Creați o infrastructură Active Directory cu Samba4 pe Ubuntu - Partea 1

Samba este un software gratuit cu sursă deschisă care oferă o interoperabilitate standard între sistemele de operare Windows și Linux/Unix.

Samba poate funcționa ca un server de fișiere și de imprimare autonom pentru clienții Windows și Linux prin suita de protocoale SMB/CIFS sau poate acționa ca un controller de domeniu Active Directory sau alăturat într-un Realm ca Membru de domeniu. Cel mai înalt nivel de domeniu și pădure AD DC pe care în prezent îl poate emula Samba4 este Windows 2008 R2.

Seria va fi intitulată Setting Up Samba4 Active Directory Domain Controller, care acoperă următoarele subiecte pentru Ubuntu, CentOS și Windows puternic>:

Acest tutorial va începe prin a explica toți pașii de care trebuie să aveți grijă pentru a instala și configura Samba4 ca controler de domeniu pe Ubuntu 16.04 și Ubuntu 14.04.

Această configurație va oferi un punct central de management pentru utilizatori, mașini, partajări de volum, permisiuni și alte resurse într-o infrastructură combinată Windows – Linux.

Cerințe:

  1. Instalare server Ubuntu 16.04.
  2. Instalare server Ubuntu 14.04.
  3. O adresă IP statică configurată pentru serverul dvs. AD DC.

Pasul 1: Configurarea inițială pentru Samba4

1. Înainte de a continua instalarea Samba4 AD DC, să parcurgem câțiva pași pre-necesari. Mai întâi asigurați-vă că sistemul este actualizat cu ultimele caracteristici de securitate, nuclee și pachete, lansând comanda de mai jos:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Apoi, deschideți fișierul /etc/fstab al mașinii și asigurați-vă că sistemul dvs. de fișiere cu partiții are ACL-uri activate, așa cum este ilustrat în captura de ecran de mai jos.

De obicei, sistemele de fișiere Linux moderne obișnuite, cum ar fi ext3, ext4, xfs sau btrfs acceptă și au ACL-uri activate de Mod implicit. Dacă nu este cazul sistemului dvs. de fișiere, deschideți fișierul /etc/fstab pentru editare și adăugați șirul acl la sfârșitul coloanei a treia și reporniți > aparatul pentru a aplica modificările.

3. În cele din urmă, configurați numele de gazdă a mașinii dvs. cu un nume descriptiv, cum ar fi adc1 folosit în acest exemplu, prin editarea fișierului /etc/hostname sau prin emitent.

sudo hostnamectl set-hostname adc1

O repornire este necesară după ce ați schimbat numele mașinii pentru a aplica modificările.

Pasul 2: Instalați pachetele necesare pentru Samba4 AD DC

4. Pentru a vă transforma serverul într-un Controler de domeniu Active Directory, instalați Samba și toate pachetele necesare pe mașina dvs. emitând cele de mai jos comandă cu privilegii root într-o consolă.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. În timp ce instalarea rulează, o serie de întrebări vor fi adresate de către instalator pentru a configura controlerul de domeniu.

Pe primul ecran va trebui să adăugați un nume pentru Kerberos implicit REALM în majuscule. Introduceți numele pe care îl veți folosi pentru domeniul dvs. în majuscule și apăsați pe Enter pentru a continua..

6. Apoi, introduceți numele de gazdă al serverului Kerberos pentru domeniul dvs. Folosiți același nume ca și pentru domeniul dvs., cu litere mici de data aceasta și apăsați pe Enter pentru a continua.

7. În cele din urmă, specificați numele de gazdă pentru serverul administrativ al domeniului dvs. Kerberos. Folosiți același domeniu ca și domeniul dvs. și apăsați pe Enter pentru a finaliza instalarea.

Pasul 3: Furnizați Samba AD DC pentru domeniul dvs

8. Înainte de a începe să configurați Samba pentru domeniul dvs., executați mai întâi comenzile de mai jos pentru a opri și a dezactiva toți demonii samba.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Apoi, redenumiți sau eliminați configurația originală samba. Acest pas este absolut necesar înainte de aprovizionarea Samba AD, deoarece la momentul furnizării Samba va crea un nou fișier de configurare de la zero și va genera unele erori în cazul în care va găsi un vechi smb.conf fișier.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Acum, începeți aprovizionarea domeniului în mod interactiv, lansând comanda de mai jos cu privilegii root și acceptați opțiunile implicite pe care vi le oferă Samba.

De asemenea, asigurați-vă că furnizați adresa IP pentru un forwarder DNS la sediul dumneavoastră (sau extern) și alegeți o parolă puternică pentru contul de administrator. Dacă alegeți o parolă de săptămână pentru contul de administrator, furnizarea domeniului va eșua.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. În cele din urmă, redenumiți sau eliminați fișierul de configurare principal Kerberos din directorul /etc și înlocuiți-l folosind un link simbolic cu fișierul Kerberos nou generat Samba, aflat în /var/lib calea /samba/private lansând comenzile de mai jos:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Porniți și activați demonii Samba Active Directory Domain Controller.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Apoi, utilizați comanda netstat pentru a verifica lista tuturor serviciilor necesare unui Active Directory pentru a rula corect.

sudo netstat –tulpn| egrep ‘smbd|samba’

Pasul 4: Configurații finale Samba

14. În acest moment, Samba ar trebui să fie complet operațional la sediul dvs. Cel mai înalt nivel de domeniu pe care îl emulează Samba ar trebui să fie Windows AD DC 2008 R2.

Poate fi verificat cu ajutorul utilitarului samba-tool.

sudo samba-tool domain level show

15. Pentru ca rezoluția DNS să funcționeze local, trebuie să deschideți și editați setările interfeței de rețea și să indicați rezoluția DNS prin modificarea dns-nameservers > declarația către adresa IP a controllerului de domeniu (utilizați 127.0.0.1 pentru rezoluția DNS locală) și declarația dns-search pentru a indica tărâmul.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Când ați terminat, reporniți serverul și aruncați o privire la fișierul de rezolvare pentru a vă asigura că trimite înapoi la serverele de nume DNS potrivite.

16. În cele din urmă, testați soluția DNS lansând interogări și ping-uri împotriva unor înregistrări esențiale AD DC, ca în fragmentul de mai jos. Înlocuiți numele de domeniu în consecință.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Rulați următoarele câteva interogări împotriva Samba Active Directory Domain Controller.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. De asemenea, verificați autentificarea Kerberos solicitând un bilet pentru contul de administrator de domeniu și enumerați biletul din cache. Scrieți partea de nume de domeniu cu majuscule.

kinit [email 
klist

Asta e tot! Acum aveți un AD Domain Controller complet operațional instalat în rețea și puteți începe să integrați mașinile Windows sau Linux în Samba AD<.

În următoarea serie, vom acoperi alte subiecte despre Samba AD, cum ar fi cum să gestionați controlerul de domeniu din linia de comandă Samba, cum să integrați Windows 10 în numele de domeniu și cum să gestionați Samba AD de la distanță folosind RSAT și alte subiecte importante.