Stvorite infrastrukturu Active Directory sa Samba4 na Ubuntu - 1. dio

Samba je besplatni softver otvorenog koda koji pruža standardnu interoperabilnost između Windows OS-a i Linux/Unix operativnih sustava.

Samba može raditi kao samostalni poslužitelj datoteka i ispisa za Windows i Linux klijente putem SMB/CIFS paketa protokola ili može djelovati kao Active Directory Domain Controller ili se pridružiti kraljevstvu kao član domene. Najviša AD DC domena i razina šume koju trenutno može oponašati Samba4 je Windows 2008 R2.

Serija će se zvati Postavljanje Samba4 Active Directory Domain Controller, koja pokriva sljedeće teme za Ubuntu, CentOS i Windows:

Ovaj vodič započet će objašnjavanjem svih koraka koje trebate poduzeti da biste instalirali i konfigurirali Samba4 kao kontrolor domene na Ubuntu 16.04 i Ubuntu 14.04.

Ova će konfiguracija pružiti središnju točku upravljanja za korisnike, strojeve, udjele volumena, dozvole i druge resurse u pomiješanoj Windows - Linux infrastrukturi.

  1. Ubuntu 16.04 Instalacija poslužitelja.
  2. Instalacija poslužitelja Ubuntu 14.04.
  3. Statična IP adresa konfigurirana za vaš AD DC poslužitelj.

Korak 1: Početna konfiguracija za Samba4

1. Prije nastavka instalacije Samba4 AD DC, najprije izvedimo nekoliko unaprijed potrebnih koraka. Prvo provjerite je li sustav ažuriran sa zadnjim sigurnosnim značajkama, kernelima i paketima izdavanjem naredbe u nastavku:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Zatim otvorite stroj/etc/fstab datoteku i uvjerite se da vaš datotečni sustav particija ima omogućene ACL-ove kao što je prikazano na donjoj snimci zaslona.

Obično podržavaju uobičajeni moderni Linux datotečni sustavi poput ext3, ext4, xfs ili btrfs i imaju ACL-ove prema zadanim postavkama. Ako to nije slučaj s vašim datotečnim sustavom, samo otvorite/etc/fstab datoteku za uređivanje i dodajte acl niz na kraju trećeg stupca i ponovno pokrenite stroj kako biste primijenili promjene.

3. Napokon postavite naziv računala na računalu opisnim imenom, kao što je adc1 korišteno u ovom primjeru, uređivanjem datoteke/etc/hostname ili izdavanjem.

$ sudo hostnamectl set-hostname adc1

Ponovno podizanje sustava potrebno je nakon što promijenite naziv računala kako biste primijenili promjene.

Korak 2: Instalirajte potrebne pakete za Samba4 AD DC

4. Da biste svoj poslužitelj transformirali u Active Directory Domain Controller, instalirajte Sambu i sve potrebne pakete na vaš stroj izdavanjem naredbe u nastavku s root privilegijama u konzoli.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Dok traje instalacija, instalacijski program postavlja niz pitanja kako bi konfigurirao kontroler domene.

Na prvom ćete zaslonu morati dodati ime za Kerberos zadani REALM velikim slovima. Unesite ime koje ćete koristiti za svoju domenu velikim slovima i pritisnite Enter da biste nastavili ..

6. Zatim unesite ime hosta Kerberos poslužitelja za svoju domenu. Upotrijebite isto ime kao i za svoju domenu, ovaj put s malim slovima i pritisnite Enter za nastavak.

7. Napokon, navedite ime hosta za administrativni poslužitelj vašeg Kerberos područja. Upotrijebite istu domenu i pritisnite Enter da biste dovršili instalaciju.

Korak 3: Osigurajte Samba AD DC za svoju domenu

8. Prije početka konfiguriranja Sambe za vašu domenu, prvo pokrenite naredbe u nastavku kako biste zaustavili i onemogućili sve samba demone.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Zatim preimenujte ili uklonite izvornu konfiguraciju sambe. Ovaj je korak nužno potreban prije pripreme Samba AD, jer će u vrijeme pripreme Samba stvoriti novu konfiguracijsku datoteku od početka i ispisat će neke pogreške u slučaju da pronađe staru datoteku smb.conf .

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Sada započnite s pružanjem domene interaktivno izdavanjem naredbe u nastavku s root privilegijama i prihvatite zadane opcije koje vam pruža Samba.

Obavezno navedite IP adresu za DNS prosljeđivač u svojim prostorijama (ili vanjskim) i odaberite snažnu lozinku za administratorski račun. Ako odaberete tjednu lozinku za račun administratora, pružanje domene neće uspjeti.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Na kraju, preimenujte ili uklonite glavnu konfiguracijsku datoteku Kerberos iz direktorija/etc i zamijenite je pomoću simboličke veze s novo generiranom datotekom Kerberos koja se nalazi u/var/lib/samba/private stazom izdavanjem naredbi u nastavku:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Pokrenite i omogućite demone Samba Active Directory Domain Controller.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Dalje, upotrijebite naredbu netstat kako biste provjerili popis svih usluga potrebnih za pravilan rad Active Directory.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

Korak 4: Konačne konfiguracije Sambe

14. U ovom trenutku Samba bi trebala biti potpuno operativna u vašim prostorijama. Najviša razina Sambe koju oponaša Samba trebao bi biti Windows AD DC 2008 R2.

To se može provjeriti uz pomoć uslužnog programa samba-tool.

$ sudo samba-tool domain level show

15. Da bi DNS rezolucija radila lokalno, morate otvoriti kraj uređivanja postavki mrežnog sučelja i usmjeriti DNS rezoluciju tako što ćete izmijeniti dns-nameservers izjavu na IP adresu vašeg kontrolera domene (koristite 127.0.0.1 za lokalnu DNS rezoluciju) i dns-search izjava da ukaže na vaše carstvo.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Kad završite, ponovno pokrenite poslužitelj i pogledajte datoteku razlučivača kako biste bili sigurni da usmjerava natrag na prave DNS poslužitelje imena.

16. Na kraju, testirajte DNS rješivač izdavanjem upita i pingova prema nekim ključnim zapisima AD DC-a, kao u dolje navedenom izvatku. Zamijenite naziv domene u skladu s tim.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Pokrenite sljedećih nekoliko upita protiv Samba Active Directory Domain Controller ..

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Također, provjerite autentičnost Kerberos tako što ćete zatražiti kartu za račun administratora domene i navedite predmemoriranu kartu. Dio imena domene napišite velikim slovom.

$ kinit [email 
$ klist

To je sve! Sada imate potpuno operativan AD kontroler domene instaliran u vašoj mreži i možete početi integrirati Windows ili Linux strojeve u Samba AD.

U sljedećoj će se serija obrađivati i druge teme Samba AD-a, poput načina upravljanja upravljačem domene iz naredbenog retka Samba, kako integrirati Windows 10 u ime domene i upravljati Samba AD-om na daljinu koristeći RSAT i druge važne teme.