Csatlakozzon egy további Ubuntu DC-hez a Samba4 AD DC-hez a feladatátvételi replikációhoz – 5. rész
Ez az oktatóanyag bemutatja, hogyan adhat hozzá egy második Samba4 tartományvezérlőt, amely az Ubuntu 16.04 szerveren van kiépítve, a meglévő Samba AD DC erdőhöz. bizonyos fokú terheléselosztás/feladatátvétel biztosítása néhány kulcsfontosságú AD DC szolgáltatáshoz, különösen az olyan szolgáltatásokhoz, mint a DNS és az AD DC LDAP séma SAM-adatbázissal.
Követelmények
- Hozzon létre egy Active Directory-infrastruktúrát a Samba4 segítségével Ubuntu-n – 1. rész
Ez a cikk a Samba4 AD DC sorozat 5. része, az alábbiak szerint:
1. lépés: A Samba4 beállításának kezdeti konfigurálása
1. Mielőtt elkezdené a domain csatlakozást a második DC-hez, néhány kezdeti beállítást kell elvégeznie. Először győződjön meg arról, hogy a Samba4 AD DC-be integrálandó rendszer gazdaneve tartalmaz egy leíró nevet.
Feltéve, hogy az első kiépített tartomány gazdaneve neve adc1, a második DC-t az adc2-val nevezheti el, hogy konzisztens elnevezési sémát biztosítson. a tartományvezérlői között.
A rendszer állomásnév módosításához adja ki az alábbi parancsot.
hostnamectl set-hostname adc2
egyébként manuálisan szerkesztheti az /etc/hostname fájlt, és hozzáadhat egy új sort a kívánt névvel.
nano /etc/hostname
Itt adja hozzá a gazdagép nevét.
adc2
2. Ezután nyissa meg a helyi rendszerfeloldó fájlt, és adjon hozzá egy bejegyzést az IP-címmel, amely a fő tartományvezérlő rövid nevéhez és FQDN-jéhez mutat, az alábbiak szerint. képernyőkép.
Ebben az oktatóanyagban az elsődleges DC-név adc1.tecmint.lan, és feloldása 192.168.1.254 IP-cím.
nano /etc/hosts
Adja hozzá a következő sort:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. A következő lépésben nyissa meg az /etc/network/interfaces elemet, és rendeljen hozzá statikus IP-címet a rendszeréhez az alábbi képernyőképen látható módon.
Ügyeljen a dns-nameservers és a dns-search változókra. Ezeket az értékeket úgy kell beállítani, hogy visszamutassanak az elsődleges Samba4 AD DC és tartomány IP-címére, hogy a DNS-feloldás megfelelően működjön.
Indítsa újra a hálózati démont, hogy tükrözze a változásokat. Ellenőrizze az /etc/resolv.conf fájlt, hogy megbizonyosodjon arról, hogy a hálózati interfész mindkét DNS-értéke ehhez a fájlhoz frissül.
nano /etc/network/interfaces
Szerkessze és cserélje le egyéni IP-beállításaival:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Indítsa újra a hálózati szolgáltatást, és erősítse meg a változtatásokat.
systemctl restart networking.service
cat /etc/resolv.conf
A dns-search érték automatikusan hozzáfűzi a tartománynevet, amikor lekérdez egy gazdagépet annak rövid nevével (ez az FQDN lesz).
4. Annak teszteléséhez, hogy a DNS-feloldás a várt módon működik-e, adjon ki egy sor ping parancsot a domain rövid nevére, teljes tartománynevére és tartományára, ahogy az alábbi képernyőképen látható.
Ezekben az esetekben a Samba4 AD DC DNS szervernek a fő DC IP-címével kell válaszolnia.
5. Az utolsó további lépés, amelyre ügyelnie kell, az időszinkronizálás a fő tartományvezérlővel. Ezt úgy érheti el, hogy az alábbi parancs kiadásával telepíti az NTP kliens segédprogramot a rendszerére:
apt-get install ntpdate
6. Feltéve, hogy manuálisan szeretné kényszeríteni az időszinkronizálást a samba4 AD DC-vel, futtassa az ntpdate parancsot az elsődleges DC-vel szemben a következő parancs kiadásával.
ntpdate adc1
2. lépés: Telepítse a Samba4-et a szükséges függőségekkel
7. Az Ubuntu 16.04 rendszer regisztrálásához először telepítse a Samba4, Kerberos klienst és néhányat más fontos csomagok későbbi használatra az Ubuntu hivatalos tárolóiból az alábbi parancs kiadásával:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. A telepítés során meg kell adnia a Kerberos tartomány nevét. Írja be a domain nevét nagybetűkkel, és nyomja meg az [Enter] billentyűt a telepítés befejezéséhez.
9. Miután a csomagok telepítése befejeződött, ellenőrizze a beállításokat Kerberos jegy kérésével a domain rendszergazdájának a kinit paranccsal. Használja a klist parancsot az engedélyezett Kerberos jegyek listázásához.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
3. lépés: Csatlakozzon a Samba4 AD DC-hez tartományvezérlőként
10. Mielőtt integrálná a gépét a Samba4 DC-be, először győződjön meg arról, hogy a rendszeren futó összes Samba4 démon le van állítva, és az induláshoz nevezze át az alapértelmezett Samba konfigurációs fájlt. tiszta. A tartományvezérlő kiépítése közben a samba a semmiből létrehoz egy új konfigurációs fájlt.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. A domain csatlakozási folyamat elindításához először csak a samba-ad-dc démont indítsa el, majd futtassa a samba-tool programot. paranccsal csatlakozhat a tartományhoz egy rendszergazdai jogosultságokkal rendelkező fiókkal a tartományában.
samba-tool domain join your_domain DC -U "your_domain_admin"
Domainintegrációs kivonat:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Minta kimenet
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Miután az Ubuntu samba4 szoftverrel integrálódott a tartományba, nyissa meg a Samba fő konfigurációs fájlját, és adja hozzá a következő sorokat:
nano /etc/samba/smb.conf
Adja hozzá a következő kivonatot az smb.conf fájlhoz.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Cserélje le a dns továbbító IP-címét a saját DNS továbbító IP-címére. A Samba erre az IP-címre továbbítja az összes DNS-feloldási lekérdezést, amely kívül esik a domain mérvadó zónáján.
13. Végül indítsa újra a samba démont, hogy tükrözze a változásokat, és ellenőrizze az aktív címtárreplikációt a következő parancsok végrehajtásával.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Ezenkívül nevezze át a kezdeti Kerberos konfigurációs fájlt az /etc elérési útról, és cserélje ki az új krb5.conf konfigurációs fájlra, amelyet a samba generált az üzembe helyezés során. a domain.
A fájl a /var/lib/samba/private könyvtárban található. Használja a Linux szimbolikus linket a fájl /etc könyvtárhoz való kapcsolásához.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Ezenkívül ellenőrizze a Kerberos hitelesítést a samba krb5.conf fájllal. Kérjen jegyet adminisztrátor felhasználó számára, és listázza ki a gyorsítótárazott jegyet az alábbi parancsok kiadásával.
kinit administrator
klist
4. lépés: További tartományi szolgáltatások érvényesítése
16. Az első teszt, amelyet el kell végeznie, a Samba4 DC DNS felbontás. A domain DNS-felbontásának érvényesítéséhez kérdezze le a domain nevet a host paranccsal néhány kulcsfontosságú AD DNS-rekordhoz, ahogy az alábbi képernyőképen látható.
A DNS-kiszolgálónak mostanra minden lekérdezéshez két IP-címpárral kell újrajátszania.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Ezeknek a DNS-rekordoknak láthatónak kell lenniük egy regisztrált Windows-gépen is, amelyre telepítve vannak az RSAT-eszközök. Nyissa meg a DNS-kezelőt, és bontsa ki a domain tcp rekordjaira az alábbi képen látható módon.
18. A következő tesztnek azt kell jeleznie, hogy a tartomány LDAP-replikációja a várt módon működik-e. A samba-tool segítségével hozzon létre egy fiókot a második tartományvezérlőn, és ellenőrizze, hogy a fiók automatikusan replikálódik-e az első Samba4 AD DC-n.
adc2-n:
samba-tool user add test_user
Az adc1-en:
samba-tool user list | grep test_user
19. Létrehozhat egy fiókot a Microsoft AD UC konzolból is, és ellenőrizheti, hogy a fiók megjelenik-e mindkét tartományvezérlőn.
Alapértelmezés szerint a fiókot automatikusan létre kell hozni mindkét samba tartományvezérlőn. Kérdezze le a fiók nevét az adc1-ból a wbinfo paranccsal.
20. Valójában nyissa meg az AD UC konzolt a Windows rendszerből, bontsa ki a Domain Controllers részre, és látnia kell mindkét regisztrált egyenáramú gépet.
5. lépés: Engedélyezze a Samba4 AD DC szolgáltatást
21. A samba4 AD DC szolgáltatások rendszerszintű engedélyezéséhez először tiltson le néhány régi és nem használt Samba démont, és csak a samba-ad-dc szolgáltatást engedélyezze az alábbi parancsok futtatásával. :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Ha távolról adminisztrálja a Samba4 tartományvezérlőt egy Microsoft-ügyfélről, vagy más Linux- vagy Windows-klienseket is integrált a tartományába, feltétlenül említse meg az adc2 IP-címét. a hálózati interfész DNS-kiszolgáló IP-beállításaihoz a redundancia szint elérése érdekében.
Az alábbi képernyőképek a Windows vagy Debian/Ubuntu kliensekhez szükséges konfigurációkat szemléltetik.
Feltételezve, hogy az első DC a 192.168.1.254 értékkel offline állapotba kerül, fordítsa meg a DNS-kiszolgáló IP-címeinek sorrendjét a konfigurációs fájlban, így nem próbál meg először lekérdezni egy elérhetetlent. DNS szerver.
Végül, ha helyi hitelesítést szeretne végrehajtani egy Linux rendszeren egy Samba4 Active Directory-fiókkal, vagy root jogosultságokat szeretne adni az AD LDAP-fiókokhoz Linuxban, olvassa el a Samba4 AD-infrastruktúra kezelése Linux parancssorból című oktatóanyag 2. és 3. lépését.