Оглавление |
---|
Введение
Начиная Samba, начиная с версии 4.0, Samba может работать как контролер домена ( domain domain controller, DC) Active Directory (AD).
При приемнении применении Samba в реальной эксплуатации рекомендуется использовать два или более DC для обеспечения отказоустойчивости.
Эта статья рассказывает, как настроить Samba как первый DC, чтобы построить новый лес AD.
Дополнительно, можно эту статью можно использовать это описание для миграции из домена Samba NT4 в домен Samba AD.
Для подключения Samba как дополнительного DC к существющему существующему доменному лесу AD, см. Присоединение Samba DC к существующему домену Active Directory.
Samba как при использовании в роли AD DC поддерживает:
- интегрированый Интегрированый сервер LDAP как база данных AD. Подробности см. Поддерживают ли Samba AD DC работу с OpenLDAP или другими службами LDAP?;
- авторизацию Авторизацию через службу Kerberos Key Distribution Center (KDC). Поддерживаются варианты MIT KDC и Heimdal KDC.
...
- Поставляемая в составе ОСОН Орёл или ОССН Смоленск Samba использует MIT KDC, также поставляемый в составе этих ОС.
Подготовка к инсталляции
- Выберите имя хоста для вашего AD DC;
Не как используйте имена хостов унаследованные от NT4 такие идентификаторы, как Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
Эти сущности отсутствуют в AD, и такие названия вызывают путаницу; Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;
Предупреждение
...
Для создания домена AD используйте DNS-имя, которое не
...
понадобится изменять.
Samba не поддерживает переименование зон DNS AD и областей Kerberos.
...
- Используйте для DC статический адрес;Дополнительную информацию см. Используйте для DC статический адрес;Часто задаваемые вопросы по именованию доменов AD
...
- Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Убедитесь, что файл /etc/hosts на DC корректно разрешает во внешний сетевой IP-адрес DC полное разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хостахоста DC во внешний сетевой IP-адрес DC. Например:
Информация 127.0.0.1 localhost localhost.localdomain
10.99.0.1 DC1.samdom.example.com DC1имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC
- Если Samba уже была установлена (настроена):
Убедитесть, что все процессы Samba остановлены:
Информация ps ax | egrep "samba|smbd|nmbd|winbindd" Если вывод команды показывает наличие любого из процессов samba, smbd, nmbd, или winbindd processes, остановите эти процессы:
Информация systemctl stop samba
systemctl stop smbd
systemctl stop nmbd
systemctl stop winbinddУдалите все существующие файл файлы конфигурации Samba smb.conf file. Чтобы получить список путей к этим файлам:
...
Предупреждение |
---|
Только полная очистка настроек поможет предотвратить ошибки, и гарантирует, что никакие файлы из предыдущей настроки Samba не попадут вновые попадут в новые настройки DC. |
Если существует файл настроек Kerberos /etc/krb5.conf file, также удалите его:
Информация rm /etc/krb5.conf
...
Информация |
---|
В английском языке используется термин provisioningдля настройки Samba в роли AD DC используется термин "provisioning", в данном тексте в качестве перевода будет использоваться термин "назначение". |
В процессе назначения Samba на роль AD DC создаются базы данных AD и в них добавляются базовые записи, такие как учетная запись администратора домена, и необходимые записи DNS.
При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).
Предупреждение |
---|
Выполнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав. |
Назначение Samba на роль DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для выполнения настроек в интереактивном или автоматическом режимах. Подробности см.:
...
При создании нового домена AD рекомендуется сразу включить так называемые расширения NIS (NIS extensions), передав инструменту samba-tool domain provision параметр --use-rfc2307.
Это позволит хранить в AD специфические атрибуты Unix, такие, как числовые идентификаторы пользователя :
- Числовые идентификаторы пользователей (UID)
...
- ;
- Пути у домашним каталогам
...
- ;
- Идентификаторы групп.
Включение расширений NIS при установке не влечёт за собой никаких отрицательных побочных эффектов, а их включение в существующем домене требует ручного расширения схемы AD.
...
Описание применяемых параметров
При назначении применим будут применяться следующие параметры:
Интерективный режим | Автоматический режим | Комментарий | ||||
---|---|---|---|---|---|---|
--use-rfc2307 | --use-rfc2307 | Включает расширения NIS | ||||
Realm | --realm | Область Kerberos. Также, используется , как домен DNS AD . Например: samdom.example.com. | ||||
Domain | --domain | Имя домена для NetBIOS. Рекомендуется использовать первую часть имени домена DNS AD. Например, для домена samdom.example.com это будет имя samdom. | ||||
Server Role | --server-role | Устанавливает роль контроллера DC. | ||||
DNS backend | --dns-backend | Выбирает службу DNS.
Отметим, что вариант службы BIND9_FLATFILE более не поддерживается. | ||||
DNS forwarder IP address | недоступно | Эта настройка доступна только при выборе службы DNS SAMBA_INTERNAL DNS. Подробности см. Настройка перенаправления DNS. | ||||
Administrator password | --adminpass | Устанавливает пароль администратора домена.
Подробности см. Microsoft TechNet: Сложность паролей должна соответствовать требованиям. |
Другие параметры, часто используемые в команде samba-tool domain provision:
...
Предупреждение |
---|
|
...
Раскрыть | ||
---|---|---|
| ||
# Запрашивается имя области Kerberos # Запрашивается имя домена # Запрашивается роль сервера # Выбирается служба DNS # Выбирается перенаправитель # Выбирается IP-адрес для перенаправления запросов DNS # Ввод и подтверждение пароля администратора Looking up IPv4 addresses |
...
- Роль сервера: dc
- Расширения NIS: включены
- Используется внутренний DNSСлужба DNS: внутренний DNS SAMBA_INTERNAL
- Область Kerberos и зона DNS AD: samdom.example.com
- Имя домена для NetBIOS: SAMDOM
- Пароль администратора: Passw0rd
Команда Для указанных параметров команда назначения будет выглядеть так:
...
Автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование сервисных записи DNS (SRV) для поиска контроллера Kerberos (KDC).
...
Тестирование файлового сервера
Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
...
Раскрыть | ||
---|---|---|
| ||
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z] Sharename Type Comment Server Comment Workgroup Master |
...
Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:
Информация |
---|
smbclient //localhost/netlogon -UAdministrator -c 'ls' |
...
Если тесты не выполняются, см. Поиск и устранение проблем
Тестирование DNS
Чтобы убедиться, что AD DNS работает корректно, запросим некоторые записи DNS:
- SRV-запись доменного cервиса _ldap по протоколу TCP:
Информация |
---|
host -t SRV _ldap._tcp.samdom.example.com. |
- SRV-запись доменного cервиса _kerberos по протоколу UDP:
Информация |
---|
host -t SRV _kerberos._udp.samdom.example.com. _kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1.samdom.example.com. |
- A-запись контроллера домена:
Информация |
---|
host -t A dc1.samdom.example.com. |
Если тесты не выполняются, см. Поиск и устранение проблем
Проверка Kerberos
Запрос Получение билета Kerberos для учетной записи администратора домена:
...
Если тесты не выполняются, см. Поиск и устранение проблем
Настройка синхронизации времени
...