Búðu til Active Directory innviði með Samba4 á Ubuntu - Part 1

Samba er ókeypis opinn hugbúnaður sem veitir staðlaða samvirkni milli Windows OS og Linux/Unix stýrikerfa.

Samba getur starfað sem sjálfstæður skráar- og prentþjónn fyrir Windows og Linux viðskiptavini í gegnum SMB/CIFS samskiptareglur eða getur virkað sem Active Directory lénsstýringur eða gengið inn í ríki sem lénsmeðlimur. Hæsta AD DC lén og skógarstig sem Samba4 getur líkt eftir er Windows 2008 R2.

Serían mun bera titilinn Setja upp Samba4 Active Directory Domain Controller, sem fjallar um eftirfarandi efni fyrir Ubuntu, CentOS og Windows:

Þessi kennsla mun byrja á því að útskýra öll skrefin sem þú þarft að gæta að til að setja upp og stilla Samba4 sem lénsstýringu á Ubuntu 16.04 og Ubuntu 14.04.

Þessi uppsetning mun veita miðlægum stjórnunarstað fyrir notendur, vélar, deilingar á magni, heimildir og önnur úrræði í blandaðri Windows - Linux innviði.

  1. Ubuntu 16.04 Server Uppsetning.
  2. Ubuntu 14.04 Server Uppsetning.
  3. Stöðugt IP-tala stillt fyrir AD DC netþjóninn þinn.

Skref 1: Upphafleg stilling fyrir Samba4

1. Áður en haldið er áfram með Samba4 AD DC uppsetninguna skulum við keyra nokkur fyrirfram nauðsynleg skref. Gakktu úr skugga um að kerfið sé uppfært með síðustu öryggiseiginleikum, kjarna og pakka með því að gefa út skipunina hér að neðan:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. Næst skaltu opna vélina /etc/fstab skrána og tryggja að skiptingaskráarkerfið þitt hafi ACLs virkt eins og sýnt er á skjámyndinni hér að neðan.

Venjulega styðja algeng nútíma Linux skráarkerfi eins og ext3, ext4, xfs eða btrfs og hafa ACL virkjuð sjálfgefið. Ef það er ekki tilfellið með skráarkerfið þitt skaltu bara opna /etc/fstab skrána til að breyta og bæta við acl streng í lok þriðja dálks og endurræsa vélina til að beita breytingum.

3. Settu að lokum upp vélarnafnið þitt með lýsandi nafni, eins og adc1 notað í þessu dæmi, með því að breyta /etc/hostname skránni eða með því að gefa út.

$ sudo hostnamectl set-hostname adc1

Nauðsynlegt er að endurræsa eftir að þú hefur breytt heiti vélarinnar til að beita breytingum.

Skref 2: Settu upp nauðsynlega pakka fyrir Samba4 AD DC

4. Til þess að breyta þjóninum þínum í Active Directory lénsstýringu skaltu setja Samba og alla nauðsynlega pakka á vélina þína með því að gefa út skipunina hér að neðan með rótarréttindum í stjórnborði.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Á meðan uppsetningin er í gangi verður röð spurninga spurð af uppsetningarforritinu til að stilla lénsstýringuna.

Á fyrsta skjánum þarftu að bæta við nafni fyrir Kerberos sjálfgefna REALM með hástöfum. Sláðu inn nafnið sem þú munt nota fyrir lénið þitt með hástöfum og ýttu á Enter til að halda áfram.

6. Næst skaltu slá inn hýsingarheiti Kerberos netþjóns fyrir lénið þitt. Notaðu sama nafn og fyrir lénið þitt, með lágstöfum að þessu sinni og ýttu á Enter til að halda áfram.

7. Að lokum skaltu tilgreina hýsingarheitið fyrir stjórnunarþjóninn á Kerberos-ríki þínu. Notaðu það sama og lénið þitt og ýttu á Enter til að ljúka uppsetningunni.

Skref 3: Útvegaðu Samba AD DC fyrir lénið þitt

8. Áður en byrjað er að stilla Samba fyrir lénið þitt skaltu fyrst keyra neðangreindar skipanir til að stöðva og slökkva á öllum samba púkum.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Næst skaltu endurnefna eða fjarlægja samba upprunalega uppsetningu. Þetta skref er algerlega nauðsynlegt áður en Samba AD er útbúið vegna þess að á úthlutunartímanum mun Samba búa til nýja stillingarskrá frá grunni og mun kasta upp einhverjum villum ef það finnur gamla smb.conf skrá.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Byrjaðu nú lénsútvegunina gagnvirkt með því að gefa út skipunina hér að neðan með rótarréttindum og samþykkja sjálfgefnu valkostina sem Samba veitir þér.

Gakktu úr skugga um að þú gefur upp IP tölu fyrir DNS-framsendingar á þínu húsnæði (eða ytri) og veldu sterkt lykilorð fyrir stjórnandareikning. Ef þú velur viku lykilorð fyrir stjórnandareikning mun lénið mistakast.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Að lokum, endurnefna eða fjarlægðu Kerberos aðalstillingarskrá úr /etc skránni og skiptu henni út með samkennslu með Samba nýgerðri Kerberos skrá sem staðsett er í /var/lib/samba/private path með því að gefa út skipanirnar hér að neðan:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Ræstu og virkjaðu Samba Active Directory Domain Controller púka.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. Næst skaltu nota netstat skipunina til að staðfesta listann yfir allar þjónustur sem Active Directory þarf til að keyra rétt.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

Skref 4: Lokastillingar Samba

14. Á þessari stundu ætti Samba að vera að fullu starfhæft á þínu húsnæði. Hæsta lénsstigið sem Samba líkir eftir ætti að vera Windows AD DC 2008 R2.

Það er hægt að sannreyna með hjálp samba-tóls.

$ sudo samba-tool domain level show

15. Til þess að DNS upplausn virki á staðnum þarftu að opna og breyta stillingum netviðmóts og beina DNS upplausninni með því að breyta dns-nameservers yfirlýsingunni á IP tölu lénsstýringarinnar þíns (notaðu 127.0.0.1 fyrir staðbundna DNS upplausn) og dns-leitaryfirlýsing til að benda á ríki þitt.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Þegar því er lokið skaltu endurræsa netþjóninn þinn og skoða lausnarskrána þína til að ganga úr skugga um að hún vísar aftur á rétta DNS nafnaþjóna.

16. Að lokum, prófaðu DNS lausnarann með því að gefa út fyrirspurnir og ping gegn nokkrum mikilvægum AD DC gögnum, eins og í útdrættinum hér að neðan. Skiptu um lén í samræmi við það.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Keyrðu eftir nokkrar fyrirspurnir gegn Samba Active Directory lénsstýringu..

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Staðfestu einnig Kerberos auðkenningu með því að biðja um miða fyrir lénsstjórareikninginn og skráðu skyndiminni miðann. Skrifaðu lénshlutann með hástöfum.

$ kinit [email 
$ klist

Það er allt og sumt! Nú hefurðu fullvirkan AD Domain Controller uppsett á netinu þínu og þú getur byrjað að samþætta Windows eða Linux vélar í Samba AD.

Í næstu seríu munum við fjalla um önnur Samba AD efni, svo sem hvernig á að stjórna þér sem er lénsstýring frá Samba skipanalínunni, hvernig á að samþætta Windows 10 inn í lénið og stjórna Samba AD fjarstýrt með því að nota RSAT og önnur mikilvæg efni.