Această opțiune poate fi utilă pentru organizațiile mici cu computere care rulează Windows.
Nu este nevoie să achiziționați un Windows Server ieftin pentru organizarea licențelor AD și CAL pentru a accesa controlerul de domeniu.
În final, avem bunici pentru AD: politici de grup, diferențierea drepturilor de acces la resurse etc.
Am încercat să scriu un algoritm detaliat pentru acțiunile necesare pentru organizarea Active Directory (AD) Domain Controller (DC) bazate pe serverul Ubuntu.
Luați în considerare configurația unui controler de domeniu în exemplul Ubuntu Server 12.04.4 LTS sau Ubuntu Server 13.10, instrucțiunea este potrivită pentru ambele variante fără modificări suplimentare
1. Instalarea Ubuntu
2. Configurarea setărilor adaptorului de rețea
după care veți lucra din sub utilizatorul rădăcină.
Faptul că lucrați cu privilegiile de root ale utilizatorului este indicat de un semn # în promptul de comandă
Sau puteți să alocați sudo fiecărei comenzi care necesită acces la root
Configurația interfeței dvs. de rețea este probabil să fie
iface et0 inet dhcp
auto lo
dacă lo lo inet loopback
auto eth0
dacă este et0et inet static
adresa 192.168.10.1
masca de masă 255.255.255,0
gateway 192.168.10.10
dns-nameservers 192.168.10.10
domeniu DNS-search domain.local
După modificarea setărilor de rețea, trebuie să reporniți serviciul de rețea
3. Instalarea pachetelor necesare
Dacă încă nu ați instalat serverul OpenSSH în prima etapă, acest lucru se poate face cu o comandă
Înainte de a instala ceva, este mai bine să actualizați mai întâi sistemul și pachetele cu comanda
Pentru ca calculatoarele din rețea să verifice timpul de pe serverul nostru, vom instala un server ntp
Samba4 va folosi cea mai recentă versiune și va fi construită din sursă, așa că avem nevoie de pachete pentru ao construi și a funcționa corect.
4. Asamblarea Samba4
Pentru a funcționa corect, au nevoie de sprijinul Samba fișier VFS la nivel de sistem, pentru a face modificările necesare / etc / fstab, trebuie să adăugați user_xattr, acl, bariera = 1 în configurația partiția rădăcină /
ar trebui să obțineți un șir, ceva de genul:
/ dev / mapper / dc1 - vg-root / ext4 user_xattr, acl, barieră = 1, eroare = remount-ro 0 1
după care este necesar să reporniți computerul
Nu uitați de drepturile de rădăcină
Descărcați ultima versiune stabilă a Samba din depozitul GIT
configurați, compilați și instalați Samba
Opțiunea --enable-debug este necesară pentru a afișa informații mai detaliate în jurnalele Samba.
După întâlnirea și instalat Samba (este o ocupație lungă), pentru comoditatea utilizării sale, este necesar să se înregistreze calea către fișierul executabil / usr / local / samba / sbin și / usr / local / samba / bin în fișiere / etc / sudoers secure_path variabilă și / etc / mediu PATH variabilă. adăugând șirul: / usr / local / samba / sbin: / usr / local / samba / bin
ar trebui să obțineți o linie de genul:
Defaults secure_path = „/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: / sbin: / bin: / usr / local / samba / sbin: / usr / local / samba / bin "
ar trebui să obțineți o linie de genul:
reporniți din nou (doar în caz)
5. Ridicăm AD
Ca server AD DNS, vom folosi Samba, deci dezactivați comanda bind
Pentru a manipula AD în Samba, există un instrument numit samba-tool.
Pentru configurația inițială a Samba, introduceți comanda
Dacă în prima etapă ați specificat corect numele computerului, toate setările pe care le va cere programul pot fi lăsate ca implicite.
În timpul configurării se va cere parola de administrator pentru AD, acesta trebuie să se conformeze cu cerințele de complexitate a parolelor defaul: cel puțin un caz literă mare Cel puțin un număr de cel puțin 8 caractere.
Dacă parola nu se potrivește complexității și ați văzut o eroare ca aceasta:
EROARE (ldb): excepție neîntârziată - 0000052D: Încălcarea constrângerii - check_password_restrictions: parola este prea scurtă. Ar trebui să fie egal sau mai mult de 7 caractere!
înainte de a reîncerca configurarea inițială, trebuie să ștergeți conținutul directorului / usr / local / samba / private / / usr / local / samba și / etc /
Dacă aveți nevoie să modificați complexitatea parolelor, puteți face acest lucru cu o comandă
această comandă dezactivează cerința de complexitate, dezactivează expirarea parolei, stabilește lungimea minimă a parolei la 6 caractere
Apoi, trebuie să modificați setările Samba și să adăugați următoarele linii în secțiunea [global]:
permiteți actualizările DNS = nesigure și securizate
imprimare = bsd
printcap nume = / dev / null
Acest lucru permite pentru a actualiza dinamic DNS-înregistrări pe server, la intrarea în stația de lucru (ferestre sub controlul) domeniului și dezactiva suportul de imprimare, care produce în mod constant erori în jurnal.
În fișierul /etc/resolvconf/resolv.conf.d/head, trebuie să specificați serverul DNS Samba 127.0.0.1
și reporniți serviciul resolvconf
De asemenea, instalați clientul Kerberos
și setați-l la AD utilizând fișierul creat în domeniul instrumentului samba
Pentru a porni automat serviciul Samba, aveți nevoie de un script:
acesta trebuie să fie executabil
și să creați setările implicite
6. Verificați sănătatea serverului
Trebuie să începem samba după repornire
rădăcină 865 0,3 3,0 95408 31748? Ss 18:59 0:00 / usr / local / samba / sbin / samba-D
Serverul DNS trebuie să funcționeze