...
- Интегрированый сервер LDAP как база данных AD. Подробности см. Поддерживают ли Samba AD DC работу с OpenLDAP или другими службами LDAP?;
- Авторизацию через службу Kerberos Key Distribution Center (KDC). Поддерживаются варианты MIT KDC и Heimdal KDC.
Поставляемая в составе ОС ОН Орёл 2.21 и ОС СН Смоленск 1.6 Samba использует MIT KDC, также поставляемый в составе этих ОС; - Работу с встроенным сервером DNS
- Работу с внешним сервером DNS (в примерах ниже рассматривается работа с сервером DNS BIND9)
...
Установка и настройка контроллера и клиента домена
Подготовка к инсталляции
- Выберите имя хоста для вашего AD DC;
Никогда не используйте . Не рекомендуется использовать в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 .
Эти сущности отсутствуют в AD, и такие названия вызывают путаницу; Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;
Предупреждение Для создания домена AD используйте DNS-имя, которое не понадобится изменять.
Samba не поддерживает переименование зон DNS AD и областей Kerberos.- Используйте для DC статический адрес. Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD;
- Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
Например:Информация 127.0.0.1 localhost.localdomain localhost
10.0.2.254 DC.samdom.example.com DCимя Имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC.
Детальная настройка
Подготовка к инсталляции
...
Если Samba уже была установлена (настроена)
Если Samba уже была установлена (настроена):
- Проверьте, что все процессы Samba остановлены:
Command |
---|
ps ax | |
Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;
Предупреждение |
---|
Для создания домена AD используйте DNS-имя, которое не понадобится изменять. Samba не поддерживает переименование зон DNS AD и областей Kerberos. |
...
Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC.
Например:
Информация |
---|
127.0.0.1 localhost.localdomain localhost 10.0.2.254 DC.samdom.example.com DC |
имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC
...
- Проверьте, что все процессы Samba остановлены:
Command |
---|
ps ax | egrep "samba|smbd|nmbd|winbindd" |
...
Command |
---|
sudo systemctl stop samba smbd nmbd winbind sudo systemctl mask samba smbd nmbd winbind |
Command |
---|
Обратите внимание:
|
- Удалите все существующие файлы конфигурации Samba smb.conf file. Чтобы получить список путей к этим файлам:
...
- Удалите все файлы баз данных Samba (*.tdb и *.ldb). Чтобы получить список путей к этим файлам::
Commandinfo | ||
---|---|---|
| ||
LOCKDIR: /usr/local/samba/var/lock/ |
...
- Если существует файл настроек Kerberos /etc/krb5.conf file, также удалите его:
Информацияcommand |
---|
sudo rm /etc/krb5.conf |
Установка Samba
Пакет Samba входит в дистрибутивы ОСОН ОС ОН Орёл и ОССН ОС СН Смоленск, и может быть установлен с помощью графического менеджера пакетов,
или из командной строки командой
Информацияcommand |
---|
sudo apt install samba |
После установки сервис smbd будет запущен автоматически с настройками "по умолчанию".
Отдельно установленный пакет samba может быть использован как файловый сервер или сервер печати. Для использования samba в качестве домена AD нужно установить пакет samba и дополнительные пакеты:
Информацияcommand |
---|
sudo apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc |
Назначение Samba на роль AD DC
Информация |
---|
В английском языке для настройки Samba в роли AD DC используется термин "provisioning", в данном тексте в качестве перевода будет использоваться термин "назначение". |
В процессе назначения Samba на роль AD DC создаются базы данных AD и в них добавляются базовые записи, такие как учетная запись администратора домена, и необходимые записи DNS.
При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).
-winbind libpam-krb5 krb5-config krb5-user krb5-kdc |
Назначение Samba на роль AD DC
Информация |
---|
В англоязычной документации для обозначения процесса настройки Samba на выполнение роли AD DC используется термин "provisioning", в данном тексте в качестве перевода будет использоваться термин "Назначение". |
Предупреждение |
---|
Выполнение Назначения требует наличия привилегий суперпользователя (в ОС СН - суперпользователя с высоким уровнем целостности) для создания конфигурационных файлов и установки прав доступа. После выполнения Назначения служба smbd перестанет работать, а службы winbind,nmbd, krb5-kdc перейдут |
Предупреждение |
Выполнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав. После выполнения назначения службы winbind, smbd, krb5-kdc прейдут под управление доменной службы samba-ad-dc/. Однако, после установки всех необходимых пакетов все эти службы будут автоматически запущены, и перед выполнением Назначения их нужно будет остановить и заблокировать их автоматический запуск. Приведённые далее сценарии Назначения содержат соответствующие команды. |
Назначение Назначение Samba на роль DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для возможность выполнения настроек в интерактивном или автоматическом режимах. Подробности см.:
Информацияcommand |
---|
samba-tool domain provision --help |
...
Описание
...
возможеных параметров Назначения
При назначении Назначении будут применяться следующие параметры:
Интерактивный режим | Автоматический режим | Комментарий | ||
---|---|---|---|---|
--use-rfc2307 | --use-rfc2307 | Включает расширения NIS | ||
Realm | --realm | Область Kerberos. Также, используется как домен DNS AD . Например: samdom.example.com. | ||
Domain | --domain | Имя домена для NetBIOS. Рекомендуется использовать первую часть имени домена DNS AD. Например, для домена samdom.example.com это будет имя samdom. | ||
Server Role | --server-role | Устанавливает роль контроллера DC. | ||
DNS backend | --dns-backend | Выбирает службу DNS.
Отметим, что вариант службы Варианты служб NONE и BIND9_FLATFILE более не поддерживается. | ||
DNS forwarder IP address | недоступно | Эта настройка доступна только при выборе службы DNS SAMBA_INTERNAL DNS. Подробности см. Настройка перенаправления DNS. | ||
Administrator password | --adminpass | Устанавливает пароль администратора домена.
Подробности см. Microsoft TechNet: Сложность паролей должна соответствовать требованиям. |
...
Назначение Samba в интерактивном режиме
Для назначения Samba выполнения Назначения в интерактивном режиме выполните команды:
Command |
---|
# Останавливаем более ненужные службы |
# Назначение # Запуск служб |
После этого В процессе Назначения должен произойти примерно такой диалог:
Раскрыть | ||
---|---|---|
| ||
# Запрашивается имя области Kerberos # Запрашивается имя домена # Запрашивается роль сервера # Выбирается служба DNS # Выбирается IP-адрес для перенаправления запросов DNS # Ввод и подтверждение пароля администратора 8.8.8.8 # Ввод и подтверждение пароля администратора Looking up IPv4 addresses |
Интерактивный режим настройки поддерживает различные параметры команды samba-tool domain provision, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.
Назначение Samba в автоматическом режиме
Для примера назначения Samba в автоматическом режиме используем следующие параметры:
- Роль сервера: dc
- Расширения NIS: включены
- Служба DNS: внутренний DNS BIND9_DLZ
- Область Kerberos и зона DNS AD: samdom.example.com
- Имя домена для NetBIOS: SAMDOM
- Пароль администратора: Passw0rd
- Используется сеть 10.0.2.0/24
- Адрес хоста Samba 10.0.2.254
Для указанных параметров команда назначения будет выглядеть так:
Информация |
---|
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=BIND9_DLZ --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd |
Настройка запуска служб после назначения
После выполнения назначения следует включить автоматический запуск служб AD DC:
Информация |
---|
systemctl unmask samba-ad-dc |
Настройка Kerberos
Общий сервер Kerberos-Samba
Остановить службу Kerberos:
Информация |
---|
sudo systemctl stop krb5-kdc |
Запретить автоматический запуск службы Kerberos:
Информация |
---|
sudo systemctl mask krb5-kdc |
После выполнения операции назначения служба Kerberos krb5-kdc будет автоматически запускаться вместе с остальными доменными службами Samba под контролем samba-ad-dc.
Отдельный сервер Kerberos
...
Adding configuration container |
Интерактивный режим настройки поддерживает различные параметры команды samba-tool domain provision, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.
Назначение Samba в автоматическом режиме
Для примера назначения Samba в автоматическом режиме используем следующие параметры:
- Роль сервера: dc
- Расширения NIS: включены
- Служба DNS: внутренний DNS BIND9_DLZ
- Область Kerberos и зона DNS AD: samdom.example.com
- Имя домена для NetBIOS: SAMDOM
- Пароль администратора: Passw0rd
- Используется сеть 10.0.2.0/24
- Адрес хоста Samba 10.0.2.254
Для указанных параметров команда назначения будет выглядеть так:
Command |
---|
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=BIND9_DLZ --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd |
Настройка службы DNS AD
Пропустите этот шаг, если используется служба DNS SAMBA_INTERNAL.
...
Проверить правильность работы сервиса для использованного в примере домена samdom.example.com можно с помощью команды dig:
Информацияcommand |
---|
dig samdom.example.com |
Ответ должен выглялядеть примерно так:
...
- имя домена DNS AD как имя домена для поиска (search),
- IP-адрес вашего DC как значение параметра nameservere.
Например:
Command | ||
---|---|---|
| ||
| ||
nameserver 10.0.2.254 |
Создание реверсивной зоны
С помощью команды samba-tool dns zonecreate можно добавить необязательную зону реверсивного поиска:
Command | ||||
---|---|---|---|---|
| ||||
| dns zonecreate -U Administrator samdom.example.com 2.0.10.in-addr.arpa
| |||
Password for [administrator@SAMDOM.EXAMPLE.COM]: |
...
Во время процедуры назначения Samba создает конфигурационный файл /vat/lib/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC.
Это файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:
Информация |
---|
cp -b /var/lib/samba/private/krb5.conf /etc/krb5.conf |
Так как автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC),
в домене должна быть правильно настроена и работать служба DNS.
Тестирование Samba AD DC
Для ручного запуска сервиса samba в режиме AD DC используйте команду:
Информация |
---|
samba |
Samba не поддерживает инициализационные сценарии System V, systemd, upstart, или иные файлы конфигурации сервисов.
...
файл должен быть скопирован в рабочую конфигурацию Kerberos на хостах, входящих в домен. Например:
Command |
---|
cp -b /var/lib/samba/private/krb5.conf /etc/krb5.conf |
Так как автоматически создаваемый файл конфигурации Kerberos настраивает клиентов Kerberos на использование сервисных записей DNS (SRV) для поиска контроллера Kerberos (KDC),
в домене должна быть правильно настроена и работать служба DNS.
...
Тестирование файлового сервера
Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC.
Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:
Информацияcommand |
---|
smbclient -L localhost -U% |
...
Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:
Информация |
---|
smbclient //localhost/netlogon -UAdministrator -c 'ls' |
Command | ||
---|---|---|
Раскрыть | ||
| ||
Enter Administrator's password: 49386 blocks of size 524288. 42093 blocks available |
...
- SRV-запись доменного cервиса _ldap по протоколу TCP:
Command | ||
---|---|---|
| ||
| ||
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc.samdom.example.com. |
- SRV-запись доменного cервиса _kerberos по протоколу UDP:
Command | ||
---|---|---|
| ||
| ||
_kerberos._udp.samdom.example.com has SRV record 0 100 88 dc.samdom.example.com. |
- A-запись контроллера домена:
Commandinfo | ||
---|---|---|
| ||
dc.samdom.example.com has address 10.99.0.1 |
...
Получение билета Kerberos для учетной записи администратора домена:
Command | ||
---|---|---|
| ||
| ||
Password for administrator@SAMDOM.EXAMPLE.COM: |
...
Предупреждение |
---|
Имена областей Kerberos всегда пишутся заглавными буквами. |
Список полученных кешированных билетов Kerberos:
Command | ||
---|---|---|
| ||
| ||
Ticket cache: FILE:/tmp/krb5cc_0 Valid starting Expires Service principal |
...
Подробная информация об инструменте доступна в справочнике man:
Информацияcommand |
---|
man samba-tool |
Краткую справку по работе инструмента можно получить командой
Информацияcommand |
---|
samba-tool -h |
Инструмент wbinfo
...
Для работы с этой службой используется инструмент командной строки wbinfo,
позволящий позволяющий получать информацию о пользователях и группах AD.
...
После внесения изменений проверить правильность конфигурации командой
Информацияcommand |
---|
testparm |
И перезапустить службы samba.
...
На пользовательском компьютере использовать команду:
Информацияcommand |
---|
pam-auth-update |
И убедиться, что включены все профили PAM.
При необходимости - включить аутентификацию winbind, используя клавишу "пробел".
По окончании нажать клавишу "Tab", перейти на "ОК", и записать изменения.
...
- Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
- Отсутсвие Отсутствие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
- Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
- Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моментв времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
- mandatory smb signing is enforced on the DC.
...