Upravljajte DNS kontrolerom domene Samba4 AD i pravilima grupe iz Windowsa - 4. dio

Nastavljajući prethodni tutorijal o tome kako administrirati Samba4 iz Windows 10 putem RSAT-a, u ovom dijelu ćemo vidjeti kako daljinski upravljati našim Samba AD Domain kontrolerom DNS serverom iz Microsoft DNS Managera, kako kreirati DNS zapise, kako kreirati Reverse Lookup Zona i kako kreirati politiku domene putem alata za upravljanje grupnim politikama.

Zahtjevi

  1. Kreirajte AD infrastrukturu sa Sambom4 na Ubuntu 16.04 – 1. dio
  2. Upravljajte Samba4 AD infrastrukturom iz Linux komandne linije – 2. dio
  3. Upravljajte Samba4 Active Directory infrastrukturom iz Windows10 preko RSAT-a – 3. dio

Korak 1: Upravljajte Samba DNS serverom

Samba4 AD DC koristi interni DNS resolver modul koji je kreiran tokom inicijalne dodjele domene (ako se BIND9 DLZ modul nije posebno koristio).

Samba4 interni DNS modul podržava osnovne karakteristike potrebne za AD Domain Controller. Domenskim DNS serverom se može upravljati na dva načina, direktno iz komandne linije preko samba-tool interfejsa ili daljinski sa Microsoft radne stanice koja je deo domena preko RSAT DNS menadžera.

Ovdje ćemo pokriti drugu metodu jer je intuitivnija i nije toliko sklona greškama.

1. Da administrirate DNS uslugu za vaš kontroler domene putem RSAT, idite na svoj Windows uređaj, otvorite Kontrolna tabla ->< Sistem i sigurnost -> Administrativni alati i pokrenite uslužni program DNS Manager.

Kada se alatka otvori, pitat će vas na koji DNS server želite da se povežete. Odaberite Sljedeći računar, unesite ime domene u polje (ili se također može koristiti IP adresa ili FQDN), označite okvir koji kaže 'Poveži se na navedeni računar sada' i pritisnite OK da otvorite svoju Samba DNS uslugu.

2. Da biste dodali DNS zapis (kao primjer ćemo dodati A zapis koji će upućivati na naš LAN gateway), idite na domenu Forward Lookup Zona, kliknite desnim tasterom miša na desnu ravan i odaberite Novi host (A ili AAA).

3. U prozoru koji se otvorio Novi host upišite ime i IP adresu vašeg DNS resursa. FQDN će vam automatski napisati DNS uslužni program. Kada završite, pritisnite dugme Dodaj host i iskačući prozor će vas obavestiti da je vaš DNS A zapis uspešno kreiran.

Pobrinite se da dodate DNS A zapise samo za one resurse u vašoj mreži konfiguriranim sa statičkim IP adresama. Nemojte dodavati DNS A zapise za hostove koji su konfigurirani za preuzimanje mrežnih konfiguracija sa DHCP servera ili se njihove IP adrese često mijenjaju.

Za ažuriranje DNS zapisa samo dvaput kliknite na njega i upišite svoje izmjene. Da izbrišete zapis desnim klikom na zapis i odaberite izbriši iz menija.

Na isti način možete dodati druge vrste DNS zapisa za svoju domenu, kao što je CNAME (također poznat kao DNS alias zapis) MX zapisi (veoma korisno za servere pošte) ili druge vrste zapisa (SPF, TXT, SRV itd.).

Korak 2: Kreirajte zonu obrnutog pretraživanja

Prema zadanim postavkama, Samba4 Ad DC ne dodaje automatski zonu obrnutog pretraživanja i PTR zapise za vašu domenu jer ove vrste zapisa nisu presudne za ispravno funkcioniranje kontrolora domene.

Umjesto toga, reverzna zona DNS-a i njeni PTR zapisi su ključni za funkcionalnost nekih važnih mrežnih usluga, kao što je usluga e-pošte, jer se ova vrsta zapisa može koristiti za provjeru identiteta klijenata koji traže uslugu.

Praktično, PTR zapisi su upravo suprotni standardnim DNS zapisima. Klijenti znaju IP adresu resursa i pitaju DNS server da saznaju svoje registrovano DNS ime.

4. Da biste kreirali zonu obrnutog pretraživanja za Samba AD DC, otvorite DNS Manager, kliknite desnim klikom na Zona obrnutog pretraživanja sa lijeve ravni i odaberite Nova zona iz menija.

5. Zatim pritisnite dugme Dalje i odaberite Primarnu zonu iz Čarobnjaka za vrstu zone.

6. Zatim odaberite Za sve DNS servere koji rade na kontrolerima domene u ovoj domeni iz Opsega replikacije AD zone, odaberite IPv4 Reverse Potražite zonu i pritisnite Dalje za nastavak.

7. Zatim unesite IP mrežnu adresu za vaš LAN u ID mreže i pritisnite Dalje za nastavak.

Svi PTR zapisi dodani u ovu zonu za vaše resurse će upućivati samo na 192.168.1.0/24 dio mreže. Ako želite da kreirate PTR zapis za server koji se ne nalazi u ovom segmentu mreže (na primer mail server koji se nalazi u mreži 10.0.0.0/24), onda ćete morati da kreirate novu zonu reverse lookup-a i za taj mrežni segment.

8. Na sljedećem ekranu odaberite Dozvoli samo sigurna dinamička ažuriranja, pritisnite Dalje za nastavak i na kraju pritisnite Završi da završite kreiranje zone.

9. U ovom trenutku imate konfiguriranu važeću DNS zonu obrnutog pretraživanja za vašu domenu. Da biste dodali PTR zapis u ovu zonu, kliknite desnim tasterom miša na desnu ravninu i odaberite kreiranje PTR zapisa za mrežni resurs.

U ovom slučaju kreirali smo pokazivač za naš gateway. Da biste testirali da li je zapis ispravno dodan i radi kako se očekuje sa klijentove tačke gledišta, otvorite Command Prompt i pošaljite nslookup upit prema nazivu resursa i još jedan upit za njegovu IP adresu.

Oba upita bi trebala vratiti tačan odgovor za vaš DNS resurs.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Korak 3: Upravljanje pravilima grupe domena

10. Važan aspekt kontrolera domena je njegova sposobnost da kontroliše sistemske resurse i sigurnost sa jedne centralne tačke. Ova vrsta zadatka se lako može postići u kontroleru domene uz pomoć Politike grupe domena.

Nažalost, jedini način za uređivanje ili upravljanje grupnim pravilima u samba kontroleru domena je preko RSAT GPM konzole koju obezbjeđuje Microsoft.

U primjeru ispod vidjet ćemo kako jednostavno može biti manipulirati grupnim politikama za našu samba domenu kako bismo kreirali interaktivni banner za prijavu za korisnike naše domene.

Da biste pristupili konzoli grupnih pravila, idite na Kontrolna tabla -> Sistem i sigurnost -> Administrativni alati i otvorite konzolu Upravljanje pravilima grupe.

Proširite polja za svoju domenu i kliknite desnim tasterom miša na Default Domain Policy. Odaberite Uredi iz menija i novi prozori bi se trebali pojaviti.

11. U prozoru Uređivač grupnih pravila idite na Konfiguracija računara -> Pravila -> Postavke Windowsa -> Sigurnosne postavke -> Lokalna pravila -> Sigurnosne opcije i nova lista opcija bi se trebala pojaviti u desnoj ravni.

U pravom avionu pretražite i uredite sa svojim prilagođenim postavkama nakon dva unosa prikazana na snimku ekrana ispod.

12. Nakon što završite s uređivanjem dva unosa, zatvorite sve prozore, otvorite povišeni komandni redak i prisilite grupnu politiku da se primjenjuje na vašem računalu izdavanjem donje naredbe:

gpupdate /force

13. Konačno, ponovo pokrenite računar i vidjet ćete baner za prijavu u akciji kada pokušate izvršiti prijavu.

To je sve! Grupna pravila su veoma složena i osjetljiva tema i administratori sistema bi trebali biti tretirani s maksimalnom pažnjom. Također, imajte na umu da se postavke grupne politike neće ni na koji način primijeniti na Linux sisteme integrirane u područje.