Această opțiune poate fi utilă pentru organizațiile mici cu computere care rulează Windows.
Nu este nevoie să achiziționați un Windows Server ieftin pentru organizarea licențelor AD și CAL pentru a accesa controlerul de domeniu.
În final, avem bunici pentru AD: politici de grup, diferențierea drepturilor de acces la resurse etc.
Am încercat să scriu un algoritm detaliat pentru acțiunile necesare pentru organizarea Active Directory (AD) Domain Controller (DC) bazate pe serverul Ubuntu.
Luați în considerare configurația unui controler de domeniu în exemplul Ubuntu Server 12.04.4 LTS sau Ubuntu Server 13.10, instrucțiunea este potrivită pentru ambele variante fără modificări suplimentare
1. Instalarea Ubuntu
2. Configurarea setărilor adaptorului de rețea
după care veți lucra din sub utilizatorul rădăcină.
Faptul că lucrați cu privilegiile de root ale utilizatorului este indicat de un semn # în promptul de comandă
Sau puteți să alocați sudo fiecărei comenzi care necesită acces la root
Configurația interfeței dvs. de rețea este probabil să fie
iface et0 inet dhcp
auto lo
dacă lo lo inet loopback
auto eth0
dacă este et0et inet static
adresa 192.168.10.1
masca de masă 255.255.255,0
gateway 192.168.10.10
dns-nameservers 192.168.10.10
domeniu DNS-search domain.local
După modificarea setărilor de rețea, trebuie să reporniți serviciul de rețea
3. Instalarea pachetelor necesare
Dacă încă nu ați instalat serverul OpenSSH în prima etapă, acest lucru se poate face cu o comandă
Înainte de a instala ceva, este mai bine să actualizați mai întâi sistemul și pachetele cu comanda
Pentru ca calculatoarele din rețea să verifice timpul de pe serverul nostru, vom instala un server ntp
Samba4 va folosi cea mai recentă versiune și va fi construită din sursă, așa că avem nevoie de pachete pentru ao construi și a funcționa corect.
4. Asamblarea Samba4
Pentru a funcționa corect, au nevoie de sprijinul Samba fișier VFS la nivel de sistem, pentru a face modificările necesare / etc / fstab, trebuie să adăugați user_xattr, acl, bariera = 1 în configurația partiția rădăcină /
ar trebui să obțineți un șir, ceva de genul:
/ dev / mapper / dc1 - vg-root / ext4 user_xattr, acl, barieră = 1, eroare = remount-ro 0 1
după care este necesar să reporniți computerul
Nu uitați de drepturile de rădăcină
Descărcați ultima versiune stabilă a Samba din depozitul GIT
configurați, compilați și instalați Samba
Opțiunea --enable-debug este necesară pentru a afișa informații mai detaliate în jurnalele Samba.
După întâlnirea și instalat Samba (este o ocupație lungă), pentru comoditatea utilizării sale, este necesar să se înregistreze calea către fișierul executabil / usr / local / samba / sbin și / usr / local / samba / bin în fișiere / etc / sudoers secure_path variabilă și / etc / variabila de mediu PATH. adăugând o linie: / usr / local / samba / sbin: / usr / local / samba / bin
ar trebui să obțineți o linie de genul:
ar trebui să obțineți o linie de genul:
reporniți din nou (doar în caz)
5. Ridicăm AD
Ca server AD DNS, vom folosi Samba, deci dezactivați comanda bind
Pentru a manipula AD în Samba, există un instrument numit samba-tool.
Pentru configurația inițială a Samba, introduceți comanda
Dacă în prima etapă ați specificat corect numele computerului, toate setările pe care le va cere programul pot fi lăsate ca implicite.
În timpul configurării, va fi solicitată parola de administrator pentru AD, aceasta trebuie să îndeplinească cerințele complexității parolei în mod prestabilit: cel puțin o literă mare, cel puțin un număr, cel puțin 8 caractere.
Dacă parola nu se potrivește complexității și ați văzut o eroare ca aceasta:
EROARE (LDB): neprins excepție - 0000052D: încălcarea Constrângere - check_password_restrictions: parola este prea scurt. Ar trebui să fie egal sau mai mult de 7 caractere!
apoi înainte de a efectua configurația inițială, trebuie să ștergeți conținutul directoarelor / usr / local / samba / private / și / usr / local / samba / etc /
Dacă aveți nevoie să modificați complexitatea parolelor, puteți face acest lucru cu o comandă
această comandă dezactivează cerința de complexitate, dezactivează expirarea parolei, stabilește lungimea minimă a parolei la 6 caractere
Apoi, trebuie să modificați setările Samba și să adăugați următoarele linii în secțiunea [global]:
permiteți actualizările DNS = nesigure și securizate
imprimare = bsd
printcap nume = / dev / null
Aceasta va actualiza dinamic înregistrările DNS de pe server, când stația de lucru (sub ferestre) este conectată la domeniu și dezactivează suportul de imprimare care emite în mod constant erori în jurnal.
În fișierul /etc/resolvconf/resolv.conf.d/head, trebuie să specificați serverul DNS Samba 127.0.0.1
și reporniți serviciul resolvconf
De asemenea, instalați clientul Kerberos
și setați-l la AD utilizând fișierul creat în domeniul instrumentului samba
Pentru a porni automat serviciul Samba, aveți nevoie de un script:
acesta trebuie să fie executabil
și să creați setările implicite
6. Verificați sănătatea serverului
Trebuie să executăm samba după repornire
rădăcină 865 0,3 3,0 95408 31748? Ss 18:59 0:00 / usr / local / samba / sbin / samba-D
Serverul DNS trebuie să funcționeze
Server: 127.0.0.1
Adresa: 127.0.0.1 # 53
Nume: dc1.domain.local
Adresa: 192.168.10.1
Resursele de resurse AD trebuie să fie disponibile
Domeniu = [DOMAIN] OS = [Unix] Server = [Samba 4.1.6]
Nume de partajare Tip Comentariu
- - - netlogon Disk
discul sysvol
IPC IPC Service IPC (Samba 4.1.6)
Domeniu = [DOMAIN] OS = [Unix] Server = [Samba 4.1.6]
Comentariu la server
- - Grupul de lucru Master
- -------
Trebuie să fie conectat la Kerberos
Trebuie să fie păstrat biletul kerberos'a
Trebuie să fie autentificat netlogon
Asta e tot.
Puteți introduce clienți în domeniu, începeți utilizatorii.
Puteți gestiona AD:
folosind parțial instrumentul samba pe Ubuntu
cu pachetul de instrumente de administrare în Windows XP
utilizând Remote Tools Administration Tools (RSAT) pe Windows 7 și versiuni ulterioare
P.S. Dacă cineva este interesat, pot scrie un "manual" despre includerea unui controler de rezervă pe Ubuntu în domeniu.