurācijas failā, lai tas vispirms nemēģinātu vaicāt par nepieejamu DNS serveri.

Visbeidzot, ja vēlaties veikt lokālu autentifikāciju Linux sistēmā ar Samba4 Active Directory kontu vai piešķirt root privilēģijas AD LDAP kontiem Linux, izlasiet 2. un 3. darbību no apmācības Samba4 AD infrastruktūras pārvaldība no Linux komandrindas.