Введение

Начиная с версии 4.0, Samba может работать как контролер домена ( domain controller, DC) Active Directory (AD).
При приемнении  Samba в реальной эксплуатации рекомендуется использовать два или более DC для обеспечения отказоустойчивости.

Эта статья рассказывает, как настроить Samba как первый DC, чтобы построить новый лес AD.
Дополнительно, можно использовать это описание для миграции из домена Samba NT4 в домен Samba AD.
Для подключения Samba как дополнительного DC к существющему доменному лесу AD, см. Присоединение Samba DC к существующему домену Active Directory.

Samba как AD DC поддерживает:

• интегрированый сервер LDAP как база AD. Подробности см. Поддерживают ли Samba AD DC работу с OpenLDAP или другими службами LDAP?
• авторизацию через службу Kerberos Key Distribution Center (KDC). Поддерживаются варианты MIT KDC и Heimdal KDC.

В случае применения в составе ОСОН Орёл или ОССН Смоленск Samba использует MIT KDC, поставляемый в составе этих ОС.

Подготовка к инсталляции

• Выберите имя хоста для вашего AD DC;
  Не как используйте имена хостов унаследованные от NT4 такие идентификаторы, как  PDC или BDC. Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;
• Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

Дополнительную информацию см. Часто задаваемые вопросы по именованию доменов AD

• Используйте для DC статический адрес;
• Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.
  AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD .

• Убедитесь, что файл /etc/hosts на DC корректно разрешает во внешний сетевой IP-адрес DC полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста. Например: 

  127.0.0.1 localhost localhost.localdomain 
  10.99.0.1 DC1.samdom.example.com DC1

  имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC  

• Если Samba уже была установлена (настроена):

• • Убедитесть, что все процессы Samba остановлены:

    ps ax | egrep "samba|smbd|nmbd|winbindd"

    Если вывод команды показывает наличие любого из процессов samba, smbd, nmbd, или winbindd processes, остановите эти процессы:

    systemctl stop samba
    systemctl stop smbd
    systemctl stop nmbd
    systemctl stop winbindd

  • Удалите все существующие файл конфигурации Samba smb.conf file. Чтобы получить список путей к этим файлам:

• • Удалите все файлы баз данных Samba (*.tdb и *.ldb). Чтобы получить список путей к этим файлам:

• Если существует файл настроек Kerberos /etc/krb5.conf file, также удалите его: 

  rm /etc/krb5.conf

Установка Samba

Пакет Samba входит в дистрибутивы ОСОН Орёл и ОССН Смоленск, и может быть установлен с помощью графического менеджера пакетов,
или из командной строки командой

После установки сервис smbd будет запущен автоматически с настройками "по умолчанию".

Для использования samba в качестве домена AD нужно установить дополниетельные пакеты:

Настройка Samba как AD DC

В процессе настройки Samba как AD DC создаются базы данных AD и в них добавляются базовые зщаписи, такие как учетная запись администратора домена и необходимые записи DNS.

При осуществлении миграции из домена Samba NT4 в домен AD, этот шаг следует пропустить, и выполнить стандартное обновление.
Детали см. Миграция домена Samba NT4 в домен Samba AD (стандартное обновление).

Выпослнение настроек AD требует наличия привилегий суперпользователя для создания файлов и установки прав.

Настройка Samba как DC выполняется с помощью команды samba-tool domain provision.
Эта команда поддерживает параметры для выполнения настроек в интереактивном или автоматическом режимах. Подробности см.:

При создании нового домена AD рекомендуется включить так называемые расширения (NIS extensions), передав инструменту samba-tool domain provision параметр  --use-rfc2307.
Это позволит хранить в AD специфические атрибуты Unix, такие, как числовые идентификаторы пользователя (UID), пути у домашним каталогам, идентификаторы групп.
Включение расширений NIS не влеч1extensions has no disadvantages. However, enabling them in an existing domain requires manually extending the AD schema. For further details about Unix attributes in AD, see:

Setting up RFC2307 in AD
idmap config = ad

Parameter Explanation

Set the following parameters during the provisioning:
Interactive Mode Setting Non-interactive Mode Parameter Explanation
--use-rfc2307 --use-rfc2307 Enables the NIS extensions.
Realm --realm Kerberos realm. This is also used as the AD DNS domain. For example: samdom.example.com.
Domain --domain NetBIOS domain name. It is recommended to use the first part of the AD DNS domain. For example: samdom.
Server Role --server-role Installs the domain controller DC role.
DNS backend --dns-backend Sets the DNS back end. The first DC in an AD must be installed using a DNS back end. Note that the BIND9_FLATFILE is not supported and will be removed in a future Samba version.
DNS forwarder IP address not available This setting is only available when using the SAMBA_INTERNAL DNS back end. For details, see Setting up a DNS Forwarder.
Administrator password --adminpass Sets the domain administrator password. If the password does not match the complexity requirements, the provisioning fails. For details, see Microsoft TechNet: Passwords must meet complexity requirements.

Other parameters frequently used with the samba-tool domain provision command:

--option="interfaces=lo eth0" --option="bind interfaces only=yes": If your server has multiple network interfaces, use these options to bind Samba to the specified interfaces. This enables the samba-tool command to register the correct LAN IP address in the directory during the join.