Справочный центр

Дерево страниц

Сравнение версий

Старая версия 8

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 9

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Эта статья рассказывает, как настроить Samba как первый DC, чтобы построить новый лес AD.
Дополнительно, можно эту статью можно использовать для миграции из домена Samba NT4 в домен Samba AD.Для подключения Samba как дополнительного DC к

Если требуется подключить Samba  к существующему доменному лесу AD, как дополнительный DC, см. Присоединение Samba DC к существующему домену Active Directory.

...

  • Выберите имя хоста для вашего AD DC;
    Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
    Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

  • Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

    Предупреждение
    Для создания домена AD используйте DNS-имя, которое не понадобится изменять.
    Samba не поддерживает переименование зон DNS AD и областей Kerberos.


  • Используйте для DC статический адрес;Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD
  • Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
    AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD .

  • Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
    Например: 

    Информация
    127.0.0.1 localhost localhost.localdomain localhost
    10.990.02.1 DC1254 DC.samdom.example.com DC1com DC

    имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC  


  • Если Samba уже была установлена (настроена):

...

Раскрыть
titleНажмите, чтобы развернуть

# Запрашивается имя области Kerberos
Realm [SAMDOM.EXAMPLE.COM]: SAMDOM.EXAMPLE.COM

# Запрашивается имя домена
Domain [SAMDOM]: SAMDOM

# Запрашивается роль сервера
Server Role (dc, member, standalone) [dc]: dc

# Выбирается служба DNS
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBABIND9_INTERNALDLZ

# Выбирается IP-адрес для перенаправления запросов DNS
DNS forwarder IP address (write 'none' to disable forwarding) [10.990.02.1254]: 8.8.8.8

# Ввод и подтверждение пароля администратора
Administrator password: Passw0rd
Retype password: Passw0rd

Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=samdom,DC=example,DC=com
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=samdom,DC=example,DC=com
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: DC1 DC
NetBIOS Domain: SAMDOM
DNS Domain: samdom.example.com
DOMAIN SID: S-1-5-21-2614513918-2685075268-614796884

...

  • Роль сервера: dc
  • Расширения NIS: включены
  • Служба DNS: внутренний DNS SAMBABIND9_INTERNALDLZ
  • Область Kerberos и зона DNS AD: samdom.example.com
  • Имя домена для NetBIOS: SAMDOM
  • Пароль администратора: Passw0rd
  • Используется сеть 10.0.2.0/24
  • Адрес хоста Samba 10.0.2.254

Для указанных параметров команда назначения будет выглядеть так:

Информация

samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBABIND9_INTERNAL DLZ --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd

После выполнения назначения службу слеждует запустить командой samba:

Информация
samba

Настройка службы DNS AD 

Пропустите этот шаг, если используется служба DNS SAMBA_INTERNAL.

...

Если в системе используется сервер DHCP, то в его настройках можно указать имя домена, которое будет передаваться всем хостам при запросе адреса Подробнее см.   DHCP

Помимо использования DHCP, настройку на нужный сервер можно выполнить непосредствнно на хосте хостах - участниках домена в файле  /etc/resolv.conf. 
Для этого укажите в файле:

...

Информация

samba-tool dns zonecreate <Your-AD-DNS-Server-IP-or-hostname> 0.99.-U Administrator samdom.example.com 2.0.10.in-addr.arpa

Password for [administrator@SAMDOM.EXAMPLE.COM]:
Zone 2.0.99.10.in-addr.arpa created successfully

...

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

Процедуры установки и настройки Kerberos см. Kerberos

Во время процедуры назначения Samba создает конфигурационный файл /usr/local/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:

...

Автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование  сервисных записи записей DNS (SRV) для поиска контроллера Kerberos (KDC).

...

Для ручного запуска сервиса samba в режиме AD DC используйте команду:

Информация

samba

...

Если Samba была установлена с использованием системы пакетов, дл я то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.

...

Информация

host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1dc.samdom.example.com.

  • SRV-запись доменного cервиса  _kerberos по протоколу UDP:
Информация
host -t SRV _kerberos._udp.samdom.example.com.
_kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1dc.samdom.example.com.
  • A-запись контроллера домена:
Информация

host -t A dc1dc.samdom.example.com.
dc1dc.samdom.example.com has address 10.99.0.1

...

Если у вас маленький домен (маленький офис, домашняя сеть), нет желания следовать рекомендациям разработчиков Samba, и  DC ипользуется используется как файловый серверr, настройте Winbindd до начала настройки раздеяемых ресурсов.
Подробности см.: Configuring Winbindd on a Samba AD DC.

...