Ustvarite infrastrukturo Active Directory s Samba4 v Ubuntuju - 1. del

Samba je brezplačna odprtokodna programska oprema, ki zagotavlja standardno interoperabilnost med operacijskim sistemom Windows in Linux/Unix.

Samba lahko deluje kot samostojni strežnik datotek in tiskalnikov za odjemalce Windows in Linux prek paketa protokolov SMB/CIFS ali deluje kot krmilnik domene Active Directory ali kot član domene združen v področje. Najvišja domena AD DC in nivo gozda, ki ju trenutno lahko posnema Samba4, je Windows 2008 R2.

Serija bo nosila naslov Nastavitev Samba4 Active Directory Domain Controller, ki zajema naslednje teme za Ubuntu, CentOS in Windows:

Ta vadnica se bo začela z razlago vseh korakov, ki jih morate izvesti, da namestite in konfigurirate Samba4 kot krmilnik domene v Ubuntu 16.04 in Ubuntu 14.04.

Ta konfiguracija bo zagotovila osrednjo točko upravljanja za uporabnike, stroje, skupne rabe, dovoljenja in druge vire v mešani infrastrukturi Windows - Linux.

  1. Namestitev strežnika Ubuntu 16.04.
  2. Namestitev strežnika Ubuntu 14.04.
  3. Statični naslov IP, konfiguriran za vaš strežnik AD DC.

1. korak: Začetna konfiguracija za Samba4

1. Preden nadaljujete z namestitvijo Samba4 AD DC, najprej izvedimo nekaj predhodno zahtevanih korakov. Najprej se prepričajte, da je sistem posodobljen z zadnjimi varnostnimi funkcijami, jedri in paketi, tako da izdate spodnji ukaz:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Nato odprite datoteko machine/etc/fstab in se prepričajte, da je v vašem particijskem datotečnem sistemu omogočen ACL, kot je prikazano na spodnjem posnetku zaslona.

Običajno podpirajo običajni sodobni datotečni sistemi Linux, kot so ext3, ext4, xfs ali btrfs in imajo privzeto omogočene ACL-je. Če temu ni tako pri vašem datotečnem sistemu, odprite datoteko/etc/fstab za urejanje in na koncu tretjega stolpca dodajte niz acl in znova zaženite računalnik, da uveljavite spremembe.

3. Končno nastavite ime gostitelja računalnika z opisnim imenom, na primer adc1 , uporabljenim v tem primeru, z urejanjem datoteke/etc/hostname ali z izdajo.

$ sudo hostnamectl set-hostname adc1

Po spremembi imena naprave je potreben ponovni zagon, da uveljavite spremembe.

2. korak: Namestite potrebne pakete za Samba4 AD DC

4. Če želite strežnik pretvoriti v krmilnik domene Active Directory, namestite Sambo in vse zahtevane pakete v računalnik tako, da v konzoli izdate spodnji ukaz s korenskimi pravicami.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Med namestitvijo namestitvenega programa bo za konfiguracijo krmilnika domene postavljena vrsta vprašanj.

Na prvem zaslonu boste morali dodati veliko ime Kerberos privzeto REALM . Vnesite ime, ki ga boste uporabljali za svojo domeno, z velikimi črkami in za nadaljevanje pritisnite Enter.

6. Nato vnesite ime gostitelja strežnika Kerberos za svojo domeno. Uporabite isto ime kot za svojo domeno, tokrat z malimi črkami in za nadaljevanje pritisnite Enter.

7. Na koncu navedite ime gostitelja za skrbniški strežnik vašega področja Kerberos. Uporabite isto kot svojo domeno in pritisnite Enter, da dokončate namestitev.

3. korak: Zagotovite Samba AD DC za svojo domeno

8. Preden začnete konfigurirati Sambo za svojo domeno, najprej zaženite spodnje ukaze, da ustavite in onemogočite vse demone sambe.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Nato preimenujte ali odstranite prvotno konfiguracijo sambe. Ta korak je nujno potreben pred zagotavljanjem Samba AD, ker bo Samba ob dobavi ustvaril novo konfiguracijsko datoteko iz nič in popravil nekaj napak, če najde staro datoteko smb.conf .

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Zdaj zaženite zagotavljanje domene interaktivno z izdajo spodnjega ukaza s korenskimi privilegiji in sprejmite privzete možnosti, ki vam jih ponuja Samba.

Prepričajte se tudi, da ste navedli naslov IP za posrednika DNS v svojih prostorih (ali zunanjih) in izbrali močno geslo za skrbniški račun. Če izberete tedensko geslo za skrbniški račun, ponudba domene ne bo uspela.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Na koncu preimenujte ali odstranite glavno konfiguracijsko datoteko Kerberos iz imenika/etc in jo z uporabo povezave s simbolom zamenjajte z novo ustvarjeno datoteko Kerberos, ki se nahaja v/var/lib/samba/private pot, tako da izdate spodnje ukaze:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Zaženite in omogočite demone Samba Active Directory Domain Controller.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Nato z ukazom netstat preverite seznam vseh storitev, ki jih potrebuje Active Directory za pravilno delovanje.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

4. korak: Končne konfiguracije Sambe

14. V tem trenutku bi morala Samba v celoti delovati v vaših prostorih. Najvišja raven domene, ki jo posnema Samba, naj bo Windows AD DC 2008 R2.

To je mogoče preveriti s pomočjo pripomočka samba-tool.

$ sudo samba-tool domain level show

15. Če želite, da ločljivost DNS deluje lokalno, morate odpreti nastavitve za urejanje omrežnega vmesnika in usmeriti ločljivost DNS, tako da stavek dns-nameservers spremenite na naslov IP vašega krmilnika domene (za lokalno ločljivost DNS uporabite 127.0.0.1) in dns-search izjava, ki kaže na vaše področje.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Ko končate, znova zaženite strežnik in si oglejte datoteko razreševalnika, da se prepričate, da kaže nazaj na ustrezne imenske strežnike DNS.

16. Na koncu preizkusite razreševalnik DNS z izdajanjem poizvedb in pingov za nekatere ključne zapise AD DC, kot je v spodnjem odlomku. V skladu s tem zamenjajte ime domene.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Zaženite naslednjih nekaj poizvedb proti Samba Active Directory Domain Controller.

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Preverite tudi preverjanje pristnosti Kerberos tako, da zahtevate vstopnico za skrbniški račun domene in navedite predpomnjeno vstopnico. Del domenskega imena zapišite z velikimi črkami.

$ kinit [email 
$ klist

To je vse! Zdaj imate v svojem omrežju nameščen popolnoma delujoč krmilnik domene AD in lahko začnete integrirati računalnike Windows ali Linux v Samba AD.

V naslednji seriji bomo obravnavali druge teme Samba AD, na primer kako upravljati krmilnik domene iz ukazne vrstice Samba, kako integrirati Windows 10 v ime domene in upravljati Samba AD na daljavo z RSAT in druge pomembne teme.