2018-01-29 10:14:14 14222 1
Настройка Samba в качестве контроллера домена
Samba - это свободное программное обеспечение совместимость между операционными системами Windows и Linux. Samba может выступать в качестве самостоятельного файлового сервера для клиентов с использованием протокола SMB/CIFS, так и в структеру домена как член домена или даже как контроллер домена. В этой статье мы рассмотрим настройку Samba в качестве контроллера домена. Настройка будет производится на сервере Ubuntu16.04. Адрес сервера 172.20.1.230, домен test.un.
Подготовка сервера
Обновим систему
sudo apt-get update
sudo apt-get upgrade
Установка имени хоста:
sudo hostnamectl set-hostname samba-dc
Установим необходимые пакеты:
root@samba-dc:~# apt-get install samba krb5-user krb5-config \
winbind libpam-winbind libnss-winbind
При установке будет запрошена настройка kerberos
Указываем область kerberos по-умолчанию
Указываем сервер kerberos в нашей области (это будет наш контроллер домена)
Указываем управляющий сервер kerberos для области
Настройка Samba
Отключаем все демоны связанные с Samba
root@samba-dc:~# systemctl stop samba-ad-dc smbd nmbd winbind
root@samba-dc:~# systemctl disable samba-ad-dc smbd nmbd winbind
Переименуем оригинальный конфиг Samba, что бы сохранить его на всякий случай
root@samba-dc:~# mv /etc/samba/smb.conf /etc/samba/smb.conf.old
Запустим команду для настройки Samba в интерактивном режиме, будут заданы вопросы на которые мы ответим:
root@samba-dc:~# samba-tool domain provision --use-rfc2307 --interactive
#Указываем Область Realm: TEST.UN # Домен Domain [TEST]: # Роль сервера указваем dc Server Role (dc, member, standalone) [dc]: # Какой сервер будет использоваться в качестве DNS севрера домена, выбираем встроенный сервер Samba. Возможно применение отдельного сервера типа bind DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: # Указываем адрес DNS сервера для перенаправления запросов DNS forwarder IP address (write "none" to disable forwarding) [....]: 8.8.8.8 # Пароль адимнистратора Administrator password: Retype password: Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema Adding DomainDN: DC=test,DC=un Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,CN=System,DC=test,DC=un Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Setting up fake yp server settings Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: samba-dc NetBIOS Domain: TEST DNS Domain: test.un DOMAIN SID: S-1-5-21-584843895-4130667227-3802405512
Настройка прошла успешно.
Был сконфигурирован файл настройки kerberos, его необходимо скопировать в каталог /etc
root@samba-dc:~# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Запускаем демона Samba
root@samba-dc:~# systemctl start samba-ad-dc
root@samba-dc:~# systemctl enable samba-ad-dc
Проверяем уровень нашего домена
root@samba-dc:~# samba-tool domain level show
Domain and forest function level for domain "DC=test,DC=un" Forest function level: (Windows) 2008 R2 Domain function level: (Windows) 2008 R2 Lowest function level of a DC: (Windows) 2008 R2
Устанавливаем в качестве DNS сервера адрес самого контроллера домена
root@samba-dc:~# cat /etc/network/interfaces
... dns-nameservers 127.0.0.1 172.20.1.230 dns-search test.un ...
Проверим настройку kerberos, запросим билет
root@samba-dc:~# kinit Administrator
Password for Administrator@TEST.UN: Warning: Your password will expire in 41 days on Пт 23 фев 2018 09:18:48
Проверим полученный билет
root@samba-dc:~# klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@TEST.UN Valid starting Expires Service principal 12.01.2018 09:30:13 12.01.2018 19:30:13 krbtgt/TEST.UN@TEST.UN renew until 13.01.2018 09:30:11
Контроллер домена настроен.
Для управления можно использовать коомандную строку Linux, но удобнее использовать инструмент RSAT из под Windows.
Введите ответ:
+
=
Нурлан
2022-09-12 12:53:37
Народ всем привет ! Кто-нибудь тестил данное решение ? Можно ли его использовать в качестве централизованного управления серверами на базе Linux ?