Это старая версия документа!
Содержание
Оригинал: Samba AD DC HOWTO
Перевел: Graf
Дата перевода: февраль 2014 г.
Samba AD DC HOWTO |
---|
Введение
Этот документ объясняет, как настроить простой Samba (4.0 +) сервер в качестве контроллера домена совместимого с Microsoft Active Directory, в основном, для использования клиентами Microsoft Windows, которые присоединены к домену Active Directory, для оказания таких услуг, как вход в домен. Если вкратце, то мы имеем в виду возможности AD DC.
При обновлении существующего AD DC, пожалуйста ознакомитесь с методом обновления вашего дистрибутива или обратитесь к HowTo - обновление исходной версии.
Версии
Samba развивается очень быстро. Этот документ постоянно обновляется с учетом последних изменений. Пожалуйста, прочтите более подробные сведения о плановых релизах Samba 4.0 и старше.
Пожалуйста, просмотрите заметки о выпуске той версии, которую вы установили. Они могут содержать важную информацию, еще не отраженную в этом документе.
Установка Samba
Различные способы установки
У вас есть несколько вариантов установки Samba:
- соберите Samba самостоятельно.
- установите при помощи дистрибутивного менеджера пакетов.
- установите пакет с SerNet Enterprise Samba.
Рекомендации и зависимоси смотрите на Samba 4/Требования к ОС
Пути
Соблюдайте осторожность при работе с командами Samba, если у вас уже установлена её предыдущая версия. Чтобы избежать случайного запуска неподходящей версии, рассмотрите вопрос о помещении каталогов /usr/local/samba/bin/ и /usr/local/samba/sbin/ в начале переменной $PATH.
Вы можете узнать версию Samba, если таковая имеется в переменной PATH, запустив команду:
# samba -V
Информация о сервере
В остальных частях этого документа, мы будем использовать следующую конфигурацию/настройку нашего AD DC:
Каталог установки: /usr/local/samba/ Имя Сервера: DC1 Имя Домена в DNS: samdom.example.com (Это также будет вашим realm) Имя Домена NT4 : samdom IP адрес: 192.168.1.1 Роль сервера: DC
Подготовка Samba (настройка нового домена)
Подготовка домена создает основную базу данных и используется при настройке Samba сервера в существующем домене. Если же вы хотите установить Samba сервер в качестве дополнительного контроллера домена в существующем домене, то просмотрите HowTo - Присоединение к контроллеру домена Windows в качестве дополнительного контролера домена в домене.
Шаг подготовки домена должен быть запущен от имени пользователя с правами записи в каталог установки. В противном случае вы получаете ошибку о запрете доступа.
Для подготовки нового домена, выполните:
# /usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
Это позволит запустить инструмент подготовки домена в интерактивном режиме. Из-за того, что некоторые параметры нельзя настроить интерактивно, рекомендуется запустить samba-tool domain provision - -help и посмотреть на дополнительные возможности.
Опция - -use-rfc2307 позволяет Samba AD автоматически сохранять атрибуты posix. Она также создает NIS информацию в AD, что позволяет администрировать UID/GID и другие установки Unix (на вкладке «Атрибуты Unix» в ADUC). Проще включить эту функцию во время подготовки, чем настраивать её потом вручную. И даже, если она вам не нужна (пока), её включение не влияет на установку.
Важные замечания по подготовке:
- Начиная с версии Samba 4.0.0 RC1, команда подготовки домена использует внутренний Samba DNS-сервер. Если вы хотите использовать Bind как DNS сервер, добавьте - -dns-backend=BIND9_DLZ к команде подготовки. Это решение не является окончательным. Вы можете переключать бэкэнд всегда, когда захотите.
- Если вы повторно запустили подготовку, то нужно удалить файл /usr/local/samba/etc/smb.conf! Также, возможно, потребуется удаление файлов базы данных, если они были созданы, используя команду rm -rf /usr/local/samba/private/*
- Для пароля администратора необходимо выполнение требований сложности пароля. Это означает, что должны использоваться по крайней мере, одна заглавная буква, одна цифра и длина должна быть не менее восьми символов. Если вы не используете достаточно сложный пароль, то сценарий подготовки завершится с ошибкой и вам придётся начать с ввода лучшего пароля (удалив /usr/local/samba/private/ и /usr/local/samba/etc/).
- Если ваш сайт example.com, то доменом вашей AD должен быть его поддомен, такой как samdom.example.com (или ad.example.com, corp.example.com). Избегайте внутреннего использования example.com.
Classicupgrade (перенос домена в стиле Samba NT4 на AD)
Если вы планируете перенести существующий домен Samba NT4 на Samba AD прочтите Classicupgrade HowTo.
Запускаем Samba AD DC
Если вы планируете запускать Samba в качестве рабочего сервера, то просто запустите двоичный файл от пользователя root.
# /usr/local/samba/sbin/samba
В этом случае Samba запустится в «стандартном» режиме, который подходит для использования в большинстве случаях. В Samba еще не включены init-сценарии для каждой платформы, но сделать это для вашей платформы не трудно. Есть несколько примеров скриптов на странице Samba4 Init-Script
Если вы работаете с Samba как разработчик, то нижеследующее может быть полезным:
# /usr/local/samba/sbin/samba -i -M single
Это приведет к запуску Samba с выводом сообщений журнала на стандартный вывод и ограничит её одним процессом. Такой режим работы делает отладку Samba с gdb проще. Для запуска Samba под gdb, выполните следующее:
# gdb --args /usr/local/samba/sbin/samba -i -M single
Тестирование подключения к Samba AD DC
Сначала проверьте свою версию smbclient, выполнив следующую команду:
$ /usr/local/samba/bin/smbclient --version
Что должно показать вам версию, начиная с «Version 4.X».
Теперь запустите команду, чтобы перечислить доступные ресурсы на вашем Samba сервере:
$ /usr/local/samba/bin/smbclient -L localhost -U% Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.x.y)
Вывод команды должен быть аналогичен тому, что показан. netlogon и sysvol являются основными ресурсами необходимыми для операций сервера Active Directory и создаются в smb.conf во время подготовки/обновления.
Если команда не выполняется, перезапустите samba:
# killall samba # /usr/local/samba/sbin/samba
Для проверки работоспособности аутентификации, вы должны попытаться подключиться к ресурсу netlogon с помощью пароля администратора, который вы установили ранее. Вывод команды должен быть похож на тот, что показан ниже:
$ smbclient //localhost/netlogon -UAdministrator -c 'ls' Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y] . D 0 Tue Dec 11 20:00:00 2012 .. D 0 Tue Dec 11 20:00:00 2012