Справочный центр

Дерево страниц

Сравнение версий

Старая версия 16

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 17

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Введение

Данная статья основывается на материалах из wiki.samba.org

...

  • Интегрированый сервер LDAP как база данных AD. Подробности см. Поддерживают ли Samba AD DC работу с OpenLDAP или другими службами LDAP?;
  • Авторизацию через службу Kerberos Key Distribution Center (KDC). Поддерживаются варианты MIT KDC и Heimdal KDC.
    Поставляемая в составе ОСОН Орёл или ОССН Смоленск Samba использует MIT KDC, также поставляемый в составе этих ОС;
  • Работу с встроенным сервером DNS
  • Работу с внешним сервером DNS (в примерах ниже рассматривается работа с сервером DNS BIND9)

Подготовка к инсталляции

  • Выберите имя хоста для вашего AD DC;
    Никогда не используйте в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
    Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

  • Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

    Предупреждение
    Для создания домена AD используйте DNS-имя, которое не понадобится изменять.
    Samba не поддерживает переименование зон DNS AD и областей Kerberos.


  • Используйте для DC статический адрес.  Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD
  • Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
    AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD .

  • Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
    Например: 

    Информация
    127.0.0.1 localhost.localdomain localhost
    10.0.2.254 DC.samdom.example.com DC

    имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC  


  • Если Samba уже была установлена (настроена):

...

Информация
rm /etc/krb5.conf

Установка Samba

Пакет Samba входит в дистрибутивы ОСОН Орёл и ОССН Смоленск, и может быть установлен с помощью графического менеджера пакетов,
или из командной строки командой

...

Информация

apt-get install winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user

Назначение Samba на роль AD DC

Информация
В английском языке для настройки Samba в роли AD DC используется термин "provisioning", в данном тексте в качестве перевода будет использоваться термин "назначение".

...

Описание применяемых параметров

При назначении будут применяться следующие параметры:

...

Предупреждение
  • Не используйте NONE как службу DNS,  эта возможность больше не поддерживается;
  • При использовании в качестве службы DNS службы BiIND, не используйте вариант BIND9_FLATFILE,  эта возможность больше не поддерживается;
  • После назначения первого DC в домене AD не настраивайте больше таким способом никакие другие DC в этом домене, используйте процедуру присоединение (Join) для настройки остальных DC.

Назначение Samba в интерактивном режиме

Для назначения Samba в интерактивном режиме выполните команду:

...

Интерактивный режим настройки поддерживает различные параметры  команды samba-tool domain provision, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.

Назначение Samba в автоматическом режиме

Для примера назначения Samba в автоматическом режиме используем следующие параметры:

...

Информация

samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=BIND9_DLZ --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd

Настройка запуска служб после назначения

После выполнения назначения следует включить автоматический запуск служб AD DC:

...

Информация

systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc

Настройка Kerberos

Общий сервер Kerberos-Samba

Остановить службу Kerberos:

...

После выполнения вышеуказанных операций служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba.

Отдельный сервер Kerberos 

В разработке.

Запуск Samba AD DC

После выполнения назначения и завершения настроек службу следует запустить командой samba:

Информация
samba

Настройка службы DNS AD 

Пропустите этот шаг, если используется служба DNS SAMBA_INTERNAL.

...

Раскрыть
titleНажмите, чтобы развернуть

; <<>> DiG 9.10.3-P4-Debian <<>> samdom.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17101
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;samdom.example.com. IN A

;; ANSWER SECTION:
samdom.example.com. 900 IN A 10.0.2.254

;; AUTHORITY SECTION:
samdom.example.com. 900 IN NS dhcp.samdom.example.com.

;; ADDITIONAL SECTION:
dhcp.samdom.example.com. 900 IN A 10.0.2.254

;; Query time: 0 msec
;; SERVER: 10.0.2.254#53(10.0.2.254)
;; WHEN: Mon Sep 17 11:24:12 MSK 2018
;; MSG SIZE rcvd: 98

Настройка DNS участников домена

Участники домена AD используют DNS для поиска сервисов, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешать зоны DNS AD.

...

Информация

search samdom.example.com
nameserver 10.0.2.254

Создание реверсивной зоны

С помощью команды samba-tool dns zonecreate можно добавить необязательную зону реверсивного поиска:

...

Если требуется использовать несколько реверсивных зон, просто выполните команду несколько раз с указанием параметров соответствующих подсетей.
Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.

Участники домена

При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

...

Так как автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование  сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC),
в домене должна быть правильно настроена и работать служба DNS.

Тестирование Samba AD DC

Для ручного запуска сервиса samba в режиме AD DC используйте команду:

...

Если Samba была установлена с использованием системы пакетов, то для запуска Samba следует использовать сценарии или файлы конфигурации, включенные в пакет.
Если вы собирали Samba самостоятельно, см. Управление сервисом Samba AD DC.

Тестирование файлового сервера

Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все  разделяемые файловые ресурсы, предоставляемые DC:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Тестирование DNS

Чтобы убедиться, что AD DNS работает корректно, запросим некоторые записи DNS:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Проверка Kerberos

Получение билета Kerberos для учетной записи администратора домена:

...

Если тесты не выполняются, см. Поиск и устранение проблем

Настройка синхронизации времени

Kerberos требует синхронизации времени от всех участников домена. Подробности см. в Настройка NTP или в Синхронизация времени.

Управление Samba AD DC из командной строки

Инструмент samba-tool

Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.

...

Краткую справку по работе инструмента можно получить командой


Информация

samba-tool -h 

Инструмент wbinfo

При установке пакета samba автоматически устанавливается служба winbindd.

...

КомандаОписание
wbinfo -uВывести список пользователей
wbinfo -gВывести список групп
wbinfo -i имя_пользователяВывести подробную информацию о пользователе
wbinfo -?
wbinfo --help		Вывести справку по командам

Настройка хостов - участников домена для входа доменных пользователей

По умолчанию, пользователи домена AD не могут выполнять вход в Linux-системы.
Для обеспечения входа в Linux-системы с учетными записями  Active Directory необходимо внести следующие изменения в настройки Samba AD DC в настройки пользовательских компьютеров.

Настрока Samba AD DC

В конфигурационном файле Samba  /etc/samba/smb.conf необходимо добавить настройки службы winbind и разрешение авторизоваться через эту службу (добавленные строки выделены жирным шрифтом):

...

И перезапустить службы samba.

Настройка пользовательских компьютеров

На пользовательском компьютере использовать команду

...

Информация
password      [success=1 default=ignore]      pam_winbind.so use_authtok try_first_pass


Предупреждение: Использование контроллера домена как файлового сервера

Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:

...

Если у вас маленький домен (маленький офис, домашняя сеть), нет желания следовать рекомендациям разработчиков Samba, и  DC используется как файловый серверr, настройте Winbindd до начала настройки раздеяемых ресурсов.
Подробности см.: Configuring Winbindd on a Samba AD DC.

Поиск и устранение проблем

Продробности см.: Поиск и устранение проблем в Samba AD DC

Материалы для дальнейшего изучения

См.  Пользовательская документация

...