Pridružite se dodatnemu Ubuntu DC za Samba4 AD DC za FailOver replikacijo - 5. del
Ta vadnica vam bo pokazala, kako dodati drugi krmilnik domen Samba4, ki je na voljo na strežniku Ubuntu 16.04, v obstoječi gozd Samba AD DC, da zagotovite določeno stopnjo izravnave obremenitve/preusmeritve za nekatere ključne storitve AD DC, zlasti za storitve, kot je Shema DNS in AD DC LDAP z bazo podatkov SAM.
- Ustvarite infrastrukturo Active Directory s Samba4 v Ubuntu - 1. del
Ta članek je del 5 serije Samba4 AD DC, kot sledi:
1. korak: Začetna konfiguracija za namestitev Samba4
1. Preden začnete dejansko izvajati združevanje domen za drugi DC, morate poskrbeti za nekaj začetnih nastavitev. Najprej poskrbite, da ime gostitelja sistema, ki bo integriran v Samba4 AD DC, vsebuje opisno ime.
Ob predpostavki, da se ime gostitelja prvega zagotovljenega področja imenuje adc1
, lahko drugi DC poimenujete z adc2
, da zagotovite dosledno shemo poimenovanja med vašimi krmilniki domene.
Če želite spremeniti sistemsko ime gostitelja, lahko izdate spodnji ukaz.
# hostnamectl set-hostname adc2
sicer lahko datoteko/etc/hostname urejate ročno in dodate novo vrstico z želenim imenom.
# nano /etc/hostname
Tu dodajte ime gostitelja.
adc2
2. Nato odprite datoteko lokalne sistemske ločljivosti in dodajte vnos z naslovom IP, ki kaže na kratko ime in FQDN glavnega krmilnika domene, kot je prikazano na spodnjem posnetku zaslona.
V tej vadnici je primarno ime DC adc1.tecmint.lan
in se razreši na naslov IP 192.168.1.254.
# nano /etc/hosts
Dodajte naslednjo vrstico:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. V naslednjem koraku odprite/etc/network/interfaces in dodelite statični naslov IP za vaš sistem, kot je prikazano na spodnji sliki zaslona.
Bodite pozorni na strežnike dns-name in spremenljivke dns-search. Te vrednosti je treba konfigurirati tako, da kažejo nazaj na naslov IP primarnega Samba4 AD DC in področja, da bo ločljivost DNS pravilno delovala.
Znova zaženite omrežni demon, da odraža spremembe. Preverite datoteko /etc/resolv.conf, da zagotovite, da sta obe vrednosti DNS iz vašega omrežnega vmesnika posodobljeni na to datoteko.
# nano /etc/network/interfaces
Uredite in zamenjajte s svojimi nastavitvami IP po meri:
auto ens33 iface ens33 inet static address 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan
Znova zaženite omrežno storitev in potrdite spremembe.
# systemctl restart networking.service # cat /etc/resolv.conf
Vrednost dns-search bo samodejno dodala ime domene, ko gostitelja povprašate po njegovem kratkem imenu (bo sestavljala FQDN).
4. Če želite preizkusiti, ali ločljivost DNS deluje po pričakovanjih, izdajte vrsto ukazov ping za kratko ime, FQDN in področje domene, kot je prikazano na spodnjem posnetku zaslona.
V vseh teh primerih mora strežnik DNS Samba4 AD DC odgovoriti z naslovom IP vašega glavnega DC.
5. Zadnji dodaten korak, ki ga morate poskrbeti, je časovna sinhronizacija z glavnim krmilnikom domene. To lahko dosežete z namestitvijo pripomočka za odjemalca NTP v sistem tako, da izdate spodnji ukaz:
# apt-get install ntpdate
6. Ob predpostavki, da želite ročno vsiliti časovno sinhronizacijo s samba4 AD DC, zaženite ukaz ntpdate proti primarnemu DC tako, da izdate naslednji ukaz.
# ntpdate adc1
2. korak: Namestite Samba4 s potrebnimi odvisnostmi
7. Če želite v svojo domeno vpisati sistem Ubuntu 16.04, najprej namestite Samba4, odjemalca Kerberos in nekaj drugih pomembnih paketov za poznejšo uporabo iz uradnih repozitorijev Ubuntu z izdajo spodnjega ukaza:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Med namestitvijo boste morali navesti ime področja Kerberos. Vpišite svoje ime domene z velikimi črkami in pritisnite tipko [Enter], da končate postopek namestitve.
9. Po končani namestitvi paketov preverite nastavitve tako, da za skrbnika domene z ukazom kinit zahtevate vstopnico Kerberos. Uporabite ukaz klist za seznam odobrene vstopnice Kerberos.
# kinit [email _DOMAIN.TLD # klist
3. korak: Pridružite se Samba4 AD DC kot krmilnik domene
10. Preden integrirate svojo napravo v Samba4 DC, najprej preverite, ali so vsi demoni Samba4, ki se izvajajo v vašem sistemu, ustavljeni in preimenujte privzeto konfiguracijsko datoteko Samba, da začnete čistiti. Med zagotavljanjem krmilnika domene bo samba ustvarila novo konfiguracijsko datoteko iz nič.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Če želite začeti postopek pridružitve domeni, najprej zaženite samo demon samba-ad-dc, nato pa zaženite ukaz samba-tool, da se pridružite kraljestvu z računom z skrbniškimi pravicami v svoji domeni.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Izvleček o integraciji domene:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Ko je Ubuntu s programsko opremo samba4 integriran v domeno, odprite glavno konfiguracijsko datoteko sambe in dodajte naslednje vrstice:
# nano /etc/samba/smb.conf
V datoteko smb.conf dodajte naslednji odlomek.
dns forwarder = 192.168.1.1 idmap_ldb:use rfc2307 = yes template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
Nadomestite naslov IP posrednika dns s svojim naslovom DNS posrednika. Samba bo na ta naslov IP posredovala vse poizvedbe za ločljivost DNS, ki so zunaj pooblaščenega območja vaše domene.
13. Na koncu znova zaženite demon samba, da odraža spremembe in preverite kopiranje aktivnega imenika z izvajanjem naslednjih ukazov.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Poleg tega preimenujte začetno konfiguracijsko datoteko Kerberos iz poti/etc in jo nadomestite z novo konfiguracijsko datoteko krb5.conf, ki jo ustvari samba, medtem ko zagotavlja domeno.
Datoteka se nahaja v/var/lib/samba/private directory. S povezavo Linux uporabite to datoteko za povezavo z imenikom/etc.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Preverite tudi pristnost Kerberos z datoteko samba krb5.conf. Zahtevajte vstopnico za skrbniškega uporabnika in dodajte predpomnjeno vstopnico z izdajo spodnjih ukazov.
# kinit administrator # klist
4. korak: Dodatna preverjanja domenskih storitev
16. Prvi test, ki ga morate opraviti, je ločljivost Samba4 DC DNS. Če želite potrditi ločljivost DNS domene, poizvedite ime domene z ukazom gostitelja glede na nekaj ključnih zapisov DNS AD, kot je predstavljeno na spodnjem posnetku zaslona.
Strežnik DNS bi se moral do zdaj predvajati z dvema naslovoma IP za vsako poizvedbo.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Ti zapisi DNS bi morali biti vidni tudi na vpisani napravi Windows z nameščenimi orodji RSAT. Odprite DNS Manager in razširite na zapise tcp v svoji domeni, kot je prikazano na spodnji sliki.
18. Naslednji test mora pokazati, ali replikacija LDAP domene deluje po pričakovanjih. Z orodjem samba ustvarite račun na drugem krmilniku domene in preverite, ali se račun samodejno replicira na prvem Samba4 AD DC.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Račun lahko ustvarite tudi iz konzole Microsoft AD UC in preverite, ali je račun prikazan na obeh krmilnikih domen.
Privzeto je treba račun samodejno ustvariti na obeh krmilnikih domen samba. Poizvedite ime računa iz adc1
z ukazom wbinfo.
20. V resnici odprite konzolo AD UC iz sistema Windows, razširite se na Domain Controller in videli bi oba vpisana enosmerna stroja.
5. korak: Omogočite storitev Samba4 AD DC
21. Če želite omogočiti storitve samba4 AD DC po celotnem sistemu, najprej onemogočite nekaj starih in neuporabljenih demonov Samba in omogočite samo storitev samba-ad-dc, tako da zaženete spodnje ukaze:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Če krmilnik domene Samba4 upravljate na daljavo iz Microsoftovega odjemalca ali imate v svojo domeno integrirane druge odjemalce Linuxa ali Windows, obvezno navedite naslov IP naprave adc2
na strežniku DNS njihovega omrežnega vmesnika. Nastavitve IP, da se doseže raven odvečnosti.
Spodnji posnetki zaslona prikazujejo konfiguracije, potrebne za odjemalca Windows ali Debian/Ubuntu.
Ob predpostavki, da prvi DC z 192.168.1.254 preklopi v način brez povezave, obrnite vrstni red naslovov IP strežnika DNS v konfiguracijski datoteki, tako da ne bo poskušal najprej iskati nedostopnega strežnika DNS.
Nazadnje, če želite v sistemu Linux izvesti lokalno overjanje z računom Samba4 Active Directory ali podeliti korenske privilegije za račune AD LDAP v Linuxu, preberite 2. in 3. korak iz vadnice Upravljanje infrastrukture Samba4 AD iz ukazne vrstice Linux.