Контроллер домена Samba на Ubuntu server

Автор:human

Контроллер домена Samba на Ubuntu server

Я попытался написать подробный алгоритм действий необходимых для организации Active Directory (AD) Domain Controller (DC) на базе Ubuntu Server 14.04

Рассмотрим настройку контроллера домена на примере Ubuntu Server 14.04.3 LTS или ранее. Я рекомендую использовать последнюю свежую версию. Скоро правда выйдет версия 16.04, но это совсем другая статья.

Как установить SAMBA 4.4 на Ubuntu смотрим здесь.

1. Установка Ubuntu

Думаю установка Ubuntu-server не вызовет проблем даже у большинства пользователей компьютеров.
Желательно при установке ОС сразу правильно указать название машины в сети (hostname) с указанием домена (для примера использую dc.avanpost.local), чтобы в дальнейшем меньше надо было править конфигурацию в файлах.
Если в сети не присутствует DHCP-сервер, установщик предложит ввести IP-адрес, маску сети, шлюз и DNS.
Во время установки, также желательно установить OpenSSH server, чтобы иметь удаленный доступ к серверу, а также правильно указать часовой пояс, в котором находится машина( и настроить его для доступа).

2. Настройка параметров сетевого адаптера

Настройки сети хранятся в файле /etc/network/interfaces
Редактируем его на свой вкус. В качестве редактора можно использовать nano, vi и т.п.
Для редактирования файлов понадобятся root права, их можно получить например командой

после этого, Вы будете работать из под пользователя root.

Либо Вы можете перед каждой командой, которая требует root доступа, приписывать sudo

В конфигурации Вашего сетевого интерфейса, скорее всего, будет

поменяем настройки на использование статичного ip-адреса.
В моем случае они выглядят вот так:

После изменения сетевых настроек необходимо перезапустить сетевой сервис

/etc/init.d/networking restart

Отредактируем файл hosts

sudo nano /etc/hosts

3. Установка необходимых пакетов

Если Вы все же не установили OpenSSH server на первом этапе, это можно сделать командой

Перед установкой чего либо, лучше сначала обновить систему и пакеты командой

Для того, чтобы компьютеры сети сверяли время по нашему серверу установим ntp-сервер

Samba4 будем использовать последней  стабильной версии и  установим дополнительные файлы(будет юзать из github)

4. Сборка Samba 4.3

Для корректной работы Samba потребуется поддержка vfs на уровне файловой системы, для этого внесем изменения в /etc/fstab, необходимо добавить user_xattr,acl,barrier=1 в настройки корневого раздела /

должна получится строка, что-то вроде этой:

UUID=1423481c-210f-4076-92a6-48f6ce2b1339 /         ext4    user_xattr, acl, barrier=1, errors=remount-ro 0 1

после чего ребутимся

Не забываем про root права

Устанавливаем  последнюю стабильную версию Samba  (4.3) (дальше, пока, лезть я не стал, попробовал 4-4 — вышли ошибки.). Делаем все по порядку — переходим в каталог, гиттим, переходим в исходники, собираем и устанавливаем(занятие продолжительное)

Обязательно укажите версию пакета, после того как пройдет сборка  выйдет следующее окно

samba 4.4 ubuntu

На следующие запрос отвечаем «N»

samba 4.4 ubuntu2

На запрос об исключение исходных файлов из сборки пакета отвечаем «Y»

samba 4.4 ubuntu3

Ждем пока файлы скопируются во временный каталог и закончится установка.

После установки отредактируем файл прописав  пути до исполняемых файлов /usr/local/samba/sbin и /usr/local/samba/bin в файлах /etc/sudoers

переменная secure_path и /etc/environment переменная PATH, добавив строку :/usr/local/samba/sbin:/usr/local/samba/bin
nano /etc/sudoers

должна получится строчка что-то вроде этой:

nano /etc/environment

5. Настраиваем AD

В качестве DNS сервера AD будем использовать Samba, поэтому отключаем bind командой

Для манипуляций с AD в Samba существует инструмент samba-tool.
Для первоначальной настройки Samba вводим команду

Появится окно ввода параметров

Пароль  должен соответствовать требованиям сложности пароля по-умолчанию: хот ябы одна буква верхнего регистра, хотя бы одна цифра, минимум 8 символов.
Для настройки сложности пароля  можно использовать команду

эта команда отключает требование сложности, отключает сроки действия паролей, устанавливает минимальную длину пароля 6 символов

эта команда упрощает требования к паролю
Если же пароль не подошел по сложности и Вы увидели ошибку вроде этой:

ERROR(ldb): uncaught exception — 0000052D: Constraint violation — check_password_restrictions: the password is too short. It should be equal or longer than 7 characters!

то перед повторным выполнением первоначальной настройки, необходимо удалить содержимое каталогов /usr/local/samba/private/ и /usr/local/samba/etc/

Далее необходимо подправить настройки Samba и добавить туда следующие строки в секцию [global]

Это позволит динамически обновлять DNS-записи на сервере, при входе рабочей станции (под управлением windows) в домен и отключит поддержку печати, которая постоянно выдает ошибки в лог.

В файле /etc/resolvconf/resolv.conf.d/head необходимо указать наш DNS-сервер Samba 127.0.0.1

и перезапустить сервис resolvconf

Также установим Kerberos клиент

apt-get install krb5-user

и настроим на AD с помощью файла созданного на этапе samba-tool domain provision

Для автоматического запуска сервиса Samba необходим скрипт:

Вставляем код

Сохраняемего необходимо сделать исполняемым

и создать настройки по-умолчанию

Перезагружаем компьютер

6. Проверяем работоспособность сервера

У нас должна быть запущена samba после перезагрузки

root 865 0.3 3.0 95408 31748? Ss 18:59 0:00 /usr/local/samba/sbin/samba -D

Должен работать DNS сервер

Server: 127.0.0.1
Address: 127.0.0.1#53

Name: dc1.avanpost.local
Address: 192.168.0.1

Должны быть доступны сетевые ресурсы AD

Domain=[AVANPOST] OS=[Windows 6.1] Server=[Samba 4.3.4]

Sharename       Type      Comment
———       —-      ——-
netlogon        Disk
sysvol          Disk
IPC$            IPC       IPC Service (Samba 4.3.4)
Domain=[AVANPOST] OS=[Windows 6.1] Server=[Samba 4.3.4]

Server               Comment
———            ——-

Workgroup            Master
———            ——-

Должен подключаться Kerberos

Warning: Your password will expire in 41 days on Пт. 11 марта 2016 14:53:14

Должен храниться Ticket kerberos’a

Valid starting Expires Service principal
29.01.2016 15:19:09 30.01.2016 01:19:09 krbtgt/AVANPOST.LOCAL@AVANPOST.LOCAL
renew until 30.01.2016 15:19:07

Должна проходить аутентификация netlogon

Domain=[AVANPOST] OS=[Windows 6.1] Server=[Samba 4.3.4]
.                                   D        0  Tue Feb  2 21:01:43 2016
..                                  D        0  Tue Feb  2 21:01:51 2016

33895168 blocks of size 1024. 29845508 blocks available

Profit!!!!!

Теперь можно вводить рабочие станции в домен Ubutnu, создавать учетные записи учётки. Удобно использовать для этих вещей WEBMIN.
Управлять AD можно:
частично при помощи samba-tool на Ubuntu
при помощи Administration Tools Pack на Windows XP
при помощи Remote Server Administration Tools (RSAT) на Windows 7 и выше.

Как ввести машину с ubuntu в домен рассмотрим в этой статье.

 

Об авторе

human administrator

    2 комментария

    zelenijДата:11:59 пп - Май 19, 2016

    Запускал подобную конфигурацию на UBUNTU 16.04 LTS
    самбу не собирал из исходников, а ставил из репозитория.
    сразу не заработало.
    при команде: # smbclient -L localhost -U%
    Вывод был:
    Domain=[XXX] OS=[Windows 6.1] Server=[Samba 4.3.9-Ubuntu]
    tree connect failed: NT_STATUS_CONNECTION_DISCONNECTED

    cat /var/log/samba/log.smbd

    [2016/05/19 23:41:19.405598, 0] ../libcli/smb/smb_signing.c:138(smb_signing_good)
    smb_signing_good: BAD SIG: seq 2
    [2016/05/19 23:41:19.406498, 0] ../source3/smbd/process.c:572(receive_smb_talloc)
    receive_smb: SMB Signature verification failed on incoming packet!
    [2016/05/19 23:45:29.437823, 0] ../libcli/smb/smb_signing.c:138(smb_signing_good)
    smb_signing_good: BAD SIG: seq 2
    [2016/05/19 23:45:29.438937, 0] ../source3/smbd/process.c:572(receive_smb_talloc)
    receive_smb: SMB Signature verification failed on incoming packet!
    [2016/05/19 23:45:52.467982, 0] ../lib/util/become_daemon.c:124(daemon_ready)
    STATUS=daemon ‘smbd’ finished starting up and ready to serve connections

    помогла правка /etc/samba/smb.conf
    в global добавил
    idmap_ldb:use rfc2307 = yes
    server signing = Auto

    Следующая трабла — при kinit administrator
    не находило реалм…
    поправил /etc/krb5.conf
    заменил значение default_realm с переменной на ручками прописанный домен… (не забываем про большие буковки)

    после этого все закрутилось замечательно :)
    Кстати, чтобюы избежать свистоплясок с /etc/resolv.conf надо указать в /etc/network/interfaces днс сервер — адрес текущего сервера.. в данной статье — это 192,168,0,1
    и тогда ресольвюконф трогать не нужно.. хотя, возможно, это справедливо только для убунты

    НиколайДата:5:42 пп - Окт 12, 2016

    Поднять новый домен — еще еще ничего, а вот переход с MS на Unix обслуживание без потери домена? Там танцы с бубном, когда в DNS у тебя уже много зон работает, введено в домен порядка 1500 станций и 1200 пользователей, настроен MS Exchange, MS Lync Server….терять не хочеться, а уходить от CAL нужно только поочередно, без потери данных и репликаций данных в SQL… Как правильно ввести сначала в существующий домен ДС на базе Unix/Samba, чтобы все данные среплицировали, включая GPO и Netlogon? ТОлько после этого начинать тушить старый MS AD DC

    Оставить ответ

    Войти с помощью: