Erstellt eng Active Directory Infrastruktur mat Samba4 op Ubuntu - Deel 1

Samba ass eng gratis Open Source Software déi eng Standard Interoperabilitéit tëscht Windows OS a Linux/Unix Betribssystemer ubitt.

Samba kann als Standalone Datei an Dréckserver fir Windows a Linux Clienten duerch d'SMB/CIFS Protokoll Suite operéieren oder kann als Active Directory Domain Controller handelen oder an e Räich als Domain Member bäitrieden. Den héchsten AD DC Domain a Bëschniveau deen de Moment Samba4 emuléiere kann ass Windows 2008 R2.

D'Serie gëtt mam Titel Set Up Samba4 Active Directory Domain Controller, déi folgend Themen fir Ubuntu, CentOS a Windows ofdeckt:

Dësen Tutorial fänkt un all d'Schrëtt z'erklären, déi Dir braucht fir ze këmmeren fir Samba4 als Domain Controller op Ubuntu 16.04 an Ubuntu 14.04 z'installéieren an ze konfiguréieren.

Dës Konfiguratioun gëtt en zentrale Gestiounspunkt fir Benotzer, Maschinnen, Volumendeeler, Permissiounen an aner Ressourcen an enger gemëschter Windows - Linux Infrastruktur.

  1. Ubuntu 16.04 Serverinstallatioun.
  2. Ubuntu 14.04 Serverinstallatioun.
  3. Eng statesch IP Adress konfiguréiert fir Ären AD DC Server.

Schrëtt 1: Éischt Konfiguratioun fir Samba4

1. Ier Dir Är Samba4 AD DC Installatioun weidergeet, lass eis e puer viraus erfuerderlech Schrëtt lafen. Gitt als éischt sécher datt de System aktuell ass mat de leschte Sécherheetsfeatures, Kernelen a Packagen andeems Dir de Kommando hei ënnen ausgitt:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Als nächst, öffnen d'Maschinn /etc/fstab Datei a vergewëssert Iech datt Äre Partitionsdateisystem ACLs aktivéiert huet wéi op de Screenshot hei ënnen illustréiert.

Normalerweis ënnerstëtzen allgemeng modern Linux Dateisystemer wéi ext3, ext4, xfs oder btrfs an hunn ACLs als Standard aktivéiert. Wann dat net de Fall mat Ärem Dateiesystem ass, öffnet just /etc/fstab Datei fir z'änneren a füügt acl String um Enn vun der drëtter Kolonn un an nei start d'Maschinn fir Ännerungen z'applizéieren.

3. Schlussendlech opstellt Äre Maschinn Hostnumm mat engem deskriptiven Numm, sou wéi adc1 an dësem Beispill benotzt, andeems Dir /etc/hostname Datei ännert oder duerch d'Ausgab.

$ sudo hostnamectl set-hostname adc1

E Restart ass néideg nodeems Dir Äre Maschinnnumm geännert hutt fir Ännerungen z'applizéieren.

Schrëtt 2: Installéiert erfuerderlech Packagen fir Samba4 AD DC

4. Fir Äre Server an en Active Directory Domain Controller ze transforméieren, installéiere Samba an all déi erfuerderlech Packagen op Ärer Maschinn andeems Dir de Kommando ënnen mat Root Privilegien an enger Konsole ausginn.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Wärend d'Installatioun leeft gëtt eng Serie vu Froen vum Installateur gefrot fir den Domain Controller ze konfiguréieren.

Um éischten Écran musst Dir e Numm fir Kerberos Default REALM a Groussbuschtawen derbäisetzen. Gitt den Numm an deen Dir fir Är Domain benotzt a grousser Buschtawen a dréckt Enter fir weiderzemaachen.

6. Als nächst gitt den Hostnumm vum Kerberos Server fir Ären Domain. Benotzt dee selwechten Numm wéi fir Ären Domain, dës Kéier mat klengen Buschtawen a dréckt Enter fir weiderzemaachen.

7. Endlech, spezifizéiert den Hostnumm fir den administrativen Server vun Ärem Kerberos Räich. Benotzt d'selwecht wéi Ären Domain a dréckt Enter fir d'Installatioun ofzeschléissen.

Schrëtt 3: Bestëmmung Samba AD DC fir Ären Domain

8. Ier Dir ufänkt Samba fir Ären Domain ze konfiguréieren, fuert als éischt d'Befehle hei ënnen fir all Samba Daemonen ze stoppen an auszeschalten.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Nächst, ëmbenennen oder ewechhuelen Samba original Konfiguratioun. Dëse Schrëtt ass absolut erfuerderlech ier Dir Samba AD zur Verfügung stellt, well an der Versuergungszäit wäert Samba eng nei Konfiguratiounsdatei vun Null erstellen an e puer Feeler opwerfen am Fall wou se eng al smb.conf Datei fënnt.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Fänkt elo d'Domain-Provisioning interaktiv un andeems Dir de Kommando ënnen mat Root-Privilegien ausginn an d'Standardoptiounen akzeptéieren déi Samba Iech ubitt.

Gitt och sécher datt Dir d'IP Adress fir en DNS Forwarder bei Äre Raimlechkeeten (oder extern) gitt a wielt e staarkt Passwuert fir den Administrator Kont. Wann Dir e Wochepasswuert fir den Administratorkonto wielt, fällt d'Domain Dispositioun aus.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Endlech, ëmbenennen oder ewechhuelen Kerberos Haaptkonfiguratiounsdatei aus /etc Verzeichnis an ersetzen se mat engem Symlink mat Samba nei generéiert Kerberos Datei, déi am /var/lib/samba/private Wee läit, andeems Dir déi folgend Kommandoen ausgëtt:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Start an aktivéiert Samba Active Directory Domain Controller Daemons.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Als nächst benotzt netstat Kommando fir d'Lëscht vun alle Servicer z'iwwerpréiwen, déi vun engem Active Directory néideg sinn fir richteg ze lafen.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

Schrëtt 4: Finale Samba Konfiguratiounen

14. Am Moment soll Samba voll operationell bei Äre Raimlechkeeten sinn. Den héchsten Domainniveau Samba emuléiert soll Windows AD DC 2008 R2 sinn.

Et kann verifizéiert ginn mat der Hëllef vum Samba-Tool Utility.

$ sudo samba-tool domain level show

15. Fir datt DNS-Resolutioun lokal funktionnéiert, musst Dir d'Netzwierk-Interface-Astellungen opmaachen an d'DNS-Resolutioun weisen andeems Dir dns-Nameservers Ausso op d'IP Adress vun Ärem Domain Controller ännert (benotzt 127.0.0.1 fir lokal DNS-Resolutioun) an dns-Search Ausso fir op Äert Räich ze weisen.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Wann Dir fäerdeg sidd, start Äre Server nei a kuckt op Är Resolverdatei fir sécher ze stellen datt se op déi richteg DNS Nummserver weist.

16. Endlech, test den DNS-Resolver andeems Dir Ufroen a Pings géint e puer AD DC entscheedend records ausstellt, wéi am Auszuch hei ënnen. Ersetzt den Domain Numm deementspriechend.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Run folgend e puer Ufroen géint Samba Active Directory Domain Controller ..

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Verifizéiert och d'Kerberos Authentifikatioun andeems Dir en Ticket fir den Domain Administrator Kont ufrot an de cached Ticket oplëscht. Schreift den Domain Numm Deel mat grousse Buschtawen.

$ kinit [email 
$ klist

Dat ass alles! Elo hutt Dir e voll operationellen AD Domain Controller an Ärem Netz installéiert an Dir kënnt ufänken Windows oder Linux Maschinnen an Samba AD z'integréieren.

An der nächster Serie wäerte mir aner Samba AD Themen ofdecken, sou wéi Dir verwalt Dir sidd den Domain Controller vun der Samba Kommandozeil, wéi Dir Windows 10 an den Domain Numm integréiert a Samba AD op afstand verwalten mat RSAT an aner wichteg Themen.