...
Информация |
---|
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=BIND9_DLZ --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd |
Настройка запуска служб после назначения
После выполнения назначения службу слеждует запустить командой sambaследует включить автоматический запуск служб AD DC:
Информация |
---|
systemctl unmask samba-ad-dc |
Настройка службы DNS AD
Пропустите этот шаг, если используется служба DNS SAMBA_INTERNAL.
Настройте и запустите сервер DNS BIND9 и модуль BIND9_DLZ. Подробности см. Настройка сервера DNS BIND
Проверить правильность работы сервиса для использованного в примере домена samdom.example.com можно с помощью команды dig:
Информация |
---|
dig samdom.example.com |
Ответ должен выглялядеть примерно так:
Раскрыть | ||
---|---|---|
| ||
; <<>> DiG 9.10.3-P4-Debian <<>> samdom.example.com ;; OPT PSEUDOSECTION: ;; ANSWER SECTION: ;; AUTHORITY SECTION: ;; ADDITIONAL SECTION: ;; Query time: 0 msec |
Настройка DNS участников домена
Участники домена AD используют DNS для поиска сервисов, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешать зоны DNS AD.
Если в системе используется сервер DHCP, то в его настройках можно указать имя домена, которое будет передаваться всем хостам при запросе адреса Подробнее см. DHCP
Помимо использования DHCP, настройку на нужный сервер можно выполнить непосредствнно на хостах - участниках домена в файле /etc/resolv.conf.
Для этого укажите в файле:
- имя домена DNS AD как имя домена для поиска (search),
- IP-адрес вашего DC как значение параметра nameservere.
Например:
Информация |
---|
search samdom.example.com |
Создание реверсивной зоны
С помощью команды samba-tool dns zonecreate можно добавить необязательную зону реверсивного поиска:
Информация |
---|
samba-tool dns zonecreate -U Administrator samdom.example.com 2.0.10.in-addr.arpa Password for [administrator@SAMDOM.EXAMPLE.COM]: |
Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.
Настройка Kerberos
Контроллер домена (общий сервер Kerberos-Samba)
Остановить службу Kerberos:
Информация |
---|
systemctl stop krb5-kdc |
Запретить автоматический запуск службы Kerberos:
Информация |
---|
systemctl disable krb5-kdc |
Скопировать автоматически созданный при назначении Samba файл /var/lib/samba/private/kdc.conf в рабочую конфигурацию Kerberos KDC:
Информация |
---|
cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf |
После выполнения вышеуказанных операций служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba командой:
Информация |
---|
samba |
Контроллер домена (отдельный сервер Kerberos)
systemctl enable samba-ad-dc |
Настройка Kerberos
Контроллер домена (общий сервер Kerberos-Samba)
Остановить службу Kerberos:
Информация |
---|
systemctl stop krb5-kdc |
Запретить автоматический запуск службы Kerberos:
Информация |
---|
systemctl disable krb5-kdc |
Скопировать автоматически созданный при назначении Samba файл /var/lib/samba/private/kdc.conf в рабочую конфигурацию Kerberos KDC:
Информация |
---|
cp -b /var/lib/samba/private/kdc.conf /etc/krb5kdc/kdc.conf |
После выполнения вышеуказанных операций служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba.
Контроллер домена (отдельный сервер Kerberos)
В разработке.
Запуск Samba AD DC
После выполнения назначения и завершения настроек службу следует запустить командой samba:
Информация |
---|
samba |
Настройка службы DNS AD
Пропустите этот шаг, если используется служба DNS SAMBA_INTERNAL.
Настройте и запустите сервер DNS BIND9 и модуль BIND9_DLZ. Подробности см. Настройка сервера DNS BIND
Проверить правильность работы сервиса для использованного в примере домена samdom.example.com можно с помощью команды dig:
Информация |
---|
dig samdom.example.com |
Ответ должен выглялядеть примерно так:
Раскрыть | ||
---|---|---|
| ||
; <<>> DiG 9.10.3-P4-Debian <<>> samdom.example.com ;; OPT PSEUDOSECTION: ;; ANSWER SECTION: ;; AUTHORITY SECTION: ;; ADDITIONAL SECTION: ;; Query time: 0 msec |
Настройка DNS участников домена
Участники домена AD используют DNS для поиска сервисов, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешать зоны DNS AD.
Если в системе используется сервер DHCP, то в его настройках можно указать имя домена, которое будет передаваться всем хостам при запросе адреса Подробнее см. DHCP
Помимо использования DHCP, настройку на нужный сервер можно выполнить непосредствнно на хостах - участниках домена в файле /etc/resolv.conf.
Для этого укажите в файле:
- имя домена DNS AD как имя домена для поиска (search),
- IP-адрес вашего DC как значение параметра nameservere.
Например:
Информация |
---|
search samdom.example.com |
Создание реверсивной зоны
С помощью команды samba-tool dns zonecreate можно добавить необязательную зону реверсивного поиска:
Информация |
---|
samba-tool dns zonecreate -U Administrator samdom.example.com 2.0.10.in-addr.arpa Password for [administrator@SAMDOM.EXAMPLE.COM]: |
Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BINDВ разработке.
Участники домена
При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.
...