Looge Ubuntu Samba4 abil Active Directory infrastruktuur - 1. osa

Samba on tasuta avatud lähtekoodiga tarkvara, mis pakub standardset koostalitlusvõimet Windowsi OS ja Linux/Unix operatsioonisüsteemide vahel.

Samba saab SMB/CIFS-protokollipaketi kaudu töötada Windowsi ja Linuxi klientide jaoks eraldiseisva faili- ja prindiserverina või toimida Active Directory domeenikontrollerina või liituda domeeniliikmena valdkonnaga. Kõrgeim AD DC domeeni ja metsa tase, mida Samba4 praegu jäljendada saab, on Windows 2008 R2.

Seeria kannab pealkirja Samba4 Active Directory domeenikontrolleri seadistamine, mis hõlmab järgmisi Ubuntu, CentOS ja Windowsi teemasid:

Selle õpetuse alguses selgitatakse kõik sammud, mida peate hoolitsema, et installida ja konfigureerida Samba4 domeenikontrollerina Ubuntu 16.04 ja Ubuntu 14.04.

See konfiguratsioon pakub keskset halduspunkti kasutajatele, masinatele, mahtude jagamisele, lubadele ja muudele ressurssidele segatud Windowsi-Linuxi infrastruktuuris.

  1. Ubuntu 16.04 serveri installimine.
  2. Ubuntu 14.04 serveri installimine.
  3. staatiline IP-aadress, mis on konfigureeritud teie AD DC-serveri jaoks.

1. samm: Samba4 esmane seadistamine

1. Enne Samba4 AD DC installimise jätkamist käivitame mõned eelnevalt nõutavad toimingud. Kõigepealt veenduge, et süsteem oleks viimaste turvaelementide, tuumade ja pakettidega kursis, väljastades järgmise käsu:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Järgmisena avage masina/etc/fstab fail ja veenduge, et teie partitsioonide failisüsteemis on lubatud ACL-id, nagu on näidatud alloleval ekraanipildil.

Tavaliselt toetavad tavalised kaasaegsed Linuxi failisüsteemid nagu ext3, ext4, xfs või btrfs ning vaikimisi on ACL-id lubatud. Kui see pole teie failisüsteemi puhul nii, avage lihtsalt redigeerimiseks fail/etc/fstab ja lisage kolmanda veeru lõppu string acl ja taaskäivitage masin muudatuste rakendamiseks.

3. Lõpuks seadistage oma masina hostinimi kirjeldava nimega, näiteks selles näites kasutatud adc1 , muutes faili/etc/hostname või väljastades.

$ sudo hostnamectl set-hostname adc1

Muudatuste rakendamiseks on vaja pärast arvuti nime muutmist taaskäivitada.

2. samm: installige Samba4 AD DC jaoks vajalikud paketid

4. Oma serveri muutmiseks Active Directory domeenikontrolleriks installige oma arvutisse Samba ja kõik vajalikud paketid, väljastades konsoolis allpool oleva juurõigustega käsu.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Installimise ajal esitab installer domeenikontrolleri konfigureerimiseks rea küsimusi.

Esimesel ekraanil peate lisama suurtähtedega nime Kerberose vaikekood REALM . Sisestage oma domeeni jaoks kasutatav nimi suurtähega ja jätkamiseks vajutage sisestusklahvi Enter.

6. Seejärel sisestage oma domeeni jaoks Kerberose serveri hostinimi. Kasutage oma domeeni jaoks sama nime, seekord väiketähtedega ja jätkamiseks vajutage sisestusklahvi Enter.

7. Lõpuks määrake oma Kerberose valdkonna haldusserveri hosti nimi. Installimise lõpuleviimiseks kasutage sama, mis teie domeen ja vajutage sisestusklahvi Enter.

3. samm: lisage oma domeenile Samba AD DC

8. Enne Samba konfigureerimise alustamist oma domeeni jaoks käivitage kõigepealt kõik samba deemonite peatamiseks ja keelamiseks järgmised käsud.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Järgmisena nimetage samba algne konfiguratsioon ümber või eemaldage see. See samm on tingimata vajalik enne Samba AD-i lisamist, kuna pakkumise ajal loob Samba uue konfiguratsioonifaili nullist ja viskab üles mõned vead, kui ta leiab vana smb.conf -faili.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Nüüd alustage domeeni loomist interaktiivselt, väljastades allpool oleva käsu juurõigustega ja nõustuge Samba pakutavate vaikevalikutega.

Samuti veenduge, et sisestaksite oma ruumides (või välises) DNS-edastaja IP-aadressi ja valige administraatori konto jaoks tugev parool. Kui valite administraatori konto jaoks nädala parooli, nurjub domeeni pakkumine.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Lõpuks nimetage Kerberose põhikonfiguratsioonifail kataloogi/etc ümber või eemaldage see ja asendage see sümboli abil uue Samba loodud Kerberose failiga, mis asub/var/lib/samba/private path, väljastades järgmised käsud:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Käivitage ja lubage Samba Active Directory domeenikontrolleri deemonid.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Järgmisena kasutage käsku netstat, et kontrollida kõigi Active Directory nõuetekohaseks käitamiseks vajalike teenuste loendit.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

4. samm: Samba lõplikud konfiguratsioonid

14. Praegu peaks Samba olema teie ruumides täielikult töökorras. Samba kõrgeim domeenitaseme tase peaks olema Windows AD DC 2008 R2.

Seda saab kontrollida samba-tool utiliidi abil.

$ sudo samba-tool domain level show

15. DNS-i eraldusvõime kohalikuks toimimiseks peate avama võrguliidese seadete redigeerimise ja suunama DNS-i eraldusvõime, muutes dns-nimeserverite avalduse oma domeenikontrolleri IP-aadressiks (kohaliku DNS-i eraldusvõime jaoks kasutage 127.0.0.1) ja dns-search lause, et osutada teie valdkonnale.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Kui olete lõpetanud, taaskäivitage oma server ja vaadake oma resolver-faili, et veenduda, et see osutab õigetele DNS-nimeserveritele.

16. Lõpuks testige DNS-lahendust, väljastades päringuid ja pinge mõne AD DC olulise kirje suhtes, nagu allpool väljavõttes. Asendage vastavalt domeeninimi.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Samba Active Directory domeenikontrolleri vastu käivitage mõned päringud.

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Samuti kontrollige Kerberose autentimist, taotledes piletit domeeni administraatori kontole ja loetlege vahemällu salvestatud pilet. Kirjutage domeeninime osa suurtähtedega.

$ kinit [email 
$ klist

See on kõik! Nüüd on teie võrku installitud täielikult toimiv AD domeenikontroller ja võite hakata Windowsi või Linuxi masinaid Samba AD-sse integreerima.

Järgmises seerias käsitleme teisi Samba AD teemasid, näiteks kuidas hallata Samba käsurealt domeenikontrollerit, kuidas integreerida Windows 10 domeeninimesse ja hallata Samba AD-d kaugühenduse abil RSAT-i ja muude oluliste teemade abil.