Справочный центр

Дерево страниц

Сравнение версий

Старая версия 9

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 10

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Samba, начиная с версии 4.0, может работать как контролер контроллер домена (domain controller, DC) Active Directory (AD).

Информация

При применении Samba в качестве DC AD в условиях реальной эксплуатации
рекомендуется использовать два или более DC для обеспечения отказоустойчивости.

Эта статья рассказывает, как настроить Samba как первый DC в домене, чтобы построить новый лес AD.
Дополнительно, эту статью можно использовать для миграции из домена Samba NT4 в домен Samba AD.

Если требуется подключить Samba  к уже существующему доменному лесу AD, как дополнительный DC, см. Присоединение Samba DC к существующему домену Active Directory.

...

  • Выберите имя хоста для вашего AD DC;
    Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
    Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

  • Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

    Предупреждение
    Для создания домена AD используйте DNS-имя, которое не понадобится изменять.
    Samba не поддерживает переименование зон DNS AD и областей Kerberos.


  • Используйте для DC статический адрес;Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD
  • Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
    AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD .

  • Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
    Например: 

    Информация
    127.0.0.1 localhost.localdomain localhost
    10.0.2.254 DC.samdom.example.com DC

    имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC  


  • Если Samba уже была установлена (настроена):

...

Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.

Настройка Kerberos

Контроллер домена (общий сервер Kerberos-Samba)

Остановить службу Kerberos

...

:


Информация

systemctl stop krb5-kdc

Запретить автоматический запуск службы Kerberos:

Информация
systemctl disable krb5-kdc

Скопировать автоматически созданный при назначении Samba файл /var/lib/samba/private/kdc.conf в рабочую конфигурацию Kerberos KDC:


Информация

cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf

Служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba командой:

Информация
samba

Контроллер домена (отдельный сервер Kerberos) 

В разработке.

Участники домена

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

Процедуры установки и настройки клиентов

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

Процедуры установки и настройки Kerberos см. Kerberos

Во время процедуры назначения Samba создает конфигурационный файл /usr/local/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:

...