Pridružite se dodatnemu Ubuntu DC za Samba4 AD DC za FailOver replikacijo - 5. del

Ta vadnica vam bo pokazala, kako dodati drugi krmilnik domen Samba4, ki je na voljo na strežniku Ubuntu 16.04, v obstoječi gozd Samba AD DC, da zagotovite določeno stopnjo izravnave obremenitve/preusmeritve za nekatere ključne storitve AD DC, zlasti za storitve, kot je Shema DNS in AD DC LDAP z bazo podatkov SAM.

  1. Ustvarite infrastrukturo Active Directory s Samba4 v Ubuntu - 1. del

Ta članek je del 5 serije Samba4 AD DC, kot sledi:

1. korak: Začetna konfiguracija za namestitev Samba4

1. Preden začnete dejansko izvajati združevanje domen za drugi DC, morate poskrbeti za nekaj začetnih nastavitev. Najprej poskrbite, da ime gostitelja sistema, ki bo integriran v Samba4 AD DC, vsebuje opisno ime.

Ob predpostavki, da se ime gostitelja prvega zagotovljenega področja imenuje adc1 , lahko drugi DC poimenujete z adc2 , da zagotovite dosledno shemo poimenovanja med vašimi krmilniki domene.

Če želite spremeniti sistemsko ime gostitelja, lahko izdate spodnji ukaz.

# hostnamectl set-hostname adc2

sicer lahko datoteko/etc/hostname urejate ročno in dodate novo vrstico z želenim imenom.

# nano /etc/hostname

Tu dodajte ime gostitelja.

adc2

2. Nato odprite datoteko lokalne sistemske ločljivosti in dodajte vnos z naslovom IP, ki kaže na kratko ime in FQDN glavnega krmilnika domene, kot je prikazano na spodnjem posnetku zaslona.

V tej vadnici je primarno ime DC adc1.tecmint.lan in se razreši na naslov IP 192.168.1.254.

# nano /etc/hosts

Dodajte naslednjo vrstico:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. V naslednjem koraku odprite/etc/network/interfaces in dodelite statični naslov IP za vaš sistem, kot je prikazano na spodnji sliki zaslona.

Bodite pozorni na strežnike dns-name in spremenljivke dns-search. Te vrednosti je treba konfigurirati tako, da kažejo nazaj na naslov IP primarnega Samba4 AD DC in področja, da bo ločljivost DNS pravilno delovala.

Znova zaženite omrežni demon, da odraža spremembe. Preverite datoteko /etc/resolv.conf, da zagotovite, da sta obe vrednosti DNS iz vašega omrežnega vmesnika posodobljeni na to datoteko.

# nano /etc/network/interfaces

Uredite in zamenjajte s svojimi nastavitvami IP po meri:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Znova zaženite omrežno storitev in potrdite spremembe.

# systemctl restart networking.service
# cat /etc/resolv.conf

Vrednost dns-search bo samodejno dodala ime domene, ko gostitelja povprašate po njegovem kratkem imenu (bo sestavljala FQDN).

4. Če želite preizkusiti, ali ločljivost DNS deluje po pričakovanjih, izdajte vrsto ukazov ping za kratko ime, FQDN in področje domene, kot je prikazano na spodnjem posnetku zaslona.

V vseh teh primerih mora strežnik DNS Samba4 AD DC odgovoriti z naslovom IP vašega glavnega DC.

5. Zadnji dodaten korak, ki ga morate poskrbeti, je časovna sinhronizacija z glavnim krmilnikom domene. To lahko dosežete z namestitvijo pripomočka za odjemalca NTP v sistem tako, da izdate spodnji ukaz:

# apt-get install ntpdate

6. Ob predpostavki, da želite ročno vsiliti časovno sinhronizacijo s samba4 AD DC, zaženite ukaz ntpdate proti primarnemu DC tako, da izdate naslednji ukaz.

# ntpdate adc1

2. korak: Namestite Samba4 s potrebnimi odvisnostmi

7. Če želite v svojo domeno vpisati sistem Ubuntu 16.04, najprej namestite Samba4, odjemalca Kerberos in nekaj drugih pomembnih paketov za poznejšo uporabo iz uradnih repozitorijev Ubuntu z izdajo spodnjega ukaza:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Med namestitvijo boste morali navesti ime področja Kerberos. Vpišite svoje ime domene z velikimi črkami in pritisnite tipko [Enter], da končate postopek namestitve.

9. Po končani namestitvi paketov preverite nastavitve tako, da za skrbnika domene z ukazom kinit zahtevate vstopnico Kerberos. Uporabite ukaz klist za seznam odobrene vstopnice Kerberos.

# kinit [email _DOMAIN.TLD
# klist

3. korak: Pridružite se Samba4 AD DC kot krmilnik domene

10. Preden integrirate svojo napravo v Samba4 DC, najprej preverite, ali so vsi demoni Samba4, ki se izvajajo v vašem sistemu, ustavljeni in preimenujte privzeto konfiguracijsko datoteko Samba, da začnete čistiti. Med zagotavljanjem krmilnika domene bo samba ustvarila novo konfiguracijsko datoteko iz nič.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Če želite začeti postopek pridružitve domeni, najprej zaženite samo demon samba-ad-dc, nato pa zaženite ukaz samba-tool, da se pridružite kraljestvu z računom z skrbniškimi pravicami v svoji domeni.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Izvleček o integraciji domene:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Ko je Ubuntu s programsko opremo samba4 integriran v domeno, odprite glavno konfiguracijsko datoteko sambe in dodajte naslednje vrstice:

# nano /etc/samba/smb.conf

V datoteko smb.conf dodajte naslednji odlomek.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Nadomestite naslov IP posrednika dns s svojim naslovom DNS posrednika. Samba bo na ta naslov IP posredovala vse poizvedbe za ločljivost DNS, ki so zunaj pooblaščenega območja vaše domene.

13. Na koncu znova zaženite demon samba, da odraža spremembe in preverite kopiranje aktivnega imenika z izvajanjem naslednjih ukazov.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Poleg tega preimenujte začetno konfiguracijsko datoteko Kerberos iz poti/etc in jo nadomestite z novo konfiguracijsko datoteko krb5.conf, ki jo ustvari samba, medtem ko zagotavlja domeno.

Datoteka se nahaja v/var/lib/samba/private directory. S povezavo Linux uporabite to datoteko za povezavo z imenikom/etc.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Preverite tudi pristnost Kerberos z datoteko samba krb5.conf. Zahtevajte vstopnico za skrbniškega uporabnika in dodajte predpomnjeno vstopnico z izdajo spodnjih ukazov.

# kinit administrator
# klist

4. korak: Dodatna preverjanja domenskih storitev

16. Prvi test, ki ga morate opraviti, je ločljivost Samba4 DC DNS. Če želite potrditi ločljivost DNS domene, poizvedite ime domene z ukazom gostitelja glede na nekaj ključnih zapisov DNS AD, kot je predstavljeno na spodnjem posnetku zaslona.

Strežnik DNS bi se moral do zdaj predvajati z dvema naslovoma IP za vsako poizvedbo.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Ti zapisi DNS bi morali biti vidni tudi na vpisani napravi Windows z nameščenimi orodji RSAT. Odprite DNS Manager in razširite na zapise tcp v svoji domeni, kot je prikazano na spodnji sliki.

18. Naslednji test mora pokazati, ali replikacija LDAP domene deluje po pričakovanjih. Z orodjem samba ustvarite račun na drugem krmilniku domene in preverite, ali se račun samodejno replicira na prvem Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Račun lahko ustvarite tudi iz konzole Microsoft AD UC in preverite, ali je račun prikazan na obeh krmilnikih domen.

Privzeto je treba račun samodejno ustvariti na obeh krmilnikih domen samba. Poizvedite ime računa iz adc1 z ukazom wbinfo.

20. V resnici odprite konzolo AD UC iz sistema Windows, razširite se na Domain Controller in videli bi oba vpisana enosmerna stroja.

5. korak: Omogočite storitev Samba4 AD DC

21. Če želite omogočiti storitve samba4 AD DC po celotnem sistemu, najprej onemogočite nekaj starih in neuporabljenih demonov Samba in omogočite samo storitev samba-ad-dc, tako da zaženete spodnje ukaze:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Če krmilnik domene Samba4 upravljate na daljavo iz Microsoftovega odjemalca ali imate v svojo domeno integrirane druge odjemalce Linuxa ali Windows, obvezno navedite naslov IP naprave adc2 na strežniku DNS njihovega omrežnega vmesnika. Nastavitve IP, da se doseže raven odvečnosti.

Spodnji posnetki zaslona prikazujejo konfiguracije, potrebne za odjemalca Windows ali Debian/Ubuntu.

Ob predpostavki, da prvi DC z 192.168.1.254 preklopi v način brez povezave, obrnite vrstni red naslovov IP strežnika DNS v konfiguracijski datoteki, tako da ne bo poskušal najprej iskati nedostopnega strežnika DNS.

Nazadnje, če želite v sistemu Linux izvesti lokalno overjanje z računom Samba4 Active Directory ali podeliti korenske privilegije za račune AD LDAP v Linuxu, preberite 2. in 3. korak iz vadnice Upravljanje infrastrukture Samba4 AD iz ukazne vrstice Linux.