GNU/Linux >> Znalost Linux >  >> Linux

Jak vytvořit řadič domény v Linuxu pro AD

Řadič domény na serveru Linux?! Nemožné! Reakce platí zejména pro ty, kteří tento koncept slyší poprvé. Ukázalo se, že nejenže můžete nastavit řadič domény Linux server, ale můžete tak učinit také zdarma!

Ať už se rozhodnete pro Linux kvůli ceně, standardizaci nebo ekologičtějšímu a štíhlejšímu technologickému zásobníku, naučit se nastavit Linux DC je dobrá dovednost pro každého administrátora.

Čtěte dále a zjistěte, jak používat Sambu jako spolehlivý řadič domény Linux server.

Předpoklady

Tento tutoriál bude praktickou ukázkou. Pokud chcete pokračovat, ujistěte se, že máte server Ubuntu. Tento tutoriál bude používat Ubuntu Server 22.04 LTS s následující konfigurací.

  • Název hostitele:oddjobs-dc
  • IP adresa:192.168.8.10
  • Doména:OJI.COM
  • FQDN:oddjobs-dc.oji.com

Příprava řadiče domény na serveru Linux

Po splnění všech předpokladů se musíte ujistit, že neexistují žádná výchozí nastavení operačního systému, která by mohla bránit fungování DC. Nedělejte si starosti. Tento krok není tak složitý, jak by se mohlo zdát. Chcete-li provést tento úkol, postupujte podle níže uvedených kroků.

Nastavte položku souboru Hosts

Prvním úkolem je přidat název hostitele vašeho serveru a položky FQDN do místních hostitelů (/etc/hosts ) soubor.

1. Nejprve otevřete preferovaného klienta SSH a přihlaste se ke svému serveru Ubuntu.

2. Otevřete hostitele (/etc/hosts) v textovém editoru, jako je nano.

sudo nano /etc/hosts

3. Odstraňte všechny položky, které mapují váš název hostitele nebo FQDN na jakoukoli IP kromě statické IP. Například statická IP adresa tohoto serveru je 192.168.8.10, takže ponechte tento záznam, pokud existuje. Viz příklad níže.

4. Dále přidejte položku k mapování FQDN a statické IP adresy vašeho hostitele. V tomto tutoriálu je FQDN serveru oddjobs-dc.oji.com, takže položka k přidání je:

192.168.8.10 oddjobs-dc.oji.com oddjobs-dc

5. Uložte hostitele (/etc/hosts) a ukončete editor.

Potvrďte název hostitele a rozlišení FQDN

Spuštěním níže uvedených příkazů potvrďte název hostitele serveru a zda se FQDN převádí na správnou IP adresu.

# verify server FQDN
hostname -A

# verify FQDN resolves to your server IP address
ping -c1 oddjobs-dc.oji.com

Jak můžete vidět níže, příkazy vrátily očekávané FQDN a IP adresu.

Zakažte službu Network Name Resolution Service

Ubuntu má službu s názvem systemd-resolved , která se stará o požadavky na překlad DNS. Tato služba není vhodná pro Sambu a musíte ji zakázat a místo toho ručně nakonfigurovat DNS resolver.

1. Zakažte službu systemd-resolved spuštěním příkazu níže.

sudo systemctl disable --now systemd-resolved

2. Dále odstraňte symbolický odkaz na soubor /etc/resolv.conf.

sudo unlink /etc/resolv.conf

3. Ve svém textovém editoru vytvořte nový soubor /etc/resolv.conf. Tento příklad používá nano.

sudo nano /etc/resolv.conf

4. Naplňte soubor /etc/resolv.conf následujícími informacemi. Nahraďte 192.168.8.10 IP adresou svého serveru a oji.com svou doménou. Ponechte jmenný server 1.1.1.1 jako záložní DNS resolver, což je veřejný DNS resolver od Cloudflare.

# your Samba server IP Address
nameserver 192.168.8.10

# fallback resolver
nameserver 1.1.1.1

# your Samba domain
search oji.com

Váš /etc/resolv.conf by měl vypadat podobně jako snímek obrazovky níže.

5. Uložte soubor a ukončete editor.

Instalace Samby

Po dokončení přípravy serveru je čas nainstalovat Sambu a další požadované balíčky pro zajištění řadiče domény.

1. Nejprve se pomocí níže uvedeného příkazu ujistěte, že je mezipaměť úložiště aktuální.

sudo apt-get update

2. Spusťte níže uvedený příkaz a nainstalujte požadované balíčky pro plně funkční řadič domény.

sudo apt install -y acl attr samba samba-dsdb-modules samba-vfs-modules smbclient winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user dnsutils chrony net-tools

3. V kroku Konfigurace ověřování Kerberos zadejte doménu DNS velkými písmeny. V tomto příkladu je výchozí doména sféry OJI.COM. Zvýrazněte Ok a stiskněte Enter pro přijetí hodnoty.

4. Na další obrazovce s dotazem na servery Kerberos pro vaši sféru zadejte název hostitele serveru a stiskněte Enter.

5. Na další obrazovce s dotazem na administrativní server pro vaši sféru Kerberos zadejte název hostitele serveru a stiskněte klávesu Enter.

6. Po konfiguraci vypněte nepotřebné služby (winbind, smbd a nmbd).

sudo systemctl disable --now smbd nmbd winbind

7. Povolte a aktivujte službu samba-ad-dc. Tato služba je to, co Samba potřebuje, aby fungovala jako řadič domény Active Directory Linux server.

# unmask the samba-ad-dc service
sudo systemctl unmask samba-ad-dc

# enable samba-ad-dc service
sudo systemctl enable samba-ad-dc

Zřízení serveru řadiče domény Linux

Pomocí binárního nástroje samba můžete nyní při instalaci Samby zřídit řadič domény. Také samba l je konfigurační nástroj pro interakci a konfiguraci různých aspektů AD založeného na Sambě.

1. Pro správnou míru zálohujte stávající soubory /etc/samba/smb.conf a /etc/krb5.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
sudo mv /etc/krb5.conf /etc/krb5.conf.bak

2. Spusťte níže uvedený příkaz, abyste povýšili Sambu na řadič domény Active Directory Linux server.

Přepínač –use-rfc2307 umožňuje rozšíření Network Information Service (NIS), které umožňuje řadiči domény vhodně spravovat uživatelské účty založené na systému UNIX.

sudo samba-tool domain provision --use-rfc2307 --interactive

3. Odpovězte na výzvy následovně.

  • Sféra – nástroj automaticky detekuje vaši sféru Kerberos. V tomto příkladu je sféra OJI.COM . Stisknutím klávesy Enter přijměte výchozí nastavení.
  • Doména – nástroj automaticky detekuje název domény NetBIOS. V tomto příkladu je NetBIOS OJI . Pokračujte stisknutím klávesy Enter.
  • Role serveru – nástroj automaticky naplní roli serveru jako řadič domény (dc ). Pokračujte stisknutím klávesy Enter.
  • Backend DNS – výchozí je SAMBA_INTERNAL . Stisknutím klávesy Enter přijměte výchozí nastavení.
  • IP adresa DNS forwarderu – zadejte adresu záložního překladače, kterou jste zadali v resolve.conf dříve, což je 1.1.1.1 . Pokračujte stisknutím klávesy Enter.
  • Heslo správce – nastavte heslo výchozího správce domény. Heslo, které zadáte, musí splňovat minimální požadavky společnosti Microsoft na složitost. Pokračujte stisknutím klávesy Enter.
  • Znovu zadejte heslo – zadejte znovu výchozí heslo správce domény a stiskněte klávesu Enter.

Na konci konfigurace uvidíte následující informace.

4. Příkaz samba-tool vygeneroval konfigurační soubor Samba AD Kerberos na /var/lib/samba/private/krb5.conf. Tento soubor musíte zkopírovat do /etc/krb5.conf. Chcete-li tak učinit, spusťte následující příkaz.

sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

5. Nakonec spusťte službu samba-ad-dc.

sudo systemctl start samba-ad-dc
sudo systemctl status samba-ad-dc

Jak můžete vidět níže, stav služby je nyní aktivní (běžící).

Testování řadiče domény Linux serveru

Server Samba AD DC je nyní spuštěn. V této části provedete několik testů po instalaci, abyste potvrdili, že klíčové komponenty fungují podle potřeby. Jedním z takových testů je pokus o přihlášení do výchozích síťových sdílených položek na DC.

Spuštěním příkazu smbclient se přihlaste jako výchozí účet správce a vypište (ls) obsah sdílené složky netlogon.

smbclient //localhost/netlogon -U Administrator -c 'ls'

Zadejte výchozí heslo správce. Sdílená položka by měla být přístupná bez chyb, pokud je DC v dobrém stavu. Jak můžete vidět níže, příkaz vypsal sdílený adresář netlogon.

Ověření rozlišení DNS pro klíčové záznamy domén

Spusťte níže uvedené příkazy a vyhledejte následující záznamy DNS.

  • Záznam LDAP SRV pro doménu založený na protokolu TCP.
  • Záznam SRV Kerberos založený na UDP pro doménu.
  • Záznam řadiče domény.
host -t SRV _ldap._tcp.oji.com
host -t SRV _kerberos._udp.oji.com
host -t A oddjobs-dc.oji.com

Každý příkaz by měl vrátit následující výsledky, což znamená, že překlad DNS funguje.

Testování protokolu Kerberos

Posledním testem je pokus o úspěšné vydání lístku Kerberos.

1. Proveďte příkaz kinit pro administrátora. Příkaz automaticky připojí sféru k uživatelskému účtu. Administrátor se například stane [email protected], kde je doménou OJI.com.

kinit administrator

2. Do výzvy zadejte heslo správce a stiskněte klávesu Enter. Pokud je heslo správné, zobrazí se upozornění na vypršení platnosti hesla, jak je uvedeno níže.

3. Spuštěním příkazu klist níže zobrazíte seznam všech tiketů v mezipaměti tiketů.

klist

Snímek obrazovky níže ukazuje, že lístek Kerberos pro účet správce je v mezipaměti lístků. Tento výsledek znamená, že ověřování Kerberos funguje na serveru Linux na vašem řadiči domény.

Závěr

Gratulujeme k dosažení konce tohoto tutoriálu. Nyní jste se naučili rychle postavit řadič domény Active Directory Linux server. Prohloubte své znalosti na toto téma tím, že se naučíte vytvářet uživatele a připojovat se ke klientským počítačům v doméně.


Linux

  1. Jak vytvořit skript příkazu Linux

  2. Jak vytvořit subdoménu pro svůj web

  3. Jak nainstalovat CVS a vytvořit úložiště CVS na serveru Linux

  1. Jak zabalit aplikace Python pro Linux

  2. Jak nastavit Sambu jako primární řadič domény v Linuxu

  3. Jak zálohovat konfiguraci řadiče domény Samba v Linuxu

  1. Jak vytvořit sdílený adresář pro všechny uživatele v Linuxu

  2. Jak vytvořit vlastní jmenné servery pro váš dedikovaný server

  3. Jak nainstaluji Microsoft SQL Server pro linux (fedora)?