在Ubuntu上使用Samba4创建Active Directory基础架构 - 第1部分

Samba是一个免费的开源软件,它提供了 Windows操作系统Linux/Unix操作系统之间的互操作性标准。 Samba可以为通过 SMB/CIFS协议族独立的文件和打印服务器用于Windows和Linux客户端运行,也可作为一个 Active Directory域控制器或加入到一个 作为 域成员 。 目前 Samba4可以效仿的最高 AD DC域和forest级别 Windows 2008 R2。 该系列将标题 设置Samba4 Active Directory域控制器 ,它涵盖以下主题的 Ubuntu,CentOS ,和 Windows:
第1部分在Ubuntu与SAMBA4安装Active Directory架构
第2部分在Windows 10客户端安装RSAT来管理Samba4 AD基础设施
第3部分加入Samba4 DC与Sysvol的复制现有的AD基础设施
第4部分通过GPO添加来自Linux的DC和地图共享卷到AD
第5部分集成的Ubuntu 16.04至公元作为域成员
第6部分集成的CentOS 7作为AD域成员
第7部分与AD Intranet的Kerberos身份验证创建Apache网站
本教程将通过解释所有你需要为安装和在 Ubuntu 16.04Ubuntu 14.04配置 Samba4域控制器的步骤开始。 此配置将为混合Windows - Linux基础架构中的用户,机器,卷共享,权限和其他资源提供中央管理点。

要求:

  1. Ubuntu 16.04服务器安装
  2. Ubuntu 14.04服务器安装
  3. 配置静态IP地址为你的AD DC服务器。

第1步:Samba4的初始配置

1.在开始你的 Samba4 AD DC安装首先让我们来运行一些前期所需的步骤。首先,通过发出以下命令确保系统是最新的最新安全功能,内核和软件包:
$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade
2.接下来,打开 /etc/fstab文件,并确保在下面的截图所示你的分区文件系统启用 ACL。 通常情况下,普通的Linux文件系统,如 EXT3,EXT4,XFSBTRFS的支持和拥有的ACL默认情况下启用。 如果这不是你的文件系统,只需打开 /etc/fstab文件进行编辑文件,添加 acl在第三列的末端,以应用更改字符串,并 重新启动计算机。

在Linux文件系统上启用ACL

3.最后 设置你的机器的主机名与一个描述性的名称,如 adc1在这个例子中使用,通过编辑 /etc/hostname文件。
$ sudo hostnamectl set-hostname adc1
你为了应用的改变而改变你的机器名后需要 重新启动

第2步:为Samba4 AD DC安装所需的软件包

4.为了将您的服务器转换为 Active Directory域控制器 ,通过在控制台发出以下命令以 root权限在机器上安装 Samba和所有需要的软件包。
$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-windbind

在Ubuntu上安装Samba

5.虽然安装运行的一系列问题将安装程序,以配置域控制器来访问。 在第一个屏幕,您将需要使用 Kerberos默认添加名称 REALM大写。 输入您将使用在大写域的名称,然后按 Enter继续..

配置Kerberos身份验证

6.接下来,输入 Kerberos服务器的 主机名您的域名。 使用相同的名称作为您的域名,用小写这次并按 Enter键继续。

设置主机名Kerberos服务器

7.最后,指定您的 Kerberos领域的管理服务器的 主机名 。 使用相同的域,然后按 Enter完成安装。

设置主机名管理服务器

第3步:为您的域提供Samba AD DC

8.在开始配置 Samba为您的域名,第一次以停止并禁用所有Samba守护进程运行下面的命令前。
$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service
9.接下来,重命名或删除Samba原始配置。 由于在规定的时间 Samba将从头开始创建一个新的配置文件,并会抛出一些错误的情况下,找到一个古老的这一步是绝对的供应 SambaAD之前需要 smb.conf文件。
$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
10.现在,通过发出以下命令,以root权限交互方式启动域配置和接受Samba为您提供的默认选项。 此外,请确保您在您的场所(或外部)提供DNS转发器的IP地址,并为管理员帐户选择一个强密码。如果为管理员帐户选择弱密码,则域配置将失败。
$ sudo samba-tool domain provision --use-rfc2307 –interactive

Samba域配置

11.最后,重命名或从 /etc目录中删除Kerberos的主配置文件,并使用与位于 /var/lib/samba/private路径通过发出以下命令Samba新生成的Kerberos文件的符号链接替换它:
$ sudo mv /etc/krb6.conf /etc/krb5.conf.initial
$ sudo ln –s /var/lib/samba/private/krb5.conf /etc/

创建Kerberos配置

12.启动并启用 Samba的Active Directory域控制器守护进程。
$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

启用Samba Active Directory域控制器

13.接下来, 使用netstat命令 ,以核实的 Active Directory正常运行所需的所有服务的列表。
$ sudo netstat –tulpn| egrep ‘smbd|samba’

验证Samba Active Directory

第4步:最后Samba配置

14.这时 Samba应该在您的场所全面运作。 最高域级别 Samba被模仿应该是 Windows AD DC 2008 R2。 它可以与 Samba工具效用的帮助下进行验证。
$ sudo samba-tool domain level show

验证Samba域级别

15.为了进行 DNS解析在本地工作,你需要打开编辑完网络接口设置并通过修改 DNS,域名服务器语句将 域控制器 (使用 127.0.0.1本地DNS解析)的IP地址指向DNS解析和 DNS搜索语句指向你的 realm 。
$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

为Samba AD配置DNS

完成后, 重新启动您的服务器,看看您的解析器文件,以确保它指向回到正确的DNS域名服务器。 16.最后,通过发出对一些 AD DC关键记录的查询和坪,如下面摘录测试DNS解析。相应地替换域名。
$ ping –c3 youcl.lan       #Domain Name
$ ping –c3 adc1.youcl.lan  #FQDN
$ ping –c3 adc1              #Host

检查Samba AD DNS记录

运行以下几个针对Samba Active Directory域控制器的查询。
$ host –t A youcl.lan
$ host –t A adc1.youcl.lan
$ host –t SRV _kerberos._udp.youcl.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.youcl.lan # TCP LDAP SRV record
17.此外,通过请求域管理员帐户票验证 Kerberos身份验证,并列出缓存的票。用大写写域名部分。
$ kinit administrator@youcl.LAN
$ klist

检查域上的Kerberos身份验证

就这样!现在你有一个全面运作 AD网络中安装 域控制器 ,你可以开始整合 WindowsLinux机器进入 SambaAD。 在接下来的系列中,我们将讨论其他 SambaAD的话题,比如如何管理你的Samba命令行域控制器上,如何在Windows 10融入域名并使用RSAT等重要议题进行远程管理的Samba AD。
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏