Samba ridică controlerul de domeniu pe serverul ubuntu

Ridicați controlerul de domeniu pe Ubuntu Server

Această opțiune poate fi utilă pentru organizațiile mici cu computere care rulează Windows.
Nu este nevoie să achiziționați un Windows Server ieftin pentru organizarea licențelor AD și CAL pentru a accesa controlerul de domeniu.
În final, avem bunici pentru AD: politici de grup, diferențierea drepturilor de acces la resurse etc.

Am încercat să scriu un algoritm detaliat pentru acțiunile necesare pentru organizarea Active Directory (AD) Domain Controller (DC) bazate pe serverul Ubuntu.

Luați în considerare configurația unui controler de domeniu în exemplul Ubuntu Server 12.04.4 LTS sau Ubuntu Server 13.10, instrucțiunea este potrivită pentru ambele variante fără modificări suplimentare

1. Instalarea Ubuntu

2. Configurarea setărilor adaptorului de rețea

Sau puteți să alocați sudo fiecărei comenzi care necesită acces la root

sudo nano / etc / rețea / interfețe

Configurația interfeței dvs. de rețea este probabil să fie

iface et0 inet dhcp

auto lo
dacă lo lo inet loopback

auto eth0
dacă este et0et inet static
adresa 192.168.10.1
masca de masă 255.255.255,0
gateway 192.168.10.10
dns-nameservers 192.168.10.10
domeniu DNS-search domain.local

După modificarea setărilor de rețea, trebuie să reporniți serviciul de rețea

3. Instalarea pachetelor necesare


Dacă încă nu ați instalat serverul OpenSSH în prima etapă, puteți face acest lucru cu comanda apt-get install ssh
Înainte de a instala ceva, este mai bine să actualizați mai întâi sistemul și pachetele cu comanda

apt-get update apt-get upgrade

Pentru ca calculatoarele din rețea să verifice timpul de pe serverul nostru, vom instala un server ntp

apt-get instala ntp

Samba4 va folosi cea mai recentă versiune și va fi construită din sursă, așa că avem nevoie de pachete pentru ao construi și a funcționa corect.

apt-get install git CheclInstall build-essential libacl1-dev libattr1-dev libgnutls-dev libblkid-dev libreadline-dev python-dev python-dnspython GDB PKG-config libpopt-dev libldap2-dev dnsutils libbsd-dev Attr docbook-xsl libcups2- dev acl

4. Asamblarea Samba4


Pentru a funcționa corect, au nevoie de sprijinul Samba fișier VFS la nivel de sistem, pentru a face modificările necesare / etc / fstab, trebuie să adăugați user_xattr, acl, bariera = 1 în configurația partiția rădăcină /
nano / etc / fstab ar trebui să producă un șir, ceva de genul:

/ dev / mapper / dc1 - vg-root / ext4 user_xattr, acl, barieră = 1, eroare = remount-ro 0 1

după care este necesar să reporniți computerul

Nu uitați de drepturile de rădăcină ale lui sudo su

Descărcați ultima versiune stabilă a Samba din depozitul GIT

cd / usr / src clona git -b v4-1-stabil git: //git.samba.org/samba.git samba-v4-1-stabil

configurați, compilați și instalați Samba

cd samba-v4-1-stabil ./configure --enable-debug face CheclInstall

Opțiunea --enable-debug este necesară pentru a afișa informații mai detaliate în jurnalele Samba.

După întâlnirea și instalat Samba (este o ocupație lungă), pentru comoditatea utilizării sale, este necesar să se înregistreze calea către fișierul executabil / usr / local / samba / sbin și / usr / local / samba / bin în fișiere / etc / sudoers secure_path variabilă și / etc / variabila de mediu PATH. adăugând o linie: / usr / local / samba / sbin: / usr / local / samba / bin

ar trebui să obțineți o linie de genul:

Defaults secure_path = „/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "

ar trebui să obțineți o linie de genul:

PATH = „/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: / sbin: / bin: / usr / jocuri: / usr / local / samba / sbin: / usr / local / samba / bin "


reporniți din nou (doar în caz)


Ca server AD DNS, vom folosi Samba, deci dezactivați comanda bind

service bind9 stop update-rc.d bind9 dezactivat

Pentru a manipula AD în Samba, există un instrument numit samba-tool.
Pentru configurația inițială a Samba, introduceți comanda

Prevederea domeniului samba-tool

Dacă în prima etapă ați specificat corect numele computerului, toate setările pe care le va cere programul pot fi lăsate ca implicite.

În timpul configurării, va fi solicitată parola de administrator pentru AD, aceasta trebuie să îndeplinească cerințele complexității parolei în mod prestabilit: cel puțin o literă mare, cel puțin un număr, cel puțin 8 caractere.
Dacă parola nu se potrivește complexității și ați văzut o eroare ca aceasta:

EROARE (ldb): excepție neîntârziată - 0000052D: Încălcarea constrângerii - check_password_restrictions: parola este prea scurtă. Ar trebui să fie egal sau mai mult de 7 caractere!

apoi înainte de a efectua configurația inițială, trebuie să ștergeți conținutul directoarelor / usr / local / samba / private / și / usr / local / samba / etc /

Dacă aveți nevoie să modificați complexitatea parolelor, puteți face acest lucru cu o comandă

samba-tool passwordsettings domeniu set --min-pwd lungime = 6 --complexity = off --max-pwd varsta = 0 --min-PWD varsta = 0

această comandă dezactivează cerința de complexitate, dezactivează expirarea parolei, stabilește lungimea minimă a parolei la 6 caractere

Apoi, trebuie să modificați setările Samba și să adăugați următoarele linii în secțiunea [global]:

permiteți actualizările DNS = nesigure și securizate
imprimare = bsd
printcap nume = / dev / null

Aceasta va actualiza dinamic înregistrările DNS de pe server, când stația de lucru (sub ferestre) este conectată la domeniu și dezactivează suportul de imprimare care emite în mod constant erori în jurnal.

În fișierul /etc/resolvconf/resolv.conf.d/head, trebuie să specificați serverul DNS Samba 127.0.0.1

echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head

și reporniți serviciul resolvconf

service resolvconf restart

De asemenea, instalați clientul Kerberos

apt-get instalează krb5-user

și setați-l la AD utilizând fișierul creat în domeniul instrumentului samba

mv /etc/krb5.conf /etc/krb5.conf.old cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Pentru a porni automat serviciul Samba, aveți nevoie de script-ul /etc/init.d/samba4 - trebuie să fie executat

chmod 755 /etc/init.d/samba4

și să creați setările implicite

update-rc.d samba4 implicite

6. Verificați sănătatea serverului


Trebuie să executăm samba după repornire

# ps aux / grep samba

rădăcină 865 0,3 3,0 95408 31748? Ss 18:59 0:00 / usr / local / samba / sbin / samba-D


Serverul DNS trebuie să funcționeze

Server: 127.0.0.1
Adresa: 127.0.0.1 # 53

Nume: dc1.domain.local
Adresa: 192.168.10.1

Resursele de resurse AD trebuie să fie disponibile

# smbclient -L localhost -U%

Domeniu = [DOMAIN] OS = [Unix] Server = [Samba 4.1.6]
Nume de partajare Tip Comentariu
- - - netlogon Disk
discul sysvol
IPC IPC Service IPC (Samba 4.1.6)
Domeniu = [DOMAIN] OS = [Unix] Server = [Samba 4.1.6]
Comentariu la server
- - Grupul de lucru de lucru
- -------

Trebuie să fie conectat la Kerberos

Trebuie să fie păstrat biletul kerberos'a

Trebuie să fie autentificat netlogon

smbclient // localhost / netlogon -Uadministrator -c 'ls'

Asta e tot. Puteți introduce clienți în domeniu, începeți utilizatorii.

Puteți gestiona AD:

  • folosind parțial instrumentul samba pe Ubuntu
  • cu pachetul de instrumente de administrare în Windows XP
  • utilizând Remote Tools Administration Tools (RSAT) pe Windows 7 și versiuni ulterioare

P.S. Dacă cineva este interesat, pot scrie și un "manual" despre includerea unui controler de rezervă pe Ubuntu în domeniu.

Articole similare