See õpetus näitab teile, kuidas sekundit lisada Samba4 domeenikontroller, mis on sisse lülitatud Ubuntu 16.04 server, olemasolevale Samba AD DC metsa, et pakkuda mõningatele olulistele AD DC -teenustele, eriti selliste teenuste jaoks nagu DNS ja AD DC LDAP -skeem koos SAM -andmebaasiga, teatud määral koormuse tasakaalustamist/tõrget.
See artikkel on a 5. osa kohta Samba4 AD DC seeria järgmiselt:
1. Enne teise alalisvoolu domeeniga liitumise tegemist peate hoolitsema mõne esialgse seadistuse eest. Esiteks veenduge, et hostinimi süsteemi, mis integreeritakse Samba4 AD DC sisaldab kirjeldavat nime.
Eeldusel, et hostinimi esimese etteantud valdkonna kohta
adc1
, saate teisele alalisvoolule nime anda adc2
et pakkuda domeenikontrolleritele järjepidevat nimetamisskeemi.
Süsteemi muutmiseks hostinimi saate anda alltoodud käsu.
# hostnamectl set-hostname adc2.
muidu saate käsitsi muuta /etc/hostname faili ja lisage uus rida soovitud nimega.
# nano /etc /hostname.
Lisage siia hostinimi.
adc2.
2. Seejärel avage kohaliku süsteemi resolutsioonifail ja lisage lühinimele kirje koos IP -aadressi nõiapunktidega FQDN peamise domeenikontrolleri kohta, nagu on näidatud alloleval ekraanipildil.
Selle õpetuse kaudu on peamine DC -nimi adc1.tecmint.lan
ja see laheneb 192.168.1.254 IP-aadress.
# nano /etc /hosts.
Lisage järgmine rida:
IP_kaubamaja_kontroll FQDN_of_main_DC short_name_of_main_DC.
3. Järgmisel etapil avage /etc/network/interfaces ja määrake oma süsteemile staatiline IP -aadress, nagu on näidatud alloleval ekraanipildil.
Pööra tähelepanu dns-nimeserverid ja dns-otsing muutujad. Need väärtused tuleks konfigureerida nii, et need osutaksid tagasi esmase IP -aadressile Samba4 AD DC ja valdkonda, et DNS -i resolutsioon töötaks õigesti.
Muudatuste kajastamiseks taaskäivitage võrgu deemon. Kinnita /etc/resolv.conf faili, et veenduda, et teie võrguliidese mõlemad DNS -väärtused värskendatakse sellele failile.
# nano/etc/network/interfaces.
Muutke ja asendage oma kohandatud IP -seadetega:
auto ens33. iface ens33 inet staatiline aadress 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan.
Taaskäivitage võrguteenus ja kinnitage muudatused.
# systemctl taaskäivitage võrgustik.teenus. # kass /etc/resolv.conf.
dns-otsing väärtus lisab automaatselt domeeninime, kui esitate päringu hostile selle lühinime järgi (moodustab FQDN).
4. Selleks, et testida, kas DNS -i resolutsioon töötab ootuspäraselt, andke välja seeria ping käske oma domeeni lühinime, FQDN ja valdkonna vastu, nagu on näidatud alloleval ekraanipildil.
Kõigil neil juhtudel Samba4 AD DC DNS server peaks vastama teie peamise alalisvoolu IP -aadressiga.
5. Viimane täiendav samm, mille eest peate hoolitsema, on aja sünkroonimine oma peamise domeenikontrolleriga. Seda saab teha installimisega NTP kliendi utiliidi oma süsteemis, väljastades järgmise käsu:
# apt-get install ntpdate.
6. Eeldades, et soovite aja sünkroonimist käsitsi sundida samba4 AD DC, joosta ntpdate käsu esmase alalisvoolu vastu, väljastades järgmise käsu.
# ntpdate adc1.
7. Registreerimiseks Ubuntu 16.04 süsteem oma domeeni, installige esmalt Samba4, Kerberos klient ja mõned muud olulised paketid hilisemaks kasutamiseks Ubuntu ametlikest hoidlatest, väljastades alloleva käsu:
# apt-get install samba krb5-kasutaja krb5-config winbind libpam-winbind libnss-winbind.
8. Paigaldamise ajal peate sisestama Kerberose valdkonna nime. Kirjutage oma domeeninimi suurtähtedega ja vajutage [Sisenema] klahvi installiprotsessi lõpuleviimiseks.
9. Pärast pakettide installimise lõppu kontrollige seadeid, taotledes domeeni administraatorile Kerberose piletit kasutades kinit käsk. Kasutamine klist käsku loetleda antud Kerberose pilet.
# kinit [e -post kaitstud]_DOMAIN.TLD. # klist.
10. Enne masina integreerimist Samba4 DC, veenduge kõigepealt, et kõik teie süsteemis töötavad Samba4 deemonid on peatatud, ja puhastage alustamiseks ka Samba vaikimisi konfiguratsioonifail. Domeenikontrolleri ettevalmistamisel loob samba nullist uue konfiguratsioonifaili.
# systemctl stop samba-ad-dc smbd nmbd winbind. # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial.
11. Domeeniga liitumise alustamiseks alustage ainult esmalt samba-ad-dc deemon, pärast mida sa jooksed samba tööriist käsku, et liituda valdkonnaga, kasutades teie domeenis administraatoriõigustega kontot.
# samba -tool domeen liituge teie_domeeniga DC -U "teie_domeenihaldur"
Väljavõte domeeni integreerimisest:
# samba -tool domeen liitu tecmint.lan DC -U "tecmint_user"
Kirjutatava alalisvoolu leidmine domeenile "tecmint.lan" Leiti DC adc1.tecmint.lan. [WORKGROUP \ tecmint_user] parool: töörühm on TECMINT. valdkond on tecmint.lan. sAMAccountName kontrollimine. Kustutatud CN = ADC2, CN = arvutid, DC = tecmint, DC = lan. Lisades CN = ADC2, OU = domeenikontrollerid, DC = tecmint, DC = lan. Lisades CN = ADC2, CN = Serverid, CN = Vaikimisi-First-Site-Name, CN = Sites, CN = Configuration, DC = tecmint, DC = lan. Lisades CN = NTDS seaded, CN = ADC2, CN = serverid, CN = vaikimisi-esimese saidi nimi, CN = saidid, CN = konfiguratsioon, DC = tecmint, DC = lan. SPN -ide lisamine CN -ile = ADC2, OU = domeenikontrollerid, DC = tecmint, DC = lan. Konto parooli määramine ADC2 $ jaoks Konto lubamine. Nimetamine tühjaks. IPv4 -aadresside otsimine. IPv6 -aadresside otsimine. IPv6 -aadressi ei määrata. Jagamise seadistamine.ldb. Saladuste seadistamine.ldb. Registri seadistamine. Privileegide andmebaasi seadistamine. Idmap seadistamine db. SAM db seadistamine. Sam.ldb partitsioonide ja sätete seadistamine. Sam.ldb rootDSE seadistamine. Samba 4 ja AD skeemi eellaadimine. Samba 4 jaoks sobiv Kerberose konfiguratsioon on loodud aadressil /var/lib/samba/private/krb5.conf. Säte OK domeeni jaoks DN DC = tecmint, DC = lan. Replikatsiooni alustamine. Skeem-DN [CN = skeem, CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [402/1550] seotud_väärtused [0/0] Skeem-DN [CN = skeem, CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [804/1550] seotud_väärtused [0/0] Skeem-DN [CN = skeem, CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [1206/1550] seotud_väärtused [0/0] Skeem-DN [CN = skeem, CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [1550/1550] seotud_väärtused [0/0] Skeemiobjektide analüüsimine ja rakendamine. Partitsioon [CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [402/1614] seotud_väärtused [0/0] Partitsioon [CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [804/1614] seotud_väärtused [0/0] Partitsioon [CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [1206/1614] seotud_väärtused [0/0] Partitsioon [CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [1608/1614] seotud_väärtused [0/0] Partitsioon [CN = konfiguratsioon, DC = tecmint, DC = lan] objektid [1614/1614] seotud_väärtused [28/0] Kriitiliste objektide kopeerimine domeeni baas -DN -ist. Partitsioon [DC = tecmint, DC = lan] objektid [97/97] seotud_väärtused [24/0] Partitsioon [DC = tecmint, DC = lan] objektid [380/283] seotud_väärtused [27/0] Valmis alati kopeeritud NC -ga (baas, konfiguratsioon, skeem) Kopeerimine DC = DomainDnsZones, DC = tecmint, DC = lan. Partitsioon [DC = DomainDnsZones, DC = tecmint, DC = lan] objektid [45/45] seotud_väärtused [0/0] Kopeerimine DC = ForestDnsZones, DC = tecmint, DC = lan. Partitsioon [DC = ForestDnsZones, DC = tecmint, DC = lan] objektid [18/18] seotud_väärtused [0/0] SAM -i andmebaasi sidumine. DsReplicaUpdateRefide saatmine kõigi kopeeritud partitsioonide jaoks. Seade onSynchronized ja dsServiceName. Saladuste andmebaasi seadistamine. Liitus domeeniga TECMINT (SID S-1-5-21-715537322-3397311598-55032968) alalisvooluna.
12. Kui samba4 tarkvaraga Ubuntu on domeeni integreeritud, avage samba peamine konfiguratsioonifail ja lisage järgmised read:
# nano /etc/samba/smb.conf.
Lisage järgmine väljavõte faili smb.conf.
dns ekspediitor = 192.168.1.1. idmap_ldb: kasutage rfc2307 = jah malli kest = /bin /bash winbind kasutage vaikedomeeni = tõeline winbind offline sisselogimine = vale winbind nss info = rfc2307 winbind enum kasutajad = jah winbind enum groups = jah.
Asenda dns ekspediitori IP aadressi oma DNS -i edasisaatja IP -ga. Samba edastab kõik DNS -i lahendamise päringud, mis asuvad väljaspool teie domeeni volitatud tsooni, sellele IP -aadressile.
13. Lõpuks taaskäivitage samba deemon muudatuste kajastamiseks ja kontrollige aktiivset kataloogi replikatsiooni, täites järgmised käsud.
# systemctl taaskäivitage samba-ad-dc. # samba-tööriist drs showrepl.
14. Lisaks nimetage Kerberose esialgne konfiguratsioonifail ümber /etc tee ja asendage see uuega krb5.conf konfiguratsioonifail, mille samba genereeris domeeni ettevalmistamise ajal.
Fail asub asukohas /var/lib/samba/private kataloogi. Selle faili linkimiseks kasutage Linuxi sümbolinki /etc kataloogi.
# mv /etc/krb5.conf /etc/krb5.conf.initial. # ln -s /var/lib/samba/private/krb5.conf/etc/ # kass /etc/krb5.conf.
15. Samuti kontrollige Kerberose autentimist samba abil krb5.conf faili. Taotlege piletit administraatorkasutajale ja loetlege vahemällu salvestatud pilet, väljastades alltoodud käsud.
# kinit administraator. # klist.
16. Esimene test, mida peate tegema, on Samba4 alalisvoolu DNS resolutsioon. Domeeni DNS -i eraldusvõime kinnitamiseks küsige domeeninime abil võõrustaja käsku mõne olulise AD DNS -kirje vastu, nagu on näidatud alloleval ekraanipildil.
DNS -server peaks nüüd uuesti esitama iga päringu jaoks kahe IP -aadressiga.
# hostige oma_domeeni.tld. # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberose SRV kirje. # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV kirje.
17. Need DNS -kirjed peaksid olema registreeritud ka nähtavad Windowsi masin, kuhu on installitud RSAT -tööriistad. Avage DNS -haldur ja laiendage oma domeeni tcp -kirjetesse, nagu on näidatud alloleval pildil.
18. Järgmine test peaks näitama, kas domeeni LDAP -i replikatsioon töötab ootuspäraselt. Kasutades samba tööriist, looge konto teise domeenikontrolleri abil ja kontrollige, kas kontot kopeeritakse automaatselt esimesel Samba4 AD DC -l.
# samba-tööriista kasutaja lisab test_user.
# samba-tööriista kasutajate loend | grep test_user.
19. Konto saate luua ka a Microsoft AD UC konsooli ja kontrollige, kas konto kuvatakse mõlemal domeenikontrolleril.
Vaikimisi tuleks konto luua automaatselt mõlemale samba domeenikontrollerile. Küsige konto nime aadressilt adc1
kasutades wbinfo käsk.
20. Tegelikult avatud AD UC Windowsi konsooli, laiendage domeenikontrolleriteks ja peaksite nägema mõlemat registreeritud alalisvoolumasinat.
21. Samba4 AD DC teenuste lubamiseks kogu süsteemis keelake esmalt mõned vanad ja kasutamata Samba deemonid ning lubage ainult samba-ad-dc teenust, käivitades järgmised käsud:
# systemctl keela smbd nmbd winbind. # systemctl lubab samba-ad-dc.
22. Kui haldate Samba4 domeenikontrollerit eemalt Microsofti kliendilt või kui teie domeeni on integreeritud muid Linuxi või Windowsi kliente, mainige kindlasti domeeni IP -aadress adc2
ühendada oma võrguliidese DNS -serveri IP -seadetega, et saavutada koondamise tase.
Allpool olevad ekraanipildid illustreerivad Windowsi või Debiani/Ubuntu kliendi jaoks vajalikke konfiguratsioone.
Eeldusel, et esimene DC koos 192.168.1.254 läheb võrguühenduseta, pöörake DNS -serveri IP -aadresside järjekorda konfiguratsioonifailis, nii et see ei püüa esmalt pärida kättesaamatut DNS -serverit.
Lõpuks, kui soovite Samba4 Active abil Linuxi süsteemis kohalikku autentimist teostada Kataloogikonto või andke juurõigused AD LDAP -kontodele Linuxis, lugege juhiseid 2 ja 3 õpetus Hallake Samba4 AD infrastruktuuri Linuxi käsurealt.