Kreirajte infrastrukturu Active Directory sa Sambom4 na Ubuntu - 1. dio


Samba je besplatni softver otvorenog koda koji pruža standardnu interoperabilnost između Windows OS i Linux/Unix operativnih sistema.

Samba može raditi kao samostalni server datoteka i print servera za Windows i Linux klijente preko SMB/CIFS paketa protokola ili može djelovati kao Kontroler domene aktivnog direktorija ili se pridružiti Realm kao član domene. Najviši nivo AD DC domene i šume koji trenutno Samba4 može emulirati je Windows 2008 R2.

Serija će se zvati Postavljanje Samba4 Active Directory Domain Controller, koja pokriva sljedeće teme za Ubuntu, CentOS i Windows jako>:

Ovaj vodič će započeti objašnjavanjem svih koraka koje trebate obaviti da biste instalirali i konfigurirali Samba4 kao Kontroler domene na Ubuntu 16.04 i Ubuntu 14.04.

Ova konfiguracija će pružiti centralnu upravljačku tačku za korisnike, mašine, dijeljenje volumena, dozvole i druge resurse u pomiješanoj Windows – Linux infrastrukturi.

Zahtjevi:

  1. Instalacija Ubuntu 16.04 servera.
  2. Instalacija Ubuntu 14.04 servera.
  3. Statička IP adresa konfigurirana za vaš AD DC server.

Korak 1: Početna konfiguracija za Samba4

1. Prije nego što nastavite sa vašom Samba4 AD DC instalacijom, prvo izvršimo nekoliko prethodno potrebnih koraka. Prvo se uvjerite da je sistem ažuriran sa posljednjim sigurnosnim funkcijama, kernelima i paketima izdavanjem donje naredbe:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Zatim otvorite mašinsku datoteku /etc/fstab i uvjerite se da vaš sistem datoteka particija ima omogućene ACL-ove kao što je ilustrovano na snimku ekrana ispod.

Obično, uobičajeni moderni Linux sistemi datoteka kao što su ext3, ext4, xfs ili btrfs podržavaju i imaju ACL-ove omogućene od default. Ako to nije slučaj sa vašim sistemom datoteka samo otvorite /etc/fstab datoteku za uređivanje i dodajte acl string na kraju treće kolone i restartujte > mašinu da biste primenili promene.

3. Konačno postavite ime vašeg računala s opisnim imenom, kao što je adc1 korištenim u ovom primjeru, uređujući datoteku /etc/hostname ili izdavanje.

sudo hostnamectl set-hostname adc1

Neophodno je ponovno pokretanje nakon što promijenite naziv vašeg računara da biste primijenili promjene.

Korak 2: Instalirajte potrebne pakete za Samba4 AD DC

4. Kako biste transformirali svoj server u Active Directory Domain Controller, instalirajte Samba i sve potrebne pakete na vašem računalu izdavanjem dolje naredba sa root privilegijama u konzoli.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Dok se instalacija izvodi, instalater će postaviti niz pitanja kako bi konfigurirao kontroler domene.

Na prvom ekranu ćete morati dodati naziv za Kerberos zadani REALM velikim slovima. Unesite ime koje ćete koristiti za svoju domenu velikim slovima i pritisnite Enter da nastavite.

6. Zatim unesite ime hosta Kerberos servera za vašu domenu. Koristite isto ime kao za svoju domenu, ovaj put sa malim slovima i pritisnite Enter za nastavak.

7. Konačno, navedite ime hosta za administrativni server vašeg Kerberos područja. Koristite isto kao i svoju domenu i pritisnite Enter da završite instalaciju.

Korak 3: Obezbedite Samba AD DC za vašu domenu

8. Prije nego počnete konfigurirati Samba za svoju domenu, prvo pokrenite donje naredbe kako biste zaustavili i onemogućili sve samba demone.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Zatim preimenujte ili uklonite originalnu konfiguraciju sambe. Ovaj korak je apsolutno neophodan prije dodjeljivanja Samba AD jer će u vrijeme obezbjeđivanja Samba kreirati novu konfiguracijsku datoteku od nule i ispostavit će neke greške u slučaju da pronađe stari smb.conf fajl.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Sada pokrenite dodelu domena interaktivno izdavanjem naredbe ispod sa root privilegijama i prihvatite podrazumevane opcije koje vam Samba pruža.

Također, uvjerite se da ste naveli IP adresu za DNS prosljeđivač u svojim prostorijama (ili eksternom) i odaberite jaku lozinku za administratorski račun. Ako odaberete sedmičnu lozinku za administratorski račun, obezbjeđivanje domene neće uspjeti.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Konačno, preimenujte ili uklonite Kerberos glavnu konfiguracijsku datoteku iz /etc direktorija i zamijenite je koristeći simboličku vezu sa Samba novo generiranim Kerberos fajlom koji se nalazi u /var/lib /samba/private putanje izdavanjem naredbi u nastavku:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Pokrenite i omogućite Samba Active Directory Domain Controller demone.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Zatim koristite netstat komandu kako biste provjerili listu svih usluga potrebnih Aktivnom direktoriju da bi ispravno radili.

sudo netstat –tulpn| egrep ‘smbd|samba’

Korak 4: Konačne Samba konfiguracije

14. U ovom trenutku Samba bi trebala biti potpuno operativna u vašim prostorijama. Najviši nivo domene koji Samba emulira trebao bi biti Windows AD DC 2008 R2.

Može se provjeriti uz pomoć samba-tool uslužnog programa.

sudo samba-tool domain level show

15. Da bi DNS rezolucija funkcionisala lokalno, morate otvoriti end uređivati postavke mrežnog interfejsa i usmjeriti DNS rezoluciju modificiranjem dns-nameservera izjavu na IP adresu vašeg Kontrolera domene (koristite 127.0.0.1 za lokalnu DNS rezoluciju) i dns-search izjavu da ukaže na vašu carstvo.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Kada završite, ponovno pokrenite svoj server i pogledajte svoj rezolver fajl kako biste bili sigurni da ukazuje na prave DNS servere imena.

16. Konačno, testirajte DNS razrješavač tako što ćete izdati upite i pingove protiv nekih ključnih AD DC zapisa, kao u donjem izvodu. Zamijenite naziv domene u skladu s tim.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Pokrenite sljedećih nekoliko upita na Samba Active Directory Domain Controller.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Također, provjerite Kerberos autentifikaciju tako što ćete zatražiti tiket za račun administratora domene i navesti keširanu kartu. Upišite naziv domene velikim slovima.

kinit [email 
klist

To je sve! Sada imate potpuno operativan AD Domain Controller instaliran u vašoj mreži i možete početi integrirati Windows ili Linux mašine u Samba AD<.

U sljedećoj seriji ćemo pokriti druge Samba AD teme, kao što je kako upravljati svojim kontrolerom domene iz Samba komandne linije, kako integrirati Windows 10 u ime domene i upravljati Samba AD na daljinu korištenje RSAT-a i drugih važnih tema.