Ricerca nel sito web

Creare un'infrastruttura Active Directory con Samba4 su Ubuntu - Parte 1

Samba è un software Open Source gratuito che fornisce un'interoperabilità standard tra il sistema operativo Windows e i sistemi operativi Linux/Unix.

Samba può funzionare come server di file e stampa autonomo per client Windows e Linux tramite la suite di protocolli SMB/CIFS oppure può agire come controller di dominio Active Directory o essere unito a un controller di dominio Active DirectoryRealm come membro del dominio. Il livello di dominio e foresta AD DC più alto che attualmente Samba4 può emulare è Windows 2008 R2.

La serie sarà intitolata Configurazione del controller di dominio Active Directory Samba4, e tratterà i seguenti argomenti per Ubuntu, CentOS e Windows forte>:

Questo tutorial inizierà spiegando tutti i passaggi necessari per installare e configurare Samba4 come controller di dominio su Ubuntu 16.04 e Ubuntu 14.04.

Questa configurazione fornirà un punto di gestione centrale per utenti, macchine, condivisioni di volumi, autorizzazioni e altre risorse in un'infrastruttura mista Windows – Linux.

Requisiti:

  1. Installazione del server Ubuntu 16.04.
  2. Installazione del server Ubuntu 14.04.
  3. Un indirizzo IP statico configurato per il tuo server AD DC.

Passaggio 1: configurazione iniziale per Samba4

1. Prima di procedere con l'installazione di Samba4 AD DC, eseguiamo alcuni passaggi prerequisiti. Per prima cosa assicurati che il sistema sia aggiornato con le ultime funzionalità di sicurezza, kernel e pacchetti emettendo il comando seguente:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Successivamente, apri il file /etc/fstab del computer e assicurati che il file system delle partizioni abbia gli ACL abilitati come illustrato nello screenshot seguente.

Di solito, i comuni file system Linux moderni come ext3, ext4, xfs o btrfs supportano e hanno ACL abilitati da predefinito. Se questo non è il caso con il tuo file system, apri semplicemente il file /etc/fstab per modificarlo e aggiungi la stringa acl alla fine della terza colonna e riavvia la macchina per applicare le modifiche.

3. Infine imposta il nome host della tua macchina con un nome descrittivo, come adc1 utilizzato in questo esempio, modificando il file /etc/hostname o emissione.

sudo hostnamectl set-hostname adc1

È necessario un riavvio dopo aver cambiato il nome del computer per applicare le modifiche.

Passaggio 2: installare i pacchetti richiesti per Samba4 AD DC

4. Per trasformare il tuo server in un controller di dominio Active Directory, installa Samba e tutti i pacchetti richiesti sul tuo computer immettendo quanto segue comando con privilegi di root in una console.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Durante l'esecuzione dell'installazione l'installatore porrà una serie di domande per configurare il controller di dominio.

Nella prima schermata dovrai aggiungere un nome per il REALM predefinito di Kerberos in maiuscolo. Inserisci il nome che utilizzerai per il tuo dominio in maiuscolo e premi Invio per continuare.

6. Successivamente, inserisci il nome host del server Kerberos per il tuo dominio. Utilizza lo stesso nome del tuo dominio, questa volta in lettere minuscole e premi Invio per continuare.

7. Infine, specifica il nome host per il server amministrativo del tuo realm Kerberos. Utilizza lo stesso del tuo dominio e premi Invio per completare l'installazione.

Passaggio 3: esegui il provisioning di Samba AD DC per il tuo dominio

8. Prima di iniziare a configurare Samba per il tuo dominio, esegui i comandi seguenti per arrestare e disabilitare tutti i demoni Samba.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Successivamente, rinomina o rimuovi la configurazione originale di Samba. Questo passaggio è assolutamente necessario prima del provisioning di Samba AD poiché al momento del provisioning Samba creerà un nuovo file di configurazione da zero e genererà alcuni errori nel caso in cui trovi un vecchio < codice>smb.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Ora avvia il provisioning del dominio in modo interattivo emettendo il comando seguente con privilegi di root e accetta le opzioni predefinite fornite da Samba.

Inoltre, assicurati di fornire l'indirizzo IP per un server d'inoltro DNS presso la tua sede (o esterno) e scegli una password complessa per l'account Amministratore. Se scegli una password settimanale per l'account amministratore, la fornitura del dominio fallirà.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Infine, rinomina o rimuovi il file di configurazione principale di Kerberos dalla directory /etc e sostituiscilo utilizzando un collegamento simbolico con il file Kerberos appena generato da Samba situato in /var/lib /samba/private immettendo i comandi seguenti:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Avvia e abilita i demoni Samba Active Directory Domain Controller.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Successivamente, utilizza il comando netstat per verificare l'elenco di tutti i servizi richiesti da una Active Directory per funzionare correttamente.

sudo netstat –tulpn| egrep ‘smbd|samba’

Passaggio 4: configurazioni finali di Samba

14. In questo momento Samba dovrebbe essere pienamente operativo presso la vostra sede. Il livello di dominio più alto che Samba sta emulando dovrebbe essere Windows AD DC 2008 R2.

Può essere verificato con l'aiuto dell'utilità samba-tool.

sudo samba-tool domain level show

15. Affinché la risoluzione DNS funzioni localmente, è necessario aprire e modificare le impostazioni dell'interfaccia di rete e puntare la risoluzione DNS modificando i dns-nameservers istruzione per l'indirizzo IP del tuo controller di dominio (usa 127.0.0.1 per la risoluzione DNS locale) e istruzione dns-search per puntare al tuo regno.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Al termine, riavvia il tuo server e dai un'occhiata al file del risolutore per assicurarti che rimandi ai server dei nomi DNS corretti.

16. Infine, testa il risolutore DNS eseguendo query e ping rispetto ad alcuni record cruciali di AD DC, come nell'estratto seguente. Sostituisci il nome di dominio di conseguenza.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Esegui le seguenti query sul controller di dominio Active Directory di Samba.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Inoltre, verifica l'autenticazione Kerberos richiedendo un ticket per l'account dell'amministratore del dominio ed elenca il ticket memorizzato nella cache. Scrivi la parte del nome di dominio in maiuscolo.

kinit [email 
klist

È tutto! Ora hai un AD Domain Controller completamente operativo installato nella tua rete e puoi iniziare a integrare macchine Windows o Linux in Samba AD.

Nella prossima serie tratteremo altri argomenti Samba AD, ad esempio come gestire il controller di dominio dalla riga di comando di Samba, come integrare Windows 10 nel nome di dominio e gestire Samba AD in remoto utilizzando RSAT e altri argomenti importanti.