Расскажу как поднял домен на базе p8 starterkits server --- samba 4 ActiveDirectory
=============================================================
Просьба специалистам дать оценку правильности и советы если таковые будут
==============================================================
Название машины(полное) = ad.sevo44.loc
Домен = sevo44.loc
IP домена = 192.168.0.102
Шлюз = 192.168.0.106
DNS = 192.168.1.1
===========================
Устанавливаем у минимальной версии!
Выбираем только samba и утилиты
Установка Samba
1. Так как Samba в режиме контроллера домена (Doman Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, несовместимый с MIT Kerberos, перед установкой остановите конфликтующие службы krb5kdc и slapd, а также bind:
# for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done
2. Установите пакет (так то он уже стоит просто убедимся)
# apt-get -y install task-samba-dc
с версии 4.3.1 , который установит необходимое.
Примечание: До версии 4.3.1 требовалось явно установить пакеты: samba-DC python-module-samba-DC samba-DC-common samba-DC-winbind-clients samba-DC-winbind samba-DC-client krb5-kinit
Выбор имени домена
Имя домена для разворачиваемого DC должно состоять минимум из двух компонентов, разделённых точкой.
При этом должно быть установлено правильное имя узла и домена для сервера:
# mcedit /etc/sysconfig/network
HOSTNAME=ad.sevo44.loc
DOMAINNAME=sevo44.loc
Без правки /etc/hosts не будут проходить проверки DNS
# mcedit /etc/hosts
прописал строчку
127.0.0.1 localhost.localdomain localhost
192.168.0.102 ad.sevo44.loc ad
Внимание! При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon.
Создание нового домена
Восстановление к начальному состоянию samba (на случай если что то не так сделали)
Очищаем базы и конфигурацию Samba (если уже создавался домен):
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
mkdir -p /var/lib/samba/sysvol
Внимание! Обязательно удаляйте /etc/samba/smb.conf перед созданием домена:
rm -f /etc/samba/smb.conf
Создание домена одной командой
Создание контроллера домена sevo44.loc с паролем администратора Pa$$word:
!пароль должен быть
Не менее 8 символов
Содержащий не менее трех из следующих пяти групп символов
Прописные буквы европейских языков (от A до Z, с диакритическим знаком, греческие и Кириллические символы)
Строчные буквы европейских языков (от A до Z, острые-с, диакритические знаки, греческие и Кириллические символы)
Основные 10 цифр (0 до 9)
Символы: ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
Любой символ Unicode, который классифицируется как буквы, а не прописные или строчные. Это включает в себя символы Юникод из азиатских языков.
10 знаков
samba-tool domain provision --realm=sevo44.loc --domain sevo44 --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --use-rfc2307 --use-xattrs=yes
Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Результат
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: ad
NetBIOS Domain: SEVO44
DNS Domain: sevo44.test
DOMAIN SID: S-1-5-21-493555016-743653614-2329060104
Запуск службы
Установите службу по умолчанию и запустите её:
chkconfig samba on
service samba start
Проверка работоспособности
1. Общая информация о домене:
# samba-tool domain info 127.0.0.1
Forest : sevo44.loc
Domain : sevo44.loc
Netbios domain : SEVO44
DC name : ad.sevo44.loc
DC netbios name : AD
Server site : Default-First-Site-Name
Client site : Default-First-Site-Name
# samba-tool domain level show
Domain and forest function level for domain 'DC=sevo44,DC=loc'
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
2. Просмотр предоставляемых служб:
# smbclient -L localhost -Uadministrator
Enter administrator's password:
Domain=[SEVO44] OS=[Windows 6.1] Server=[Samba 4.4.4]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.4.4)
Domain=[SEVO44] OS=[Windows 6.1] Server=[Samba 4.4.4]
Server Comment
--------- -------
Workgroup Master
--------- -------
Проверка конфигурации DNS
# mcedit /etc/resolv.conf
nameserver 192.168.0.102
Данные в этот файл берутся при загрузке с настроек сетевой карты! Менять значения тут бесполезно! Просто проверим правильность.
Проверяем имена хостов:
# host -t SRV _kerberos._udp.sevo44.loc.
_kerberos._udp.sevo44.loc has SRV record 0 100 88 ad.sevo44.loc.
# host -t SRV _ldap._tcp.sevo44.loc.
_ldap._tcp.sevo44.loc has SRV record 0 100 389 ad.sevo44.loc.
# host -t A ad.sevo44.loc.
ad.sevo44.loc has address 192.168.0.102
Проверка Kerberos:
Внимание! Имя домена должно быть в верхнем регистре, иначе выдаст
kinit: KDC reply did not match expectations while getting initial credentials
# kinit administrator@SEVO44.LOC
Password for administrator@SEVO44.LOC:
Warning: Your password will expire in 41 days on Сб 29 окт 2016 16:11:51
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SEVO44.LOC
Valid starting Expires Service principal
17.09.2016 16:23:29 18.09.2016 02:23:29 krbtgt/SEVO44.LOC@SEVO44.LOC
renew until 24.09.2016 16:23:22
Всё готово чтобы пробовать вводить машину в домен
но я хочу упростить создание паролей
Меняем права на создание паролей
================================
Вывод информации
# samba-tool domain passwordsettings show
Password informations for domain 'DC=sevo44,DC=loc'
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
Для настройки этих политик используется параметр set и опция к нему.
К примеру сделаем количество символов в пароле минимальное 3:
# samba-tool domain passwordsettings set --min-pwd-length=3
и отменим требование сложности
# samba-tool domain passwordsettings set --complexity=off
-H - Помощь
--quiet -выход
--complexity=on|off|default - Пароль должен отвечать требованиям сложности
--store-plaintext=on|off|default - Хранить пароли используя обратимое шифрование
--history-length=число - Число хранимых предыдущих паролей пользователей(Требовать неповторяемость паролей)
--min-pwd-length=число - Минимальное количество символов в пароле
--min-pwd-age=число - Минимальный срок действия пароля
--max-pwd-age=число - Максимальный срок действия пароля
Необходимо подправить файл /etc/samba/smb.conf так как там стоит неверный параметр = dns forwarder = он взял значение нашей машины и поэтому выход в интернет машин введеныx в домен нет!
# mcedit /etc/samba/smb.conf
правим на
dns forwarder = 192.168.1.1
Перезагрузимся и будем пробовать дальше
# reboot
Windows 7 и Windows 10 ввелась в домен
C помощью аснасток в Windows 7 работает управление пользователями dns и работают груповые политики!!!
Для эксперемента обновим систему
Обновление
==========
apt-get update
apt-get dist-upgrade
Всё работает!!!
Послесловие
==========
На чем я только не пробовал поднять это дело и можно сказать что везде научился это делать но вот групповые политики не работали и всё тут! Очередной раз alt порадовал а то что теперь он будет называться по другому и изменения в политике продуктов от этих контор появились - не беда. Главное есть сообщество и оно живое! а то что к хорошему варенью всегда мухи летят ... ну куда без них