Это старая версия документа!


Внимание! Идет редактирование !

Оригинал: Samba AD DC HOWTO
Перевел: Graf
Дата перевода: февраль 2014 г.


Samba AD DC HOWTO


Введение

Этот документ объясняет, как настроить простой Samba (4.0 +) сервер в качестве контроллера домена совместимого с Microsoft Active Directory, в основном, для использования клиентами Microsoft Windows, которые присоединены к домену Active Directory, для оказания таких услуг, как вход в домен. Если вкратце, то мы имеем в виду возможности AD DC.

При обновлении существующего AD DC, пожалуйста ознакомитесь с методом обновления вашего дистрибутива или обратитесь к HowTo - обновление исходной версии.

Версии

Samba развивается очень быстро. Этот документ постоянно обновляется с учетом последних изменений. Пожалуйста, прочтите более подробные сведения о плановых релизах Samba 4.0 и старше.

Пожалуйста, просмотрите заметки о выпуске той версии, которую вы установили. Они могут содержать важную информацию, еще не отраженную в этом документе.

Установка Samba

Различные способы установки

У вас есть несколько вариантов установки Samba:

Рекомендации и зависимоси смотрите на Samba 4/Требования к ОС

Пути

Соблюдайте осторожность при работе с командами Samba, если у вас уже установлена её предыдущая версия. Чтобы избежать случайного запуска неподходящей версии, рассмотрите вопрос о помещении каталогов /usr/local/samba/bin/ и /usr/local/samba/sbin/ в начале переменной $PATH.

Вы можете узнать версию Samba, если таковая имеется в переменной PATH, запустив команду:

# samba -V

Информация о сервере

В остальных частях этого документа, мы будем использовать следующую конфигурацию/настройку нашего AD DC:

Каталог установки:      /usr/local/samba/
Имя Сервера:            DC1
Имя Домена в DNS:       samdom.example.com (Это также будет вашим realm)
Имя Домена NT4 :        samdom
IP адрес:               192.168.1.1
Роль сервера:           DC

Подготовка Samba (настройка нового домена)

Подготовка домена создает основную базу данных и используется при настройке Samba сервера в существующем домене. Если же вы хотите установить Samba сервер в качестве дополнительного контроллера домена в существующем домене, то просмотрите HowTo - Присоединение к контроллеру домена Windows в качестве дополнительного контролера домена в домене.

Шаг подготовки домена должен быть запущен от имени пользователя с правами записи в каталог установки. В противном случае вы получаете ошибку о запрете доступа.

Для подготовки нового домена, выполните:

# /usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive

Это позволит запустить инструмент подготовки домена в интерактивном режиме. Из-за того, что некоторые параметры нельзя настроить интерактивно, рекомендуется запустить samba-tool domain provision - -help и посмотреть на дополнительные возможности.

Опция - -use-rfc2307 позволяет Samba AD автоматически сохранять атрибуты posix. Она также создает NIS информацию в AD, что позволяет администрировать UID/GID и другие установки Unix (на вкладке «Атрибуты Unix» в ADUC). Проще включить эту функцию во время подготовки, чем настраивать её потом вручную. И даже, если она вам не нужна (пока), её включение не влияет на установку.

Важные замечания по подготовке:

  • Начиная с версии Samba 4.0.0 RC1, команда подготовки домена использует внутренний Samba DNS-сервер. Если вы хотите использовать Bind как DNS сервер, добавьте - -dns-backend=BIND9_DLZ к команде подготовки. Это решение не является окончательным. Вы можете переключать бэкэнд всегда, когда захотите.
  • Если вы повторно запустили подготовку, то нужно удалить файл /usr/local/samba/etc/smb.conf! Также, возможно, потребуется удаление файлов базы данных, если они были созданы, используя команду rm -rf /usr/local/samba/private/*
  • Для пароля администратора необходимо выполнение требований сложности пароля. Это означает, что должны использоваться по крайней мере, одна заглавная буква, одна цифра и длина должна быть не менее восьми символов. Если вы не используете достаточно сложный пароль, то сценарий подготовки завершится с ошибкой и вам придётся начать с ввода лучшего пароля (удалив /usr/local/samba/private/ и /usr/local/samba/etc/).
  • Если ваш сайт example.com, то доменом вашей AD должен быть его поддомен, такой как samdom.example.com (или ad.example.com, corp.example.com). Избегайте внутреннего использования example.com.

Classicupgrade (перенос домена в стиле Samba NT4 на AD)

Если вы планируете перенести существующий домен Samba NT4 на Samba AD прочтите Classicupgrade HowTo.

Запускаем Samba AD DC

Если у вас запущены процессы smbd, nmbd или winbindd от предыдущей установки, то они должны быть остановлены до запуска вновь установленной samba!

Если вы планируете запускать Samba в качестве рабочего сервера, то просто запустите двоичный файл от пользователя root.

# /usr/local/samba/sbin/samba

В этом случае Samba запустится в «стандартном» режиме, который подходит для использования в большинстве случаях. В Samba еще не включены init-сценарии для каждой платформы, но сделать это для вашей платформы не трудно. Есть несколько примеров скриптов на странице Samba4 Init-Script

Если вы работаете с Samba как разработчик, то нижеследующее может быть полезным:

# /usr/local/samba/sbin/samba -i -M single

Это приведет к запуску Samba с выводом сообщений журнала на стандартный вывод и ограничит её одним процессом. Такой режим работы делает отладку Samba с gdb проще. Для запуска Samba под gdb, выполните следующее:

# gdb --args /usr/local/samba/sbin/samba -i -M single

Тестирование подключения к Samba AD DC

Сначала проверьте свою версию smbclient, выполнив следующую команду:

$ /usr/local/samba/bin/smbclient --version

Что должно показать вам версию, начиная с «Version 4.X».

Теперь запустите команду, чтобы перечислить доступные ресурсы на вашем Samba сервере:

$ /usr/local/samba/bin/smbclient -L localhost -U%

       Sharename       Type      Comment
       ---------       ----      -------
       netlogon        Disk
       sysvol          Disk
       IPC$            IPC       IPC Service (Samba 4.x.y)

Вывод команды должен быть аналогичен тому, что показан. netlogon и sysvol являются основными ресурсами необходимыми для операций сервера Active Directory и создаются в smb.conf во время подготовки/обновления.

Если команда не выполняется, перезапустите samba:

# killall samba
# /usr/local/samba/sbin/samba

Для проверки работоспособности аутентификации, вы должны попытаться подключиться к ресурсу netlogon с помощью пароля администратора, который вы установили ранее. Вывод команды должен быть похож на тот, что показан ниже:

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'

Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y]
  .                                   D        0  Tue Dec 11 20:00:00 2012
  ..                                  D        0  Tue Dec 11 20:00:00 2012

Настройка DNS

Настройка рабочего DNS имеет важное значение для правильной работы Samba и AD. Без правильных DNS-записей не будет работать Kerberos, а это означает, что и многие из основных функций также не будут работать. Стоит потратить немного времени на то, чтобы правильно настроить ваш DNS, чем потом заниматься отладкой проблем, вызванных неправильно настроенным DNS, которая может занять много времени. Для управлением DNS-записями на Windows, можно использовать DNS MMC или на Linux samba-tool. Для получения более подробной информации прочтите Администрирование DNS.

DNS Бэкэнды

Для получения дополнительной информации о поддерживаемых DNS бэкэндах и получении помощи, которая лучше всего вам подойдет, перейдите на страницу DNS.

Внутренний Samba DNS Сервер
Навигация
Печать/экспорт
QR Code
QR Code wiki:articles:samba4_ht (generated for current page)