Luo Active Directory -infrastruktuuri Samba4:llä Ubuntussa - Osa 1
Samba on ilmainen avoimen lähdekoodin ohjelmisto, joka tarjoaa standardin yhteentoimivuuden Windows-käyttöjärjestelmän ja Linux/Unix-käyttöjärjestelmien välillä.
Samba voi toimia itsenäisenä tiedosto- ja tulostuspalvelimena Windows- ja Linux-asiakkaille SMB/CIFS-protokollapaketin kautta tai se voi toimia Active Directory Domain Controller -palvelimena tai yhdistettynä <-Realm verkkotunnuksen jäsenenä. Korkein AD DC -verkkotunnus- ja metsätaso, jota Samba4 voi tällä hetkellä emuloida, on Windows 2008 R2.
Sarjan nimi on Setting Up Samba4 Active Directory Domain Controller, joka kattaa seuraavat aiheet Ubuntulle, CentOS:lle ja Windowsille. vahva>:
Tämä opetusohjelma alkaa selittämällä kaikki vaiheet, jotka sinun on suoritettava, jotta voit asentaa ja määrittää Samba4:n verkkotunnuksen ohjaimeksi Ubuntu 16.04:ssä. ja Ubuntu 14.04.
Tämä kokoonpano tarjoaa keskitetyn hallintapisteen käyttäjille, koneille, volyymiosuuksille, käyttöoikeuksille ja muille resursseille sekaisessa Windows-Linux-infrastruktuurissa.
Vaatimukset:
- Ubuntu 16.04 -palvelimen asennus.
- Ubuntu 14.04 -palvelimen asennus.
- Staattinen IP-osoite, joka on määritetty AD DC -palvelimellesi.
Vaihe 1: Samba4:n alkuasetukset
1. Ennen kuin jatkat Samba4 AD DC -asennusta, suoritetaan muutama ennalta vaadittava vaihe. Varmista ensin, että järjestelmä on ajan tasalla viimeisimpien suojausominaisuuksien, ytimien ja pakettien kanssa antamalla alla oleva komento:
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
2. Avaa seuraavaksi koneen /etc/fstab-tiedosto ja varmista, että osiotiedostojärjestelmässäsi on ACL:t käytössä alla olevan kuvakaappauksen mukaisesti.
Yleensä yleiset nykyaikaiset Linux-tiedostojärjestelmät, kuten ext3, ext4, xfs tai btrfs tukevat ja joissa ACL-luettelot ovat käytössä oletuksena. Jos tiedostojärjestelmäsi ei pidä paikkaansa, avaa /etc/fstab-tiedosto muokkausta varten ja lisää acl
-merkkijono kolmannen sarakkeen loppuun ja käynnistä uudelleen. > konetta muutosten toteuttamiseksi.
3. Aseta lopuksi koneesi isäntänimi kuvaavalla nimellä, kuten tässä esimerkissä käytetty adc1
, muokkaamalla /etc/hostname-tiedostoa tai myöntämällä.
sudo hostnamectl set-hostname adc1
Uudelleenkäynnistys on tarpeen, kun olet vaihtanut koneen nimen, jotta muutokset voidaan ottaa käyttöön.
Vaihe 2: Asenna tarvittavat paketit Samba4 AD DC:lle
4. Jos haluat muuttaa palvelimesi Active Directory Domain Controlleriksi, asenna Samba ja kaikki tarvittavat paketit koneellesi antamalla alla komento root-oikeuksilla konsolissa.
sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
5. Kun asennus on käynnissä, asennusohjelma kysyy sarjan kysymyksiä määrittääkseen toimialueen ohjaimen.
Ensimmäisessä näytössä sinun on lisättävä Kerberos-oletusarvoiselle REALM
-nimi isoilla kirjaimilla. Kirjoita nimi, jota käytät verkkotunnuksessasi isoilla kirjaimilla ja paina Enter jatkaaksesi.
6. Kirjoita seuraavaksi verkkotunnuksesi Kerberos-palvelimen isäntänimi. Käytä samaa nimeä kuin verkkotunnuksessasi, tällä kertaa pienillä kirjaimilla ja jatka painamalla Enter.
7. Määritä lopuksi isäntänimi Kerberos -alueesi hallintapalvelimelle. Käytä samaa verkkotunnusta ja viimeistele asennus painamalla Enter.
Vaihe 3: Hanki Samba AD DC verkkotunnuksellesi
8. Ennen kuin aloitat Samban määrittämisen verkkotunnuksellesi, suorita ensin alla olevat komennot pysäyttääksesi ja poistaaksesi käytöstä kaikki samba-daemonit.
sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service
9. Nimeä seuraavaksi samban alkuperäinen määritys uudelleen tai poista se. Tämä vaihe on ehdottoman välttämätön ennen Samba AD:n hallintaa, koska Samba luo asennuksen aikana uuden määritystiedoston tyhjästä ja antaa virheitä, jos se löytää vanhan smb.conf
-tiedosto.
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
10. Aloita nyt verkkotunnuksen hallinta interaktiivisesti antamalla alla oleva komento pääkäyttäjän oikeuksin ja hyväksy Samban tarjoamat oletusasetukset.
Varmista myös, että annat IP-osoitteen DNS-huolitsijalle tiloissasi (tai ulkoiselle) ja valitse vahva salasana järjestelmänvalvojan tilille. Jos valitset järjestelmänvalvojan tilille viikon salasanan, verkkotunnuksen luominen epäonnistuu.
sudo samba-tool domain provision --use-rfc2307 --interactive
11. Nimeä lopuksi Kerberos-päämääritystiedosto uudelleen tai poista se /etc-hakemistosta ja korvaa se symbolin avulla Samban äskettäin luodulla Kerberos-tiedostolla, joka sijaitsee osoitteessa /var/lib. /samba/private-polku antamalla seuraavat komennot:
sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/
12. Käynnistä ja ota käyttöön Samba Active Directory Domain Controller -demonit.
sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service
13. Käytä seuraavaksi netstat-komentoa varmistaaksesi luettelo kaikista palveluista, joita Active Directory tarvitsee toimiakseen oikein.
sudo netstat –tulpn| egrep ‘smbd|samba’
Vaihe 4: Viimeiset Samba-asetukset
14. Tällä hetkellä Samba pitäisi olla täysin toiminnassa tiloissasi. Korkeimman verkkotunnuksen tason Samba, jota emuloi, pitäisi olla Windows AD DC 2008 R2.
Se voidaan tarkistaa samba-tool -apuohjelman avulla.
sudo samba-tool domain level show
15. Jotta DNS-resoluutio toimisi paikallisesti, sinun on avattava verkkoliitäntäasetusten muokkaaminen ja osoitettava DNS-resoluutio muokkaamalla dns-nimipalvelimia > lauseke Domain Controllerin IP-osoitteeseen (käytä 127.0.0.1 paikallista DNS-selvitystä) ja dns-search -lause osoittaaksesi valtakunta.
sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf
Kun olet valmis, käynnistä palvelimesi ja tarkista ratkaisutiedostosi varmistaaksesi, että se osoittaa takaisin oikeisiin DNS-nimipalvelimiin.
16. Testaa lopuksi DNS-selvitin lähettämällä kyselyitä ja ping-kutsuja joihinkin AD DC -tärkeisiin tietueisiin, kuten alla olevassa otteessa. Vaihda verkkotunnuksen nimi vastaavasti.
ping -c3 tecmint.lan #Domain Name
ping -c3 adc1.tecmint.lan #FQDN
ping -c3 adc1 #Host
Suorita muutaman kyselyn jälkeen Samba Active Directory Domain Controlleria vastaan.
host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record
17. Varmista myös Kerberos-todennus pyytämällä lippu verkkotunnuksen järjestelmänvalvojan tilille ja luettele välimuistissa oleva lippu. Kirjoita verkkotunnuksen nimen osa isoilla kirjaimilla.
kinit [email
klist
Siinä kaikki! Nyt sinulla on täysin toimiva AD Domain Controller asennettuna verkkoosi ja voit alkaa integroida Windows- tai Linux-koneita Samba AD<..
Seuraavassa sarjassa käsittelemme muita Samba AD -aiheita, kuten kuinka hallitset toimialueen ohjaintasi Samba-komentoriviltä, kuinka integroitat Windows 10:n verkkotunnuksen nimeen ja hallitsemme Samba AD:tä etänä. käyttämällä RSATia ja muita tärkeitä aiheita.