Opret en Active Directory-infrastruktur med Samba4 på Ubuntu - del 1

Samba er en gratis Open Source-software, der giver en standard interoperabilitet mellem Windows OS og Linux/Unix-operativsystemer.

Samba kan fungere som en enkeltstående fil- og printerserver til Windows- og Linux-klienter gennem SMB/CIFS-protokolpakken eller kan fungere som en Active Directory Domain Controller eller tilsluttet et Realm som Domain Member. Det højeste AD DC-domæne og skovniveau, som Samba4 i øjeblikket kan efterligne, er Windows 2008 R2.

Serien har titlen Opsætning af Samba4 Active Directory Domain Controller, der dækker følgende emner for Ubuntu, CentOS og Windows:

Denne vejledning starter med at forklare alle de trin, du har brug for at passe på for at installere og konfigurere Samba4 som en domænecontroller på Ubuntu 16.04 og Ubuntu 14.04.

Denne konfiguration vil give et centralt styringspunkt for brugere, maskiner, volumeandele, tilladelser og andre ressourcer i en blandet Windows - Linux-infrastruktur.

  1. Installation af Ubuntu 16.04-server.
  2. Installation af Ubuntu 14.04-server.
  3. En statisk IP-adresse konfigureret til din AD DC-server.

Trin 1: Indledende konfiguration til Samba4

1. Før du fortsætter din Samba4 AD DC-installation, skal vi først køre et par påkrævede trin. Sørg først for, at systemet er opdateret med de sidste sikkerhedsfunktioner, kerner og pakker ved at udstede kommandoen nedenfor:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Åbn derefter maskinen/etc/fstab-filen, og sørg for, at dit partitionsfilsystem har ACL'er aktiveret som illustreret på nedenstående skærmbillede.

Normalt understøtter almindelige moderne Linux-filsystemer som ext3, ext4, xfs eller btrfs og har ACL'er aktiveret som standard. Hvis det ikke er tilfældet med dit filsystem, skal du bare åbne/etc/fstab-filen til redigering og tilføje acl streng i slutningen af tredje kolonne og genstarte maskinen for at anvende ændringer.

3. Konfigurer endelig maskinens værtsnavn med et beskrivende navn, f.eks. adc1 , der bruges i dette eksempel, ved at redigere/etc/hostname-fil eller ved at udstede.

$ sudo hostnamectl set-hostname adc1

En genstart er nødvendig, når du har ændret dit maskinnavn for at anvende ændringer.

Trin 2: Installer påkrævede pakker til Samba4 AD DC

4. For at omdanne din server til en Active Directory Domain Controller, skal du installere Samba og alle de nødvendige pakker på din maskine ved at udstede kommandoen nedenfor med root-rettigheder i en konsol.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Mens installationen kører, vil installationsprogrammet stille en række spørgsmål for at konfigurere domænecontrolleren.

På det første skærmbillede skal du tilføje et navn til Kerberos standard REALM med store bogstaver. Indtast det navn, du vil bruge til dit domæne, med store bogstaver, og tryk på Enter for at fortsætte ..

6. Indtast derefter værtsnavnet på Kerberos-serveren for dit domæne. Brug det samme navn som for dit domæne, med små bogstaver denne gang, og tryk på Enter for at fortsætte.

7. Til sidst skal du angive værtsnavnet for den administrative server i dit Kerberos-rige. Brug det samme som dit domæne, og tryk på Enter for at afslutte installationen.

Trin 3: Giv Samba AD DC til dit domæne

8. Inden du begynder at konfigurere Samba til dit domæne, skal du først køre nedenstående kommandoer for at stoppe og deaktivere alle samba-dæmoner.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Dernæst omdøbe eller fjerne samba-oprindelige konfiguration. Dette trin er absolut nødvendigt inden klargøring af Samba AD, fordi Samba på tidspunktet for levering opretter en ny konfigurationsfil fra bunden og kaster nogle fejl, hvis den finder en gammel smb.conf -fil.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Start nu domænetilførslen interaktivt ved at udstede kommandoen nedenfor med root-rettigheder og accepter de standardindstillinger, som Samba giver dig.

Sørg også for at angive IP-adressen til en DNS-videresender hos dig (eller eksternt) og vælg en stærk adgangskode til administratorkontoen. Hvis du vælger en ugers adgangskode til en administratorkonto, mislykkes domænestyringen.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Endelig skal du omdøbe eller fjerne Kerberos hovedkonfigurationsfil fra/etc-biblioteket og udskifte den ved hjælp af et symlink med Samba nyligt genererede Kerberos-fil placeret i/var/lib/samba/privat sti ved at udstede nedenstående kommandoer:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Start og aktivér Samba Active Directory Domain Controller-dæmoner.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Brug derefter netstat-kommandoen for at kontrollere listen over alle tjenester, der kræves af en Active Directory for at køre korrekt.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

Trin 4: Endelige Samba-konfigurationer

14. På dette tidspunkt skal Samba være fuldt operationel hos dig. Det højeste domæneniveau, som Samba efterligner, skal være Windows AD DC 2008 R2.

Det kan verificeres ved hjælp af samba-værktøjsværktøjet.

$ sudo samba-tool domain level show

15. For at DNS-opløsning skal fungere lokalt, skal du åbne redigeringsindstillinger for netværksgrænsefladen og pege DNS-opløsningen ved at ændre dns-nameservers-erklæringen til IP-adressen på din domænecontroller (brug 127.0.0.1 til lokal DNS-opløsning) og dns-search-sætning for at pege på dit rige.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Når du er færdig, skal du genstarte din server og se på din resolver-fil for at sikre, at den peger tilbage til de rigtige DNS-navneservere.

16. Til sidst skal du teste DNS-opløseren ved at udstede forespørgsler og ping mod nogle AD DC-vigtige poster, som i nedenstående uddrag. Udskift domænenavnet i overensstemmelse hermed.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Kør følgende få forespørgsler mod Samba Active Directory Domain Controller ..

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Kontroller også Kerberos-godkendelse ved at anmode om en billet til domæneadministratorkontoen, og anfør den cachelagrede billet. Skriv domænenavnedelen med store bogstaver.

$ kinit [email 
$ klist

Det er alt! Nu har du en fuldt operationel AD Domain Controller installeret i dit netværk, og du kan begynde at integrere Windows- eller Linux-maskiner i Samba AD.

I den næste serie dækker vi andre Samba AD-emner, såsom hvordan du administrerer du er domænecontroller fra Samba kommandolinje, hvordan man integrerer Windows 10 i domænenavnet og administrerer Samba AD eksternt ved hjælp af RSAT og andre vigtige emner.