Domena Active Directory na Linuxie – aktualizacja 2017

W związku z pojawieniem się najnowszej wersji Debiana 8.x oraz Samby 4.3.x oraz licznym prośbom administratorów i internautów postanowiliśmy uaktualnić poradnik o kilka istotnych elementów. Sama instalacja systemu Debian przebiega całkiem sprawnie i nie różni się niczym od wcześniejszych wersji. Zaznaczamy do zainstalowania tylko Serwer SSH.

Po uruchomieniu naszego serwera musimy skonfigurować ustawienia sieciowe by serwer otrzymał stały adres IP.

Wykonujemy polecenie:

nano /etc/network/interfaces i edytujemy plik według poniższego wzoru:

Ponadto koniecznym jest dopisanie do wyżej edytowanego pliku następującej informacji o DNS:

dns-nameservers 127.0.0.1 8.8.8.8

Konieczne będzie zrestartowanie połączeń sieciowych następującym poleceniem

/etc/init.d/networking restart

Przypiszemy teraz adres IP do naszego serwera w tym celu dokonamy zmian za pomocą poniższego polecenia:

nano /etc/hosts

Zgodnie z oficjalnymi informacjami ze strony samba.org zainstalujemy niezbędne pakiety poleceniem:

apt-get install bind9 build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls28-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

W trakcie instalacji pakietu Kerberos wyświetli się monit o wpisanie nazwy naszej domeny. Zróbmy to według poniższego wzoru:

W kolejnych dwóch miejscach wpisujemy nazwa_serwera_nasza_domena: server1608.test.local

Koniecznie należy skonfigurować montowanie głównej partycji z opcją ACL edytując:

nano /etc/fstab

Linijkę / ext4 errors=remount-ro 0 1 zamieniamy na:

/ ext4 errors=remount-ro,user_xattr,acl,barrier=1 1 1

W celu sprawdzenia czy wszystko zorbilismy jak trzeba wykonujemy nastepujące polecenie:

mount -o remount /

Instalujemy Sambę. W tym celu przechodzimy do katalogu:

cd /usr/src

i pobieramy pakiet poleceniem:

wget https://download.samba.org/pub/samba/stable/samba-4.3.3.tar.gz --no-check-certificate

Następnie rozpakowujemy pobrana paczkę:

tar zxvf samba-4.3.3.tar.gz

oraz wchodzimy do katalogu:

cd samba-4.3.3

i instalujemy (długo to trwa....):

./configure –-enable-selftest

make

make install

Po instalacji rozpoczynamy promowanie domeny poleceniem:

/usr/local/samba/bin/samba-tool domain provision

Wyświetli się kilka opcji m.in. Realm, Domain i Server Role akceptujemy proponowane nazwy klikając klawisz ENTER.

Przy opcji DNS backend wpisujemy BIND9_DLZ. Dwukrotnie wpisujemy hasło administratora domeny i czekamy aż proces promowania dobiegnie końca. Poprawnie wykonane wcześniej czynności doprowadzą do tego, że powinniśmy zobaczyć wynik podobny do poniższego.

Kopiujemy konfiguracje Kerberosa

cp /etc/krb5.conf /etc/krb5.conf.old

bezpośrednio z katalogu Samby do katalogu konfiguracyjnego Kerberosa:

cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Następnie za pomoce polecenia:

cat /etc/krb5.conf

Widzimy poprawną konfigurację:

Musimy skonfigurować serwer DNS do pracy z kontrolerem domeny Samba w tym celu edytujemy pliki w nasypujący sposób:

nano /etc/bind/named.conf.options

oraz nano /etc/bind/named.conf.local

Musimy sprawdzić poprawność wyżej wykonanych czynności następującym poleceniem:

named-checkconf

Jeśli nic się nie pojawi możemy być przekonani, że jest ok. 🙂

Chcemy by w pierwszej kolejności był poszukiwany nasz serwer i nasza domena w tym celu edytujemy:

nano /etc/resolv.conf

Po wprowadzeniu zmian restartujemy serwer DNS:

/etc/init.d/bind9 restart

Efekt powinien być jak poniżej (zielone OK):

Wykonujemy polecenie:

/usr/local/samba/sbin/samba

Ponadto dodajemy do pliku:

nano /etc/rc.local

polecenie:

/usr/local/samba/sbin/samba

aby Samba uruchamiała się wraz ze startem naszego Debiana:

Sprawdzamy działanie serwera Samba następującą komendą:

pgrep samba

Otrzymamy wynik podobny do poniższego:

Innym sposobem na sprawdzenia czy poprawnie działa nasz kontroler domeny jest wywołanie polecenia:

/usr/local/samba/bin/smbclient -L localhost -U%

Dzięki poleceniu poniżej sprawdzimy poprawność działania zarówno pakietu Kerberos jak i Bind9:

kinit administrator

Zostaniemy poproszeni o podanie hasła administratora domeny, a efekt powinien być jak poniżej:

Teraz zrestartujmy nasz serwer i dodawajmy komputery do naszej domeny. 🙂

Instalacja najnowszej wersji Samby 4.5.5 na najnowszym Debian 8.7 jest praktycznie identyczna. Sprawdziliśmy - działa 🙂

Do zarządzania dla Windows 10 AD najlepiej zainstalować ten zestaw RSAT tutaj.

Comments are closed.