Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Введение

Начиная Samba, начиная с версии 4.0, Samba может работать как контролер домена ( domain domain controller, DC) Active Directory (AD).
При приемнении  применении Samba в реальной эксплуатации рекомендуется использовать два или более DC для обеспечения отказоустойчивости.

Эта статья рассказывает, как настроить Samba как первый DC, чтобы построить новый лес AD.
Дополнительно, можно эту статью можно использовать это описание для миграции из домена Samba NT4 в домен Samba AD.
Для подключения Samba как дополнительного DC к существющему существующему доменному лесу AD, см. Присоединение Samba DC к существующему домену Active Directory.

Samba как при использовании в роли AD DC поддерживает:

...

  • Поставляемая в составе ОСОН Орёл или ОССН Смоленск Samba использует MIT KDC, также поставляемый в составе этих ОС.

Подготовка к инсталляции

  • Выберите имя хоста для вашего AD DC;
    Не как используйте имена хостов унаследованные от NT4 такие идентификаторы, как  Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
    Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

  • Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

    Предупреждение

...

  • Для создания домена AD используйте DNS-имя, которое не

...

  • понадобится изменять.
    Samba не поддерживает переименование зон DNS AD и областей Kerberos.

...

...


  • Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
    AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD .

  • Убедитесь, что файл /etc/hosts на DC корректно разрешает во внешний сетевой IP-адрес DC полное разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хостахоста DC во внешний сетевой IP-адрес DC. Например: 

    Информация
    127.0.0.1 localhost localhost.localdomain 
    10.99.0.1 DC1.samdom.example.com DC1

    имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC  


  • Если Samba уже была установлена (настроена):

    • Убедитесть, что все процессы Samba остановлены:

      Информация
      ps ax | egrep "samba|smbd|nmbd|winbindd"

      Если вывод команды показывает наличие любого из процессов samba, smbd, nmbd, или winbindd processes, остановите эти процессы:

      Информация
      systemctl stop samba
      systemctl stop smbd
      systemctl stop nmbd
      systemctl stop winbindd


    • Удалите все существующие файл файлы конфигурации Samba smb.conf file. Чтобы получить список путей к этим файлам:

...

Предупреждение
Только полная очистка настроек поможет предотвратить ошибки, и гарантирует, что никакие файлы из предыдущей настроки Samba не попадут  вновые попадут в новые настройки DC.


  • Если существует файл настроек Kerberos /etc/krb5.conf file, также удалите его: 

    Информация
    rm /etc/krb5.conf


...

Информация
В английском языке используется термин provisioningдля настройки Samba в роли AD DC используется термин "provisioning", в данном тексте в качестве перевода будет использоваться термин "назначение".

В процессе назначения Samba на роль AD DC создаются базы данных AD и в них добавляются базовые записи, такие как учетная запись администратора домена, и необходимые записи DNS.

При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).


Предупреждение

Выполнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав.

Назначение Samba на роль DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для выполнения настроек в интереактивном или автоматическом режимах. Подробности см.:

...


При создании нового домена AD рекомендуется сразу включить так называемые расширения NIS (NIS extensions), передав инструменту samba-tool domain provision параметр  --use-rfc2307.
Это позволит хранить в AD специфические атрибуты Unix, такие, как числовые идентификаторы пользователя :

  • Числовые идентификаторы пользователей (UID)

...

  • ;
  • Пути у домашним каталогам

...

  • ;
  • Идентификаторы групп.

Включение расширений NIS при установке не влечёт за собой никаких отрицательных побочных эффектов, а их включение в существующем домене требует ручного расширения схемы AD.

...

Описание применяемых параметров

При назначении применим будут применяться следующие параметры:

Интерективный режимАвтоматический режимКомментарий
--use-rfc2307--use-rfc2307Включает расширения NIS
Realm--realm

Область Kerberos. Также, используется , как домен DNS AD . Например: samdom.example.com.

Domain--domainИмя домена для NetBIOS.
Рекомендуется использовать первую часть имени домена DNS AD.
Например, для домена samdom.example.com это будет имя samdom.
Server Role--server-roleУстанавливает роль контроллера DC.
DNS backend--dns-backend

Выбирает службу DNS.

Предупреждение
Первый DC в домене AD обязательно должен быть настроен на использование какой-либо службы DNS.

Отметим, что вариант службы BIND9_FLATFILE более не поддерживается.

DNS forwarder IP addressнедоступноЭта настройка доступна только при выборе службы DNS SAMBA_INTERNAL DNS. Подробности см. Настройка перенаправления DNS.

Administrator password

--adminpass

Устанавливает пароль администратора домена.

Предупреждение
Если заданный пароль не будет соответствовать требованиям по сложности пароля,
настройка
назначение не будет
выполнена
выполнено.

Подробности см. Microsoft TechNet: Сложность паролей должна соответствовать требованиям.

Другие параметры, часто используемые в команде samba-tool domain provision:

...

Предупреждение
  • Не используйте NONE как службу DNS,  эта возможность больше не поддерживается;
  • При использовании в качестве службы DNS службы Bind9BiIND, не используйте вариант BIND9_FLATFILE,  эта возможность больше не поддерживается;
  • После назначения первого DC в домене AD , не настраивайте больше таким способом никакие другие DC в этом домене, используйте процедуру присоединение (Join) для настройки остальных DC.

...

Раскрыть
titleНажмите, чтобы развернуть

# Запрашивается имя области Kerberos
Realm [SAMDOM.EXAMPLE.COM]: SAMDOM.EXAMPLE.COM

# Запрашивается имя домена
Domain [SAMDOM]: SAMDOM

# Запрашивается роль сервера
Server Role (dc, member, standalone) [dc]: dc

# Выбирается служба DNS
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL

# Выбирается перенаправитель # Выбирается IP-адрес для перенаправления запросов DNS
DNS forwarder IP address (write 'none' to disable forwarding) [10.99.0.1]: 8.8.8.8

# Ввод и подтверждение пароля администратора
Administrator password: Passw0rd
Retype password: Passw0rd

Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=samdom,DC=example,DC=com
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=samdom,DC=example,DC=com
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: DC1
NetBIOS Domain: SAMDOM
DNS Domain: samdom.example.com
DOMAIN SID: S-1-5-21-2614513918-2685075268-614796884

...

  • Роль сервера: dc
  • Расширения NIS: включены
  • Используется внутренний DNSСлужба DNS: внутренний DNS SAMBA_INTERNAL
  • Область Kerberos и зона DNS AD: samdom.example.com
  • Имя домена для NetBIOS: SAMDOM
  • Пароль администратора: Passw0rd

Команда Для указанных параметров команда назначения будет выглядеть так:

...

Автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование  сервисных записи DNS (SRV) для поиска контроллера Kerberos (KDC).

...

Тестирование файлового сервера

Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все  разделяемые файловые ресурсы, предоставляемые DC:

...

Раскрыть
titleНажмите, чтобы развернуть

Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba x.y.z)
Domain=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]

Server Comment
--------- -------

Workgroup Master
--------- -------

...

Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:

Информация
smbclient //localhost/netlogon -UAdministrator -c 'ls'

...

Если тесты не выполняются, см. Поиск и устранение проблем

Тестирование DNS

Чтобы убедиться, что AD DNS работает корректно, запросим некоторые записи DNS:

  • SRV-запись доменного cервиса  _ldap по протоколу TCP:
Информация

host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com.

  • SRV-запись доменного cервиса  _kerberos по протоколу UDP:
Информация
host -t SRV _kerberos._udp.samdom.example.com.
_kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1.samdom.example.com.
  • A-запись контроллера домена:
Информация

host -t A dc1.samdom.example.com.
dc1.samdom.example.com has address 10.99.0.1

Если тесты не выполняются, см. Поиск и устранение проблем

Проверка Kerberos

Запрос Получение билета Kerberos для учетной записи администратора домена:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Настройка синхронизации времени

...