在Ubuntu上使用Samba4创建Active Directory基础架构

Samba是一个免费的开源软件，它提供了 Windows操作系统和 Linux/Unix操作系统之间的互操作性标准。 Samba可以为通过 SMB/CIFS协议族独立的文件和打印服务器用于Windows和Linux客户端运行，也可作为一个 Active Directory域控制器或加入到一个域作为 域成员 。目前 Samba4可以效仿的最高 AD DC域和forest级别 Windows 2008 R2。 该系列将标题 设置Samba4 Active Directory域控制器 ，它涵盖以下主题的 Ubuntu，CentOS ，和 Windows：

第1部分 ： 在Ubuntu与SAMBA4安装Active Directory架构

第2部分 ： 在Windows 10客户端安装RSAT来管理Samba4 AD基础设施

第3部分 ： 加入Samba4 DC与Sysvol的复制现有的AD基础设施

第4部分 ： 通过GPO添加来自Linux的DC和地图共享卷到AD

第5部分 ： 集成的Ubuntu 16.04至公元作为域成员

第6部分 ： 集成的CentOS 7作为AD域成员

第7部分 ： 与AD Intranet的Kerberos身份验证创建Apache网站

本教程将通过解释所有你需要为安装和在 Ubuntu 16.04和 Ubuntu 14.04配置 Samba4为 域控制器的步骤开始。此配置将为混合Windows - Linux基础架构中的用户，机器，卷共享，权限和其他资源提供中央管理点。

要求：

第1步：Samba4的初始配置

1.在开始你的 Samba4 AD DC安装首先让我们来运行一些前期所需的步骤。首先，通过发出以下命令确保系统是最新的最新安全功能，内核和软件包：

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2.接下来，打开 /etc/fstab文件，并确保在下面的截图所示你的分区文件系统启用 ACL。 通常情况下，普通的Linux文件系统，如 EXT3，EXT4，XFS或 BTRFS的支持和拥有的ACL默认情况下启用。如果这不是你的文件系统，只需打开 /etc/fstab文件进行编辑文件，添加 acl在第三列的末端，以应用更改字符串，并 重新启动计算机。

在Linux文件系统上启用ACL

3.最后设置你的机器的主机名与一个描述性的名称，如 adc1在这个例子中使用，通过编辑 /etc/hostname文件。

$ sudo hostnamectl set-hostname adc1

你为了应用的改变而改变你的机器名后需要 重新启动 。

第2步：为Samba4 AD DC安装所需的软件包

4.为了将您的服务器转换为 Active Directory域控制器 ，通过在控制台发出以下命令以 root权限在机器上安装 Samba和所有需要的软件包。

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-windbind

在Ubuntu上安装Samba

5.虽然安装运行的一系列问题将安装程序，以配置域控制器来访问。在第一个屏幕，您将需要使用 Kerberos默认添加名称 REALM大写。输入您将使用在大写域的名称，然后按 Enter继续..

配置Kerberos身份验证

6.接下来，输入 Kerberos服务器的 主机名您的域名。使用相同的名称作为您的域名，用小写这次并按 Enter键继续。

设置主机名Kerberos服务器

7.最后，指定您的 Kerberos领域的管理服务器的 主机名 。使用相同的域，然后按 Enter完成安装。

设置主机名管理服务器

第3步：为您的域提供Samba AD DC

8.在开始配置 Samba为您的域名，第一次以停止并禁用所有Samba守护进程运行下面的命令前。

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9.接下来，重命名或删除Samba原始配置。由于在规定的时间 Samba将从头开始创建一个新的配置文件，并会抛出一些错误的情况下，找到一个古老的这一步是绝对的供应 SambaAD之前需要 smb.conf文件。

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10.现在，通过发出以下命令，以root权限交互方式启动域配置和接受Samba为您提供的默认选项。此外，请确保您在您的场所（或外部）提供DNS转发器的IP地址，并为管理员帐户选择一个强密码。如果为管理员帐户选择弱密码，则域配置将失败。

$ sudo samba-tool domain provision --use-rfc2307 –interactive

Samba域配置

11.最后，重命名或从 /etc目录中删除Kerberos的主配置文件，并使用与位于 /var/lib/samba/private路径通过发出以下命令Samba新生成的Kerberos文件的符号链接替换它：

$ sudo mv /etc/krb6.conf /etc/krb5.conf.initial
$ sudo ln –s /var/lib/samba/private/krb5.conf /etc/

创建Kerberos配置

12.启动并启用 Samba的Active Directory域控制器守护进程。

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

启用Samba Active Directory域控制器

13.接下来，使用netstat命令，以核实的 Active Directory正常运行所需的所有服务的列表。

$ sudo netstat –tulpn| egrep ‘smbd|samba’

验证Samba Active Directory

第4步：最后Samba配置

14.这时 Samba应该在您的场所全面运作。最高域级别 Samba被模仿应该是 Windows AD DC 2008 R2。 它可以与 Samba工具效用的帮助下进行验证。

$ sudo samba-tool domain level show

验证Samba域级别

15.为了进行 DNS解析在本地工作，你需要打开编辑完网络接口设置并通过修改 DNS，域名服务器语句将 域控制器 （使用 127.0.0.1本地DNS解析）的IP地址指向DNS解析和 DNS搜索语句指向你的 realm 。

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

为Samba AD配置DNS

完成后， 重新启动您的服务器，看看您的解析器文件，以确保它指向回到正确的DNS域名服务器。 16.最后，通过发出对一些 AD DC关键记录的查询和坪，如下面摘录测试DNS解析。相应地替换域名。

$ ping –c3 youcl.lan       #Domain Name
$ ping –c3 adc1.youcl.lan  #FQDN
$ ping –c3 adc1              #Host

检查Samba AD DNS记录

运行以下几个针对Samba Active Directory域控制器的查询。

$ host –t A youcl.lan
$ host –t A adc1.youcl.lan
$ host –t SRV _kerberos._udp.youcl.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.youcl.lan # TCP LDAP SRV record

17.此外，通过请求域管理员帐户票验证 Kerberos身份验证，并列出缓存的票。用大写写域名部分。

$ kinit administrator@youcl.LAN
$ klist

检查域上的Kerberos身份验证

就这样！现在你有一个全面运作 AD网络中安装 域控制器 ，你可以开始整合 Windows或 Linux机器进入 SambaAD。 在接下来的系列中，我们将讨论其他 SambaAD的话题，比如如何管理你的Samba命令行域控制器上，如何在Windows 10融入域名并使用RSAT等重要议题进行远程管理的Samba AD。