...
Samba, начиная с версии 4.0, может работать как контролер контроллер домена (domain controller, DC) Active Directory (AD).
Информация |
---|
При применении Samba в качестве DC AD в условиях реальной эксплуатации |
Эта статья рассказывает, как настроить Samba как первый DC в домене, чтобы построить новый лес AD.
Дополнительно, эту статью можно использовать для миграции из домена Samba NT4 в домен Samba AD.
Если требуется подключить Samba к уже существующему доменному лесу AD, как дополнительный DC, см. Присоединение Samba DC к существующему домену Active Directory.
...
- Выберите имя хоста для вашего AD DC;
Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
Эти сущности отсутствуют в AD, и такие названия вызывают путаницу; Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;
Предупреждение Для создания домена AD используйте DNS-имя, которое не понадобится изменять.
Samba не поддерживает переименование зон DNS AD и областей Kerberos.- Используйте для DC статический адрес;. Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD
- Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
Например:Информация 127.0.0.1 localhost.localdomain localhost
10.0.2.254 DC.samdom.example.com DCимя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC
- Если Samba уже была установлена (настроена):
...
Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.
Настройка Kerberos
Контроллер домена (общий сервер Kerberos-Samba)
Остановить службу Kerberos
...
:
Информация |
---|
systemctl stop krb5-kdc |
Запретить автоматический запуск службы Kerberos:
Информация |
---|
systemctl disable krb5-kdc |
Скопировать автоматически созданный при назначении Samba файл /var/lib/samba/private/kdc.conf в рабочую конфигурацию Kerberos KDC:
Информация |
---|
cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf |
Служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba командой:
Информация |
---|
samba |
Контроллер домена (отдельный сервер Kerberos)
В разработке.
Участники домена
При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.
Процедуры установки и настройки клиентов
При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.
Процедуры установки и настройки Kerberos см. Kerberos
Во время процедуры назначения Samba создает конфигурационный файл /usr/local/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:
...