SambaAD — различия между версиями
(→Использование контроллера домена в качестве файлового сервера (по желанию)) |
(→Проверка DNS (по желанию)) |
||
Строка 42: | Строка 42: | ||
===Проверка Файлового сервера (по желанию)=== | ===Проверка Файлового сервера (по желанию)=== | ||
===Проверка DNS (по желанию)=== | ===Проверка DNS (по желанию)=== | ||
+ | Чтобы убедиться, что ваша конфигурация AD DNS работает правильно, запросите некоторые записи DNS: | ||
+ | |||
+ | *на основе TCP '''_ldap''' SRV-запись в домене: | ||
+ | $ host -t SRV _ldap._tcp.samdom.example.com. | ||
+ | _ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com. | ||
+ | |||
+ | |||
+ | *на основе udp-_kerberos ресурсную SRV-запись в домене: | ||
+ | $ host -t SRV _kerberos._udp.samdom.example.com. | ||
+ | _kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1.samdom.example.com. | ||
+ | |||
+ | |||
+ | * A-запись контроллера домена: | ||
+ | $ host -t A dc1.samdom.example.com. | ||
+ | dc1.samdom.example.com has address 10.99.0.1 | ||
+ | |||
+ | |||
+ | Если один или несколько тестов не пройдены, см раздел [[Устранение неполадок]]. | ||
+ | |||
===Проверка Kerberos (по желанию)=== | ===Проверка Kerberos (по желанию)=== | ||
Это не обязательно, но рекомендуется убедиться, что механизмы проверки подлинности вашего контроллера домена работают должным образом. Чтобы проверить это, войдите в систему и запросите билет Kerberos для учетной записи администратора домена: | Это не обязательно, но рекомендуется убедиться, что механизмы проверки подлинности вашего контроллера домена работают должным образом. Чтобы проверить это, войдите в систему и запросите билет Kerberos для учетной записи администратора домена: |
Версия 11:03, 3 октября 2022
Содержание
[убрать]- 1 Контроллер домена
- 1.1 Введение
- 1.2 Подготовка к установке
- 1.3 Установка Samba
- 1.4 Инициализация Samba Active Directory
- 1.5 Настройка бэкенда AD DNS
- 1.6 Настройка DNS Resolver-а
- 1.7 Создание обратной зоны DNS
- 1.8 Настройка Kerberos
- 1.9 Тестирование Вашего контроллера домена на Samba
- 1.10 Настройка синхронизации времени (необязательно, в зависимости от варианта использования)
- 1.11 Использование контроллера домена в качестве файлового сервера (по желанию)
- 1.12 Устранение неполадок
Контроллер домена
Введение
Начиная с версии 4.0 (выпущенной в 2012 г.) Samba может выступать в качестве контроллера домена (DC) Active Directory (AD). Samba может работать на функциональном уровне леса Windows Server 2008 R2, которого более чем достаточно для управления сложными предприятиями, использующих Windows 10/11 со строгими требованиями соответствия (включая NIST 800-171).
Если вы устанавливаете Samba в производственной среде, рекомендуется установить два или более контроллера домена для аварийного переключения, более подробную информацию о подготовке отказоустойчивого контроллера домена можно найти в другом месте на вики. В этой документации описывается, как настроить Samba в качестве основного контроллера домена для создания нового леса AD. Кроме того, используйте эту документацию при переносе домена Samba NT4 в Samba AD. Чтобы присоединить Samba в качестве дополнительного контроллера домена к существующему лесу AD, см. раздел Присоединение контроллера домена Samba к существующему домену Active Directory.
Samba как AD DC поддерживает только:
- Интегрированный сервер LDAP в качестве серверной части AD.
- Центр распространения ключей Heimdal Kerberos (KDC).
- Samba обеспечивает экспериментальную поддержку MIT Kerberos KDC, предоставляемого вашей операционной системой, если вы запускаете Samba 4.7 или более позднюю версию и собранную с ключом --with-system-mitkrb5. В других случаях Samba использует Heimdal KDC, включенный в Samba.
- Размещение и администрирование объектов групповой политики, которые будут использоваться для управления парком предприятия
В этом руководстве предполагается, что планируется "чистая" установка Samba на свежеустановленную операционную систему. Важно отметить, что существует различие между установкой Samba и инициализацией Samba. В общем, весь процесс настройки контроллера домена Samba состоит из 5 относительно простых шагов. Эти шаги заключаются в следующем:
- Установка Samba и сопутствующих пакетов
- Удаление предварительно настроенных файлов конфигурации заполнителей Samba и Kerberos.
- Инициализация Samba с помощью инструмента автоматической инициализации
- Редактирование smb.conf по мере необходимости (включение групповой политики и/или других функций по мере необходимости)
- Любая другая конфигурация среды на основе дистрибутива Unix/Linux.
Эта страница охватывает много информации об установке Samba как в системах Unix, так и в Linux. Процесс установки немного различается в зависимости от среды, поэтому на протяжении всего чтения следите за связанными веб-страницами на нескольких вкладках. В оставшейся части этого руководства используется следующий пример информации:
- Имя хоста = DC1
- Локальный IP-адрес контроллера домена = 10.99.0.1
- Домен аутентификации = SAMDOM.EXAMPLE.COM
- Домен верхнего уровня = EXAMPLE.COM
Подготовка к установке
Установка с нуля
Samba была установленна ранее
Установка Samba
Инициализация Samba Active Directory
Справочник по параметрам
Инициализация Samba AD в интерактивном режиме
Инициализация Samba AD в неинтерактивном режиме
Настройка бэкенда AD DNS
Настройка DNS Resolver-а
Создание обратной зоны DNS
Настройка Kerberos
Тестирование Вашего контроллера домена на Samba
Проверка Файлового сервера (по желанию)
Проверка DNS (по желанию)
Чтобы убедиться, что ваша конфигурация AD DNS работает правильно, запросите некоторые записи DNS:
- на основе TCP _ldap SRV-запись в домене:
$ host -t SRV _ldap._tcp.samdom.example.com. _ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com.
- на основе udp-_kerberos ресурсную SRV-запись в домене:
$ host -t SRV _kerberos._udp.samdom.example.com. _kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1.samdom.example.com.
- A-запись контроллера домена:
$ host -t A dc1.samdom.example.com. dc1.samdom.example.com has address 10.99.0.1
Если один или несколько тестов не пройдены, см раздел Устранение неполадок.
Проверка Kerberos (по желанию)
Это не обязательно, но рекомендуется убедиться, что механизмы проверки подлинности вашего контроллера домена работают должным образом. Чтобы проверить это, войдите в систему и запросите билет Kerberos для учетной записи администратора домена:
$ kinit administrator Password for administrator@SAMDOM.EXAMPLE.COM:
Всегда вводите область Kerberos в верхнем регистре.
Список кэшированных билетов Kerberos:
$ klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@SAMDOM.EXAMPLE.COM Valid starting Expires Service principal 01.11.2016 08:45:00 12.11.2016 18:45:00 krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM renew until 02.11.2016 08:44:59
Если один или несколько тестов не пройдены, см. раздел "Устранение неполадок"
Настройка синхронизации времени (необязательно, в зависимости от варианта использования)
Kerberos требует синхронизации времени на всех членах домена. Для получения дополнительной информации и настройки ntpd или же chrony см . раздел Синхронизация времени. Однако, если Samba используется в качестве контроллера домена для администрирования групповой политики, можно определить объект групповой политики, который синхронизирует рабочие станции с time.windows.com после установки, что упрощает синхронизацию.
Использование контроллера домена в качестве файлового сервера (по желанию)
Несмотря на то, что Samba AD DC может предоставлять общий доступ к файлам, как и все другие режимы установки, команда Samba не рекомендует использовать DC в качестве файлового сервера по следующим причинам:
- Для любых организаций, кроме самых маленьких, наличие более одного контроллера домена является хорошей резервной мерой и делает обновления более безопасными.
- Данная мера поощряет обновление контроллера домена также как обновление хостовой ОС раз или два в год, потому что нет важных данных для перехода или других задействованных служб.
- Это означает, что можно выполнять обновления, устанавливая новые возможности и копируя изменения, которые лучше тестируются в Samba, получать новые функции и избегать ряда сохраняющихся рисков повреждения данных.
- DC и файловый сервер имеют разные точки, в которых организация хотела бы обновиться. Потребность в новых функциях контроллера домена и файлового сервера возникает в разное время. В настоящее время AD DC быстро развивается, приобретая новые функции, в то время как файловый сервер по прошествии более 20 лет стал более консервативным.
- на контроллере домена применяется обязательная подпись smb.
Если вы все-таки решите использовать контроллер домена Samba в качестве файлового сервера, рассмотрите возможность запуска виртуальной машины на контроллере домена, содержащей отдельный элемент домена Samba Unix, и используйте вместо этого его.
Если вы хотите использовать Samba DC в качестве файлового сервера, вы должны знать, что acl_xattr
Виртуальной файловой системы (VFS) позволяет настраивать общие ресурсы только со списками управления доступом Windows (ACL). Использование списков контроля доступа POSIX с общими ресурсами на контроллере домена Samba не работает.
Вы должны знать, что если вы хотите использовать объект vfs на общем ресурсе DC, например, корзину, вы не должны просто установить vfs objects = recycle
в общем ресурсе. Это отключит объекты vfs по умолчанию. dfs_samba4
а также acl_xattr
. Вы должны установить vfs objects = dfs_samba4 acl_xattr recycle
.
Чтобы предоставить сетевым ресурсам все возможности Samba, настройте члена домена Samba с общими файловыми ресурсами. Подробнее см.:
Если у вас есть только небольшой домен (маленький офис, домашняя сеть) и вы не хотите следовать рекомендации команды Samba и дополнительно использовать DC в качестве файлового сервера, настройте Winbindd до того, как начнете настраивать общие ресурсы. Дополнительные сведения см. в разделе Настройка Winbindd на Samba AD DC.
Устранение неполадок
Будет заменен на https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
Samba | |||
---|---|---|---|
Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
Служба каталогов | |||
Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
Информация | SSSD vs Winbind • Установка Samba |