Pridružite se dodatnom Ubuntu DC-u na Samba4 AD DC za FailOver replikaciju - 5. dio
Ovaj tutorijal će vam pokazati kako dodati drugi Samba4 kontroler domene, osiguran na Ubuntu 16.04 serveru, postojećoj Samba AD DC šumi kako bi da se obezbedi stepen balansiranja opterećenja/failover za neke ključne AD DC usluge, posebno za usluge kao što su DNS i AD DC LDAP šema sa SAM bazom podataka.
Zahtjevi
- Kreirajte infrastrukturu Active Directory sa Sambom4 na Ubuntu – 1. dio
Ovaj članak je Dio-5 serije Samba4 AD DC kako slijedi:
Korak 1: Početna konfiguracija za podešavanje Samba4
1. Prije nego što počnete stvarno obavljati spajanje domene za drugi DC, morate se pobrinuti za nekoliko početnih postavki. Prvo, uvjerite se da hostname sistema koji će biti integriran u Samba4 AD DC sadrži opisno ime.
Pod pretpostavkom da se ime hosta prvog dodijeljenog područja zove adc1, možete imenovati drugi DC sa adc2 kako biste osigurali dosljednu šemu imenovanja na vašim kontrolerima domena.
Za promjenu sistemskog hostname možete izdati naredbu ispod.
hostnamectl set-hostname adc2
inače možete ručno urediti datoteku /etc/hostname i dodati novi red sa željenim imenom.
nano /etc/hostname
Ovdje dodajte ime hosta.
adc2
2. Zatim otvorite datoteku lokalne sistemske rezolucije i dodajte unos sa IP adresom koja ukazuje na kratko ime i FQDN glavnog kontrolera domene, kao što je prikazano u nastavku screenshot.
Kroz ovaj vodič, primarni DC naziv je adc1.tecmint.lan i rješava se u 192.168.1.254 IP adresu.
nano /etc/hosts
Dodajte sljedeću liniju:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. U sljedećem koraku otvorite /etc/network/interfaces i dodijelite statičku IP adresu vašem sistemu kao što je prikazano na snimku ekrana ispod.
Obratite pažnju na varijable dns-nameservers i dns-search. Ove vrijednosti bi trebale biti konfigurirane tako da upućuju natrag na IP adresu primarnog Samba4 AD DC i područja kako bi DNS rezolucija radila ispravno.
Ponovo pokrenite mrežni demon kako biste odrazili promjene. Provjerite datoteku /etc/resolv.conf da biste bili sigurni da su obje DNS vrijednosti iz vašeg mrežnog interfejsa ažurirane na ovu datoteku.
nano /etc/network/interfaces
Uredite i zamijenite svojim prilagođenim IP postavkama:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Ponovo pokrenite mrežni servis i potvrdite promjene.
systemctl restart networking.service
cat /etc/resolv.conf
Vrijednost dns-search će automatski dodati ime domene kada upitate host po njegovom kratkom imenu (formiraće FQDN).
4. Da biste testirali da li DNS rezolucija radi kako se očekuje, izdajte niz ping komandi protiv kratkog imena vaše domene, FQDN-a i područja kao što je prikazano na snimku ekrana ispod.
U svim ovim slučajevima Samba4 AD DC DNS server bi trebao odgovoriti sa IP adresom vašeg glavnog DC-a.
5. Posljednji dodatni korak o kojem morate voditi računa je sinhronizacija vremena sa vašim glavnim kontrolerom domene. Ovo se može postići instaliranjem NTP klijentskog uslužnog programa na vaš sistem izdavanjem donje naredbe:
apt-get install ntpdate
6. Pod pretpostavkom da želite ručno forsirati vremensku sinhronizaciju sa samba4 AD DC, pokrenite naredbu ntpdate protiv primarnog DC-a izdavanjem sljedeće naredbe.
ntpdate adc1
Korak 2: Instalirajte Samba4 s potrebnim ovisnostima
7. Da biste upisali Ubuntu 16.04 sistem na svoju domenu, prvo instalirajte Samba4, Kerberos klijent i nekoliko ostale važne pakete za kasniju upotrebu iz Ubuntu službenih spremišta izdavanjem donje naredbe:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Tokom instalacije moraćete da navedete Kerberos ime domena. Upišite ime svoje domene velikim slovima i pritisnite tipku [Enter] da završite proces instalacije.
9. Nakon što se instalacija paketa završi, provjerite postavke tako što ćete zatražiti Kerberos kartu za administratora domene pomoću naredbe kinit. Koristite naredbu klist za popis odobrenih Kerberos ulaznica.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Korak 3: Pridružite se Samba4 AD DC kao kontrolor domene
10. Prije integracije vaše mašine u Samba4 DC, prvo se uvjerite da su svi Samba4 demoni koji rade na vašem sistemu zaustavljeni i, također, preimenujte zadanu Samba konfiguracijsku datoteku kako biste pokrenuli cisto. Dok obezbjeđuje kontroler domene, samba će kreirati novu konfiguracijsku datoteku od nule.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Da biste započeli proces pridruživanja domeni, prvo pokrenite samo samba-ad-dc daemon, nakon čega ćete pokrenuti samba-tool naredba da se pridružite domenu koristeći račun s administrativnim privilegijama na vašoj domeni.
samba-tool domain join your_domain DC -U "your_domain_admin"
Izvod o integraciji domena:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Sample Output
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Nakon što je Ubuntu sa samba4 softverom integrisan u domenu, otvorite glavnu konfiguracijsku datoteku sambe i dodajte sljedeće redove:
nano /etc/samba/smb.conf
Dodajte sljedeći izvod u datoteku smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Zamijenite IP adresu dns prosljeđivača svojom vlastitom IP-om DNS prosljeđivača. Samba će proslijediti sve upite za rješavanje DNS-a koji su izvan autoritativne zone vaše domene na ovu IP adresu.
13. Konačno, ponovo pokrenite samba demon da odrazite promjene i provjerite replikaciju aktivnog direktorija izvršavanjem sljedećih naredbi.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Dodatno, preimenujte početnu Kerberos konfiguracijsku datoteku sa putanje /etc i zamijenite je novom krb5.conf konfiguracijskom datotekom koju je generirala samba tokom obezbjeđivanja domenu.
Fajl se nalazi u /var/lib/samba/private direktoriju. Koristite Linux simboličku vezu da povežete ovu datoteku sa /etc direktorijumom.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Također, provjerite Kerberos autentifikaciju sa samba krb5.conf datotekom. Zatražite tiket za administratorskog korisnika i navedite keširanu kartu izdavanjem naredbi ispod.
kinit administrator
klist
Korak 4: Dodatne validacije domenskih usluga
16. Prvi test koji trebate izvršiti je rezolucija Samba4 DC DNS. Da biste potvrdili DNS rezoluciju vaše domene, upitajte ime domene pomoću naredbe host u odnosu na nekoliko ključnih AD DNS zapisa kao što je prikazano na snimku ekrana ispod.
DNS server bi do sada trebao reproducirati sa parom od dvije IP adrese za svaki upit.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Ovi DNS zapisi bi takođe trebali biti vidljivi sa registrovane Windows mašine sa instaliranim RSAT alatima. Otvorite DNS Manager i proširite na tcp zapise vaše domene kao što je prikazano na donjoj slici.
18. Sljedeći test bi trebao pokazati da li LDAP replikacija domene radi kako se očekuje. Koristeći samba-alat, kreirajte nalog na drugom kontroleru domene i proverite da li se nalog automatski replicira na prvi Samba4 AD DC.
Na adc2:
samba-tool user add test_user
Na adc1:
samba-tool user list | grep test_user
19. Takođe možete kreirati nalog sa Microsoft AD UC konzole i proveriti da li se nalog pojavljuje na oba domena kontrolera.
Prema zadanim postavkama, nalog bi trebao biti automatski kreiran na oba samba kontrolera domena. Upitajte ime računa od adc1 koristeći naredbu wbinfo.
20. U stvari, otvorite AD UC konzolu iz Windowsa, proširite na Domain Controllers i trebali biste vidjeti obje upisane DC mašine.
Korak 5: Omogućite Samba4 AD DC uslugu
21. Da biste omogućili samba4 AD DC usluge na cijelom sistemu, prvo onemogućite neke stare i nekorištene Samba demone i omogućite samo uslugu samba-ad-dc tako što ćete pokrenuti donje naredbe :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Ako daljinski administrirate Samba4 kontroler domene sa Microsoft klijenta ili imate druge Linux ili Windows klijente integrisane u vašu domenu, obavezno navedite IP adresu adc2 mašine na njihov mrežni interfejs IP podešavanja DNS servera kako bi se postigao nivo redundanse.
Snimke zaslona ispod ilustriraju konfiguracije potrebne za Windows ili Debian/Ubuntu klijent.
Pod pretpostavkom da prvi DC sa 192.168.1.254 ide van mreže, obrnite redoslijed IP adresa DNS servera u konfiguracijskoj datoteci kako ne bi pokušao prvo upitati nedostupnu DNS server.
Konačno, u slučaju da želite izvršiti lokalnu autentifikaciju na Linux sistemu sa Samba4 Active Directory nalogom ili dodijeliti root privilegije za AD LDAP račune u Linuxu, pročitajte korake 2 i 3 iz vodiča Upravljanje Samba4 AD infrastrukturom iz Linux komandne linije.