Zoeken op website

Creëer een Active Directory-infrastructuur met Samba4 op Ubuntu - Deel 1

Samba is gratis Open Source-software die standaard interoperabiliteit biedt tussen Windows OS en Linux/Unix besturingssystemen.

Samba kan functioneren als een zelfstandige bestands- en printserver voor Windows- en Linux-clients via de SMB/CIFS-protocolsuite of kan fungeren als een Active Directory Domain Controller of samengevoegd worden in een Realm als Domeinlid. Het hoogste AD DC domein- en forestniveau dat Samba4 momenteel kan emuleren is Windows 2008 R2.

De serie krijgt de titel Samba4 Active Directory Domain Controller instellen en behandelt de volgende onderwerpen voor Ubuntu, CentOS en Windows sterk>:

Deze tutorial begint met het uitleggen van alle stappen die u moet uitvoeren om Samba4 te installeren en configureren als Domeincontroller op Ubuntu 16.04 en Ubuntu 14.04.

Deze configuratie biedt een centraal beheerpunt voor gebruikers, machines, volumeshares, machtigingen en andere bronnen in een gemengde Windows-Linux-infrastructuur.

Vereisten:

  1. Ubuntu 16.04 Serverinstallatie.
  2. Ubuntu 14.04 Serverinstallatie.
  3. Een statisch IP-adres geconfigureerd voor uw AD DC-server.

Stap 1: Initiële configuratie voor Samba4

1. Voordat u doorgaat met de installatie van Samba4 AD DC, voeren we eerst een paar vereiste stappen uit. Zorg er eerst voor dat het systeem up-to-date is met de laatste beveiligingsfuncties, kernels en pakketten door het onderstaande commando te geven:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Open vervolgens het machinebestand /etc/fstab en zorg ervoor dat ACL's op uw partitiebestandssysteem zijn ingeschakeld, zoals geïllustreerd in de onderstaande schermafbeelding.

Meestal ondersteunen gangbare moderne Linux-bestandssystemen zoals ext3, ext4, xfs of btrfs en worden ACL's ingeschakeld door standaard. Als dat niet het geval is met uw bestandssysteem, opent u het bestand /etc/fstab om het te bewerken en voegt u de tekenreeks acl toe aan het einde van de derde kolom en reboot > de machine om wijzigingen door te voeren.

3. Stel ten slotte de hostnaam van uw machine in met een beschrijvende naam, zoals adc1 dat in dit voorbeeld wordt gebruikt, door het bestand /etc/hostname te bewerken of door uitgifte.

sudo hostnamectl set-hostname adc1

Nadat u de machinenaam heeft gewijzigd, is een opnieuw opstarten nodig om de wijzigingen door te voeren.

Stap 2: Installeer de vereiste pakketten voor Samba4 AD DC

4. Om uw server te transformeren in een Active Directory Domain Controller, installeert u Samba en alle vereiste pakketten op uw machine door het onderstaande uit te voeren commando met root-rechten in een console.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Terwijl de installatie wordt uitgevoerd, wordt door het installatieprogramma een reeks vragen gesteld om de domeincontroller te configureren.

Op het eerste scherm moet u een naam voor Kerberos standaard REALM in hoofdletters toevoegen. Voer de naam die u voor uw domein gaat gebruiken in hoofdletters in en druk op Enter om door te gaan.

6. Voer vervolgens de hostnaam van de Kerberos-server voor uw domein in. Gebruik dezelfde naam als voor uw domein, deze keer met kleine letters en druk op Enter om door te gaan.

7. Geef ten slotte de hostnaam op voor de administratieve server van uw Kerberos-domein. Gebruik hetzelfde als uw domein en druk op Enter om de installatie te voltooien.

Stap 3: Richt Samba AD DC in voor uw domein

8. Voordat u begint met het configureren van Samba voor uw domein, voert u eerst de onderstaande opdrachten uit om alle samba-daemons te stoppen en uit te schakelen.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Hernoem of verwijder vervolgens de originele samba-configuratie. Deze stap is absoluut vereist voordat Samba AD wordt ingericht, omdat Samba op het moment van de inrichting een geheel nieuw configuratiebestand zal maken en een aantal fouten zal opleveren als het een oud smb.conf bestand.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Start nu de domeininrichting interactief door het onderstaande commando uit te voeren met rootrechten en accepteer de standaardopties die Samba u biedt.

Zorg er ook voor dat u het IP-adres opgeeft voor een DNS-forwarder bij u op locatie (of extern) en kies een sterk wachtwoord voor het beheerdersaccount. Als u een weekwachtwoord kiest voor het beheerdersaccount, mislukt de domeinregistratie.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Hernoem of verwijder ten slotte het Kerberos-hoofdconfiguratiebestand uit de map /etc en vervang het door een symbolische link te gebruiken met het door Samba nieuw gegenereerde Kerberos-bestand in /var/lib /samba/private pad door de onderstaande opdrachten uit te voeren:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Start en schakel de Samba Active Directory Domain Controller-daemons in.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Gebruik vervolgens de opdracht netstat om de lijst met alle services te verifiëren die een Active Directory nodig heeft om goed te kunnen werken.

sudo netstat –tulpn| egrep ‘smbd|samba’

Stap 4: Laatste Samba-configuraties

14. Op dit moment zou Samba volledig operationeel moeten zijn bij u op locatie. Het hoogste domeinniveau dat Samba emuleert, moet Windows AD DC 2008 R2 zijn.

Dit kan worden geverifieerd met behulp van het hulpprogramma samba-tool.

sudo samba-tool domain level show

15. Om DNS resolutie lokaal te laten werken, moet u de netwerkinterface-instellingen openen en bewerken en de DNS-resolutie aanwijzen door dns-nameservers aan te passen > verklaring naar het IP-adres van uw Domeincontroller (gebruik 127.0.0.1 voor lokale DNS-resolutie) en dns-search verklaring om naar uw rijk.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Wanneer u klaar bent, start uw server opnieuw op en bekijkt u uw oplosserbestand om er zeker van te zijn dat dit terugverwijst naar de juiste DNS-naamservers.

16. Test ten slotte de DNS-resolver door queries en pings uit te voeren tegen enkele AD DC cruciale records, zoals in het onderstaande fragment. Vervang de domeinnaam dienovereenkomstig.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Voer de volgende paar query's uit tegen Samba Active Directory Domain Controller.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Verifieer ook de Kerberos-authenticatie door een ticket aan te vragen voor het domeinbeheerdersaccount en vermeld het in de cache opgeslagen ticket. Schrijf het domeinnaamgedeelte met hoofdletters.

kinit [email 
klist

Dat is alles! Nu heeft u een volledig operationele AD Domain Controller geïnstalleerd in uw netwerk en kunt u beginnen met het integreren van Windows of Linux machines in Samba AD.

In de volgende serie behandelen we andere Samba AD onderwerpen, zoals hoe u de domeincontroller kunt beheren vanaf de Samba-opdrachtregel, hoe u Windows 10 kunt integreren in de domeinnaam en hoe u Samba AD op afstand kunt beheren gebruik van RSAT en andere belangrijke onderwerpen.