Partecipa a un DC Ubuntu aggiuntivo per Samba4 AD DC per la replica FailOver - Parte 5
Questo tutorial ti mostrerà come aggiungere un secondo controller di dominio Samba4, fornito sul server Ubuntu 16.04, alla foresta Samba AD DC esistente in ordine per fornire un certo grado di bilanciamento del carico/failover per alcuni servizi AD DC cruciali, in particolare per servizi come DNS e schema LDAP di AD DC con database SAM.
Requisiti
- Creare un'infrastruttura Active Directory con Samba4 su Ubuntu – Parte 1
Questo articolo è una Parte 5 della serie Samba4 AD DC come segue:
Passaggio 1: configurazione iniziale per l'installazione di Samba4
1. Prima di iniziare a eseguire effettivamente l'aggiunta al dominio per il secondo DC, devi occuparti di alcune impostazioni iniziali. Innanzitutto, assicurati che il nome host del sistema che verrà integrato in Samba4 AD DC contenga un nome descrittivo.
Supponendo che il nome host del primo realm fornito sia chiamato adc1, puoi denominare il secondo controller di dominio con adc2 per fornire uno schema di denominazione coerente tra i tuoi controller di dominio.
Per modificare il nome host del sistema puoi eseguire il comando seguente.
hostnamectl set-hostname adc2
altrimenti puoi modificare manualmente il file /etc/hostname e aggiungere una nuova riga con il nome desiderato.
nano /etc/hostname
Qui aggiungi il nome host.
adc2
2. Successivamente, apri il file di risoluzione del sistema locale e aggiungi una voce con l'indirizzo IP che punta al nome breve e al FQDN del controller di dominio principale, come illustrato di seguito immagine dello schermo.
Attraverso questo tutorial, il nome DC primario è adc1.tecmint.lan e si risolve nell'indirizzo IP 192.168.1.254.
nano /etc/hosts
Aggiungi la seguente riga:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Nel passaggio successivo, apri /etc/network/interfaces e assegna un indirizzo IP statico per il tuo sistema come illustrato nello screenshot seguente.
Presta attenzione alle variabili dns-nameservers e dns-search. Questi valori devono essere configurati in modo che puntino all'indirizzo IP del Samba4 AD DC primario e del realm affinché la risoluzione DNS funzioni correttamente.
Riavviare il demone di rete per riflettere le modifiche. Verifica il file /etc/resolv.conf per assicurarti che entrambi i valori DNS dell'interfaccia di rete siano aggiornati a questo file.
nano /etc/network/interfaces
Modifica e sostituisci con le tue impostazioni IP personalizzate:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Riavviare il servizio di rete e confermare le modifiche.
systemctl restart networking.service
cat /etc/resolv.conf
Il valore dns-search aggiungerà automaticamente il nome di dominio quando interroghi un host tramite il suo nome breve (formerà il FQDN).
4. Per verificare se la risoluzione DNS funziona come previsto, esegui una serie di comandi ping sul nome breve del tuo dominio, FQDN e realm come mostrato nello screenshot seguente.
In tutti questi casi il server Samba4 AD DC DNS dovrebbe rispondere con l'indirizzo IP del tuo DC principale.
5. L'ultimo passaggio aggiuntivo di cui devi occuparti è la sincronizzazione dell'ora con il controller di dominio principale. Ciò può essere ottenuto installando l'utilità client NTP sul tuo sistema immettendo il comando seguente:
apt-get install ntpdate
6. Supponendo che tu voglia forzare manualmente la sincronizzazione dell'ora con samba4 AD DC, esegui il comando ntpdate sul DC primario emettendo il seguente comando.
ntpdate adc1
Passaggio 2: installa Samba4 con le dipendenze richieste
7. Per registrare il sistema Ubuntu 16.04 nel tuo dominio, installa prima Samba4, il client Kerberos e alcuni altri pacchetti importanti per un utilizzo successivo dai repository ufficiali di Ubuntu emettendo il comando seguente:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Durante l'installazione dovrai fornire il nome del realm Kerberos. Scrivi il tuo nome di dominio in maiuscolo e premi il tasto [Invio] per completare il processo di installazione.
9. Al termine dell'installazione dei pacchetti, verifica le impostazioni richiedendo un ticket Kerberos per un amministratore di dominio utilizzando il comando kinit. Utilizza il comando klist per elencare i ticket Kerberos concessi.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Passaggio 3: iscriviti a Samba4 AD DC come controller di dominio
10. Prima di integrare il tuo computer in Samba4 DC, assicurati innanzitutto che tutti i demoni Samba4 in esecuzione sul tuo sistema siano arrestati e, inoltre, rinomina il file di configurazione Samba predefinito per poterlo avviare pulito. Durante il provisioning del controller di dominio, samba creerà da zero un nuovo file di configurazione.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Per avviare il processo di unione al dominio, avvia prima solo il demone samba-ad-dc, dopodiché eseguirai samba-tool comando per unirti al realm utilizzando un account con privilegi amministrativi sul tuo dominio.
samba-tool domain join your_domain DC -U "your_domain_admin"
Estratto dell'integrazione del dominio:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Uscita del campione
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Dopo che Ubuntu con il software samba4 è stato integrato nel dominio, apri il file di configurazione principale di samba e aggiungi le seguenti righe:
nano /etc/samba/smb.conf
Aggiungi il seguente estratto al file smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Sostituisci l'indirizzo IP del forwarder DNS con il tuo IP del forwarder DNS. Samba inoltrerà tutte le query di risoluzione DNS esterne alla zona di autorità del tuo dominio a questo indirizzo IP.
13. Infine, riavvia il demone Samba per riflettere le modifiche e controlla la replica di Active Directory eseguendo i seguenti comandi.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Inoltre, rinomina il file di configurazione iniziale Kerberos dal percorso /etc e sostituiscilo con il nuovo file di configurazione krb5.conf generato da samba durante il provisioning il dominio.
Il file si trova nella directory /var/lib/samba/private. Utilizza il collegamento simbolico Linux per collegare questo file alla directory /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Inoltre, verifica l'autenticazione Kerberos con il file samba krb5.conf. Richiedi un ticket per un utente amministratore ed elenca il ticket memorizzato nella cache immettendo i comandi seguenti.
kinit administrator
klist
Passaggio 4: convalide aggiuntive dei servizi di dominio
16. Il primo test che devi eseguire è la risoluzione Samba4 DC DNS. Per convalidare la risoluzione DNS del tuo dominio, interroga il nome di dominio utilizzando il comando host rispetto ad alcuni record DNS AD cruciali come presentato nello screenshot seguente.
A questo punto il server DNS dovrebbe rispondere con una coppia di due indirizzi IP per ciascuna query.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Questi record DNS dovrebbero essere visibili anche da un computer Windows registrato con strumenti RSAT installati. Apri Gestore DNS ed espandi i record TCP del tuo dominio come mostrato nell'immagine seguente.
18. Il test successivo dovrebbe indicare se la replica LDAP del dominio funziona come previsto. Utilizzando samba-tool, crea un account sul secondo controller di dominio e verifica se l'account viene replicato automaticamente sul primo DC DC Samba4.
Su adc2:
samba-tool user add test_user
Su adc1:
samba-tool user list | grep test_user
19. Puoi anche creare un account da una console Microsoft AD UC e verificare se l'account viene visualizzato su entrambi i controller di dominio.
Per impostazione predefinita, l'account dovrebbe essere creato automaticamente su entrambi i controller di dominio Samba. Interrogare il nome dell'account da adc1 utilizzando il comando wbinfo.
20. Di fatto, apri la console AD UC da Windows, espandi fino a Controller di dominio e dovresti vedere entrambe le macchine DC registrate.
Passaggio 5: abilitare il servizio AD DC Samba4
21. Per abilitare i servizi samba4 AD DC a livello di sistema, disabilita prima alcuni demoni Samba vecchi e inutilizzati e abilita solo il servizio samba-ad-dc eseguendo i comandi seguenti :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Se amministri in remoto il controller di dominio Samba4 da un client Microsoft o hai altri client Linux o Windows integrati nel tuo dominio, assicurati di menzionare l'indirizzo IP dell'adc2 macchina alle impostazioni IP del server DNS dell'interfaccia di rete per ottenere un livello di ridondanza.
Gli screenshot seguenti illustrano le configurazioni richieste per un client Windows o Debian/Ubuntu.
Supponendo che il primo DC con 192.168.1.254 vada offline, invertire l'ordine degli indirizzi IP del server DNS nel file di configurazione in modo che non tenti di interrogare prima un server non disponibile Server DNS.
Infine, nel caso in cui desideri eseguire l'autenticazione locale su un sistema Linux con un account Active Directory Samba4 o concedere privilegi root per gli account AD LDAP in Linux, leggi i passaggi 2 e 3 del tutorial Gestisci l'infrastruttura AD Samba4 dalla riga di comando di Linux.