Vertu með í viðbótar Ubuntu DC til Samba4 AD DC fyrir FailOver afritunar - Part 5
Þessi kennsla mun sýna þér hvernig á að bæta öðrum Samba4 lénsstýringu, útvegaðan á Ubuntu 16.04 netþjóni, við núverandi Samba AD DC skóg til að veita álagsjafnvægi/bilun fyrir mikilvæga AD DC þjónustu, sérstaklega fyrir þjónustu eins og DNS og AD DC LDAP skema með SAM gagnagrunni.
- Búðu til Active Directory innviði með Samba4 á Ubuntu – Part 1
Þessi grein er hluti-5 af Samba4 AD DC seríunni sem hér segir:
Skref 1: Upphafleg stilling fyrir Samba4 uppsetningu
1. Áður en þú byrjar að framkvæma lénstengingu fyrir seinni DC þarftu að sjá um nokkrar upphafsstillingar. Fyrst skaltu ganga úr skugga um að hýsingarheiti kerfisins sem verður samþætt í Samba4 AD DC innihaldi lýsandi nafn.
Að því gefnu að hýsingarheiti fyrsta útvegaða sviðsins sé kallað adc1
, geturðu nefnt annað DC með adc2
til að veita samræmt nafnakerfi yfir lénsstýringana þína.
Til að breyta hýsingarheiti kerfisins geturðu gefið út skipunina hér að neðan.
# hostnamectl set-hostname adc2
annars geturðu breytt /etc/hostname skránni handvirkt og bætt við nýrri línu með því nafni sem þú vilt.
# nano /etc/hostname
Hér skaltu bæta við hýsingarheitinu.
adc2
2. Næst skaltu opna staðbundna kerfisupplausnarskrá og bæta við færslu með IP-tölu sem bendir á stutt nafn og FQDN aðallénsstýringarinnar, eins og sýnt er á skjámyndinni hér að neðan.
Í gegnum þessa kennslu er aðal DC nafnið adc1.tecmint.lan
og það breytist í 192.168.1.254 IP tölu.
# nano /etc/hosts
Bættu við eftirfarandi línu:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Í næsta skrefi, opnaðu /etc/network/interfaces og úthlutaðu fastri IP tölu fyrir kerfið þitt eins og sýnt er á skjámyndinni hér að neðan.
Gefðu gaum að dns-nafnaþjónum og dns-leitarbreytum. Þessi gildi ættu að vera stillt til að vísa til baka á IP tölu aðal Samba4 AD DC og sviðs til að DNS upplausn virki rétt.
Endurræstu netpúkann til að endurspegla breytingar. Staðfestu /etc/resolv.conf skrána til að tryggja að bæði DNS gildin frá netviðmótinu þínu séu uppfærð í þessa skrá.
# nano /etc/network/interfaces
Breyttu og skiptu út með sérsniðnum IP stillingum þínum:
auto ens33 iface ens33 inet static address 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan
Endurræstu sérþjónustu og staðfestu breytingar.
# systemctl restart networking.service # cat /etc/resolv.conf
Dns-leitargildið mun sjálfkrafa bæta við léninu þegar þú biður um gestgjafa með stuttu nafni þess (mun mynda FQDN).
4. Til þess að prófa hvort DNS upplausn virkar eins og búist var við skaltu gefa út röð af ping skipunum gegn stuttnafni lénsins þíns, FQDN og ríki eins og sýnt er á skjámyndinni hér að neðan.
Í öllum þessum tilvikum ætti Samba4 AD DC DNS þjónninn að svara með IP tölu aðal DC þinnar.
5. Síðasta viðbótarskrefið sem þú þarft að gæta að er tímasamstilling við aðallénastýringuna þína. Þetta er hægt að ná með því að setja upp NTP biðlara tól á vélinni þinni með því að gefa út skipunina hér að neðan:
# apt-get install ntpdate
6. Miðað við að þú viljir þvinga fram tímasamstillingu handvirkt við samba4 AD DC, keyrðu ntpdate skipunina gegn aðal DC með því að gefa út eftirfarandi skipun.
# ntpdate adc1
Skref 2: Settu upp Samba4 með nauðsynlegum ósjálfstæðum
7. Til að skrá Ubuntu 16.04 kerfið inn á lénið þitt skaltu fyrst setja upp Samba4, Kerberos biðlara og nokkra aðra mikilvæga pakka til síðari notkunar frá opinberum geymslum Ubuntu með því að gefa út skipunina hér að neðan:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Meðan á uppsetningu stendur þarftu að gefa upp Kerberos ríkisnafn. Skrifaðu lénið þitt með hástöfum og ýttu á [Enter] takkann til að ljúka uppsetningarferlinu.
9. Eftir að uppsetningu pakkans lýkur skaltu staðfesta stillingarnar með því að biðja um Kerberos miða fyrir lénsstjóra með kinit skipun. Notaðu klist skipunina til að skrá veittan Kerberos miða.
# kinit [email _DOMAIN.TLD # klist
Skref 3: Vertu með í Samba4 AD DC sem lénsstýring
10. Áður en vélin þín er samþætt í Samba4 DC skaltu fyrst ganga úr skugga um að allir Samba4 púkar sem keyra á kerfinu þínu séu stöðvaðir og einnig endurnefna sjálfgefna Samba stillingarskrána til að byrja að þrífa. Samba mun búa til nýja stillingarskrá frá grunni meðan þú útvegar lénsstýringuna.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Til að hefja lénstengingarferlið skaltu fyrst byrja aðeins samba-ad-dc púkinn, eftir það muntu keyra samba-tool skipunina til að ganga til liðs við ríkið með því að nota reikning með stjórnunarréttindi á léninu þínu.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Útdráttur lénssamþættingar:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Eftir að Ubuntu með samba4 hugbúnaði hefur verið samþætt við lénið, opnaðu samba aðalstillingarskrána og bættu við eftirfarandi línum:
# nano /etc/samba/smb.conf
Bættu eftirfarandi útdrætti við smb.conf skrána.
dns forwarder = 192.168.1.1 idmap_ldb:use rfc2307 = yes template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
Skiptu um IP-tölu dns-framsendingar fyrir þína eigin IP-tölu DNS-framsendingar. Samba mun senda allar DNS-upplausnarfyrirspurnir sem eru utan viðurkennds svæðis léns þíns á þessa IP tölu.
13. Að lokum, endurræstu samba púkinn til að endurspegla breytingar og athugaðu afritunarskráningu með því að framkvæma eftirfarandi skipanir.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Að auki, endurnefna upphaflegu Kerberos stillingarskrána úr /etc slóð og skiptu henni út fyrir nýju krb5.conf stillingarskrána sem samba myndaði þegar lénið var útbúið.
Skráin er staðsett í /var/lib/samba/private möppu. Notaðu Linux tákntengil til að tengja þessa skrá við /etc möppu.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Staðfestu einnig Kerberos auðkenningu með samba krb5.conf skrá. Biddu um miða fyrir stjórnandanotanda og skráðu skyndiminni miðann með því að gefa út skipanirnar hér að neðan.
# kinit administrator # klist
Skref 4: Viðbótarvottorð fyrir lénsþjónustu
16. Fyrsta prófið sem þú þarft að framkvæma er Samba4 DC DNS upplausn. Til að sannreyna DNS upplausn léns þíns skaltu spyrjast fyrir um lénið með því að nota hýsingarskipun á móti nokkrum mikilvægum AD DNS færslum eins og sýnt er á skjámyndinni hér að neðan.
DNS þjónninn ætti að spila aftur núna með pari af tveimur IP tölum fyrir hverja fyrirspurn.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Þessar DNS færslur ættu einnig að vera sýnilegar frá skráðri Windows vél með RSAT verkfæri uppsett. Opnaðu DNS Manager og stækkaðu í tcp færslur léns þíns eins og sýnt er á myndinni hér að neðan.
18. Næsta próf ætti að gefa til kynna hvort LDAP afritun léns virkar eins og búist var við. Notaðu samba-tól, búðu til reikning á öðrum lénsstýringunni og staðfestu hvort reikningurinn sé sjálfkrafa afritaður á fyrsta Samba4 AD DC.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Þú getur líka búið til reikning frá Microsoft AD UC stjórnborði og staðfest hvort reikningurinn birtist á báðum lénsstýringum.
Sjálfgefið er að reikningurinn sé búinn til sjálfkrafa á báðum samba lénsstýringum. Spurðu reikningsnafnið frá adc1
með wbinfo skipuninni.
20. Reyndar, opnaðu AD UC stjórnborðið frá Windows, stækkaðu í Domain Controllers og þú ættir að sjá báðar skráðar DC vélar.
Skref 5: Virkjaðu Samba4 AD DC þjónustu
21. Til að virkja samba4 AD DC þjónustu um allt kerfið, slökktu fyrst á nokkrum gömlum og ónotuðum Samba púkum og virkjaðu aðeins samba-ad-dc þjónustu með því að keyra eftirfarandi skipanir:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Ef þú fjarstýrir Samba4 lénsstýringunni frá Microsoft biðlara eða þú ert með aðra Linux- eða Windows-biðlara samþætta inn í lénið þitt, vertu viss um að nefna IP-tölu adc2
vélarinnar við DNS-miðlara netviðmótsins. IP stillingar til að fá offramboð.
Skjámyndirnar hér að neðan sýna þær stillingar sem krafist er fyrir Windows eða Debian/Ubuntu biðlara.
Miðað við að fyrsti DC með 192.168.1.254 fari án nettengingar, snúðu við röð DNS netþjóna IP vistföngum í stillingarskránni svo hún reyni ekki fyrst að spyrjast fyrir um ótiltækan DNS netþjón.
Að lokum, ef þú vilt framkvæma staðbundna auðkenningu á Linux kerfi með Samba4 Active Directory reikningi eða veita rótarréttindi fyrir AD LDAP reikninga í Linux, lestu skref 2 og 3 úr kennslunni Stjórna Samba4 AD Infrastructure frá Linux stjórnlínu.