Настройка Samba4 для Linux AD-DC на Ubuntu 18.04 — наша текущая цель. В предыдущей статье мы подготовили почву для того чтобы теперь инициализировать домен. Успешно инициализированный домен позволит нам продвинуться к следующей статье и донастроить bind9.
Версии ключевых пакетов
Помним что с недавних пор версии пакетов стали критически важным элементом. Несмотря на это, в репозитории Ubuntu 18, обновления выкатываемые сейчас в репозитории Ubuntu 20, добраться не должны.
- Samba4: Version 4.7.6-Ubuntu
- bind9 (named): BIND 9.11.3-1ubuntu1.13-Ubuntu (Extended Support Version) <id:a375815>
ВНИМАНИЕ!!! НЕ ИСПОЛЬЗУЙТЕ ЗОНУ .local !!! ЕСЛИ ВЫ НАЗОВЁТЕ СВОЙ ДОМЕН somedom.local ВЫ МОЖЕТЕ СТОЛКНУТЬСЯ С НЕОБРАТИМЫМИ ПРОБЛЕМАМИ
-
Настройка Samba4 для Linux AD-DC на Ubuntu 18.04 – Часть 1
-
Отключаем systemd-resolved
-
Останавливаем сервис
sudo service systemd-resolved stop
-
Убираем из автозапуска
sudo systemctl disable systemd-resolved.service
-
Удаляем симлинк /etc/resolv.conf
sudo rm /etc/resolv.conf
-
Открываем и изменяем конфиг
sudo nano /etc/resolv.conf
-
Настраиваем адрес сервера имён как на картинке.
nameserver 192.168.1.1 search adminguide.lan
Сейчас, nameserver должен быть настроен на адрес нашего текущего DNS сервера, который расположен например на роутере или ещё где
В search указывается имя нашего будущего домена
Сохраняем изменения Ctrl+O
-
-
Настраиваем файл /etc/hosts
Обязательно чтобы AD DC мог резолвиться по имени на свой IP адрес внутри настраиваемой сети, даже при пинге с самого AD DC
Открываем файл и вносим измененияsudo nano /etc/hosts
127.0.0.1 localhost.localdomain localhost 192.168.1.100 ag-dc-1.adminguide.lan ag-dc-1
Применяем изменения
-
Проверяем что в системе не работают самобые процессы
ps ax | egrep "samba|smbd|nmbd|winbindd"
Не должно быть ни одного процесса, как на картинке:
-
Linux AD-DC на Ubuntu 18.04 — Инсталлируем Samba
Очень важно помнить, что контроллер домена на самбе, инициализируется раз и навсегда. Возможность изменить его название в будущем — отсутствует в принципе. Как-то назвав его однажды, с таким именем он и будет существовать до скончания веков или пока вы его не убьёте. Назвав домен ADMINGUIDE.LAN, он на всегда останется с этим именем ADMINGUIDE.LAN . Samba4 не поддерживает переименовывание домена. После его инициализации, для изменения названия, вы должны будете исключить из домена все машины которые успели в него ввести, удалить AD DC, с нуля всё настроить и ввести машины уже в него. Так что я настоятельно рекомендую продумать каждый шаг прежде чем начинать инициализировать домен, прочитать данную инструкцию до самого конца, продумать ньюансы, чтобы избежать ошибок в будущем.
-
Устанавливаем samba4 и все нужные пакеты с помощью следующей строки:
sudo apt -y install samba krb5-config winbind smbclient krb5-user
Чтобы инициализация Linux AD-DC на Ubuntu 18.04 прошла успешно, важно не ошибиться ни одним символом при вводе данных на экранах конфигурации kerberos
-
Дефолтная область для Керберос 5
На данном экране у нас должно автоматически подставиться название нашего домена большими буквами: ADMINGUIDE.LAN
Область по умолчанию для Kerberos v5
-
Сервер Kerberos для вашей области
Тут мы должны ввести имя_контроллера_домена.риалм.зону всё в нижнем регистре, в данном случае это:
ag-dc-1.adminguide.lan
Сервер kerberos для нашей области
-
Управляющий сервер вашей области Kerberos
На этом этапе мы вводим тоже самое что и в предыдущем:
ag-dc-1.adminguide.lan
Управляющий сервер нашей области Kerberos
-
Ожидаем окончание установки
Результаты установки Samba 4
-
Бэкапим файл с исходными настройками Samba
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bkp
-
-
Linux AD-DC на Ubuntu 18.04 — Инициализируем контроллер домена
-
Запускаем инициализацию с опцией —interactive
Из своего AD DC, мы будем рулить юзерами и группами компьютеров с линуксовыми операционками. Потому заразаранее активируем совместимость с NIS, используя команду —use-rfc2307
sudo samba-tool domain provision --use-rfc2307 --interactive
Включение поддержки Network Information Service (NIS), никак не повредит работе AD DC, несмотря даже на ситуацию в которой он никогда столкнётся с Linux серверами или компьютерами. В тоже время, если настроить контроллер без этой опции, и когда-нибудь в него будут введены машины с линуксом, придётся модифицировать схему AD и добавлять поддержку NIS. Делать это конечно же придётся с большим риском убить контроллер.
-
Linux AD-DC на Ubuntu 18.04 — Указываем параметры домена
Если в процессе настройки не было допущено ошибок, те параметры которые вам нужно настраивать, кроме DNS backend инсталлятор поместит в квадратные скобки как дефолтные значения.
Realm [ADMINGUIDE.LAN]: Domain [ADMINGUIDE]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.1]: Administrator password: Retype password:
В тот момент когда установщик попросит ввести пароль, лучшее задать такой, что понадёжнее, т.к. мы будем использовать его для авторизации под администратором AD DC.
Если в данный момент в дефолтных значениях фигурируют не те значения которое вы ожидаете, скорее всего допущен серьёзный косяк, лучше начать настраивать заново.
-
Linux AD-DC на Ubuntu 18.04 — Проверяем последствия инициализации
Если мы увидим информацию аналогичную приведённой ниже — это значит что контроллер домена на Ubuntu успешно завершил инициализацию:
В конце видим где самба держит конфиг named и конфиг krb5
Результат инициализации домена
-
-
Переходим к разделу «Контроллер домена Ubuntu — Конфигурация BIND9 — Часть 2»
На этом этапе можно считать что настройка Samba4 для Linux AD-DC на Ubuntu 18.04, точнее первая её часть, завершены успешно.
-
В данный момент весь текстовый контент на неделю раньше публикуется в моём Zen блоге . Там же проходят русскоязычные премьеры видеоуроков 🙂
Так же видео публикуются на Youtube канале, но там проходят сперва англоязычные премьеры 🙂
6 комментариев
Пропущен пункт про изменение хостнейма сервера.
В итоге все прошло вроде норм, но в итоге после инициализации имеем хоcтнейм — ubuntuDC
Данная статья — часть длинной серии статей. Смена имени происходит после установки сервера, как это сделать написано в пункте 2 первой статьи из серии: https://adminguide.ru/2020/09/01/nastrojka-bind9-dlya-linux-ad-dc-na-ubuntu-18-04-chast-1/
При указании параметров домена в инициализации контроллера домена у меня нет строки «DNS forwarder IP address»…. Сразу появляется «Administrator password:»
Почему?
Как сделать чтобы появился DNS forwarder?
Спасибо
Добрый день! А инициализируете вы BIND9_DLZ или же SAMBA_INTERNAL?
Здравствуйте. Воспользовался циклом статей и сконфигурировал контроллер домена и файловый сервер на ubuntu 18.04 для детского сада. Все получилось. В сети работают несколько десятков компьютеров с Win 7 и 8. Создано 3 группы пользователей. Но на этапе создания администратора домена прозевал сообщение: Warning: Your password will expire in 39 days on Вт 06 окт 2020 18:59:04 и теперь как администратор не могу войти (пишет, что учетная запись просрочена 🙁 ) Подскажите, пожалуйста, как исправить, ОЧЕНЬ надо. Заранее благодарен. Орлов Сергей
Добрый день! Чтобы убрать истечение пароля достаточно у конкретного пользователя через оснастку пользователей Active Directory снять галочку истечения пароля 🙂