...

...

Назначение Samba

...

на роль AD DC

В процессе настройки назначения Samba как на роль AD DC создаются базы данных AD и в них добавляются базовые зщаписизаписи, такие как учетная запись администратора домена и необходимые записи DNS.

При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).

Выпослнение Выполнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав.

Настройка Назначение Samba как на роль DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для выполнения настроек в интереактивном или автоматическом режимах. Подробности см.:

...

Описание применяемых параметров

При настройке назначении применим следующие параметры:

...

...

Назначение Samba

...

в интерактивном режиме

Для настройки назначения Samba AD в интерактивном режиме выполните команду:

После этого должен произойти примерно такой диалог:

The interactive provisioning mode supports passing further parameters to the Интерактивный режим настройки поддерживает различные параметры  команды samba-tool domain provision command. This enables you to modify parameters that are not part of the interactive setup.Provisioning Samba AD in Non-interactive Mode

For example, to provision a Samba AD non-interactively with the following settings:

...

, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.

Назначение Samba в автоматическом режиме

Для примера назначения Samba в автоматическом режиме используем следующие параметры:

• Роль сервера: dc
• Расширения NIS включены
• Используется внутренний DNS
• Область Kerberos и зона DNS AD: samdom.example.com
• Имя домена для NetBIOS

...

• : SAMDOM

...

• Пароль администратора: Passw0rd

...

Команда назначения будет выглядеть так:

Setting up the AD DNS back end

Настройка службы DNS AD 

Пропустите этот шаг, если используется служба DNS Skip this step if you provisioned the DC using the SAMBA_INTERNAL DNS back end.

Set up the BIND DNS server and the Настройте сервер DNS BIND9 и модуль BIND9_DLZ module. For details, see Setting up a BIND DNS Server.

Start the BIND DNS server. For example:

# systemctl start named

For details how to start services, see you distribution's documentation.

Configuring the DNS Resolver

Domain members in an AD use DNS to locate services, such as LDAP and Kerberos. For that, they need to use a DNS server that is able to resolve the AD DNS zone.

On your DC, set the AD DNS domain in the domain and the IP of your DC in the nameserver parameter of the /etc/resolv.conf file. For example:

...

. Подробности см. Настройка сервера DNS BIND

Запустите службу DNS. Например, 

Подробности про запуск служб см. в документации на используемую ОС.

Настройка DNS

Члены домена AD используют DNS для поиска сервисов, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешать зоны DNS AD.

На вашем DC в файле настроек поиска DNS-серверов для разрешения имён /etc/resolv.conf укажите

• имя домена DNS AD  как имя домена для поиска (search),
• IP-адрес вашего DC как значение параметра nameservere.

Например:

...

Create a reverse zone

You can optionally add a reverse lookup zone.

Создание реверсивной зоны

С помощью команды # samba-tool dns zonecreate <Your-AD-DNSможно добавить необязательную зону реверсивного поиска:

If you need more than one reverse zone (multiple subnets), just run the above command again but with the data for the other subnet.

The reverse zone is directly live without restarting Samba or BIND.

Configuring Kerberos

In an AD, Kerberos is used to authenticate users, machines, and services.

During the provisioning, Samba created a Kerberos configuration file for your DC. Copy this file to your operating system's Kerberos configuration. For example:

...

Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.

Настройка Kerberos

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

Во время назначения Samba создает конфигурационный файл /usr/local/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:

...

...

...

...

Автоматически создаваемый файл конфигурации Kerberos настраивает Kerberos на использование  сервисных записи DNS (SRV) для поиска контроллера Kerberos (KDC).

Тестирование Samba AD DC

Для ручного запуска сервиса samba используйте команду:

Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.

Если Samba была установлена с использованием системы пакетов, дл я запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.

Тестирование файлового сервера

Чтобы увидеть все  разделяемые файловые ресурсы, предоставляемые DC:

The pre-created Kerberos configuration uses DNS service (SRV) resource records to locate the KDC.

Testing your Samba AD DC

To start the samba service manually, enter:

# samba

Samba does not provide System V init scripts, systemd, upstart, or other services configuration files.

If you installed Samba using packages, use the script or service configuration file included in the package to start Samba.
If you built Samba, see Managing the Samba AD DC Service.

...

To list all shares provided by the DC:

...

The Разделяемые ресурсы netlogon and sysvol shares were auto-created during the provisioning and must exist on a DC.

To verify authentication, connect to the netlogon share using the domain administrator account:

...

и sysvol создаются автоматически во время назначения и обязательно должны существовать в DC.

Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:

...

If one or more tests fail, see Troubleshooting.

...

To verify that your AD DNS configuration works correctly, query some DNS records:

The tcp-based _ldap SRV record in the domain:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Тестирование DNS

Чтобы убедиться, что AD DNS работает корректно, запросим некоторые записи DNS:

SRV-запись доменного cервиса  _ldap по протоколу TCP:

The udp-based _kerberos SRV resource record in the domain:

...

SRV-запись доменного cервиса  _kerberos по протоколу UDP:

...

The A record of the domain controller:

...

A-запись контроллера домена:

If one or more tests fail, see Troubleshooting.

...

Request a Kerberos ticket for the domain administrator account:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Проверка Kerberos

Запрос билета Kerberos для учетной записи администратора домена:

The Kerberos realm is automatically appended, if you do not pass the principal in the user@REALM format to the kinit command.
Set Kerberos realms always in uppercase.

List the cached Kerberos tickets:

...

Если имя принципала не задано в в виде user@REALM, то название области Kerberos добавится автоматически.

Список кешированных билетов Kerberos:

...

If one or more tests fail, see Troubleshooting.

Configuring Time Synchronisation

Kerberos requires a synchronised time on all domain members. For further details and how to set up the ntpd service, see Time Synchronisation.

Using the Domain Controller as a File Server

Whilst the Samba AD DC is able to provide file shares, just like all other installation modes, the Samba team does not recommend using a DC as a file server for the following reasons:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Настройка синхронизации времени

Kerberos требует синхронизации времени от всех участников домена. Подробности см. в Настройка NTP или в Синхронизация времени.

Использование контроллера домена как файлового сервера

Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:

• Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
• Отсутсвие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
• Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
• Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моментв времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
• mandatory smb signing is enforced on the DC.

...

Если вы изучаете возможность использовать Samba DC как файловый сервер, рассмотрите вместо этого возможность использовать на DC виртуальную машину VM, содержащую отдельного участника домена.

Если вы вынуждены использовать Samba DC как файловый сервер, помните, что виртуальная файловая система (virtual file system, VFS) позволяет настраивать разделяемые ресурсы только со списками управления доступом access (control lists, ACL) Windows.
Разделяемые ресурсы с ACL POSIX на Samba DC не поддерживаются, и не работают.

Для предоставления сетевх разделяемых ресурсов с полными возможностями Samba, используйте  отдельного участника домена Samba.

Подробности см.:

• Настройка Samba как участника домена
• Фаловый сервис Samba

Если у вас маленький домен (маленький офис, домашняя сеть), нет желания следовать рекомендациям разработчиков Samba, и  DC ипользуется как файловый серверr, настройте Winbindd до начала настройки раздеяемых ресурсов.
Подробности см.: Configuring Winbindd on a Samba AD DC.

Поиск и устранение проблем

Продробности см.: Поиск и устранение проблем в Samba AD DC

Материалы для дальнейшего изучения

См.  Пользовательская документация

If you must use the Samba DC as a fileserver, you should be aware that the auto-enabled acl_xattr virtual file system (VFS) object enables you to only configure shares with Windows access control lists (ACL). Running shares with POSIX ACLs on a Samba DC is not supported and will not work.

...

Setting up Samba as a Domain Member
Samba File Serving

...

Troubleshooting

For further details, see Samba AD DC Troubleshooting.

Further Samba-related Documentation

See User Documentation.

Categories:

Domain ControlActive Directory

Navigation menu

Page Discussion View source History

Create account Log in

Navigation

Main Page
User Documentation
Developer Documentation
Categories
Current Events
Recent Changes
Random Page
Report Samba Bug
Report Doc Bug

Search
ToolsWhat links here
Related changes
Special pages
Printable version
Permanent link
Page information