...
Информация |
---|
apt-get install winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user |
...
Назначение Samba
...
на роль AD DC
Информация |
---|
В английском языке используется термин provisioning, в данном тексте в качестве перевода будет использоваться термин назначение. |
В процессе настройки назначения Samba как на роль AD DC создаются базы данных AD и в них добавляются базовые зщаписизаписи, такие как учетная запись администратора домена и необходимые записи DNS.
При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).
Выпослнение Выполнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав.
Настройка Назначение Samba как на роль DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для выполнения настроек в интереактивном или автоматическом режимах. Подробности см.:
...
Описание применяемых параметров
При настройке назначении применим следующие параметры:
...
Предупреждение |
---|
|
...
Назначение Samba
...
в интерактивном режиме
Для настройки назначения Samba AD в интерактивном режиме выполните команду:
Информация | |
---|---|
samba-tool domain provision --use-rfc2307 --interactive | |
title |
После этого должен произойти примерно такой диалог:
Раскрыть | ||
---|---|---|
| ||
# Запрашивается имя области Kerberos # Запрашивается имя домена # Запрашивается роль сервера # Выбирается служба DNS # Выбирается перенаправитель DNS # Ввод и подтверждение пароля администратора Looking up IPv4 addresses |
The interactive provisioning mode supports passing further parameters to the Интерактивный режим настройки поддерживает различные параметры команды samba-tool domain provision command. This enables you to modify parameters that are not part of the interactive setup.Provisioning Samba AD in Non-interactive Mode
For example, to provision a Samba AD non-interactively with the following settings:
...
, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.
Назначение Samba в автоматическом режиме
Для примера назначения Samba в автоматическом режиме используем следующие параметры:
- Роль сервера: dc
- Расширения NIS включены
- Используется внутренний DNS
- Область Kerberos и зона DNS AD: samdom.example.com
- Имя домена для NetBIOS
...
- : SAMDOM
...
- Пароль администратора: Passw0rd
...
Команда назначения будет выглядеть так:
Информация |
---|
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd |
Setting up the AD DNS back end
Настройка службы DNS AD
Пропустите этот шаг, если используется служба DNS Skip this step if you provisioned the DC using the SAMBA_INTERNAL DNS back end.
Set up the BIND DNS server and the Настройте сервер DNS BIND9 и модуль BIND9_DLZ module. For details, see Setting up a BIND DNS Server.
Start the BIND DNS server. For example:
# systemctl start named
For details how to start services, see you distribution's documentation.
Configuring the DNS Resolver
Domain members in an AD use DNS to locate services, such as LDAP and Kerberos. For that, they need to use a DNS server that is able to resolve the AD DNS zone.
On your DC, set the AD DNS domain in the domain and the IP of your DC in the nameserver parameter of the /etc/resolv.conf file. For example:
...
. Подробности см. Настройка сервера DNS BIND
Запустите службу DNS. Например,
Информация |
---|
systemctl start named |
Подробности про запуск служб см. в документации на используемую ОС.
Настройка DNS
Члены домена AD используют DNS для поиска сервисов, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешать зоны DNS AD.
На вашем DC в файле настроек поиска DNS-серверов для разрешения имён /etc/resolv.conf укажите
- имя домена DNS AD как имя домена для поиска (search),
- IP-адрес вашего DC как значение параметра nameservere.
Например:
Информация |
---|
search samdom.example. |
...
com |
Create a reverse zone
You can optionally add a reverse lookup zone.
Создание реверсивной зоны
С помощью команды # samba-tool dns zonecreate <Your-AD-DNSможно добавить необязательную зону реверсивного поиска:
Информация |
---|
samba-tool dns zonecreate <Your-AD-DNS-Server-IP-or-hostname> 0.99.10.in-addr.arpa
|
If you need more than one reverse zone (multiple subnets), just run the above command again but with the data for the other subnet.
The reverse zone is directly live without restarting Samba or BIND.
Configuring Kerberos
In an AD, Kerberos is used to authenticate users, machines, and services.
During the provisioning, Samba created a Kerberos configuration file for your DC. Copy this file to your operating system's Kerberos configuration. For example:
...
Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.
Настройка Kerberos
При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.
Во время назначения Samba создает конфигурационный файл /usr/local/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:
Информация |
---|
cp -b /usr/local/samba/private/krb5.conf /etc/krb5.conf |
...
Предупреждение |
---|
Не используйте символическую ссылку на созданный файл krb5.conf file. |
...
Начиная с версии Samba 4. |
...
7 каталог /usr/local/samba/private/ |
...
недоступен никаким пользователям, кроме пользователя root. Если файл будет симолической ссылкой, другие пользователи не смогут его прочитать, и, например, динамические обновления DNS при использовании BIND_DLZ DNS станут невозможны. |
Автоматически создаваемый файл конфигурации Kerberos настраивает Kerberos на использование сервисных записи DNS (SRV) для поиска контроллера Kerberos (KDC).
Тестирование Samba AD DC
Для ручного запуска сервиса samba используйте команду:
Информация |
---|
samba |
Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.
Если Samba была установлена с использованием системы пакетов, дл я запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.
Тестирование файлового сервера
Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
Информация |
---|
smbclient -L localhost -U% |
The pre-created Kerberos configuration uses DNS service (SRV) resource records to locate the KDC.
Testing your Samba AD DC
To start the samba service manually, enter:
# samba
Samba does not provide System V init scripts, systemd, upstart, or other services configuration files.
If you installed Samba using packages, use the script or service configuration file included in the package to start Samba.
If you built Samba, see Managing the Samba AD DC Service.
...
To list all shares provided by the DC:
...
Раскрыть | ||
---|---|---|
|
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z] Sharename Type Comment Server Comment Workgroup Master |
The Разделяемые ресурсы netlogon and sysvol shares were auto-created during the provisioning and must exist on a DC.
To verify authentication, connect to the netlogon share using the domain administrator account:
...
и sysvol создаются автоматически во время назначения и обязательно должны существовать в DC.
Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:
Информация |
---|
smbclient //localhost/netlogon -UAdministrator -c 'ls' |
...
Раскрыть | ||
---|---|---|
| ||
Enter Administrator's password: 49386 blocks of size 524288. 42093 blocks available |
If one or more tests fail, see Troubleshooting.
...
To verify that your AD DNS configuration works correctly, query some DNS records:
The tcp-based _ldap SRV record in the domain:
...
Если тесты не выполняются, см. Поиск и устранение проблем
Тестирование DNS
Чтобы убедиться, что AD DNS работает корректно, запросим некоторые записи DNS:
SRV-запись доменного cервиса _ldap по протоколу TCP:
Информация |
---|
host -t SRV _ldap._tcp.samdom.example.com. |
The udp-based _kerberos SRV resource record in the domain:
...
SRV-запись доменного cервиса _kerberos по протоколу UDP:
Информация |
---|
host -t SRV _kerberos._udp.samdom.example.com. _kerberos._udp.samdom.example. |
...
com has SRV record 0 100 88 dc1.samdom.example.com. |
The A record of the domain controller:
...
A-запись контроллера домена:
Информация |
---|
host -t A dc1.samdom.example.com. |
If one or more tests fail, see Troubleshooting.
...
Request a Kerberos ticket for the domain administrator account:
...
Если тесты не выполняются, см. Поиск и устранение проблем
Проверка Kerberos
Запрос билета Kerberos для учетной записи администратора домена:
Информация |
---|
kinit administrator Password for administrator@SAMDOM.EXAMPLE.COM: |
The Kerberos realm is automatically appended, if you do not pass the principal in the user@REALM format to the kinit command.
Set Kerberos realms always in uppercase.
List the cached Kerberos tickets:
...
Если имя принципала не задано в в виде user@REALM, то название области Kerberos добавится автоматически.
Предупреждение |
---|
Имена областей Kerberos всегда пишутся заглавными буквами. |
Список кешированных билетов Kerberos:
Информация |
---|
klist Valid starting Expires Service principal |
...
SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM |
If one or more tests fail, see Troubleshooting.
Configuring Time Synchronisation
Kerberos requires a synchronised time on all domain members. For further details and how to set up the ntpd service, see Time Synchronisation.
Using the Domain Controller as a File Server
Whilst the Samba AD DC is able to provide file shares, just like all other installation modes, the Samba team does not recommend using a DC as a file server for the following reasons:
...
Если тесты не выполняются, см. Поиск и устранение проблем
Настройка синхронизации времени
Kerberos требует синхронизации времени от всех участников домена. Подробности см. в Настройка NTP или в Синхронизация времени.
Использование контроллера домена как файлового сервера
Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:
- Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
- Отсутсвие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
- Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
- Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моментв времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
- mandatory smb signing is enforced on the DC.
...
Если вы изучаете возможность использовать Samba DC как файловый сервер, рассмотрите вместо этого возможность использовать на DC виртуальную машину VM, содержащую отдельного участника домена.
Если вы вынуждены использовать Samba DC как файловый сервер, помните, что виртуальная файловая система (virtual file system, VFS) позволяет настраивать разделяемые ресурсы только со списками управления доступом access (control lists, ACL) Windows.
Разделяемые ресурсы с ACL POSIX на Samba DC не поддерживаются, и не работают.
Для предоставления сетевх разделяемых ресурсов с полными возможностями Samba, используйте отдельного участника домена Samba.
Подробности см.:
Если у вас маленький домен (маленький офис, домашняя сеть), нет желания следовать рекомендациям разработчиков Samba, и DC ипользуется как файловый серверr, настройте Winbindd до начала настройки раздеяемых ресурсов.
Подробности см.: Configuring Winbindd on a Samba AD DC.
Поиск и устранение проблем
Продробности см.: Поиск и устранение проблем в Samba AD DC
Материалы для дальнейшего изучения
См. Пользовательская документация
If you must use the Samba DC as a fileserver, you should be aware that the auto-enabled acl_xattr virtual file system (VFS) object enables you to only configure shares with Windows access control lists (ACL). Running shares with POSIX ACLs on a Samba DC is not supported and will not work.
...
Setting up Samba as a Domain Member
Samba File Serving
...
Troubleshooting
For further details, see Samba AD DC Troubleshooting.
Further Samba-related Documentation
See User Documentation.
Categories:
Domain ControlActive Directory
Navigation menu
Page Discussion View source History
Create account Log in
Navigation
Main Page
User Documentation
Developer Documentation
Categories
Current Events
Recent Changes
Random Page
Report Samba Bug
Report Doc Bug
Search
ToolsWhat links here
Related changes
Special pages
Printable version
Permanent link
Page information