Linux Samba4 AD-DC на Ubuntu 18.04 это четвёртая из пяти существующих у меня на данный момент статей по настройке Linux AD-DC на Ubuntu Server 18.04 . На данный момент, вспоминая первые три статьи, подведём промежуточный итог. Во-первых мы установили и преднастроили bind9. Во-вторых установили samba4 и инициализировали домен. В третьих в третьей статье была завершена настройка bind9. Он стал готов обслуживать локальную зону нашего бесплатного контроллера домена. Под бесплатным я понимаю не только великую силу но и большую ответственность. Ведь его бесплатность сулит вам не только экономию денег но и особые ритуалы связанные с его обслуживанием. Потому что наравне с ними вы получаете и ограничения.
В отличии от виндового контроллера домена вы не сможете загнать в линуксовый контроллер несколько десятков тысяч машин и нормально их обслуживать. Так как упрётесь в ограничения Bind9 и DLZ модуля идущего в комплекте. Не сможете установить доверие между доменами. И прочие ограничения необходимые сверхбольшим энтерпрайзам. Но доколе вы рулите маленькой сетью малого бизнеса, вам ничего грозит. Ну а ваша жёпка плавающая под белым флагом в нейтральных водах опенсорса ко всему прочему ещё и становится хорошо защищённой от риска схлопотать административку или того хуже посадку.
Linux Samba4 AD-DC — Настройка — Часть 2
-
-
Настройка запуска
Для корректной работы, все процессы самбы должна запускать сама самба и никто иной. Если процесс самбы будет запущен не самбой, а например от рута и этот процесс сгенерит какой-нибудь нужный для работы контроллера домена фаел, то после этого вы можете хоть взрывать весь домен, т.к. больше у вас он не взлетит. Из-за этого, для возвращения работоспособсности, придётся вручную дебажить, искать где косяк, просто реально до посинения выискивать причину ошибки. Я занимался этим у нескольких заказчиков, потому не пожелаю этого никому. Проще сразу же сделать нормально. Или если на этом этапе допущена ошибка, потратить 20 минут и переделать всё с нуля. И не рассказывайте мне что дел далеко не на 10 минут. Самый долгий вебинар по настройке контроллера домена от и до, с перерывами на теорию, занимает у меня не более 60 минут.
sudo systemctl stop smbd nmbd winbind sudo systemctl disable smbd nmbd winbind sudo systemctl mask smbd nmbd winbind
Блокируем samba-ad-dc для ручного старта, включаем сервис и включаем его автозапуск
sudo systemctl unmask samba-ad-dc sudo systemctl start samba-ad-dc sudo systemctl enable samba-ad-dc
-
Настройка DNS адреса
Указываем сервером имён, свой собственный айпишник AD DC
sudo nano /etc/netplan/*.yaml
Для этого необходимо сконфигурировать параметры сети по следующему принципу:
dhcp4: no dhcp6: no addresses: [192.168.1.100/24, ] gateway4: 192.168.1.1 nameservers: addresses: [192.168.1.100, ]
Настраиваем адрес сервера имён, не забывая указать там айпишник AD DC, приведя его к виду:
sudo nano /etc/resolv.conf
nameserver 192.168.1.100 search adminguide.lan
-
Контроллер домена Ubuntu — Настройка Kerberos
При инициализации AD DC, будет создан файл конфигурации керберос, где он расположен, указывается в конце отчета об инициализации. Дабы не делать двойную работу, заменяем существующий файл настроек Kerberos, только что созданным файлом.
sudo cp /var/lib/samba/private/krb5.conf /etc/
-
Убеждаемся что всё работает
-
-
-
-
- Смотрим имеющиеся на контроллере общие каталоги
smbclient -L localhost -U%
Общие каталоги контроллера домена
Помним что они автоматически создаются в момент инициализации и если их нет, значит где-то косяк. А по причине такого косяка, ничего не будет функционировать нормально или не будет даже запускаться
- Смотрим возможность подключения к netlogon
Теперь сотрим пускает ли доменного админа в каталог netlogonsmbclient //localhost/netlogon -UAdministrator -c 'ls'
- Когда потребуется авторизация, вводим пароль указанный в момент инициализации. Авторизовавшись успешно вы получите доступ к каталогу
Проверка netlogon
- Теперь роверяем правильность настройки DNS
Если bind9 был настроен некорректно, то AD DC не взлетит. Для того чтобы проверить, попытаемся извлечь из днс сервера необходимые записи - Во-первых смотрим SRV запись _ldap
-
host -t SRV _ldap._tcp.adminguide.lan.
adminguideru@ag-dc-1:~$ host -t SRV _ldap._tcp.adminguide.lan. _ldap._tcp.adminguide.lan has SRV record 0 100 389 ag-dc-1.adminguide.lan.
- Во-вторых смотрим SRV запись _kerberos
-
host -t SRV _kerberos._udp.adminguide.lan.
adminguideru@ag-dc-1:~$ host -t SRV _kerberos._udp.adminguide.lan. _kerberos._udp.adminguide.lan has SRV record 0 100 88 ag-dc-1.adminguide.lan.
- Смотрим имеющиеся на контроллере общие каталоги
-
- В-третьих проверяем A запись контроллера домена
-
host -t A ag-dc-1.adminguide.lan.
adminguideru@ag-dc-1:~$ host -t A ag-dc-1.adminguide.lan. ag-dc-1.adminguide.lan has address 192.168.1.100
-
-
-
-
-
Linux Samba4 AD-DC — Проверяем работоспособность Kerberos
kinit administrator
adminguideru@ag-dc-1:~$ kinit administrator Password for administrator@ADMINGUIDE.LAN: Warning: Your password will expire in 39 days on Вт 06 окт 2020 18:59:04
-
Linux Samba4 AD-DC — Смотрим кеш авторизационных тикетов Kerberos
klist
adminguideru@ag-dc-1:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: administrator@ADMINGUIDE.LAN Valid starting Expires Service principal 27.08.2020 19:10:16 28.08.2020 05:10:16 krbtgt/ADMINGUIDE.LAN@ADMINGUIDE.LAN renew until 28.08.2020 19:10:14
На этом этапе у нас есть контроллер домена который обновляет свою локальную зону, и в ней регулярно актуализируются именя членов домена и их ip адреса. Но как быть с устройствами не состоящими в домене? Например сетевыми принтерами или невендовыми машинами банально не нуждающимися в присоединении к домену? Конечно же я сейчас не говорю про маки. Маки это рачина которая должна выжигаться из корпоративной сети.
Переходим к настройке DHCP сервера
В данный момент весь текстовый контент на неделю раньше публикуется в моём Zen блоге . Там же проходят русскоязычные премьеры видеоуроков 🙂
Так же видео публикуются на Youtube канале, но там проходят сперва англоязычные премьеры 🙂
17 комментариев
Касательно первой части и второго пункта, там где редачим /etc/resolv.conf. После ребута, содержимое этого файла не сохраняется.
Обязательно проверю в ближайшее время!
Я таки проверил! На самом новом контроллере домена Ubuntu Server 18.04 (пара месяцев от роду). Содержимое файла не восстанавливается. Такое возможно только если был пропущен пункт инструкции и перед созданием файла не был удалён симлинк.
Здравствуйте, напишите, пожалуйста, как вручную добавить запись днс.
День добрый! Для того чтобы добавить например А запись нужно:
# Авторизоваться под администратором доменаkinit Administrator
# Добавить запись с помощью samba-tool
samba-tool dns add ag-dc-1 adminguide.lan test-dns-record A 192.168.1.250
ag-dc-1 — имя контроллера
adminguide.lan — имя домена
test-dns-record — имя днс записи
A — тип записи
192.168.1.250 — адрес на который будет ссылаться запись
Ну или через оснастку DNS в RSAT
Спасибо, помогло. По имени нахожу айпи, а по айпи имя не могу. Что можно сделать?
чтобы найти имя по ip, нужно создать зону обратного просмотра, написать как это делается? Но администрировать зону обратного просмотра придётся ручками, код синхронизации для DHCP сервера который использую я — не обновляет обратную зону в автоматическом режиме.
Спасибо, я уже разобрался. Напишите, пожалуйста, есть ли возможность не вводить каждый раз пароль. Хочу написать скрипт на питоне, что бы при помощи samba-tool добавлять записи в обе зоны, просто передавая скрипту айпи и имя.
Вопрос по динамическим объектам. Самба их поддерживает?
dynamic.ldf содержит
dn: cn=Temp, cn=Users, dc=domain, dc=local
changeType: add
objectClass: group
objectClass: dynamicObject
entryTTL: 900
SAMAccountName: Temp
ldifde -i -f C:\temp\dynamic.ldf
Загружаются элементы.
Ошибка в записи, начиная со строки 1: Тип не определен
Ошибка со стороны сервера: 0x200cДля службы каталогов указан неопределенный тип атрибута.
Расширенная ошибка сервера::
0000200C: objectclass_attrs: attribute ‘entryTTL’ on entry ‘CN=Temp,CN=Users,DC=domain,DC=local’ is constructed!
0 элементов успешно изменено.
Не подскажу, с необходимостью реализации работы с динамическими объектами не сталкивался. Но думаю не поддерживает. По крайней мере та версия что лежит в репозиториях 18й убунты
Большое спасибо за ваши статьи.
Настроил DC на 20 убунте по вашему дзену. Теперь тестирую и пытаюсь перенести DC c 2016 сервера винды.
Добрый день
При проверке А записи выдает
servkskd.office.line has address 192.168.1.190, а должен быть 192.168.0.100
IP 192.168.1.190 — это IP интерфейса этого сервера смотрящего в WAN.
Подскажите пожалуйста как исправить. Бьюсь уже несколько дней.((((
День добрый! Наилучшая рекомендация которую могу дать — это не делать контроллер шлюзом. Но всё же если очень уж хочется, попробуйте инициализировать контроллер по инструкции, но лишь с одной сетевой картой, смотрящей в LAN. После того как он будет инициализирован — уже добавьте вторую сетевую карту. Данный способ в теории можешь помочь достигнуть желаемого, не прибегая к изменению описываемого в статьях алгоритма развёртывания первичного контроллера домена.
Уточнение:
при выполнении запроса host -t A servkskd.office.line. выдает
servkskd.office.line has address 192.168.1.190
servkskd.office.line has address 192.168.0.100
где
192.168.1.190 — ip сетевой карты смотрящей в WAN
192.168.0.100 — планируемый ip сервера в моей LAN
Проблема проявляется когда ввожу клиентские машины с ОС windows в домен.
Выдаю ошибку: «… записи узлов (А) или (АААА), которые сопоставляют имя контроллера домена Active Directory его IP адресам, утеряны или содержат неправильные адреса…»
Подскажите как исправить это? Как сделать чтобы А запись выдавала только 192.168.0.100?
Спасибо.
День добрый! Контроллер домена не должен быть шлюзом. Такая ситуация технически конечно же возможна, но про такую реализацию конкретики какой-то сказать не могу, т.к. у меня ни в одном проде подобного не допускается.
У нас стоит сервер на win 2008 r2, выполняет туже роль что и в ваших статьях написано (доменная сеть и т.п.), и плюс он играет роль шлюза в инет. Работает без сбоев.
Дак вот я и подумал что такое можно сделать на ubuntu!
Мне кажется так удобнее.
Сижу придумываю как вы выражаетесь костыли! Пока ничего не получается!
Да и вообще что-то мне не нравится, забудем про интернет, просто LAN, на клиентских машинах стоят win 10 и 7, доменную сеть они видят, подключаются, но в сетевых подключения отображаются только клиентские машины, а сам сервер то появится на какой-нибудь машине, то пропадет. Антивирусники все снес, брэндмауэры отключил, все-равно беда какая-то.
Хочу чтобы сервер отображался в сетевых подключениях.
Добрый день! Для начала я бы рекомендовал разнести роли шлюза и контроллера домена. По поводу отображения в сетевом окружении честно не подскажу. Я не заглядывал в него столько лет что даже затрудняюсь ответить светятся ли у моих клиентов контроллеры домена в сетевом окружении.