Автор Тема: Samba ActiveDirectory на p8 starterkits server  (Прочитано 6077 раз)

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Расскажу как поднял домен на базе p8 starterkits server --- samba 4 ActiveDirectory

=============================================================
Просьба специалистам дать оценку правильности и советы если таковые будут
==============================================================

Название машины(полное) = ad.sevo44.loc
Домен = sevo44.loc
IP домена  = 192.168.0.102
Шлюз = 192.168.0.106
DNS = 192.168.1.1

===========================

Устанавливаем у минимальной версии!

Выбираем только samba и утилиты

Установка Samba

1. Так как Samba в режиме контроллера домена (Doman Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, несовместимый с MIT Kerberos, перед установкой остановите конфликтующие службы krb5kdc и slapd, а также bind:



# for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done


2. Установите пакет (так то он уже стоит просто убедимся)

# apt-get -y install task-samba-dc

с версии 4.3.1 , который установит необходимое.
Примечание: До версии 4.3.1 требовалось явно установить пакеты: samba-DC python-module-samba-DC samba-DC-common samba-DC-winbind-clients samba-DC-winbind samba-DC-client krb5-kinit


Выбор имени домена

Имя домена для разворачиваемого DC должно состоять минимум из двух компонентов, разделённых точкой.
При этом должно быть установлено правильное имя узла и домена для сервера:

# mcedit /etc/sysconfig/network


HOSTNAME=ad.sevo44.loc
DOMAINNAME=sevo44.loc

Без правки /etc/hosts не будут проходить проверки DNS
# mcedit /etc/hosts

прописал строчку
127.0.0.1     localhost.localdomain      localhost
192.168.0.102 ad.sevo44.loc ad

Внимание! При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon.


Создание нового домена

Восстановление к начальному состоянию samba (на случай если что то не так сделали)

Очищаем базы и конфигурацию Samba (если уже создавался домен):
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
mkdir -p /var/lib/samba/sysvol
Внимание! Обязательно удаляйте /etc/samba/smb.conf перед созданием домена:
rm -f /etc/samba/smb.conf



Создание домена одной командой

Создание контроллера домена sevo44.loc с паролем администратора Pa$$word:

!пароль должен быть

Не менее 8 символов
Содержащий не менее трех из следующих пяти групп символов
Прописные буквы европейских языков (от A до Z, с диакритическим знаком, греческие и Кириллические символы)
Строчные буквы европейских языков (от A до Z, острые-с, диакритические знаки, греческие и Кириллические символы)
Основные 10 цифр (0 до 9)
Символы: ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
Любой символ Unicode, который классифицируется как буквы, а не прописные или строчные. Это включает в себя символы Юникод из азиатских языков.
10 знаков

samba-tool domain provision --realm=sevo44.loc --domain sevo44 --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --use-rfc2307 --use-xattrs=yes



Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.

Результат

A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              ad
NetBIOS Domain:        SEVO44
DNS Domain:            sevo44.test
DOMAIN SID:            S-1-5-21-493555016-743653614-2329060104


Запуск службы

Установите службу по умолчанию и запустите её:
chkconfig samba on
service samba start

Проверка работоспособности

1. Общая информация о домене:

# samba-tool domain info 127.0.0.1

Forest           : sevo44.loc
Domain           : sevo44.loc
Netbios domain   : SEVO44
DC name          : ad.sevo44.loc
DC netbios name  : AD
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

# samba-tool domain level show
Domain and forest function level for domain 'DC=sevo44,DC=loc'

Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2


2. Просмотр предоставляемых служб:

# smbclient -L localhost -Uadministrator
Enter administrator's password:
Domain=[SEVO44] OS=[Windows 6.1] Server=[Samba 4.4.4]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk     
        sysvol          Disk     
        IPC$            IPC       IPC Service (Samba 4.4.4)
Domain=[SEVO44] OS=[Windows 6.1] Server=[Samba 4.4.4]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

       
       
Проверка конфигурации DNS


# mcedit /etc/resolv.conf

nameserver 192.168.0.102

Данные в этот файл берутся при загрузке с настроек сетевой карты! Менять значения тут бесполезно! Просто проверим правильность.


Проверяем имена хостов:

# host -t SRV _kerberos._udp.sevo44.loc.
_kerberos._udp.sevo44.loc has SRV record 0 100 88 ad.sevo44.loc.

# host -t SRV _ldap._tcp.sevo44.loc.
_ldap._tcp.sevo44.loc has SRV record 0 100 389 ad.sevo44.loc.

# host -t A ad.sevo44.loc.
ad.sevo44.loc has address 192.168.0.102


Проверка Kerberos:

Внимание! Имя домена должно быть в верхнем регистре, иначе выдаст
kinit: KDC reply did not match expectations while getting initial credentials


# kinit administrator@SEVO44.LOC
Password for administrator@SEVO44.LOC:
Warning: Your password will expire in 41 days on Сб 29 окт 2016 16:11:51

Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SEVO44.LOC

Valid starting       Expires              Service principal
17.09.2016 16:23:29  18.09.2016 02:23:29  krbtgt/SEVO44.LOC@SEVO44.LOC
        renew until 24.09.2016 16:23:22



Всё готово чтобы пробовать вводить машину в домен

но я хочу упростить создание паролей

        Меняем права на создание паролей
================================

Вывод информации

# samba-tool domain passwordsettings show


Password informations for domain 'DC=sevo44,DC=loc'

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

Для настройки этих политик используется параметр set и опция к нему.
К примеру сделаем количество символов в пароле минимальное 3:

# samba-tool domain passwordsettings set --min-pwd-length=3

и отменим требование сложности

# samba-tool domain passwordsettings set --complexity=off


-H - Помощь
--quiet -выход
--complexity=on|off|default - Пароль должен отвечать требованиям сложности
--store-plaintext=on|off|default - Хранить пароли используя обратимое шифрование
--history-length=число - Число хранимых предыдущих паролей пользователей(Требовать неповторяемость паролей)
--min-pwd-length=число - Минимальное количество символов в пароле
--min-pwd-age=число - Минимальный срок действия пароля
--max-pwd-age=число - Максимальный срок действия пароля
       

Необходимо подправить файл /etc/samba/smb.conf так как там стоит неверный параметр = dns forwarder = он взял значение нашей машины и поэтому выход в интернет машин введеныx в домен нет!

# mcedit /etc/samba/smb.conf

правим на

dns forwarder = 192.168.1.1

Перезагрузимся и будем пробовать дальше

# reboot


Windows 7 и Windows 10 ввелась в домен
C помощью аснасток в Windows 7  работает управление пользователями dns и работают груповые политики!!!


Для эксперемента обновим систему

Обновление
==========
apt-get update

apt-get dist-upgrade

Всё работает!!!

Послесловие
==========
На чем я только не пробовал поднять это дело и можно сказать что везде научился это делать но вот групповые политики не работали и всё тут! Очередной раз alt порадовал а то что теперь он будет называться по другому и изменения в политике продуктов от этих контор появились  - не беда. Главное есть сообщество и оно живое! а то что к хорошему варенью всегда мухи летят ... ну куда без них
« Последнее редактирование: 18.09.2016 09:22:36 от sevo44 »
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 startkit server
« Ответ #1 : 17.09.2016 20:44:29 »
Ввёл в домен p8xfse

Вначале установить

# apt-get install task-auth-ad

потом в Альтераторе указал все данные и выдало сообщение что всё успешно!

Перегрузился.

Всё удачно.
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #2 : 17.09.2016 21:05:24 »
Домен можно создавать в alterator-net-domain, парой кликов.
DNS от провайдера надо добавить в dns forwarders в smb.conf и раздавать самбовый dns.
Андрей Черепанов (cas@)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #3 : 17.09.2016 21:09:14 »
Группоаые политики не применяются к контроллеру домена на Samba, но через sysvol добавляются в RSAT и применяются в аунтентифицирующихся виндовых машинах. Проблема репликации sysvol (где и хранятся GPO) есть, но и она решаема с помощью osync, запускаемого вручную.
Андрей Черепанов (cas@)

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #4 : 18.09.2016 09:12:45 »
Домен можно создавать в alterator-net-domain, парой кликов.

Может и можно но тогда полная загадка как что работает а так понятен весь механизм. Как запустить alterator-net-domain в консоли и может где про это написано? Или для этого надо установить не starterkits?

DNS от провайдера надо добавить в dns forwarders в smb.conf и раздавать самбовый dns.

Это совершенно верно о чем я и писал в первом посте. Точней писал но была ошибка в указании ip (в первом посте подправил)

=======
Необходимо подправить файл /etc/samba/smb.conf так как там стоит неверный параметр = dns forwarder = он взял значение нашей машины и поэтому выход в интернет машин введеныx в домен нет!

# mcedit /etc/samba/smb.conf

правим на

dns forwarder = 192.168.1.1 (а печатался и указал тот что был 192.168.1.1) если разворачивать не одной строкой то он должен спросить этот адрес но я не пробовал.
=======

Группоаые политики не применяются к контроллеру домена на Samba, но через sysvol добавляются в RSAT и применяются в аунтентифицирующихся виндовых машинах. Проблема репликации sysvol (где и хранятся GPO) есть, но и она решаема с помощью osync, запускаемого вручную.

Вот тут я пока не пробовал. Где можно про это почитать поподробней? Пока я увидел что они создаются и можно управлять (у других у меня была ошибка с доступом)  а работоспособность не проверял. После попытки настроить и результату создам тему.
« Последнее редактирование: 18.09.2016 09:26:09 от sevo44 »
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #5 : 18.09.2016 09:25:14 »
Ищите про alterator-fbi.
Андрей Черепанов (cas@)

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #6 : 18.09.2016 09:28:31 »
Ищите про alterator-fbi.
Это по поводу как развернуть в два клика? Или про групповые политики?
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #7 : 18.09.2016 09:31:20 »
alterator-fbi.
Это про альтератор, который работает через браузер. Видно в нём есть необходимые вам модули.

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #8 : 18.09.2016 09:37:43 »
Это про альтератор, который работает через браузер.
Ищу пока не могу понять как его установить с консоли. Наверно из за того что я установил минимально всё он не будет работать по web интерфейсу. Вообщем буду искать...
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #9 : 18.09.2016 09:53:47 »
Так https://www.altlinux.org/Первое_знакомство_с_альтератором

Цитировать
1. Установить пакет alterator-fbi[1]:

# apt-get install alterator-fbi

2. Запустить службы alteratord и ahttpd:

# service alteratord start; service ahttpd start
« Последнее редактирование: 18.09.2016 09:56:00 от ruslandh »

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #10 : 18.09.2016 10:47:10 »
1. Установить пакет alterator-fbi[1]:

# apt-get install alterator-fbi

2. Запустить службы alteratord и ahttpd:

# service alteratord start; service ahttpd start

Оказывается всё уже стояло надо было только запустить. Спасибо

Но чтобы там можно было развернуть домен я не увидел....
Домен можно создавать в alterator-net-domain, парой кликов.
Вот ищу теперь как там это сделать

Туплю... надо установить его

# apt-get install alterator-net-domain


Preparing...                              ################################################################################################### [100%]
1: openldap                               ################################################################################################### [ 25%]
2: openldap-clients                       ################################################################################################### [ 50%]
3: alterator-openldap-functions           ################################################################################################### [ 75%]
4: alterator-net-domain                   ################################################################################################### [100%]
Running /usr/lib/rpm/posttrans-filetriggers

# service alteratord restart; service ahttpd restart
Stopping alteratord service:                                                                                                                 [ DONE ]
Starting alteratord service:                                                                                                                 [ DONE ]
Stopping ahttpd service:                                                                                                                     [ DONE ]
Starting ahttpd service:                                                                                                                     [ DONE ]
« Последнее редактирование: 18.09.2016 10:59:16 от sevo44 »
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #11 : 18.09.2016 10:52:31 »
Я же написал название пакета.

apt-get install alterator-net-domain

И перезапустить службы.
Андрей Черепанов (cas@)

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #12 : 18.09.2016 10:58:01 »
Я же написал название пакета.
Извиняюсь. Туплю по утру.
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #13 : 18.09.2016 11:07:28 »
Действительно всё появилось :)
Однако в этой статье https://forum.altlinux.org/index.php?topic=37306.0 человек развернул таким простым способом и не работало. Прочитав мою статью и проверив свои параметры он сможет поправить в ручную то что пошло не так.
К сожалению в альтераторе бывают ошибки и в 7 версии я их видел часто. Понимаю что ребята пишут стараются но увы... пока я не стал изучать консоль а пользовался только веб мордами ничего как правило не выходило...
К сожалению только в Windows можно работать без консоли...
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!

Оффлайн sevo44

  • Завсегдатай
  • *
  • Сообщений: 248
Re: Samba ActiveDirectory на p8 starterkits server
« Ответ #14 : 18.09.2016 11:09:02 »
Не могу найти список всех возможных пакетов в альтераторе. Или может можно как то одной командой установить?
Calculate Linux включён в реестр российского ПО.
При просьбе помочь фраза "почитай документацию" или "погугли" звучит как посыл на три буквы!