Lag en Active Directory-infrastruktur med Samba4 på Ubuntu - Del 1

Samba er en gratis programvare med åpen kildekode som gir standard interoperabilitet mellom Windows OS og Linux/Unix operativsystemer.

Samba kan fungere som en frittstående fil- og utskriftsserver for Windows- og Linux-klienter gjennom SMB/CIFS-protokollpakken eller kan fungere som en Active Directory-domenekontroller eller kobles til en Realm som domenemedlem. Det høyeste AD DC-domenet og skognivået som Samba4 for øyeblikket kan emulere, er Windows 2008 R2.

Serien får tittelen Sett opp Samba4 Active Directory Domain Controller, som dekker følgende emner for Ubuntu, CentOS og Windows sterk>:

Denne opplæringen starter med å forklare alle trinnene du må ta vare på for å installere og konfigurere Samba4 som en domenekontrollerUbuntu 16.04 og Ubuntu 14.04.

Denne konfigurasjonen vil gi et sentralt administrasjonspunkt for brukere, maskiner, volumandeler, tillatelser og andre ressurser i en blandet Windows-Linux-infrastruktur.

Krav:

  1. Ubuntu 16.04 serverinstallasjon.
  2. Ubuntu 14.04 serverinstallasjon.
  3. En statisk IP-adresse konfigurert for AD DC-serveren.

Trinn 1: Innledende konfigurasjon for Samba4

1. Før du fortsetter med Samba4 AD DC-installasjonen, la oss først kjøre noen få forhåndspåkrevde trinn. Sørg først for at systemet er oppdatert med de siste sikkerhetsfunksjonene, kjernene og pakkene ved å utstede kommandoen nedenfor:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Deretter åpner du maskinfilen /etc/fstab og forsikrer deg om at partisjonsfilsystemet ditt har ACL-er aktivert som illustrert på skjermbildet nedenfor.

Vanligvis støtter vanlige moderne Linux-filsystemer som ext3, ext4, xfs eller btrfs og har tilgangskontrollister aktivert av misligholde. Hvis det ikke er tilfelle med filsystemet ditt, åpner du bare /etc/fstab-filen for redigering og legger til acl-streng på slutten av tredje kolonne og start på nytt maskinen for å ta i bruk endringer.

3. Konfigurer til slutt maskinens vertsnavn med et beskrivende navn, for eksempel adc1 brukt i dette eksemplet, ved å redigere filen /etc/hostname eller ved å utstedelse.

sudo hostnamectl set-hostname adc1

En omstart er nødvendig etter at du har endret maskinnavnet for å bruke endringer.

Trinn 2: Installer nødvendige pakker for Samba4 AD DC

4. For å forvandle serveren din til en Active Directory-domenekontroller, installer Samba og alle nødvendige pakker på maskinen din ved å utstede følgende kommando med root-privilegier i en konsoll.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Mens installasjonen kjører, vil en rekke spørsmål bli stilt av installatøren for å konfigurere domenekontrolleren.

På den første skjermen må du legge til et navn for Kerberos standard REALM med store bokstaver. Skriv inn navnet du skal bruke for domenet ditt med store bokstaver og trykk Enter for å fortsette.

6. Deretter skriver du inn vertsnavnet til Kerberos-serveren for domenet ditt. Bruk samme navn som for domenet ditt, med små bokstaver denne gangen og trykk Enter for å fortsette.

7. Til slutt spesifiser vertsnavnet for den administrative serveren til Kerberos-riket ditt. Bruk det samme som domenet ditt og trykk Enter for å fullføre installasjonen.

Trinn 3: Tilsett Samba AD DC for domenet ditt

8. Før du begynner å konfigurere Samba for domenet ditt, kjør først kommandoene nedenfor for å stoppe og deaktivere alle samba-demoner.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Deretter gir du nytt navn til eller fjerner den originale samba-konfigurasjonen. Dette trinnet er absolutt nødvendig før klargjøring av Samba AD fordi Samba ved leveringstidspunktet vil opprette en ny konfigurasjonsfil fra bunnen av og vil gi opp noen feil i tilfelle den finner en gammel smb.conf fil.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Nå, start domeneklargjøringen interaktivt ved å gi kommandoen nedenfor med root-privilegier og godta standardalternativene som Samba gir deg.

Sørg også for at du oppgir IP-adressen for en DNS-videresending i lokalene dine (eller eksternt) og velg et sterkt passord for administratorkontoen. Hvis du velger et ukespassord for administratorkontoen, vil domenetildelingen mislykkes.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Til slutt, gi nytt navn til eller fjern Kerberos hovedkonfigurasjonsfil fra katalogen /etc og erstatt den med en symbolkobling med Samba nylig genererte Kerberos-fil som ligger i /var/lib /samba/privat bane ved å utstede kommandoene nedenfor:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Start og aktiver Samba Active Directory Domain Controller-demoner.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Deretter bruker du netstat-kommandoen for å bekrefte listen over alle tjenester som kreves av en Active Directory for å kjøre riktig.

sudo netstat –tulpn| egrep ‘smbd|samba’

Trinn 4: Endelige Samba-konfigurasjoner

14. For øyeblikket skal Samba være fullt operativt hos deg. Det høyeste domenenivået Samba emulerer bør være Windows AD DC 2008 R2.

Det kan verifiseres ved hjelp av samba-tool-verktøyet.

sudo samba-tool domain level show

15. For at DNS-oppløsning skal fungere lokalt, må du åpne og redigere nettverksgrensesnittinnstillingene og peke på DNS-oppløsningen ved å endre dns-navneservere uttalelse til IP-adressen til domenekontrolleren (bruk 127.0.0.1 for lokal DNS-oppløsning) og dns-search-setningen for å peke til din riket.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Når du er ferdig, starter du på nytt serveren din og tar en titt på løserfilen for å sikre at den peker tilbake til de riktige DNS-navneserverne.

16. Til slutt, test DNS-løseren ved å utstede spørringer og ping mot noen AD DC viktige poster, som i utdraget nedenfor. Bytt ut domenenavnet tilsvarende.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Kjør følgende få spørsmål mot Samba Active Directory Domain Controller..


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Bekreft også Kerberos-autentisering ved å be om en billett for domeneadministratorkontoen og liste opp den bufrede billetten. Skriv domenenavndelen med store bokstaver.

kinit [email 
klist

Det er alt! Nå har du en fullt operativ AD Domain Controller installert i nettverket ditt, og du kan begynne å integrere Windows eller Linux-maskiner i Samba AD<.

I den neste serien vil vi dekke andre Samba AD-emner, for eksempel hvordan du administrerer du er domenekontrolleren fra Samba-kommandolinjen, hvordan du integrerer Windows 10 i domenenavnet og fjernadministrerer Samba AD ved hjelp av RSAT og andre viktige emner.