Dołącz do dodatkowego konta DC Ubuntu do Samba4 AD DC w celu replikacji awaryjnej — część 5
W tym samouczku dowiesz się, jak dodać drugi kontroler domeny Samba4, udostępniony na serwerze Ubuntu 16.04, do istniejącego lasu Samba AD DC w celu uporządkowania aby zapewnić stopień równoważenia obciążenia/przełączenia awaryjnego dla niektórych kluczowych usług AD DC, zwłaszcza dla usług takich jak DNS i schemat AD DC LDAP z bazą danych SAM.
Wymagania
- Utwórz infrastrukturę Active Directory za pomocą Samby4 na Ubuntu – część 1
Ten artykuł stanowi część 5 serii Samba4 AD DC i wygląda następująco:
Krok 1: Wstępna konfiguracja dla instalacji Samba4
1. Zanim zaczniesz faktycznie przyłączać domenę dla drugiego DC, musisz zadbać o kilka ustawień początkowych. Najpierw upewnij się, że nazwa hosta systemu, który będzie zintegrowany z Samba4 AD DC, zawiera nazwę opisową.
Zakładając, że nazwa hosta pierwszej udostępnionej domeny nazywa się adc1, możesz nadać drugiemu kontrolerowi domeny nazwę adc2, aby zapewnić spójny schemat nazewnictwa na kontrolerach domeny.
Aby zmienić systemową nazwę hosta, możesz wydać poniższe polecenie.
hostnamectl set-hostname adc2
w przeciwnym razie możesz ręcznie edytować plik /etc/hostname i dodać nową linię z żądaną nazwą.
nano /etc/hostname
Tutaj dodaj nazwę hosta.
adc2
2. Następnie otwórz plik rozpoznawania systemu lokalnego i dodaj wpis z adresem IP wskazującym na krótką nazwę i FQDN głównego kontrolera domeny, jak pokazano poniżej zrzut ekranu.
W tym samouczku podstawowa nazwa kontrolera domeny to adc1.tecmint.lan i jest rozpoznawana jako adres IP 192.168.1.254.
nano /etc/hosts
Dodaj następujący wiersz:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. W następnym kroku otwórz /etc/network/interfaces i przypisz statyczny adres IP dla swojego systemu, jak pokazano na poniższym zrzucie ekranu.
Zwróć uwagę na zmienne dns-nameservers i dns-search. Aby rozpoznawanie DNS działało poprawnie, wartości te należy skonfigurować tak, aby wskazywały adres IP podstawowego domena domeny Samba4 AD i domeny.
Zrestartuj demona sieciowego, aby odzwierciedlić zmiany. Sprawdź plik /etc/resolv.conf, aby upewnić się, że obie wartości DNS z interfejsu sieciowego zostały zaktualizowane do tego pliku.
nano /etc/network/interfaces
Edytuj i zamień na niestandardowe ustawienia adresu IP:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Uruchom ponownie usługę sieciową i potwierdź zmiany.
systemctl restart networking.service
cat /etc/resolv.conf
Wartość dns-search automatycznie dołączy nazwę domeny, gdy zapytasz hosta o jego krótką nazwę (utworzy to nazwę FQDN).
4. Aby sprawdzić, czy rozpoznawanie DNS działa zgodnie z oczekiwaniami, wydaj serię poleceń ping względem krótkiej nazwy domeny, nazwy FQDN i domeny, jak pokazano na poniższym zrzucie ekranu.
We wszystkich tych przypadkach serwer Samba4 AD DC DNS powinien odpowiedzieć, podając adres IP głównego kontrolera domeny.
5. Ostatnim dodatkowym krokiem, o który musisz zadbać, jest synchronizacja czasu z głównym kontrolerem domeny. Można to osiągnąć, instalując w systemie narzędzie klienckie NTP, wydając poniższe polecenie:
apt-get install ntpdate
6. Zakładając, że chcesz ręcznie wymusić synchronizację czasu z samba4 AD DC, uruchom polecenie ntpdate na podstawowym kontrolerze domeny, wydając następujące polecenie.
ntpdate adc1
Krok 2: Zainstaluj Sambę4 z wymaganymi zależnościami
7. Aby zarejestrować system Ubuntu 16.04 w swojej domenie, najpierw zainstaluj Sambę4, klienta Kerberos i kilka inne ważne pakiety do późniejszego wykorzystania z oficjalnych repozytoriów Ubuntu, wydając poniższe polecenie:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Podczas instalacji będziesz musiał podać nazwę domeny Kerberos. Wpisz nazwę swojej domeny wielkimi literami i naciśnij klawisz [Enter], aby zakończyć proces instalacji.
9. Po zakończeniu instalacji pakietów sprawdź ustawienia, żądając biletu Kerberos dla administratora domeny za pomocą polecenia kinit. Użyj polecenia klist, aby wyświetlić listę przyznanych biletów Kerberos.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Krok 3: Dołącz do Samba4 AD DC jako kontroler domeny
10. Przed integracją swojego komputera z Samba4 DC najpierw upewnij się, że wszystkie demony Samba4 działające w Twoim systemie są zatrzymane, a także zmień nazwę domyślnego pliku konfiguracyjnego Samby, aby uruchomić czysty. Podczas udostępniania kontrolera domeny Samba utworzy od podstaw nowy plik konfiguracyjny.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Aby rozpocząć proces przyłączania domeny, najpierw uruchom samego demona samba-ad-dc, po czym uruchomisz samba-tool polecenie dołączenia do domeny przy użyciu konta z uprawnieniami administracyjnymi w Twojej domenie.
samba-tool domain join your_domain DC -U "your_domain_admin"
Fragment integracji domeny:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Przykładowe wyjście
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Po zintegrowaniu Ubuntu z oprogramowaniem samba4 z domeną otwórz główny plik konfiguracyjny samby i dodaj następujące linie:
nano /etc/samba/smb.conf
Dodaj następujący fragment do pliku smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Zastąp adres IP usługi przesyłania dalej DNS własnym adresem IP usługi przesyłania dalej DNS. Samba będzie przekazywała wszystkie zapytania dotyczące rozpoznawania nazw DNS, które znajdują się poza strefą autorytatywną Twojej domeny, na ten adres IP.
13. Na koniec zrestartuj demona samby, aby odzwierciedlić zmiany i sprawdź replikację Active Directory, wykonując następujące polecenia.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Dodatkowo zmień nazwę początkowego pliku konfiguracyjnego Kerberos ze ścieżki /etc i zastąp go nowym plikiem konfiguracyjnym krb5.conf wygenerowanym przez Sambę podczas udostępniania domena.
Plik znajduje się w katalogu /var/lib/samba/private. Użyj dowiązania symbolicznego Linuksa, aby połączyć ten plik z katalogiem /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Sprawdź także uwierzytelnianie Kerberos za pomocą pliku samba krb5.conf. Poproś o bilet dla administratora i wyświetl bilet w pamięci podręcznej, wydając poniższe polecenia.
kinit administrator
klist
Krok 4: Weryfikacja dodatkowych usług domenowych
16. Pierwszym testem, który musisz wykonać, jest rozdzielczość Samba4 DC DNS. Aby sprawdzić rozdzielczość DNS domeny, prześlij zapytanie o nazwę domeny za pomocą polecenia host w odniesieniu do kilku kluczowych rekordów DNS usługi AD, jak pokazano na poniższym zrzucie ekranu.
Serwer DNS powinien już odtwarzać z parą dwóch adresów IP dla każdego zapytania.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Te rekordy DNS powinny być również widoczne z zarejestrowanego komputera z systemem Windows i zainstalowanymi narzędziami RSAT. Otwórz Menedżera DNS i rozwiń rekordy TCP domeny, jak pokazano na poniższym obrazku.
18. Następny test powinien wykazać, czy replikacja domeny LDAP działa zgodnie z oczekiwaniami. Używając samba-tool, utwórz konto na drugim kontrolerze domeny i sprawdź, czy konto jest automatycznie replikowane na pierwszym kontrolerze domeny AD Samba4.
Na adc2:
samba-tool user add test_user
Na adc1:
samba-tool user list | grep test_user
19. Możesz także utworzyć konto z konsoli Microsoft AD UC i sprawdzić, czy konto pojawia się na obu kontrolerach domeny.
Domyślnie konto powinno zostać utworzone automatycznie na obu kontrolerach domeny Samba. Zapytaj o nazwę konta z adc1 za pomocą polecenia wbinfo.
20. W rzeczywistości otwórz konsolę AD UC w systemie Windows, rozwiń opcję Kontrolery domeny i powinieneś zobaczyć oba zarejestrowane komputery DC.
Krok 5: Włącz usługę Samba4 AD DC
21. Aby włączyć usługi samba4 AD DC w całym systemie, najpierw wyłącz niektóre stare i nieużywane demony Samby i włącz tylko usługę samba-ad-dc, uruchamiając poniższe polecenia :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Jeśli zdalnie administrujesz kontrolerem domeny Samba4 z klienta Microsoft lub masz w swojej domenie zintegrowanych innych klientów z systemem Linux lub Windows, pamiętaj o podaniu adresu IP adc2 maszynę do interfejsu sieciowego, ustawienia IP serwera DNS, aby uzyskać poziom redundancji.
Poniższe zrzuty ekranu ilustrują konfiguracje wymagane dla klienta Windows lub Debian/Ubuntu.
Zakładając, że pierwszy DC z 192.168.1.254 przejdzie w tryb offline, odwróć kolejność adresów IP serwerów DNS w pliku konfiguracyjnym, aby nie próbował najpierw zapytać o niedostępny Serwer DNS.
Na koniec, jeśli chcesz przeprowadzić lokalne uwierzytelnianie w systemie Linux za pomocą konta Samba4 Active Directory lub przyznać uprawnienia roota dla kont AD LDAP w systemie Linux, przeczytaj kroki 2 i 3 z samouczka Zarządzanie infrastrukturą AD Samba4 z wiersza poleceń systemu Linux.