Tartalomjegyzék
Samba AD DC
- Szerző: Sallai András
- Copyright © Sallai András, 2019
- Web: http://szit.hu
Bevezetés
Meg kell különböztetnünk a Windowsos tartomány és a DNS tartományt. Tegyük fel, hogy van egy Zold Zrt nevű vállalat. Megvásárolják a zold.and tartományt, vagy angolosan domain-t. Van aki szerint a zold.and nem is tartománynév, hanem domain név, így nem keverjük a Windowsos tartománnyal. Szóval a zold.and tartomány név az Interneten használatos név.
A cég saját irodáján belül szeretne egy szervert, ami Windowsos kliensek számára nyújt szolgáltatásokat. A Windows szervernek adunk egy nevet, például SMB01. Ez is tartománynév, ez lesz a windowsos tartománynév. Nem egyenlő az Internetes tartománynévvel, akár lehet azonos név is.
A következő példánkban az alábbi neveket használjuk:
- tartománynév: SMB01
- valódi név (realm): zold.and
- gépnév: edu.zold.and
Az edu gépnév kötelezően különböző kell legyen az SMB01 tartománynévtől.
Egy tartományvezérlőt állítunk be, ami Samba belső DNS szerverét használja.
Megjegyzés: A példában .hu, .eu vagy .com felső szintű tartomány nevek helyett egy .and tartománynevet használok. A jó működéshez ajánlott egy ntp szerver is.
Telepítés
Telepítsük fel a szükséges csomagokat:
apt install samba smbclient winbind krb5-config
Telepítéskor olyan kérdésekre kell válaszolnunk mint:
- A gép DHCP-én keresztül kapja az IP címet vagy nem?
- A valódi tartomány (realm) megadása. Például: zold.lan
- Gépnév megadása. Például: edu.zold.lan
Beállítás
El kell távolítani a Samba eredeti konfigurációs állományát, mivel az smbd és nmbd démonok számára készített konfiguráció. Ezeket a démonokat nem fogjuk használni, leállítjuk őket.
Az eredeti Samba konfiguráció átnevezése:
mv /etc/samba/smb.conf /etc/samba/smb.conf.eredeti
Készítsük el a konfigurációs állományt:
samba-tool domain provision \ --server-role=dc \ --dns-backend=SAMBA_INTERNAL \ --realm=zold.and \ --domain=SMB01 \ --adminpass=Titok12345
A konfigurációt a samba-tool paranccsal készítjük. A domain provision alparancsokat használjuk, ami a tartományvezérlő létrehozását célozza. Az utána következő kapcsolók a következők:
--server-role | A szerver szerepe: tartományvezérlő |
--dns-backend=SAMBA_INTERNAL | DNS kiszolgáló a Samba belső modulja |
--realm=zold.and | A DNS tartománynév |
--domain=SMB01 | Windowsos tartománynév |
--adminpass=Titok12345 | Az Administrator felhasználó jelszava |
Ha samba-tool domain provision parancsot önmagában futtatjuk, kapcsolók nélkül, akkor interaktív módban indul el a program, vagyis bekéri ezeket az adatokat.
Másoljuk a /var/lib/samba/private könyvtárból a krb5.conf állományt az /etc könyvtárba:
cp /var/lib/samba/private/krb5.conf /etc/
Állítsuk le a smbd nmbd és winbind démonokat, tiltsuk le az elindulásokat:
systemctl stop smbd nmbd winbind systemctl disable smbd nmbd winbind
Maszkoljuk ki, indítsuk el és engedélyezzük a samba-ad-dc démont:
systemctl unmask samba-ad-dc systemctl start samba-ad-dc systemctl enable samba-ad-dc
Ellenőrzés
Samba4-en így ellenőrizzük beállításokat:
samba-tool testparm
A samba-tool nélküli testparm parancs nem ismer minden Samba4 beállítást, ezért használjuk inkább a „samba-tool testparm” együttest.
smbclient -L localhost -U%
samba-tool domain level show
SMB megosztások keresése:
findsmb
A findsmb
parancs az smbclient
csomag része.
Felhasználó felvétele
samba-tool user create janos