FailOveri replikatsiooni jaoks 5. osa liitmine täiendava Ubuntu DC-ga Samba4 AD DC-ga
See õpetus näitab teile, kuidas lisada teine Samba4 domeenikontroller, mis on varustatud Ubuntu 16.04 serveriga, olemasolevasse Samba AD DC metsa, et tagada teatud ülioluliste AD DC-teenuste koormuse tasakaalustamine/tõrkeotsing, eriti selliste teenuste jaoks nagu DNS ja AD DC LDAP skeem koos SAM-i andmebaasiga.
- Looge Ubuntu Samba4 abil Active Directory infrastruktuur - 1. osa
See artikkel on Samba4 AD DC seeria 5. osa järgmiselt:
1. samm: algne seadistamine Samba4 seadistamiseks
1. Enne teise alalisvoolu domeeniga liitumist peate hoolitsema mõne esialgse sätte eest. Kõigepealt veenduge, et Samba4 AD DC-sse integreeritava süsteemi hostinimi sisaldab kirjeldavat nime.
Eeldades, et esimese eraldatud valdkonna hosti nimi on adc1 , saate teise DC nimetada adc2 -ga, et pakkuda oma domeenikontrollerites ühtlast nimeskeemi.
Süsteemi hostinime muutmiseks võite anda järgmise käsu.
# hostnamectl set-hostname adc2
muul juhul saate faili/etc/hostname faili käsitsi redigeerida ja lisada uue rea soovitud nimega.
# nano /etc/hostname
Siia lisage hostinimi.
adc2
2. Seejärel avage kohaliku süsteemi lahutusfail ja lisage IP-aadressi sisestusega kirje peamise domeenikontrolleri lühinimele ja FQDN-ile, nagu on näidatud alloleval ekraanipildil.
Selle õpetuse kaudu on peamine DC nimi adc1.tecmint.lan ja see lahendatakse IP-aadressiks 192.168.1.254.
# nano /etc/hosts
Lisage järgmine rida:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Järgmisel etapil avage/etc/network/interfaces ja määrake oma süsteemile staatiline IP-aadress, nagu on näidatud alloleval ekraanipildil.
Pöörake tähelepanu dns-nimeserveritele ja dns-search muutujatele. Need lahtrid peaksid olema konfigureeritud nii, et need osutaksid tagasi peamise Samba4 AD DC ja valdkonna IP-aadressile, et DNS-i lahutus õigesti töötaks.
Muudatuste kajastamiseks taaskäivitage võrgudemon. Veenduge, et fail /etc/resolv.conf oleks kindel, et mõlemad teie võrguliidese DNS-i väärtused on sellele failile värskendatud.
# nano /etc/network/interfaces
Muutke ja asendage kohandatud IP-seadetega:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Taaskäivitage võrguteenus ja kinnitage muudatused.
# systemctl restart networking.service # cat /etc/resolv.conf
Dns-search väärtus lisab domeeninime automaatselt, kui esitate päringu hostile selle lühikese nime järgi (moodustab FQDN-i).
4. Selleks, et testida, kas DNS-i eraldusvõime töötab ootuspäraselt, väljastage oma domeeni lühinime, FQDN-i ja sfääri vastu rea pingikäske, nagu on näidatud alloleval ekraanipildil.
Kõigil neil juhtudel peaks Samba4 AD DC DNS-server vastama teie peamise DC IP-aadressiga.
5. Viimane täiendav samm, mille peate hoolitsema, on aja sünkroniseerimine oma peamise domeenikontrolleriga. Seda saab teha, kui installite oma süsteemi NTP kliendi utiliidi, väljastades järgmise käsu:
# apt-get install ntpdate
6. Eeldades, et soovite aja sünkroonimise käsitsi sundida samba4 AD DC-ga, käivitage käsk ntpdate esmase DC vastu, väljastades järgmise käsu.
# ntpdate adc1
2. samm: installige Samba4 koos vajalike sõltuvustega
7. Ubuntu 16.04 süsteemi registreerimiseks oma domeenis installige kõigepealt Samba4, Kerberose klient ja veel mõned olulised paketid, mida saab hiljem kasutada Ubuntu ametlikest hoidlatest, väljastades järgmise käsu:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Installimise ajal peate sisestama Kerberose domeeni nime. Kirjutage oma domeeninimi suurtähtedega ja vajutage installiprotsessi lõpetamiseks klahvi [Enter].
9. Pärast pakettide installimise lõppu kontrollige seadeid, taotledes Kinit käsu abil domeeni administraatorile Kerberose piletit. Andke Kerberose pileti loendisse käsk klist.
# kinit [email _DOMAIN.TLD # klist
3. samm: liituge domeenikontrollerina Samba4 AD DC-ga
10. Enne oma masina integreerimist Samba4 DC-sse veenduge kõigepealt, et kõik teie süsteemis töötavad Samba4 deemonid on peatatud ja nimetage puhtaks alustamiseks ka vaikimisi Samba konfiguratsioonifail. Domeenikontrolleri loomisel loob samba uue konfiguratsioonifaili nullist.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Domeeniga liitumisprotsessi alustamiseks käivitage kõigepealt ainult samba-ad-dc deemon, mille järel käivitate samba-tool käsu, et domeeniga liitumiseks kasutada domeeni administraatoriõigustega kontot.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Domeeni integreerimise väljavõte:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Pärast seda, kui domeeni on integreeritud tarkvara samba4 tarkvara Ubuntu, avage samba peamine konfiguratsioonifail ja lisage järgmised read:
# nano /etc/samba/smb.conf
Lisage järgmine väljavõte failile smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Asendage DNS-ekspediitori IP-aadress oma DNS-ekspediitori IP-aadressiga. Samba edastab sellele IP-aadressile kõik DNS-i lahutuspäringud, mis jäävad väljaspool teie domeeni autoriteetset tsooni.
13. Lõpuks taaskäivitage samba deemon, et kajastada muudatusi ja kontrollida kataloogi aktiivset replikatsiooni, käivitades järgmised käsud.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Nimetage ka Kerberose algne konfiguratsioonifail ümber/etc teekonnast ja asendage see domeeni loomise ajal samba loodud uue konfiguratsioonifailiga krb5.conf.
Fail asub kataloogis/var/lib/samba/private. Selle faili linkimiseks kataloogi/etc kasutage Linuxi sümboli linki.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Kontrollige ka Kerberose autentimist failiga samba krb5.conf. Taotlege administraatori kasutajale piletit ja loetlege vahemällu salvestatud pilet, väljastades järgmised käsud.
# kinit administrator # klist
4. samm: täiendavad domeeniteenuste valideerimised
16. Esimene test, mille peate tegema, on Samba4 DC DNS-i eraldusvõime. Domeeni DNS-i eraldusvõime kinnitamiseks pärige domeeninime abil käsu host abil mõne üliolulise AD DNS-kirjega, nagu on näidatud alloleval ekraanipildil.
DNS-server peaks nüüd uuesti esitama kahe päringu jaoks kahe IP-aadressi.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Need DNS-kirjed peaksid olema nähtavad ka registreeritud Windowsi masinast, kuhu on installitud RSAT-tööriistad. Avage DNS-i haldur ja laiendage oma domeeni TCP-kirjed, nagu on näidatud alloleval pildil.
18. Järgmine test peaks näitama, kas domeeni LDAP replikatsioon töötab ootuspäraselt. Looge samba-tööriista abil konto teises domeenikontrolleris ja kontrollige, kas kontot kopeeritakse automaatselt esimeses Samba4 AD DC-s.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Saate konto luua ka Microsofti AD UC-konsoolist ja kontrollida, kas konto ilmub mõlemas domeenikontrolleris.
Vaikimisi peaks konto olema automaatselt loodud mõlemas samba domeenikontrolleris. Pärige konto nimest adc1 käsu wbinfo abil.
20. Tegelikult avage AD UC konsool Windowsist, laiendage domeenikontrolleritele ja peaksite nägema mõlemat registreeritud alalisvoolu masinat.
5. samm: lubage teenus Samba4 AD DC
21. Samba4 AD DC-teenuste kogu süsteemi lubamiseks keelake kõigepealt mõned vanad ja kasutamata Samba deemonid ja lubage ainult samba-ad-dc-teenus, käivitades järgmised käsud:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Kui haldate kaugelt Microsofti kliendilt Samba4 domeenikontrollerit või kui teie domeeni on integreeritud muud Linuxi või Windowsi kliendid, mainige kindlasti nende võrguliidese DNS-serveris masina adc2 IP-aadressi IP-sätted koondamise taseme saavutamiseks.
Allpool olevad ekraanipildid illustreerivad Windowsi või Debiani/Ubuntu kliendi jaoks vajalikke konfiguratsioone.
Eeldades, et esimene DC 192.168.1.254-ga läheb võrguühenduseta, muutke konfiguratsioonifailis DNS-serveri IP-aadresside järjekorda, nii et see ei püüa esmalt päringuid saadaolevast DNS-serverist.
Lõpuks, kui soovite teha kohaliku autentimise Linuxi süsteemis Samba4 Active Directory kontoga või anda Linuxi AD LDAP-i kontole juurõigused, lugege juhiseid Samba4 AD-taristu haldamine Linuxi käsurealt.