Vertu með í viðbótar Ubuntu DC til Samba4 AD DC fyrir FailOver afritunar - Part 5

Þessi kennsla mun sýna þér hvernig á að bæta öðrum Samba4 lénsstýringu, útvegaðan á Ubuntu 16.04 netþjóni, við núverandi Samba AD DC skóg til að veita álagsjafnvægi/bilun fyrir mikilvæga AD DC þjónustu, sérstaklega fyrir þjónustu eins og DNS og AD DC LDAP skema með SAM gagnagrunni.

  1. Búðu til Active Directory innviði með Samba4 á Ubuntu – Part 1

Þessi grein er hluti-5 af Samba4 AD DC seríunni sem hér segir:

Skref 1: Upphafleg stilling fyrir Samba4 uppsetningu

1. Áður en þú byrjar að framkvæma lénstengingu fyrir seinni DC þarftu að sjá um nokkrar upphafsstillingar. Fyrst skaltu ganga úr skugga um að hýsingarheiti kerfisins sem verður samþætt í Samba4 AD DC innihaldi lýsandi nafn.

Að því gefnu að hýsingarheiti fyrsta útvegaða sviðsins sé kallað adc1, geturðu nefnt annað DC með adc2 til að veita samræmt nafnakerfi yfir lénsstýringana þína.

Til að breyta hýsingarheiti kerfisins geturðu gefið út skipunina hér að neðan.

# hostnamectl set-hostname adc2

annars geturðu breytt /etc/hostname skránni handvirkt og bætt við nýrri línu með því nafni sem þú vilt.

# nano /etc/hostname

Hér skaltu bæta við hýsingarheitinu.

adc2

2. Næst skaltu opna staðbundna kerfisupplausnarskrá og bæta við færslu með IP-tölu sem bendir á stutt nafn og FQDN aðallénsstýringarinnar, eins og sýnt er á skjámyndinni hér að neðan.

Í gegnum þessa kennslu er aðal DC nafnið adc1.tecmint.lan og það breytist í 192.168.1.254 IP tölu.

# nano /etc/hosts

Bættu við eftirfarandi línu:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. Í næsta skrefi, opnaðu /etc/network/interfaces og úthlutaðu fastri IP tölu fyrir kerfið þitt eins og sýnt er á skjámyndinni hér að neðan.

Gefðu gaum að dns-nafnaþjónum og dns-leitarbreytum. Þessi gildi ættu að vera stillt til að vísa til baka á IP tölu aðal Samba4 AD DC og sviðs til að DNS upplausn virki rétt.

Endurræstu netpúkann til að endurspegla breytingar. Staðfestu /etc/resolv.conf skrána til að tryggja að bæði DNS gildin frá netviðmótinu þínu séu uppfærð í þessa skrá.

# nano /etc/network/interfaces

Breyttu og skiptu út með sérsniðnum IP stillingum þínum:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Endurræstu sérþjónustu og staðfestu breytingar.

# systemctl restart networking.service
# cat /etc/resolv.conf

Dns-leitargildið mun sjálfkrafa bæta við léninu þegar þú biður um gestgjafa með stuttu nafni þess (mun mynda FQDN).

4. Til þess að prófa hvort DNS upplausn virkar eins og búist var við skaltu gefa út röð af ping skipunum gegn stuttnafni lénsins þíns, FQDN og ríki eins og sýnt er á skjámyndinni hér að neðan.

Í öllum þessum tilvikum ætti Samba4 AD DC DNS þjónninn að svara með IP tölu aðal DC þinnar.

5. Síðasta viðbótarskrefið sem þú þarft að gæta að er tímasamstilling við aðallénastýringuna þína. Þetta er hægt að ná með því að setja upp NTP biðlara tól á vélinni þinni með því að gefa út skipunina hér að neðan:

# apt-get install ntpdate

6. Miðað við að þú viljir þvinga fram tímasamstillingu handvirkt við samba4 AD DC, keyrðu ntpdate skipunina gegn aðal DC með því að gefa út eftirfarandi skipun.

# ntpdate adc1

Skref 2: Settu upp Samba4 með nauðsynlegum ósjálfstæðum

7. Til að skrá Ubuntu 16.04 kerfið inn á lénið þitt skaltu fyrst setja upp Samba4, Kerberos biðlara og nokkra aðra mikilvæga pakka til síðari notkunar frá opinberum geymslum Ubuntu með því að gefa út skipunina hér að neðan:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Meðan á uppsetningu stendur þarftu að gefa upp Kerberos ríkisnafn. Skrifaðu lénið þitt með hástöfum og ýttu á [Enter] takkann til að ljúka uppsetningarferlinu.

9. Eftir að uppsetningu pakkans lýkur skaltu staðfesta stillingarnar með því að biðja um Kerberos miða fyrir lénsstjóra með kinit skipun. Notaðu klist skipunina til að skrá veittan Kerberos miða.

# kinit [email _DOMAIN.TLD
# klist

Skref 3: Vertu með í Samba4 AD DC sem lénsstýring

10. Áður en vélin þín er samþætt í Samba4 DC skaltu fyrst ganga úr skugga um að allir Samba4 púkar sem keyra á kerfinu þínu séu stöðvaðir og einnig endurnefna sjálfgefna Samba stillingarskrána til að byrja að þrífa. Samba mun búa til nýja stillingarskrá frá grunni meðan þú útvegar lénsstýringuna.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Til að hefja lénstengingarferlið skaltu fyrst byrja aðeins samba-ad-dc púkinn, eftir það muntu keyra samba-tool skipunina til að ganga til liðs við ríkið með því að nota reikning með stjórnunarréttindi á léninu þínu.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Útdráttur lénssamþættingar:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Eftir að Ubuntu með samba4 hugbúnaði hefur verið samþætt við lénið, opnaðu samba aðalstillingarskrána og bættu við eftirfarandi línum:

# nano /etc/samba/smb.conf

Bættu eftirfarandi útdrætti við smb.conf skrána.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Skiptu um IP-tölu dns-framsendingar fyrir þína eigin IP-tölu DNS-framsendingar. Samba mun senda allar DNS-upplausnarfyrirspurnir sem eru utan viðurkennds svæðis léns þíns á þessa IP tölu.

13. Að lokum, endurræstu samba púkinn til að endurspegla breytingar og athugaðu afritunarskráningu með því að framkvæma eftirfarandi skipanir.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Að auki, endurnefna upphaflegu Kerberos stillingarskrána úr /etc slóð og skiptu henni út fyrir nýju krb5.conf stillingarskrána sem samba myndaði þegar lénið var útbúið.

Skráin er staðsett í /var/lib/samba/private möppu. Notaðu Linux tákntengil til að tengja þessa skrá við /etc möppu.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Staðfestu einnig Kerberos auðkenningu með samba krb5.conf skrá. Biddu um miða fyrir stjórnandanotanda og skráðu skyndiminni miðann með því að gefa út skipanirnar hér að neðan.

# kinit administrator
# klist

Skref 4: Viðbótarvottorð fyrir lénsþjónustu

16. Fyrsta prófið sem þú þarft að framkvæma er Samba4 DC DNS upplausn. Til að sannreyna DNS upplausn léns þíns skaltu spyrjast fyrir um lénið með því að nota hýsingarskipun á móti nokkrum mikilvægum AD DNS færslum eins og sýnt er á skjámyndinni hér að neðan.

DNS þjónninn ætti að spila aftur núna með pari af tveimur IP tölum fyrir hverja fyrirspurn.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Þessar DNS færslur ættu einnig að vera sýnilegar frá skráðri Windows vél með RSAT verkfæri uppsett. Opnaðu DNS Manager og stækkaðu í tcp færslur léns þíns eins og sýnt er á myndinni hér að neðan.

18. Næsta próf ætti að gefa til kynna hvort LDAP afritun léns virkar eins og búist var við. Notaðu samba-tól, búðu til reikning á öðrum lénsstýringunni og staðfestu hvort reikningurinn sé sjálfkrafa afritaður á fyrsta Samba4 AD DC.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Þú getur líka búið til reikning frá Microsoft AD UC stjórnborði og staðfest hvort reikningurinn birtist á báðum lénsstýringum.

Sjálfgefið er að reikningurinn sé búinn til sjálfkrafa á báðum samba lénsstýringum. Spurðu reikningsnafnið frá adc1 með wbinfo skipuninni.

20. Reyndar, opnaðu AD UC stjórnborðið frá Windows, stækkaðu í Domain Controllers og þú ættir að sjá báðar skráðar DC vélar.

Skref 5: Virkjaðu Samba4 AD DC þjónustu

21. Til að virkja samba4 AD DC þjónustu um allt kerfið, slökktu fyrst á nokkrum gömlum og ónotuðum Samba púkum og virkjaðu aðeins samba-ad-dc þjónustu með því að keyra eftirfarandi skipanir:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Ef þú fjarstýrir Samba4 lénsstýringunni frá Microsoft biðlara eða þú ert með aðra Linux- eða Windows-biðlara samþætta inn í lénið þitt, vertu viss um að nefna IP-tölu adc2 vélarinnar við DNS-miðlara netviðmótsins. IP stillingar til að fá offramboð.

Skjámyndirnar hér að neðan sýna þær stillingar sem krafist er fyrir Windows eða Debian/Ubuntu biðlara.

Miðað við að fyrsti DC með 192.168.1.254 fari án nettengingar, snúðu við röð DNS netþjóna IP vistföngum í stillingarskránni svo hún reyni ekki fyrst að spyrjast fyrir um ótiltækan DNS netþjón.

Að lokum, ef þú vilt framkvæma staðbundna auðkenningu á Linux kerfi með Samba4 Active Directory reikningi eða veita rótarréttindi fyrir AD LDAP reikninga í Linux, lestu skref 2 og 3 úr kennslunni Stjórna Samba4 AD Infrastructure frá Linux stjórnlínu.