Форум программистов, компьютерный форум, киберфорум
Наши страницы
ghjuf
Войти
Регистрация
Восстановить пароль
Оценить эту запись

Создание контролера домена на ubuntu 14.04 LTS Server

Запись от ghjuf размещена 24.10.2014 в 01:01
Обновил(-а) ghjuf 23.11.2014 в 10:59 (Дополнения статьи)

Здравствуйте.
Решил сделать контролер домена под ubuntu+samba4.
Потихоньку буду выкладывать наработки здесь, по мере появления времени.
Сразу скажу что по мимо самбы поднимаю виртуальные машины под VBox'ом и на них кое что тоже.. в дальнейшем возможно опишу. Так же буду использовать AD, а точней интеграцию с ним. Потому что в samba4 нет конкретно групповых политик(могу ошибаться, но не нашел), вариант создавать пользователей непосредственно в ubuntu и группы и рулить так правами.. мне показался крайне не удобным и не привычным тоже.
Ну собственно дальше пойдет описание. Если у кого будут предложения или поправки с радостью выслушаю. Так же скажу что в samba4 вшит ДНС сервер.. что очень мне понравилось, довольно удобен в использовании но о нем расскажу чуть позже. Сразу говорю что целиком и полностью на свободных ОСях не сижу. Тут у меня сам сервер под ubuntu, а администрирую его с виндовой машинки (лицензия все дела). Ну, собственно начнем..

Первым делом, если хотите по мимо иметь виртуальные машины, то первым делом делайте их. После поднятия и настройки самба у меня лично виртуальные машины не удалось поставить, видимо конфликт.
что б по 100 раз не вводить sudo я захожу под рута, под рутом будьте аккуратней
sudo su - переход под root пользователя.
После попросит пароль вводит пароль пользователя из под которого вводили команду.
ifconfig - проверяем сетевые настройки и узнаем IP адрес.
Собственно нам нужно закрепить IP адрес что б он был у машины постоянный.
nano /etc/network/interfaces - вводим эту команду и попадаем в редактирование сетевых настроек
Увидим там примерно такое:
Bash
1
2
3
# The primary network interface
auto p4p1
iface p4p1 inet DHSP
Могу немного ошибиться. Тут p4p1 это имя сетевой карты.
Приводим к такому виду:
Bash
1
2
3
4
5
6
7
8
9
10
# The primary network interface
auto p4p1
iface p4p1 inet static
        address xxx.xxx.xxx.xxx 
        netmask 255.255.255.0 
        network 192.168.1.0 
        broadcast 192.168.1.255 
        gateway xxx.xxx.xxx.xxx 
        dns-search mydomain.ru
        dns-nameservers xxx.xxx.xxx.xxx
После перегружаем машину:
reboot

Пока что так, потом добавлю еще один вариант. Можно перегружать только службу.
Хотя не всегда срабатывает..

sudo su - снова под суперпользователя
cd - выходим в корень.

устанавливаем ssh (1 пакет с коробки не ставится):
apt-get install ssh

Для того, чтобы компьютеры сети сверяли время по нашему серверу установим ntp-сервер
apt-get install ntp

Далее очень внимательно надо все делать не чего лишнего не получилось. Внимательно меняем fstab.
nano /etc/fstab - открываем
приводим к виду
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sdb2 during installation
UUID=93873709-856f-4ef5-a131-ecec720954a3 / ext4 user_xattr,acl,barrier=1,errors=remount-ro, 0 1
# /efi was on /dev/sdb1 during installation
UUID=64F0-233D /efi vfat utf8,umask=007,gid=46 0 1
# /home was on /dev/sdb4 during installation
UUID=7aee4ebc-6ca3-42d4-8c12-a3605659936e /home ext4 acl,barrier=1,user_xattr,defaults 0 2
# swap was on /dev/sdb3 during installation
UUID=cc2e4eb2-4be1-44fa-9600-9550d3faa480 none swap sw 0 0

Примерно так вот..
После ex4 идут изменения.. там не должно быть лишни пробелов.

после чего перегружаем
reboot

Тут можно подождать и щас перегрузит все вместе Но, будте готовы что система после редактирования fstab не подымится. Такое очень может быть, лично я на этом несколько раз горел.. потом все же получилось прописать все очень внимательно.

установим самбу:
apt-get install samba

удалить самбовский конфиг!
sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.bak # создает копию smb.conf
sudo rm /etc/samba/smb.conf # отчищает smb.conf
Этот момент обязательно надо сделать.. что б конфиг сам по новой прописывался. В общем что б пошло все гладко дальше, обязательно копируем и отчищаем конфиг.

Поднимаем домен
samba-tool domain provision
Далее будет примерно такое:
Domain [MYDOMAIN]: MYDOMAIN
Server Role (dc, member, standalone) [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (write 'none' to disable forwarding) [195.49.168.2]: 8.8.8.8
Administrator password:
Retype password:
Я указывал все по стандарту.. ДНС указывал внешний, 8.8.8.8 это свободный гугловски днс сервер.
Далее будет куча всяких слов..
Примерно такое:
Кликните здесь для просмотра всего текста
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=mydomain,DC=com
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=mydomain,DC=com
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: srv
NetBIOS Domain: MYDOMAIN
DNS Domain: mydomain.ru
DOMAIN SID: S-1-5-21-1262855799-3057021437-4107354850


В файле /etc/resolvconf/resolv.conf.d/head необходимо указать наш DNS-сервер Samba 127.0.0.1
echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head

перезапустить сервис resolvconf
service resolvconf restart

Также установим Kerberos клиент
apt-get install krb5-user

установить самба-клиент:
apt-get install smbclient

и настроим на AD с помощью файла созданного на этапе samba-tool domain provision
mv /etc/krb5.conf /etc/krb5.conf.old
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

после чего перегружаемся
reboot

проводим тесты:

Кликните здесь для просмотра всего текста
У нас должна быть запущена samba после перезагрузки
ps aux | grep samba

ответ
root 865 0.3 3.0 95408 31748? Ss 18:59 0:00 /usr/local/samba/sbin/samba -D

проверяем ДНС
nslookup ИМЯКОМПЬЮТЕРА
ответ
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: ИМЯКОМПЬЮТЕРА.mydomain.com
Address: 192.168.1.74

Должны быть доступны сетевые ресурсы AD
smbclient -L localhost -U%
ответ
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
Sharename Type Comment
— — — netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.6)
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
Server Comment
— — Workgroup Master
— -------

Должен подключаться Kerberos
kinit administrator
ответ
Warning: Your password will expire in 41 days on Wed Apr 23 18:49:14 2014

Должен храниться Ticket kerberos'a
klist
ответ
Valid starting Expires Service principal
12/03/2014 19:17 13/03/2014 05:17 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

Должна проходить аутентификация netlogon
smbclient //localhost/netlogon -UAdministrator -c 'ls'
ответ
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
. D 0 Wed Mar 12 18:46:48 2014
… D 0 Wed Mar 12 18:49:15 2014

тест ДНС:
Кликните здесь для просмотра всего текста
root@srv:~# host -t SRV _ldap._tcp.mydomain.ru.
_ldap._tcp.psksterh.ru has SRV record 0 100 389 ИМЯКОМПЬЮТЕРА.mydomain.ru.
root@srv:~# host -t SRV _kerberos._udp.mydomain.ru.
_kerberos._udp.psksterh.ru has SRV record 0 100 88 srv.psksterh.ru.
root@srv:~# host -t A ИМЯКОМПЬЮТЕРА.mydomain.ru.
ИМЯКОМПЬЮТЕРА.mydomain.ru. has address 192.168.1.74
Размещено в Без категории
Просмотров 3578 Комментарии 1
Всего комментариев 1
Комментарии
  1. Старый комментарий
    Через столько лет, вновь пришла задача повторить такой сервер. В этот раз парк компьютеров под windows10 будет. И домен должен начать функционировать. С вводом пк в него. В после выше данная структура была частичная, использовал учетные данные для авторизации на сервере с виндовых машин. Но в домене сами компьютеры не были. Чуть позже распишу и обновлю данную тему
    Запись от ghjuf размещена 15.03.2019 в 09:24 ghjuf вне форума
 
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru