Время идёт, технологии не стоят на месте, выходят новые, более актуальные версии операционных систем, и собсно если ты не в тренде, безусловно ты отправляешься на кадровую помойку. Поэтому сегодня речь пойдет о том, как настроить контроллер домена Ubuntu 20.04. Прежде всего, напомню, что ранее уже была статья Контроллер домена Ubuntu 18.04 — Ubuntu 18.04 AD-DC. Там поднимался «контроллер домена на коленке». Статья безусловно годная и пользующаяся спросом, но, напомню что время идёт и технологии не стоят на месте.
Цель данной статьи — не только актуализировать информацию предыдущей. Эта статья будет с блекджеком и блудницами. Если ранее при настройке домен инициализировался с помощью samba_internal DNS сервера и был способен лишь контролировать авторизацию и обслуживать dns имена присоединённых к нему клиентов, в этой статье будут использоваться BIND9 + dhcpd и все вытекающие прелести, такие как автоматическое создание DNS записей в локальной зоне, для устройств получивших адрес по DHCP. То есть любых устройств, а не только членов домена. Изначально я планировал оформить информацию в виде десятка отдельных статей, но в итоге решил объединить всё на одной странице. Так что ниже последует огромнейшая стена текста. Нуждающийся же да превозможет :)\
Данная инструкция устарела. Для поднятия контроллера домена на убунту 20 — рекомендую использовать видеоинструкции из этого плейлиста: https://youtube.com/playlist?list=PLdQohrQ3OmqRO7GUS4Mkvu686KMw4bPRd
Даже если вы исхитритесь поднять контроллер по этой инструкции — с большой долей вероятности видеоинструкции по поднятию резервного контроллера домена для убунту 20 не будут с ним совместимы.
-
Установка Ubuntu Server 20.04
Ни чем не отличается от установки Ubuntu Server 18.04
Полезные команды после установки# Обновить систему sudo apt update && sudo apt dist-upgrade -y # Установить набор сетевых утилит включающий привычный многим ifconfig sudo apt install net-tools # Узнать текущий ip адрес ip addr show ifconfig # Узнать текущий шлюз по умолчанию ip route show
-
Задаём имя сервера
-
Задаём статический IP
-
Контроллер домена Ubuntu — Настройка BIND9 — Часть 1
Примечательно, что начинается установка домена с установки DNS сервера, пакета, распространяемого отдельно от samba4. Можно и потом, но таки в этом случае придётся делать дополнительные телодвижения. Дабы этого избежать сперва надо установить bind и провести его частичную настройку. Установим, создадим зоны, проведём первичную конфигурацию
-
Ставим BIND9_DLZ
sudo apt install bind9
Прежде всего проверяем версию bind
named -v
На момент написания, в репозитории focal была версия 9.16.1 -
Cмотрим где bind держит named.conf
named -V | grep sysco
В результате увидим что-то типа этого:
Узнаём директорию bind9
—sysconfdir=/etc/bind — это папка где лежит файл named.conf
-
Смотрим где днс сервер держит кеш
sudo cat /etc/passwd | grep bind
В результате видим что-то типа этого:
Эта директория понадобится нам при дальнейшей настройке -
Проверяем named.conf
nano /etc/bind/named.conf
В результате видим:
Содержимое named.conf
Нам понадобятся файлы выделенные красным
-
Правим named.conf.options
В первую очередь делаем бэкап и правим файл
sudo cp /etc/bind/named.conf.options /etc/bind/named.conf.options_bak sudo nano /etc/bind/named.conf.options
Удаляем его содержимое и заменяем следующим:
# Глобальные настройки options { auth-nxdomain yes; directory "/var/cache/bind"; #Папка с кешем bind notify no; empty-zones-enable no; tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab"; minimal-responses yes; # IP адреса и подсети от которых будут обрабатываться запросы allow-query { 127.0.0.1; 192.168.1.0/24; #Текущая локальная сеть ag-dc-1.adminguide.lan }; # IP адреса и подсети от которых будут обрабатываться рекурсивные запросы # (Зон не обслуживаемых этим DNS сервером) allow-recursion { 127.0.0.1; 192.168.1.0/24; #Текущая локальная сеть ag-dc-1.adminguide.lan }; # Перенаправлять запросы, на которые нет информации в локальной зоне # на следующие сервера: forwarders { 192.168.1.1; #IP адрес DNS форвардера 8.8.8.8; #IP адрес DNS форвардера 8.8.4.4; #IP адрес DNS форвардера }; # Запрет на трансфер зоны allow-transfer { none; }; }; -
Правим named.conf.default-zones
sudo cp /etc/bind/named.conf.default-zones /etc/bind/named.conf.default-zones_bak sudo nano /etc/bind/named.conf.default-zones
Удаляем его содержимое и заменяем следующим:
# Корневые сервера # (Необходимы для рекурсивных запросов) zone "." { type hint; file "named.root"; }; # localhost zone zone "localhost" { type master; file "master/localhost.zone"; }; # 127.0.0. zone. zone "0.0.127.in-addr.arpa" { type master; file "master/0.0.127.zone"; }; -
Переходим разделу: «Контроллер домена Ubuntu — Настройка — Часть 1»
Теперь необходимо перейти к первой части, установке и конфиграции samba4
-
-
Контроллер домена Ubuntu — Настройка — Часть 1
-
Отключаем systemd-resolved
-
Останавливаем сервис
sudo service systemd-resolved stop
-
Убираем из автозапуска
sudo systemctl disable systemd-resolved.service
-
Удаляем симлинк /etc/resolv.conf
sudo rm /etc/resolv.conf
-
Открываем и изменяем конфиг
sudo nano /etc/resolv.conf
-
Настраиваем адрес сервера имён как на картинке.
nameserver 192.168.1.1 search adminguide.lan
Сейчас, nameserver должен быть настроен на адрес нашего текущего DNS сервера, который расположен например на роутере или ещё где
В search указывается имя нашего будущего домена
Сохраняем изменения Ctrl+O
-
-
Настраиваем файл /etc/hosts
Обязательно чтобы AD DC мог резолвиться по имени на свой IP адрес внутри настраиваемой сети, даже при пинге с самого AD DC
Открываем файл и вносим измененияsudo nano /etc/hosts
127.0.0.1 localhost.localdomain localhost 192.168.1.100 ag-dc-1.adminguide.lan ag-dc-1
Применяем изменения
-
Проверяем что в системе не работают самобые процессы
ps ax | egrep "samba|smbd|nmbd|winbindd"
Не должно быть ни одного процесса, как на картинке:
-
Инсталлируем Samba
Очень важно помнить, что контроллер домена на самбе, инициализируется раз и навсегда. Возможность изменить его название в будущем — отсутствует в принципе. Как-то назвав его однажды, с таким именем он и будет существовать до скончания веков или пока вы его не убьёте. Назвав домен ADMINGUIDE.LAN, он на всегда останется с этим именем ADMINGUIDE.LAN . Samba4 не поддерживает переименовывание домена. После его инициализации, для изменения названия, вы должны будете исключить из домена все машины которые успели в него ввести, удалить AD DC, с нуля всё настроить и ввести машины уже в него. Так что я настоятельно рекомендую продумать каждый шаг прежде чем начинать инициализировать домен, прочитать данную инструкцию до самого конца, продумать ньюансы, чтобы избежать ошибок в будущем.
-
Устанавливаем samba4 и все нужные пакеты с помощью следующей строки:
sudo apt -y install samba krb5-config winbind smbclient krb5-user
-
Дефолтная область для Керберос 5
Область по умолчанию для Kerberos v5
-
Сервер Kerberos для вашей области
Сервер kerberos для нашей области
-
Управляющий сервер вашей области Kerberos
Управляющий сервер нашей области Kerberos
-
Ожидаем окончание установки
Результаты установка Samba 4
-
Бэкапим файл с исходными настройками Samba
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bkp
-
-
Инициализируем контроллер домена Ubuntu 20.04
-
апускаем инициализацию с опцией —interactive
Из своего AD DC, мы будем рулить юзерами и группами компьютеров с линуксовыми операционками. Потому заразаранее активируем совместимость с NIS, используя команду —use-rfc2307
sudo samba-tool domain provision --use-rfc2307 --interactive
Включение поддержки Network Information Service (NIS), никак не повредит работе AD DC, несмотря даже на ситуацию в которой он никогда столкнётся с Linux серверами или компьютерами. В тоже время, если настроить контроллер без этой опции, и когда-нибудь в него будут введены машины с линуксом, придётся модифицировать схему AD и добавлять поддержку NIS. Делать это конечно же придётся с большим риском убить контроллер.
-
Указываем параметры домена
Если в процессе настройки не было допущено ошибок, те параметры которые вам нужно настраивать, кроме DNS backend инсталлятор поместит в квадратные скобки как дефолтные значения.
Realm [ADMINGUIDE.LAN]: Domain [ADMINGUIDE]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.1]: Administrator password: Retype password:
В тот момент когда установщик попросит ввести пароль, лучшее задать такой, что понадёжнее, т.к. мы будем использовать его для авторизации под администратором AD DC.
Если в данный момент в дефолтных значениях фигурируют не те значения которое вы ожидаете, скорее всего допущен серьёзный косяк, лучше начать настраивать заново.
-
Проверяем последствия инициализации
Если мы увидим информацию аналогичную приведённой ниже — это значит что контроллер домена на Ubuntu успешно завершил инициализацию:
В конце видим где самба держит конфиг named и конфиг krb5
Результат-инициализации-домена
-
-
Переходим к разделу «Контроллер домена Ubuntu — Конфигурация BIND9 — Часть 2»
-
-
Контроллер домена Ubuntu — Конфигурация BIND9 — Часть 2
-
Активируем интеграцию DLZ
sudo nano /var/lib/samba/bind-dns/named.conf
Смотрим фаел. Если всё было сделано правильно, там автоматом будет раскомменчена строка отвечающая за интеграцию нашей версии самбы с нашей версией bind9. Главная проблема в том, что в данный момент в репозиториях Focal нету совместимых на уровне версий dlz, пакетов samba4 и bind9. Примечательно что версия samba4 находящаяся на данный момент в репозитории, на уровне dlz поддерживает BIND 9.11.x . В то время как находящийся в репозитории пакет BIND9, на данный момент версии 9.16.х . Со временем, это вероятнее всего изменится и я актуализирую статью, а пока надо раскомментить строку для BIND 9.12.x
Интеграция BIND9_DLZ
Этот же файл надо заинклудить в основную конфигурацию named
sudo nano /etc/bind/named.conf
Добавляем в конец
include "/var/lib/samba/bind-dns/named.conf";
Правка named.conf
-
Проверяем права на dns.keytab
ls -l /var/lib/samba/private/dns.keytab
AdminGuide.Ru@ag-dc-1:~$ ls -l /var/lib/samba/private/dns.keytab -rw-r----- 2 root bind 802 Apr 3 19:36 /var/lib/samba/private/dns.keytab
-
Проверяем права на папку /bind-dns/
ls -l /var/lib/samba/
AdminGuide.Ru@ag-dc-1:~$ ls -l /var/lib/samba/ total 1408 drwxr-xr-x 4 root root 4096 Apr 3 17:51 DriverStore -rw------- 1 root root 421888 Apr 3 17:51 account_policy.tdb drwxrwx--- 3 root bind 4096 Apr 6 11:44 bind-dns #<================Вот она :) -rw------- 1 root root 696 Apr 3 17:51 group_mapping.tdb drwxr-xr-x 11 root root 4096 Apr 3 17:51 printers drwxr-xr-x 5 root root 4096 Apr 3 19:36 private -rw------- 1 root root 528384 Apr 3 17:51 registry.tdb -rw------- 1 root root 421888 Apr 3 17:51 share_info.tdb drwxrwx---+ 3 root 3000000 4096 Apr 3 19:36 sysvol drwxrwx--T 2 root sambashare 4096 Apr 3 17:51 usershares -rw------- 1 root root 32768 Apr 5 00:00 winbindd_cache.tdb drwxr-x--- 2 root winbindd_priv 4096 Apr 3 17:51 winbindd_privileged
-
Смотрим права на /etc/krb5.conf
ls -l /etc/krb5.conf
AdminGuide.Ru@ag-dc-1:~$ ls -l /etc/krb5.conf -rw-r--r-- 1 root bind 2891 Apr 3 17:51 /etc/krb5.conf
В случае несоответствия
sudo chown root:bind /etc/krb5.conf
-
Проверяем наличие утилиты nsupdate
which nsupdate
AdminGuide.Ru@ag-dc-1:~$ which nsupdate /usr/bin/nsupdate
-
Загружаем список корневых днс серверов
sudo wget -q -O /var/cache/bind/named.root http://www.internic.net/zones/named.root sudo chown root:bind /var/cache/bind/named.root sudo chmod 640 /var/cache/bind/named.root
-
Проверяем конфиг
sudo named-checkconf sudo service bind9 start
Если ошибок не будет обнаружено, то named-checkconf не выдаст никакой информации, можно пытаться запустить сервис. Если попытка запуска тоже не выдаст никаких критов прямо в терминал — значит хорошо. DNS сервер почти готов к работе
-
Создаём файлы зон
sudo mkdir /var/cache/bind/master sudo chown bind:bind /var/cache/bind/master
-
localhost
sudo nano /var/cache/bind/master/localhost.zone
Копируем туда следующее:
$TTL 3D $ORIGIN localhost. @ 1D IN SOA @ root ( 2013050101 ; serial 8H ; refresh 2H ; retry 4W ; expiry 1D ; minimum ) @ IN NS @ IN A 127.0.0.1
Изменяем владельца и права доступа
sudo chown bind:bind /var/cache/bind/master/localhost.zone sudo chmod 640 /var/cache/bind/master/localhost.zone
-
0.0.127.in-addr.arpa
sudo nano /var/cache/bind/master/0.0.127.zone
$TTL 3D @ IN SOA localhost. root.localhost. ( 2013050101 ; Serial 8H ; Refresh 2H ; Retry 4W ; Expire 1D ; Minimum TTL ) IN NS localhost. 1 IN PTR localhost.
sudo chown bind:bind /var/cache/bind/master/0.0.127.zone sudo chmod 640 /var/cache/bind/master/0.0.127.zone
-
-
Запускаем\перезапускаем bind9, проверяем созданные зоны
sudo service bind9 restart host -t A localhost 127.0.0.1 host -t PTR 127.0.0.1 127.0.0.1
AdminGuide.Ru@ag-dc-1:~$ sudo service bind9 restart AdminGuide.Ru@ag-dc-1:~$ host -t A localhost 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: localhost has address 127.0.0.1 AdminGuide.Ru@ag-dc-1:~$ host -t PTR 127.0.0.1 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: 1.0.0.127.in-addr.arpa domain name pointer localhost.
-
Переходим к разделу: «Контроллер домена Ubuntu — Настройка — Часть 2»
-
-
Контроллер домена Ubuntu — Настройка — Часть 2
-
-
Настройка запуска
Для корректной работы, все процессы самбы должна запускать сама самба и никто иной. Если процесс самбы будет запущен не самбой а например от рута и этот процесс сгенерит какой-нибудь нужный для работы контроллера домена фаел, то после этого вы можете хоть взрывать весь домен, т.к. больше у вас он не взлетит. Из-за этого, для возвращения работоспособсности, придётся вручную дебажить, искать где косяк, просто реально до посинения выискивать причину ошибки. Я занимался этим у нескольких заказчиков, не пожелаю этого никому. Проще сразу же сделать нормально.
sudo systemctl stop smbd nmbd winbind sudo systemctl disable smbd nmbd winbind sudo systemctl mask smbd nmbd winbind
Блокируем samba-ad-dc для ручного старта, включаем сервис и включаем его автозапуск
sudo systemctl unmask samba-ad-dc sudo systemctl start samba-ad-dc sudo systemctl enable samba-ad-dc
-
Настройка DNS адреса
Указываем сервером имён, свой собственный айпишник AD DC
sudo nano /etc/netplan/*.yaml
Для этого необходимо сконфигурировать параметры сети по следующему принципу:
dhcp4: no dhcp6: no addresses: [192.168.1.100/24, ] gateway4: 192.168.1.1 nameservers: addresses: [192.168.1.100, ]
Настраиваем адрес сервера имён, так же указывая там айпишник AD DC, приведя его к виду:
sudo nano /etc/resolv.conf
nameserver 192.168.1.100 search adminguide.lan
-
Контроллер домена Ubuntu — Настройка Kerberos
При инициализации AD DC, будет создан файл конфигурации керберос, где он расположен, указывается в конце отчета об инициализации. Дабы не делать двойную работу, заменяем существующий файл настроек Kerberos, только что созданным файлом.
sudo cp /var/lib/samba/private/krb5.conf /etc/
-
Убеждаемся что всё работает
-
- Смотрим имеющиеся на контроллере общие каталоги
smbclient -L localhost -U%
Помним что они автоматически создаются в момент инициализации и если их нет, значит где-то косяк. А в следствии такого косяка, ничего не будет функционировать нормально или не будет даже запускаться
smbclient -L localhost -U%
- Смотрим возможность подключения к netlogon
Теперь сотрим пускает ли доменного админа в каталог netlogonsmbclient //localhost/netlogon -UAdministrator -c 'ls'
- Когда потребуется авторизация, вводим пароль указанный в момент инициализации. Авторизовавшись успешно вы получите доступ к каталогу
Проверка netlogon
- Проверяем правильность настройки DNS
Если bind9 был настроен некорректно, то AD DC не взлетит. Для того чтобы проверить, попытаемся извлечь из днс сервера необходимые записи- Во-первых смотрим SRV запись _ldap
host -t SRV _ldap._tcp.adminguide.lan.
AdminGuide.Ru@ag-dc-1:~$ host -t SRV _ldap._tcp.adminguide.lan. _ldap._tcp.adminguide.lan has SRV record 0 100 389 ag-dc-1.adminguide.lan.
- Во-вторых смотрим SRV запись _kerberos
host -t SRV _kerberos._udp.adminguide.lan.
AdminGuide.Ru@ag-dc-1:~$ host -t SRV _kerberos._udp.adminguide.lan. _kerberos._udp.adminguide.lan has SRV record 0 100 88 ag-dc-1.adminguide.lan.
- В-третьих проверяем A запись контроллера домена
host -t A ag-dc-1.adminguide.lan.
AdminGuide.Ru@ag-dc-1:~$ host -t A ag-dc-1.adminguide.lan. ag-dc-1.adminguide.lan has address 192.168.1.100
- Проверяем работоспособность Kerberos
kinit administrator
AdminGuide.Ru@ag-dc-1:~$ kinit administrator Password for administrator@ADMINGUIDE.LAN: Warning: Your password will expire in 38 days on Fri May 15 19:36:28 2020
- В конечном итоге, смотрим кеш авторизационных тикетов Kerberos
klist
klistAdminGuide.Ru@ag-dc-1:~$ klist Ticket cache: FILE:/tmp/krb5cc_1001 Default principal: administrator@ADMINGUIDE.LAN Valid starting Expires Service principal 04/07/20 09:02:16 04/07/20 19:02:16 krbtgt/ADMINGUIDE.LAN@ADMINGUIDE.LAN renew until 04/08/20 09:02:12 AdminGuide.Ru@ag-dc-1:~$
- Во-первых смотрим SRV запись _ldap
- Переходим к настройке DHCP сервера
- Смотрим имеющиеся на контроллере общие каталоги
-
-
-
-
Контроллер домена Ubuntu — Настройка DHCP сервера
- Для начала устанавливаем DHCP сервер
sudo apt-get install isc-dhcp-server
- Затем создаём пользователя домена для работы с обновлениями
sudo samba-tool user create dhcpduser --description="Unprivileged user for TSIG-GSSAPI DNS updates via ISC DHCP server" --random-password
- Так же устанавливаем истечение пароля и добавляем в группу DnsAdmins
sudo samba-tool user setexpiry dhcpduser --noexpiry sudo samba-tool group addmembers DnsAdmins dhcpduser
AdminGuide.Ru@ag-dc-1:~$ sudo samba-tool user setexpiry dhcpduser --noexpiry Expiry for user 'dhcpduser' disabled. AdminGuide.Ru@ag-dc-1:~$ sudo samba-tool group addmembers DnsAdmins dhcpduser Added members to group DnsAdmins
- Теперь экспортируем данные
sudo samba-tool domain exportkeytab --principal=dhcpduser@ADMINGUIDE.LAN /etc/dhcpduser.keytab sudo chown dhcpd:dhcpd /etc/dhcpduser.keytab sudo chmod 400 /etc/dhcpduser.keytab
- Создаём скрипт
sudo nano /usr/local/bin/dhcp-dyndns.sh
#!/bin/bash # /usr/local/bin/dhcp-dyndns.sh # This script is for secure DDNS updates on Samba 4 # Version: 0.8.9 # Uncomment the next line if using a self compiled Samba and adjust for your PREFIX #PATH="/usr/local/samba/bin:/usr/local/samba/sbin:$PATH" BINDIR=$(samba -b | grep 'BINDIR' | grep -v 'SBINDIR' | awk '{print $NF}') WBINFO="$BINDIR/wbinfo" # DNS domain domain=$(hostname -d) if [ -z ${domain} ]; then logger "Cannot obtain domain name, is DNS set up correctly?" logger "Cannot continue... Exiting." exit 1 fi # Samba 4 realm REALM=$(echo ${domain^^}) # Additional nsupdate flags (-g already applied), e.g. "-d" for debug NSUPDFLAGS="-d" # krbcc ticket cache export KRB5CCNAME="/tmp/dhcp-dyndns.cc" # Kerberos principal SETPRINCIPAL="dhcpduser@${REALM}" # Kerberos keytab # /etc/dhcpduser.keytab # krbcc ticket cache # /tmp/dhcp-dyndns.cc TESTUSER="$($WBINFO -u) | grep 'dhcpduser')" if [ -z "${TESTUSER}" ]; then logger "No AD dhcp user exists, need to create it first.. exiting." logger "you can do this by typing the following commands" logger "kinit Administrator@${REALM}" logger "samba-tool user create dhcpduser --random-password --description=\"Unprivileged user for DNS updates via ISC DHCP server\"" logger "samba-tool user setexpiry dhcpduser --noexpiry" logger "samba-tool group addmembers DnsAdmins dhcpduser" exit 1 fi # Check for Kerberos keytab if [ ! -f /etc/dhcpduser.keytab ]; then echo "Required keytab /etc/dhcpduser.keytab not found, it needs to be created." echo "Use the following commands as root" echo "samba-tool domain exportkeytab --principal=${SETPRINCIPAL} /etc/dhcpduser.keytab" echo "chown XXXX:XXXX /etc/dhcpduser.keytab" echo "Replace 'XXXX:XXXX' with the user & group that dhcpd runs as on your distro" echo "chmod 400 /etc/dhcpduser.keytab" exit 1 fi # Variables supplied by dhcpd.conf action=$1 ip=$2 DHCID=$3 name=${4%%.*} usage() { echo "USAGE:" echo " $(basename $0) add ip-address dhcid|mac-address hostname" echo " $(basename $0) delete ip-address dhcid|mac-address" } _KERBEROS () { # get current time as a number test=$(date +%d'-'%m'-'%y' '%H':'%M':'%S) # Note: there have been problems with this # check that 'date' returns something like # 04-09-15 09:38:14 # Check for valid kerberos ticket #logger "${test} [dyndns] : Running check for valid kerberos ticket" klist -c /tmp/dhcp-dyndns.cc -s if [ "$?" != "0" ]; then logger "${test} [dyndns] : Getting new ticket, old one has expired" kinit -F -k -t /etc/dhcpduser.keytab -c /tmp/dhcp-dyndns.cc "${SETPRINCIPAL}" if [ "$?" != "0" ]; then logger "${test} [dyndns] : dhcpd kinit for dynamic DNS failed" exit 1; fi fi } # Exit if no ip address or mac-address if [ -z "${ip}" ] || [ -z "${DHCID}" ]; then usage exit 1 fi # Exit if no computer name supplied, unless the action is 'delete' if [ "${name}" = "" ]; then if [ "${action}" = "delete" ]; then name=$(host -t PTR "${ip}" | awk '{print $NF}' | awk -F '.' '{print $1}') else usage exit 1; fi fi # Set PTR address ptr=$(echo ${ip} | awk -F '.' '{print $4"."$3"."$2"."$1".in-addr.arpa"}') ## nsupdate ## case "${action}" in add) _KERBEROS nsupdate -g ${NSUPDFLAGS} << UPDATE server 127.0.0.1 realm ${REALM} update delete ${name}.${domain} 3600 A update add ${name}.${domain} 3600 A ${ip} send UPDATE result1=$? nsupdate -g ${NSUPDFLAGS} << UPDATE server 127.0.0.1 realm ${REALM} zone ${rzone} update delete ${ptr} 3600 PTR update add ${ptr} 3600 PTR ${name}.${domain} send UPDATE result2=$? ;; delete) _KERBEROS nsupdate -g ${NSUPDFLAGS} << UPDATE server 127.0.0.1 realm ${REALM} update delete ${name}.${domain} 3600 A send UPDATE result1=$? nsupdate -g ${NSUPDFLAGS} << UPDATE server 127.0.0.1 realm ${REALM} update delete ${ptr} 3600 PTR send UPDATE result2=$? ;; *) echo "Invalid action specified" exit 103 ;; esac result="${result1}${result2}" if [ "${result}" != "00" ]; then logger "DHCP-DNS Update failed: ${result}" else logger "DHCP-DNS Update succeeded" fi exit ${result}Устанавливаем права на скрипт
sudo chmod 755 /usr/local/bin/dhcp-dyndns.sh
- Модифицируем файл с настройками
Создаём бекап и модифицируем конфигsudo cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf_bak sudo nano /etc/dhcp/dhcpd.conf
Заменив содержимое на следующее:
authoritative; ddns-update-style none; subnet 192.168.1.0 netmask 255.255.255.0 { #Подсеть и маска на которую будет вещать dhcp сервер option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option time-offset 0; option routers 192.168.1.1; #Шлюз option domain-name "adminguide.lan"; #Имя домена option domain-name-servers 192.168.1.100; #ДНС сервера option netbios-name-servers 192.168.1.100; #NetBIOS сервера option ntp-servers 192.168.1.100; #NTP сервера pool { #Пулл адресов max-lease-time 1800; # Максимальное время аренды в секундах range 192.168.1.110 192.168.1.199; #Диапазон адресов } } on commit { set noname = concat("dhcp-", binary-to-ascii(10, 8, "-", leased-address)); set ClientIP = binary-to-ascii(10, 8, ".", leased-address); set ClientDHCID = concat ( suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,1,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,2,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,3,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,4,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,5,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,6,1))),2) ); set ClientName = pick-first-value(option host-name, config-option-host-name, client-name, noname); log(concat("adminguide.ru commit: IP: ", ClientIP, " DHCID: ", ClientDHCID, " Name: ", ClientName)); execute("/usr/local/bin/dhcp-dyndns.sh", "add", ClientIP, ClientDHCID, ClientName); } on release { set ClientIP = binary-to-ascii(10, 8, ".", leased-address); set ClientDHCID = concat ( suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,1,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,2,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,3,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,4,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,5,1))),2), ":", suffix (concat ("0", binary-to-ascii (16, 8, "", substring(hardware,6,1))),2) ); log(concat("Release: IP: ", ClientIP)); execute("/usr/local/bin/dhcp-dyndns.sh", "delete", ClientIP, ClientDHCID); } on expiry { set ClientIP = binary-to-ascii(10, 8, ".", leased-address); # cannot get a ClientMac here, apparently this only works when actually receiving a packet log(concat("Expired: IP: ", ClientIP)); # cannot get a ClientName here, for some reason that always fails execute("/usr/local/bin/dhcp-dyndns.sh", "delete", ClientIP, "", "0"); } - Редактируем права на запуск
sudo nano /etc/apparmor.d/usr.sbin.dhcpd
Добавляем в конец файла перед закрывающей скобкой }
/usr/local/bin/dhcp-dyndns.sh rix, /dev/tty wr, /usr/sbin/samba rix, /usr/bin/gawk rix, /usr/bin/grep rix, /usr/bin/hostname rix, /usr/bin/logger rix, /usr/bin/wbinfo rix, /usr/bin/date rix, /usr/bin/klist rix, /usr/bin/host rix, /proc/** wr, /usr/bin/kinit rix, /etc/dhcpduser.keytab rk, /run/samba/winbindd/pipe wr, /etc/dhcpduser.keytab rk, /tmp/* wrk, /usr/bin/nsupdate rix,
Рестарт AppArmor
sudo /etc/init.d/apparmor stop && sudo /etc/init.d/apparmor start
Рестарт DHCP сервера
sudo service isc-dhcp-server stop && sudo service isc-dhcp-server start
-
Контроллер домена Ubuntu — Проверяем работу DHCP
В сети с ad-dc-1 у меня есть еще 1 ubuntu server с именем ag-dc-lin-client-1. Он не в домене, он не настраивался, он просто есть и он получает сетевые настройки по dhcp.
Пытаюсь пингануть этот клиентпо имени, результат нулевой.
Включаю этот сервер, жду пока загрузится. После того как сервер загрузился, пытаюсь снова, пинг идёт.
Команды ping ag-dc-lin-client-1 и ping ag-dc-lin-client-1.adminguide.lan теперь будут успешно пинговать эту машину по имени. Как и другие ваши устройства не находящиеся в домене и получающие адреса по DHCP от контроллера домена.
- Для начала устанавливаем DHCP сервер
- Заключение
Таким образом мы и подошли к концу. Никогда не стоит забывать, что для улучшений ещё очень большой простор, но этот вариант позволит админу иметь в небольшом офисе лицензионный Active Directory Domain Controller с DNS и DHCP серверами, способными обслуживать не только компьютеры присоединённые к домену, но и все машины вообще. Что позволит уйти от настройки локальных сервисов на статические ip адреса, и перейти на использование динамических ip адресов в связке с dns именами устройств
Полезные материалы:
- https://www.samba.org/
- Видеоурок по статье: Контроллер домена Linux — Видеоурок
