Шпаргалка для студентов ССА по настройке сервера Samba-DC
учебно-методический материал

Слайд 1

Слайд 2

Преднастройка Поскольку нам для настройки понадобится такой инструмент как netplan , то следует убедиться что он у нас установлен и настроить его: В дистрибутиве на базе которого я записывал шпаргалку он установлен не был. Поэтому в любом случае пишем: sudo apt install netplan Если он уже установлен то классически будет об этом сообщено и выведена версия. Если эта команда выведет ошибку вводим: sudo apt install netplan.io

Слайд 3

Установка netplan

Слайд 4

Просматриваем директорию netplan

Слайд 5

У нас должен быть такой файл настройки/инициализации Этого файла может и не быть, тогда его нужно создать с таким именем. Потом его будем радактировать .

Слайд 6

Код для файла настройки *. yaml netplan network: ethernets : enp0s3: dhcp4 : no dhcp6 : no addresses : [192.168.1.100/24, ] gateway4 : 192.168.1.1 nameservers : addresses : [192.168.1.1, ] version : 2

Слайд 7

Устанавливаем bind9

Слайд 8

Проверяем установку демона

Слайд 9

C мотрим где bind держит named.conf Вводим команду: named -V | grep sysco И видим примерно следующее: Тут очень важно заметить, что в named –V – В должно быть большое. Т.е. буква заглавная

Слайд 10

Смотрим где DNS server держит кеш В результате чего видим примерно следующее:

Слайд 11

Проверяем named.conf Нас интересуют отмеченные файлы

Слайд 12

Правим named.conf.options # Глобальные настройки options { auth-nxdomain yes; directory "/ var /cache/bind"; # Папка с кешем bind notify no; empty-zones-enable no; tkey-gssapi-keytab "/ var /lib/samba/private/ dns.keytab "; minimal-responses yes; # IP адреса и подсети от которых будут обрабатываться запросы allow-query { 127.0.0.1; 192.168.1.0/24; # Текущая локальная сеть ag-dc-1.adminguide.lan }; # IP адреса и подсети от которых будут обрабатываться рекурсивные запросы # (Зон не обслуживаемых этим DNS сервером) allow-recursion { 127.0.0.1; 192.168.1.0/24; # Текущая локальная сеть ag-dc-1.adminguide.lan }; # Перенаправлять запросы, на которые нет информации в локальной зоне # на следующие сервера: forwarders { 192.168.1.1; #IP адрес DNS форвардера 8.8.8.8; # IP адрес DNS форвардера 8.8.4.4; # IP адрес DNS форвардера }; # Запрет на трансфер зоны allow-transfer { none; }; };

Слайд 13

У меня получилось следующее

Слайд 14

Настраиваем named.conf.default -zones # Корневые сервера # (Необходимы для рекурсивных запросов) zone "." { type hint; file " named.root "; }; # localhost zone zone " localhost " { type master; file "master/ localhost.zone "; }; # 127.0.0. zone. zone "0.0.127.in-addr.arpa" { type master; file "master/0.0.127.zone"; };

Слайд 15

В нашем случае это выглядит так:

Слайд 16

Отключаем systemd -resolved В нашем случае система утверждает, что все эти сервисы не запущены поэтому она выдает ошибку

Слайд 17

Смотрим / etc / resolv.conf Это не совсем то что мы хотели бы здесь видеть – 192.169.0.1 адрес моего роутера. А нам нужно, что бы здесь «рулил» наш сервер. Поэтому:

Слайд 18

Удаляем симлинк / etc / resolv.conf И записываем заново с необходимыми настройками:

Слайд 19

Редактируем файл / etc /hosts

Слайд 20

Проверяем что у нас нет никаких «хвостов» от Samba

Слайд 21

И пробуем установить

Слайд 22

ТТДЦ! sudo apt -y install samba krb5-config winbind smbclient krb5-user Выдает ошибку. Во всяком случае в Debian 12 Поэтому используем: sudo apt -y install samba krb5-config winbind smbclient krb5-user –fix-missing См. предыдущий слайд перед fix не один а два тире. Или как говорят зарубежные коллеги минус 

Слайд 23

Настраиваем аутентификацию kerberos

Слайд 24

Сервер Kerberos для вашей области

Слайд 25

Управляющий сервер вашей области Kerberos

Слайд 26

Обязательно удаляем smb.conf если его оставить, и пробовать править то наши настройки не применятся

Слайд 27

Запускаем настройку samba-ad-dc Как вы обратили внимание у меня эта команда прописана «дважды» если вы заметили в первом случае у меня одно тире перед ключом – interactive -rfc2307 – инструкция которая помогает нам вводить в этот домен и линукс машины. То есть сервер у нас получается гетерогенный. Как и бывает в настоящих сетях  sudo samba-tool domain provision --use-rfc2307 --interactive

Слайд 28

Настраиваем сервер Как вы заметили почти все настройщик прописывает сам, единственное что нам нужно это прописать BIND9_DLZ потому что мы для DNS используем bind9 Вообще samba предлагает использовать внутренний сервер DNS - SAMBA_INTERNAL . Но мой отрицательный опыт попыток настройки samba-ad-dc на SAMBA_INTERNAL не дает мне морального права рекомендовать вам тоже. Возможно на других дистрибутивах это проходит безболезненно, но в debian нет. Обратите внимание, что как и везде в debian шрифт имеет значение, поэтому BIND9_DLZ нужно прописывать именно заглавными буквами

Слайд 29

Если мы сделали все правильно у нас получилось следующее: Последний параметр – это идентификатор домена, все остальное должно выглядеть как говорится точь-в-точь

Слайд 30

Активируем интеграцию DLZ Если все сделано правильно будет активирована эта строка в файле: / var /lib/samba/bind- dns / named.conf Цифра в версии может отличаться, но файл должен выглядеть так:

Слайд 31

Этот же файл надо заинклудить в основную конфигурацию named include "/ var /lib/samba/bind- dns / named.conf ";

Слайд 32

Проверяем права на dns.keytab ls -l / var /lib/samba/private/ dns.keytab Если у вас так же как на картинке, то ОК, если нет надо привести к такому виду комбинациями команда chown и chmod

Слайд 33

Проверяем права на папку / bind-dns /

Слайд 34

Смотрим права на / etc /krb5.conf Если у вас получилось к сожалению как у меня, то донастаиваете : sudo chown root:bind / etc /krb5.conf Если вам повезло, то команда ls -l / etc /krb5.conf Должна показать …. root bind…

Слайд 35

Проверяем наличие утилиты nsupdate which nsupdate

Слайд 36

Загружаем список корневых DNS серверов sudo wget -q -O / var /cache/bind/ named.root http://www.internic.net/zones/named.root sudo chown root:bind / var /cache/bind/ named.root sudo chmod 640 / var /cache/bind/ named.root Как вы обратили внимание я опять сделал опечатку ;-)

Слайд 37

Проверяем конфиг sudo named- checkconf

Слайд 38

Стартуем и проверяем наш серве р

Слайд 39

Настройка зон Поскольку старт сервера прошел успешно о чем говорит надпись зеленым active можно настраивать видимость зон Поскольку BIND у нас 9.18 , то для настройки зон у нас уже есть файл и причем для прямой зоны его даже не надо править – это / etc /bind/ db.local Поэтому мы его просто копируем

Слайд 40

Зона прямого доступа должны выглядеть примерно так

Слайд 41

Зона обратного тогда так Я не объясняю здесь про адреса и указатели Если кто не в курсе пересмотрите шпаргалку по DNS

Слайд 42

Проверяем правильность работы сервера sudo service bind9 restart host -t A localhost 127.0.0.1 host -t PTR 127.0.0.1 127.0.0.1

Слайд 43

Для корректной работы, все процессы самбы должна запускать сама самба sudo systemctl stop smbd nmbd winbind sudo systemctl disable smbd nmbd winbind sudo systemctl mask smbd nmbd winbind sudo systemctl unmask samba-ad-dc sudo systemctl start samba-ad-dc sudo systemctl enable samba-ad-dc

Слайд 44

Результат будет следующим

Слайд 45

И вот так

Слайд 46

Настройка DNS адреса По идее нам необходимо настроить еще *. yaml , но поверьте мне на слово если вы не пропустили начальную настройку у вас так и будет все как надо. Код инструкций же привожу: sudo nano / etc / netplan /*. yaml dhcp4: no dhcp6: no addresses: [192.168.1.100/24, ] gateway4: 192.168.1.1 nameservers : addresses: [192.168.1.100, ]

Слайд 47

Настраиваем адрес сервера имён, так же указывая там ip AD DC, приведя его к виду: Запускаем: sudo nano / etc / resolv.conf И не поверите, но этот негодяй опять все сбросил к настройкам по роутеру: Поэтому нам нужно ввести советующие настройки: nameserver 192.168.1.1 search debian.local

Слайд 48

Копируем krb5.conf и проверяем имеющиеся на контроллере общие каталоги

Слайд 49

Проверяем возможность подключения к netlogon smbclient // localhost / netlogon - UAdministrator -c ' ls '

Слайд 50

Теперь самый трепетный момент Во-первых смотрим SRV запись _ ldap Если кто то не узнал это надпись LDAP host -t SRV _ ldap ._ tcp.debian.local . И так же как в файлах настройки зон видимости точка в конце это не опечатка Во-вторых смотрим SRV запись _ kerberos host -t SRV _ kerberos ._ udp.debian.local . То есть как вы заметили нас интересует наш домен. В-третьих проверяем A запись контроллера домена host -t A dc.debian.local . По моему опыт проверка не обязательная, но код инструкции я привести был обязан 

Слайд 51

Проверяем работоспособность Kerberos kinit administrator Он нам в ответ пишет насколько дней выдан наш пароль и какого числа его надо сменить В идеале нужно бы провести настройку DHCP server , но мы с вами это уже проходили. Посмотрите если еще не: https:// nsportal.ru/npo-spo/informatika-i-vychislitelnaya-tekhnika/library/2024/03/09/shpargalka-dlya-studentov-ssa-po Так же инструкция настройки есть на сайте который мне помог систематизировать мои знания. А по новой его настраивать хоть и не долго но лень. Поэтому мы переходим к настройке:

Слайд 52

Настройка клиента В первую очередь я забыл сказать, вернее не сохранил настройки Windows-client: address: 192.168.1.111 mask: 255.255.255.0 gateway: 192.168.1.1 DNS server 192.168.1.1 Sec DNS server 192.168.1.1 И меняем имя рабочей станции

Слайд 53

Переходим в домен. Обращаю внимание адрес не полный только домен. Он запрашивает пользователя и пароль. У меня только этот поэтому ввожу его. Если есть необходимость можно добавить пользователя в домен командой: samba-tool user create User

Слайд 54

Примечание По нажатию Enter он запросит пользователя его новый пароль дважды и запомнит его. Поскольку smbpasswd работает в режиме клиент-сервер, взаимодействуя с локальным smbd для пользователя без полномочий root , для этого должен быть запущен демон smbd . Распространенной проблемой является добавление ограничения для хостов, которые могут получить доступ к smbd , работающий на локальном компьютере, указав либо разрешить хосты, либо запретить запись хостов в файле smb.conf и пренебречь разрешением « localhost » доступа к smbd .

Слайд 55

ТТДМ! Вот он нас и приветствует в домене debian.local то есть в samba-ad-dc

Слайд 56

Запуск после перезагрузки предлагает нам выбор загрузки локально или в домен

Слайд 57

Убеждаемся что компьютер в домене

Слайд 58

Заходим через домен