Website-Suche

Erstellen Sie eine Active Directory-Infrastruktur mit Samba4 unter Ubuntu – Teil 1


Samba ist eine kostenlose Open-Source-Software, die eine Standardinteroperabilität zwischen Windows-Betriebssystemen und Linux/Unix-Betriebssystemen bietet.

Samba kann über die SMB/CIFS-Protokollsuite als eigenständiger Datei- und Druckserver für Windows- und Linux-Clients fungieren oder als Active Directory Domain Controller fungieren oder in ein < eingebunden werdenRealm als Domain-Mitglied. Die höchste AD DC-Domänen- und Gesamtstrukturebene, die Samba4 derzeit emulieren kann, ist Windows 2008 R2.

Die Reihe trägt den Titel Setting Up Samba4 Active Directory Domain Controller und behandelt folgende Themen für Ubuntu, CentOS und Windows:

In diesem Tutorial werden zunächst alle Schritte erläutert, die Sie ausführen müssen, um Samba4 als Domain Controller unter Ubuntu 16.04 zu installieren und zu konfigurieren und Ubuntu 14.04.

Diese Konfiguration stellt einen zentralen Verwaltungspunkt für Benutzer, Maschinen, Volume-Freigaben, Berechtigungen und andere Ressourcen in einer gemischten Windows-Linux-Infrastruktur bereit.

Anforderungen:

  1. Ubuntu 16.04 Serverinstallation.
  2. Ubuntu 14.04 Serverinstallation.
  3. Eine statische IP-Adresse, die für Ihren AD DC-Server konfiguriert ist.

Schritt 1: Erstkonfiguration für Samba4

1. Bevor Sie mit der Installation von Samba4 AD DC fortfahren, führen wir zunächst einige erforderliche Schritte aus. Stellen Sie zunächst sicher, dass das System mit den neuesten Sicherheitsfunktionen, Kerneln und Paketen auf dem neuesten Stand ist, indem Sie den folgenden Befehl ausführen:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Öffnen Sie als Nächstes die Datei /etc/fstab des Computers und stellen Sie sicher, dass im Dateisystem Ihrer Partitionen ACLs aktiviert sind, wie im folgenden Screenshot dargestellt.

Normalerweise unterstützen gängige moderne Linux-Dateisysteme wie ext3, ext4, xfs oder btrfs und verfügen über aktivierte ACLs Standard. Wenn dies bei Ihrem Dateisystem nicht der Fall ist, öffnen Sie einfach die Datei /etc/fstab zur Bearbeitung, fügen Sie die Zeichenfolge acl am Ende der dritten Spalte hinzu und starten Sie neu > die Maschine, um Änderungen zu übernehmen.

3. Richten Sie abschließend den Hostnamen Ihres Computers mit einem beschreibenden Namen ein, wie z. B. adc1, der in diesem Beispiel verwendet wird, indem Sie die Datei /etc/hostname bearbeiten oder Ausgabe.

sudo hostnamectl set-hostname adc1

Nachdem Sie Ihren Computernamen geändert haben, ist ein Neustart erforderlich, um die Änderungen zu übernehmen.

Schritt 2: Erforderliche Pakete für Samba4 AD DC installieren

4. Um Ihren Server in einen Active Directory Domain Controller umzuwandeln, installieren Sie Samba und alle erforderlichen Pakete auf Ihrem Computer, indem Sie den folgenden Befehl ausführen Befehl mit root-Rechten in einer Konsole ausführen.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Während die Installation läuft, stellt das Installationsprogramm eine Reihe von Fragen, um den Domänencontroller zu konfigurieren.

Auf dem ersten Bildschirm müssen Sie einen Namen für den Kerberos-Standard-REALM in Großbuchstaben hinzufügen. Geben Sie den Namen, den Sie für Ihre Domain verwenden möchten, in Großbuchstaben ein und drücken Sie die Eingabetaste, um fortzufahren.

6. Geben Sie als Nächstes den Hostnamen des Kerberos-Servers für Ihre Domain ein. Verwenden Sie denselben Namen wie für Ihre Domain, diesmal jedoch in Kleinbuchstaben, und drücken Sie die Eingabetaste, um fortzufahren.

7. Geben Sie abschließend den Hostnamen für den Verwaltungsserver Ihres Kerberos-Bereichs an. Verwenden Sie dieselbe Domain wie Ihre Domain und drücken Sie die Eingabetaste, um die Installation abzuschließen.

Schritt 3: Stellen Sie Samba AD DC für Ihre Domäne bereit

8. Bevor Sie mit der Konfiguration von Samba für Ihre Domain beginnen, führen Sie zunächst die folgenden Befehle aus, um alle Samba-Daemons zu stoppen und zu deaktivieren.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Als Nächstes benennen Sie die ursprüngliche Samba-Konfiguration um oder entfernen Sie sie. Dieser Schritt ist vor der Bereitstellung von Samba AD unbedingt erforderlich, da Samba zum Zeitpunkt der Bereitstellung eine neue Konfigurationsdatei von Grund auf erstellt und einige Fehler auslöst, falls eine alte < gefunden wirdsmb.conf-Datei.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Starten Sie nun die Domänenbereitstellung interaktiv, indem Sie den folgenden Befehl mit Root-Rechten ausführen und die Standardoptionen akzeptieren, die Ihnen Samba bietet.

Stellen Sie außerdem sicher, dass Sie die IP-Adresse für eine DNS-Weiterleitung bei Ihnen vor Ort (oder extern) angeben und wählen Sie ein sicheres Passwort für das Administratorkonto. Wenn Sie ein Wochenpasswort für das Administratorkonto wählen, schlägt die Domänenbereitstellung fehl.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Benennen Sie abschließend die Kerberos-Hauptkonfigurationsdatei um oder entfernen Sie sie aus dem Verzeichnis /etc und ersetzen Sie sie mithilfe eines Symlinks durch die von Samba neu generierte Kerberos-Datei in /var/lib /samba/private-Pfad, indem Sie die folgenden Befehle ausführen:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Starten und aktivieren Sie Samba Active Directory Domain Controller-Daemons.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Als nächstes verwenden Sie den Befehl netstat, um die Liste aller Dienste zu überprüfen, die ein Active Directory für die ordnungsgemäße Ausführung benötigt.

sudo netstat –tulpn| egrep ‘smbd|samba’

Schritt 4: Endgültige Samba-Konfigurationen

14. Zu diesem Zeitpunkt sollte Samba bei Ihnen vor Ort voll funktionsfähig sein. Die höchste Domänenebene, die Samba emuliert, sollte Windows AD DC 2008 R2 sein.

Dies kann mit Hilfe des Dienstprogramms samba-tool überprüft werden.

sudo samba-tool domain level show

15. Damit die DNS-Auflösung lokal funktioniert, müssen Sie die Netzwerkschnittstelleneinstellungen öffnen und bearbeiten und die DNS-Auflösung anpassen, indem Sie dns-nameservers ändern >-Anweisung zur IP-Adresse Ihres Domänencontrollers (verwenden Sie 127.0.0.1 für die lokale DNS-Auflösung) und dns-search-Anweisung, um auf Ihre zu verweisen Reich.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Wenn Sie fertig sind, starten Sie Ihren Server und sehen Sie sich Ihre Resolver-Datei an, um sicherzustellen, dass sie auf die richtigen DNS-Nameserver verweist.

16. Testen Sie abschließend den DNS-Resolver, indem Sie Abfragen und Pings für einige wichtige AD DC-Einträge ausgeben, wie im folgenden Auszug. Ersetzen Sie den Domänennamen entsprechend.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Führen Sie die folgenden paar Abfragen für den Samba Active Directory-Domänencontroller aus.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Überprüfen Sie außerdem die Kerberos-Authentifizierung, indem Sie ein Ticket für das Domänenadministratorkonto anfordern und das zwischengespeicherte Ticket auflisten. Schreiben Sie den Teil des Domainnamens in Großbuchstaben.

kinit [email 
klist

Das ist alles! Jetzt haben Sie einen voll funktionsfähigen AD Domain Controller in Ihrem Netzwerk installiert und können mit der Integration von Windows- oder Linux-Maschinen in Samba AD< beginnen.

In der nächsten Serie werden wir andere Samba AD-Themen behandeln, z. B. wie Sie Ihren Domänencontroller über die Samba-Befehlszeile verwalten, wie Sie Windows 10 in den Domänennamen integrieren und Samba AD remote verwalten Verwendung von RSAT und anderen wichtigen Themen.