Samba4 jako podstawowy kontroler domeny Active Directory Samba4 jako podstawowy kontroler domeny Active Directory

  • POSNET THERMAL XL

    Posnet Thermal XL to najmniejsza stacjonarna drukarka fiskalna drukująca grafiki i kody 2D na paragonach, fakturach VAT i wydrukach niefiskalnych!

  • NOVITUS NANO E

    Najnowsza przenośna kasa fiskalna Novitusa: małe wymiary - ogromne możliwości! Nowoczesna technologia, zamknięta w poręcznej i ergonomicznej obudowie dedykowana dla osób prowadzących ruchomą sprzedaż (przenośną), lub tradycyjną, gdzie lada sklepowa ma ograniczoną powierzchnię...

  • INNOVA PROFIT EJ

    Najnowszy model znanej i bardzo cenionej przez klientów drukarki fiskalnej przeznaczonej do małych i średnich sklepów oraz gastronomii

Tanie Kasy Fiskalne

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. I - instalacja systemu operacyjnego


Nowa wersja! => http://www.samba.org.pl/2013/09/active-directory-na-linuxie-kompletny.html

Tym postem rozpoczynam serię opisującą od podstaw, krok po kroku instalację kontrolera domeny Active Directory w systemie Linux. Każdy, nawet osoba niemająca wcześniej do czynienia z tego typu zagadnieniami, powinien sobie poradzić stosując się do wskazówek zawartych w tym i kolejnych artykułach. W przypadku posiadania zainstalowanego systemu operacyjnego i skonfigurowanej sieci, można przejść od razu do części III tego przewodnika.

Tworząc niniejszy tutorial korzystałem z informacji zawartych na następujących stronach internetowych:
http://www.ubucentrum.net/2009/02/konfiguracja-sieci-z-linii-polecen.html
http://www.ducea.com/2008/08/18/killall-in-debian/
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
https://wiki.samba.org/index.php/Samba_4/OS_Requirements
http://opentodo.net/2013/01/samba4-as-ad-domain-controller-on-centos-6/
http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
http://www.emarcel.com/linux-articles/45-kurs-bash

Opisana w tej części instalacja Debiana, jest podstawową, minimalną instalacją pozwalającą na uruchomienie kontrolera domeny Samba4.

Istnieje kilka metod instalacji systemu Debian. Jedną z łatwiejszych jest pobranie małego obrazu płyty i dokonane instalacji sieciowej. Instalator wykryje ustawienia sieci, dostęp do Internetu i pobierze na bieżąco pakiety do zainstalowania. Do zastosowań serwerowych wystarczy instalacja najprostszej wersji systemu, bez środowiska graficznego i jakichkolwiek dodatków. Potrzebne pakiety będą dodawane na bieżąco. Po uruchomieniu instalatora z płyty wybieramy opcję Install lub Graphical install (w przykładzie została użyta ta druga).

W pierwszych trzech krokach instalator zapyta o język (Polish – Polski), lokalizację (Polska) i układ klawiatury (polski). Następnie system zamontuje płytę instalacyjną i wykryje ustawienia sieci. Kolejnym krokiem jest wpisanie nazwy instalowanego serwera. W opisywanym przykładzie serwer będzie nazywał się DC:
 
Trzeba też wpisać nazwę tworzonej domeny - domena.local:
 
Nazwy komputera i domeny można wpisać w dowolne. Jednak trzeba uważać aby nie użyć istniejącej już nazwy w Internecie (np. google.com, cisco.com lub onet.pl), aby nasza domena była poprawnie rozpoznawana przez serwer DNS.

Następnie instalator pyta o hasło administratora root oraz nazwę i hasło pierwszego użytkownika.

Kolejnym krokiem jest podział dysku na partycje. W pierwszym oknie należy wybrać Przewodnik – cały dysk a pozostałe opcje zostawić domyślne. Instalator zapyta czy zapisać zmiany na dyskach. Należy zaznaczyć Tak i kliknąć Dalej.

Następnie instalator pyta o konfigurację serwera lustrzanego. Jest to serwer, z którego instalator a później system operacyjny będzie pobierał pakiety do instalacji. Należy zostawić domyślnie Polska i ftp.pl.debian.org. Dane serwera pośredniczącego trzeba zostawić puste.

Przy pytaniu Czy chcesz wziąć udział w konkursie na najpopularniejszy pakiet zaznaczamy Nie.
Gdy pojawi się pytanie o oprogramowanie do instalacji trzeba odznaczyć wszystkie opcje. Instalujemy tylko podstawowe środowisko systemu operacyjnego:
 
Na pytanie o instalację programu rozruchowego odpowiadamy twierdząco.

Po chwili instalacja jest zakończona. Następuje restart i pojawia się czarny ekran z poleceniem logowania:
 

 

Zbyszek Góra

Autor: Zbyszek Góra o

 

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. II - wstępna konfiguracja systemu


Jeśli instalacja Debiana przebiegła pomyślnie, można się zalogować do sytemu. Logujemy się na konto root. Wszystkie czynności w tym poradniku będą wykonywanie za pomocą konta root (stąd znaczek # przed każdym poleceniem konsoli).

Na samym początku warto zainstalować dwie rzeczy. Po pierwsze pakiet Midnight Commander, który oferuje graficzny menedżer plików i wygodny edytor tekstowy mcedit (dla nowych użytkowników bardziej przyjazny niż vi). Instalacji pakietu dokonujemy wpisując w konsoli:

# apt-get install mc

Warto też dodać pakiet

# apt-get install psmisc

dzięki któremu uaktywnia się polecenie killall
Konfiguracja sieci
Podczas instalacji Debian uzyskuje dostęp do sieci przez lokalny serwer dhcp. Aktualne ustawienia można sprawdzić za pomocą komendy # ifconfig:
 
Kontroler domeny musi być również serwerem DNS dla komputerów klienckich. Dlatego powinien posiadać stały adres IP. Ustawienie to zmieniamy edytując odpowiedni plik konfiguracyjny. Wydajemy polecenie:

# mcedit /etc/network/interfaces

i zmienieamy treść pliku według poniższego wzoru:

Zmiany zapisujemy klawiszem F2, zatwierdzamy Enter. Wciskamy F10 aby opuścić edytor.

Aby zmiany weszły w życie musimy zrestartować usługi sieciowe poleceniem

# service networking restart

Znanym już ifconfig sprawdzamy czy zmiany zostały wprowadzone. Dla pewności poprawnego działania możemy wykonać ping dowolnego serwera.

 

Autor: Zbyszek Góra o

 

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. III - czynności poprzedzające instalację serwera DNS i kontrolera domeny

 

Jeśli system operacyjny jest zainstalowany a sieć skonfigurowana, można przystąpić do części właściwej instalacji serwera. Przed samą instalacją trzeba jeszcze wykonać kilka wstępnych kroków.
Instalacja pakietów niezbędnych do instalacji serwera samba4 oraz serwera DNS bind9

Zgodnie z informacjami z oficjalnego HOWTO instalacji samba4 trzeba zainstalować poniższy zestaw:

# apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

Jednym z pakietów jest Kerberos, dlatego w trakcie instalacji zostaniemy poproszeni o podanie kilku danych. Nazwę domeny zostawiamy domyślną (powinna być zgodna z tym co wpisaliśmy podczas instalacji systemu operacyjnego):

W następnych dwóch okienkach – Kerberos servers for your realm: i Administrative server for your Kerberos realm: wpisujemy dc.domena.local (nazwa_komputera.nazwa.domeny):

Następnie instalujemy:

# apt-get install libkrb5-dev libssl-dev
Ustawienie montowania partycji z opcją ACL
Opcja ta jest potrzebna przy końcowej instalacji domeny (tzw. promowanie domeny lub provisioning). Należy wyedytować plik konfiguracyjny:

# mcedit /etc/fstab

Odnajdujemy fragment dotyczący głównej partycji:

/ ext3 errors=remount-ro 0 1

i zmieniamy wpis na:

/ ext3 errors=remount-ro,user_xattr,acl,barrier=1 1 1

Następnie wykonujemy polecenie:

mount -o remount /

 

Autor: Zbyszek Góra o

 

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. IV - instalacja i konfiguracja serwera

 

Instalacja serwera DNS bind9

Pakiety bind9 są dostępne w repozytoriach, jednak nie sprawdzają się one we współpracy z kontrolerem domeny samba4. Trzeba więc zainstalować serwer poprzez pobranie odpowiedniej paczki. Wykonujemy kolejno następujące polecenia:

# wget ftp://ftp.isc.org/isc/bind9/9.8.1-P1/bind-9.8.1-P1.tar.gz ← pobieramy paczkę (wersja 9.8.1 jest najlepiej opisana we współpracy z sambą4)
# tar -zxvf bind-9.8.1-P1.tar.gz ← rozpakowujemy archiwum
# cd bind-9.8.1-P1 ← wchodzimy do katalogu

Dokonujemy instalacji:

# ./configure --with-gssapi=/usr/include/gssapi  --with-dlopen=yes
# make
# make install

Wychodzimy z katalogu:

# cd ..
Instalacja pakietu samba4

Instalacji serwera dokonamy przez pobranie najnowszej paczki z serwera ftp samby (dokładnie w dniu powstania pierwszej wersji artykułu została wydana wersja stabilna 4.0.4).

# wget http://ftp.samba.org/pub/samba/samba-4.0.4.tar.gz
# tar –zxvf samba-4.0.4.tar.gz
# cd samba-4.0.4

# ./configure --enable-selftest
# make
# make install

Promowanie kontrolera domeny (provisioning)

Jest to najważniejszy punkt programu. W tym miejscu potwierdzamy nazwę domeny, nazwę, po której będzie znajdowana w sieci, hasło administratora domeny oraz rolę serwera.

# /usr/local/samba/bin/samba-tool domain provision --realm=domena.local --domain=DOMENA --adminpass T@jn3_hasl0 --server-role=dc --dns-backend=BIND9_DLZ

Jeśli wszystkie kroki wykonaliśmy poprawnie, naszym oczom powinien ukazać się poniższy (lub bardzo podobny) widok:
 

Podstawowa konfiguracja serwera DNS bind9 do współpracy z kontrolerem domeny

Serwer DNS jest już zainstalowany jednak jeszcze nie jest skonfigurowany. W skrócie wygląda to tak, że do instalacji samby potrzebny jest zainstalowany bind a do konfiguracji binda jest potrzebna zainstalowana samba.

a. Utworzenie klucza potrzebnego do pracy serwera DNS:

# rndc-confgen -a -r /dev/urandom

Powinniśmy otrzymać komunikat zwrotny wrote key file “/etc/rndc.key”

b. Utworzenie i edycja pliku konfiguracyjnego wg wzoru:

mcedit /etc/named.conf
 
Trzeba zwrócić uwagę na linijkę forwarders. Po uruchomieniu serwera będą rozpoznawane nazwy komputerów w domenie. W razie problemów z rozpoznawaniem innych nazw (np. adresów internetowych) w nawiasach klamrowych wpisujemy adresy IP pozostałych serwerów DNS, do których mamy dostęp. Mogą to być adresy dostarczone przez naszego dostawcę Internetu.

Poprawność powyższego pliku sprawdzamy poleceniem # /usr/local/sbin/named-checkconf
Jeśli nic się nie wyświetli to znaczy, że jest dobrze :)

c. Edycja pliku /etc/resolv.conf

Zawartość pliku możemy podejrzeć poleceniem # cat /etc/resolv.conf
 
W tym momencie plik zawiera adres serwera DNS ustawiony automatycznie przez bramę (router). Ten sam adres powinien znaleźć się w linijce forwarders pliku /etc/named.conf.
Zapis ten zmieniamy, gdyż chcemy, aby głównym serwerem DNS był serwer, na którym pracujemy. Dodatkowo w pliku powinien znaleźć się wpis informujący serwer, że w pierwszej kolejności powinien szukać nazw w domenie:
 
Plik edytujemy poleceniem # mcedit /etc/resolv.conf
Po tej zmianie przestanie działać pingowanie adresów internetowych.

Konfiguracja protokołu Kerberos

Jest to ostatni krok przed odpaleniem domeny, jej kontrolera i serwera DNS. Kerberos jest już zainstalowany, jednak wymaga konfiguracji. Należy wyedytować plik /etc/krb5.conf i umieścić w nim następującą treść (tylko tyle wystarczy aby wszystko poprawnie działało, całą resztę można usunąć):

[libdefaults]
  default_realm = DOMENA.LOCAL
  dns_lookup_realm = false
  dns_lookup_kdc = true
Uruchomienie serwera DNS i kontrolera domeny

Najpierw uruchamiamy serwer DNS poprzez polecenie:

# /usr/local/sbin/named -4 –c /etc/named.conf

Od teraz pingowanie adresów internetowych powinno wrócić do normy.

Serwer samba4 odpalamy poleceniem:

# /usr/local/samba/sbin/samba

W zasadzie raz zainstalowany serwer powinien działać nieskończenie długo J Dla serwerów linuksowych jest to wykonalne. Gdyby jednak zaszła konieczność jego ponownego uruchomienia, sambę i binda odpala się zawsze tymi poleceniami co powyżej.
Można sobie ułatwić, dodając powyższe polecenia do pliku /etc/rc.local. Wówczas oba serwery będę się uruchamiać przy starcie systemu:

# mcedit /etc/rc.local
 
 Sprawdzenie poprawności działania wszystkich usług

To czy dane usługi są uruchomione sprawdzamy poleceniami:

# ps aux | grep named
 
oraz


# ps aux | grep samba - powinniśmy zobaczyć wele linii:

 
Poprawność działania serwera sprawdzamy poleceniem:

# /usr/local/samba/bin/smbclient –L localhost –U%

Powinniśmy zobaczyć następujący widok:
 
Poprawność współdziałania samby binda i Kerberosa sprawdzamy poleceniem:

# kinit administrator

Podajemy hasło ustalone podczas promowania domeny i cieszymy się widokiem:
 
Sprawdzamy jeszcze czy serwer DNS poprawnie rozpoznaje adres kontrolera domeny:

# host –t A dc.domena.local
 

Instalacja i konfiguracja domeny i kontrolera domeny dobiegły końca :)
 
Autor: Zbyszek Góra o

 

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. V - Podłączenie komputera z sieci lokalnej do nowoutworzonej domeny (na przykładzie systemu Windows XP)

 

1. Ustawienia sieci

Aby podłączyć komputer do domeny musimy wprowadzić zmianę w ustawieniu karty sieciowej. Jednym z serwerów DNS dla tego komputera musi być kontroler domeny. Dodajemy odpowiedni wpis:
 
Otwieramy wiersz poleceń i wykonujemy polecenie ping dc.domena.local oraz ping dowolnego adresu internetowego. Jeśli nazwy są poprawnie zamieniane na adresy IP to znaczy, że serwer DNS jest poprawnie skonfigurowany i mamy z nim połączenie.

2. Zmiana grupy roboczej na domenę

Wchodzimy kolejno Panel sterowania à System à zakładka Nazwa komputera, klikamy przycisk Zmień, zaznaczamy kropkę przy ‘Domena’ i wpisujemy nazwę DOMENA:
 
Komputer zapyta nas o login i hasło. Trzeba wpisać login i hasło administratora domeny, ustalone podczas promowania domeny.

Po chwili powinniśmy zobaczyć komunikat:
 
Klikamy OK i uruchamiamy ponownie komputer. Po restarcie możemy zalogować się do domeny kontem Administratora:
 

3. Instalacja narzędzi administracyjnych

Ze strony http://www.microsoft.com/pl-pl/download/details.aspx?id=6315 pobieramy instalkę narzędzi do administrowania domeną Active Directory z poziomu desktopowego systemu Windows.
Po instalacji możemy wejść w Panel sterowania à Narzędzia administracyjne à Active Directory Users and Computers. Powinniśmy zobaczyć:
 
Oznacza to, że mamy połączenie z domeną i możemy nią zarządzać :)

 

Autor: Zbyszek Góra o

 

Samba4 jako podstawowy kontroler domeny Active Directory w systemie Debian 6.0.6
Cz. VI - Profile wędrujące

 

Jedną z możliwości, jakie daje domena Active Directory są profile wędrujące. Użytkownik, który loguje się na wielu komputerach ma dostęp do swoich dokumentów, pulpitu i innych ustawień dzięki temu, że są one przechowywane na serwerze.

Aby włączyć te usługę trzeba dokonać kilku zmian na kontrolerze domeny.

1. Utworzenie katalogu profili

Wykonujemy polecenie:

# mkdir /usr/local/samba/var/profiles

2. Edycja pliku /usr/local/samba/etc/smb.conf

# mcedit /usr/local/samba/etc/smb.conf

Dodajemy wpis dotyczący folderu ‘profiles’:
 

3. Restart Samby

Wykonujemy polecenia:

# killall samba
# /usr/local/samba/sbin/samba
# kinit administrator
# /usr/local/samba/bin/smbclient –L localhost –U%
 
Jeśli wykonaliśmy wszystkie kroki poprawnie powinniśmy zobaczyć nowy katalog jako zasób udostępniony:
 

Kolejne kroki będą wykonywane z poziomu komputera klienckiego z Windows, z konta administratora domeny.

1. Nadanie uprawnień do folderu ‘profiles’ użytkownikom domeny

Klikamy Start => Uruchom… i wpisujemy \\nazwa_serwera i wciskamy Enter:
 
Klikamy prawym przyciskiem myszy na folder ‘profiles’, wybieramy Właściwości, wchodzimy w zakładkę Zabezpieczenia i klikamy dodaj:

 
W nowym okienku wpisujemy domain user i klikamy ‘Sprawdź nazwy’. Wpisane przez nas wyrażenie zostanie podkreślone.(jeśli pojawi się nowe okno, trzeba je anulować i sprawdzić poprawność wpisanej nazwy) Klikamy OK i dodajemy uprawnienia modyfikacji (automatycznie zostanie dodany Zapis i tak ma być):
 
‘Konto nieznane’, które jest na liście można usunąć. Klikamy Zastosuj, potwierdzamy komunikat, który się pojawi i OK.

2. Dodanie nowego użytkownika do domeny

Wchodzimy do Active Directory Users and Computers. Otwieramy folder Users i klikamy ikonkę .
W nowym oknie wpisujemy imię, nazwisko i login nowego użytkownika:
 
W kolejnym ustalamy hasło. Do testów możemy zaznaczyć Password never expires:
 
Klikamy Dalej i Zakończ. Profil użytkownika został utworzony. W przypadku problemów z ustalaniem hasła trzeba je bardzie skomplikować ;)

3. Ustawienie lokalizacji profilu

Klikamy dwukrotnie na nowoutworzony profil. Wchodzimy w zakładkę Profile i w polu Profile path: wpisujemy \\dc.domena.local\profiles\%USERNAME%. Po kliknięciu Zastosuj %USERNAME% zostanie zastąpione nazwą profilu. Klikamy OK i wylogowujemy się z konta administratora.

4. Logowanie nowego profilu
 
Po zalogowaniu tworzymy na pulpicie folder ‘Test’ a w Moich dokumentach dokument tekstowy ‘Test’. Wylogowujemy się.

5. Sprawdzanie ustawień

Można zalogować się na serwer i uruchomić menedżer plików Midnight Commander:

# mc

Wchodzimy do katalogu /usr/local/samba/var/profiles i widziymy, że pojawił się katalog z nazwą utworzonego przez nas profilu. Wchodzimy do niego i widzimy foldery użytkownika. W folderze Pulpit mamy utworzony przez nas folder Test a w Moich dokumentach Test.txt.

Jeśli użytkownik zaloguje się swoim kontem na innym komputerze, będzie miał dostęp do swoich dokumentów, pulpitu i ustawień.

 

Autor: Zbyszek Góra

 

Active Directory na Linuxie - kompletny tutorial, zaktualizowany i uzupełniony

Wstęp
Od pojawienia się poprzedniej wersji poradnika instalacji kontrolera domeny AD-Linux na moim blogu minęło już kilka miesięcy. W tym czasie trochę się zmieniło. Przede wszystkim pojawiła się nowa stabilna wersja Debiana - 7.0 "Wheezy" (oficjalnie wydana 4.05. br.) oraz jej aktualizacja - 7.1 (15.06 br.). Wydanych zostało też kilka nowszych wersji serwera Samba4. Najnowsze wydanie stabilne to 4.0.9 z 20 sierpnia 2013, a na 1 października jest już planowane wydanie wersji 4.0.10. Nowe wersje oprogramowania dają nowe możliwości, dlatego postanowiłem zaktualizować poradnik.

Najważniejszą zmianą w stosunku do poprzedniej wersji jest użycie wbudowanego w system operacyjny serwera DNS. Bind9 w Debianie 6.0.x nie współpracował z serwerem Samba4. Konieczne było skompilowanie nowszej wersji DNS lub instalacja z repozytoriów testowych (wówczas właśnie „Wheezy”). Użyta wersja w najnowszym Debianie ma oznaczenie 9.8.4-rpz2+r1005.12-P1, jest instalowana od razu z systemem operacyjnym a jej konfiguracja jest inna niż opisywana wcześniej.

(Niniejszy artykuł został zaktualizowany, ponieważ najnowszym wydaniem Debiana jest już wersja 8 Jessie, a najnowsza Samba to już wersja 4.3.3 (styczeń 2016). W odpowiednich miejscach pojawi się tekst w nawiasach lub czerwone wyróżnienie.)

W informacjach wstępnych trzeba jeszcze podać, że zarówno serwer będący kontrolerem domeny jak i komputery klienckie w przedstawionym artykule są połączone w sieć w topologii gwiazdy. Siecią zarządza oddzielny router, do niego podłączony jest switch a do przełącznika wszystkie komputery. Sytuację przedstawia poniższa grafika:

W tej konfiguracji router służy jako brama do Internetu i serwer DHCP. Przełącznik jest niekonfigurowalny.

W oddzielnym artykule przedstawiam konfigurację, w której serwer Samba4 zastępuje router.

Zarówno poprzednia jak i ta wersja tutoriala powstały w oparciu o testy przeprowadzone na maszynach wirtualnych, konfigurowanych w środowisku Oracle VirtualBox.

Przewodnik mojego autorstwa jest wynikiem wielu dni testów i poszukiwań, dlatego podobnie jak poprzednio podaję źródła, z których korzystałem:
http://www.ubucentrum.net/2009/02/konfiguracja-sieci-z-linii-polecen.html
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
https://wiki.samba.org/index.php/Samba_4/OS_Requirements
http://opentodo.net/2013/01/samba4-as-ad-domain-controller-on-centos-6/
http://www.golinuxhub.com/2012/08/create-roaming-profiles-in-samba4.html
http://www.emarcel.com/linux-articles/45-kurs-bash
http://marekmigdal.com/index.php?option=com_content&view=article&id=25&Itemid=44

Na koniec wstępu mam prośbę do wszystkich, którzy korzystali lub będą korzystać z mojego przewodnika, aby w komentarzach dzielili się efektami swojej pracy. Będę bardzo wdzięczny za informacje czy ktoś wdrożył domenę Active Directory na serwerze linuxowym w firmie lub instytucji. Tutorial jest dostępny dla wszystkich za darmo, więc niech informacja o wdrożeniu z sukcesem będzie formą "wynagrodzenia" dla autora przewodnika ;)

I. Instalacja systemu operacyjnego
Debian 7.1 zostanie zainstalowany poprzez instalację sieciową. Należy ściągnąć obraz odpowiedniej płyty z adresu http://www.debian.org/distrib/netinst, wypalić, włożyć płytę do napędu i uruchomić ponownie komputer. Ekran powitalny instalatora wygląda nieco bardziej profesjonalnie niż w wersji 6:

Wybieramy pierwszą opcję. Następnie instalator zapyta o język instalacji. Wybieramy Polish – Polski, kraj – Polska, układ klawiatury – polski (jeśli ktoś chce, oczywiście może ustawić inaczej). Kolejne kroki instalatora to wykrywanie podstawowego sprzętu i ustanowienie połączenia sieciowego. Nie wymaga to jakiejkolwiek interwencji ze strony użytkownika. Następnie instalator zapyta o nazwę dla naszego serwera i domeny:

 


W kolejnym kroku instalator pyta o hasło użytkownika root. Należy wpisać je dwukrotnie. Gdy instalator zapyta o „Pełną nazwę nowego użytkownika” to pierwsze pole możemy zostawić puste:


a w kolejnym wpisać nazwę używaną do logowania w systemie:

W kolejnych dwóch polach trzeba podać hasło nowego użytkownika.

Kolejnym krokiem jest podział dysku. Wybieramy opcje domyślne instalatora a na końcu zatwierdzamy i zapisujemy zmiany. Następnie instalator działa dalej bez potrzeby naszej interwencji. W kolejnym kroku musimy wybrać serwer lustrzany, ale tylko zatwierdzamy domyślne opcje instalatora. Gdy system zapyta czy chcemy wziąć udział w konkursie na najpopularniejszy pakiet, odpowiadamy Nie.

Przedostatnim krokiem jest wybór oprogramowania. Wystarczy, że z listy wybierzemy tylko Serwer DNS. Jeżeli po zakończeniu konfiguracji będziemy chcieli zostawić serwer gdzieś w kącie bez peryferiów, to do zarządzania przyda się też Serwer SSH (w Debianie w wersji 8 Jessie nie ma opcji Serwer DNS, doinstalujemy to później).

Na końcu potwierdzamy instalację programu GRUB w rekordzie rozruchowym. Po chwili system operacyjny jest zainstalowany. Po restarcie logujmy się na konto root.

II. Wstępna konfiguracja systemu

1. Instalacja Midnight Commander i zmiana domyślnego edytora

Na początku zainstalujemy pakiet Midnight Commander, dzięki czemu dostaniemy menadżer plików oraz wygodny edytor tekstowy. W tym celu wykonujemy polecenie:

# apt-get install mc

Gdy pakiet jest zainstalowany warto ustawić program mcedit jako domyślny edytor. Służy do tego polecenie:

# update-alternatives --config editor

Pojawi się menu i polecenie wyboru. Wpisujemy cyfrę z lewej strony programu mcedit i zatwierdzamy Enter:

2. Konfiguracja sieci

Po instalacji systemu połączenie sieciowe serwera jest ustanawiane przez serwis DHCP routera naszej sieci. Pierwszym krokiem jest ustawienie stałego adresu IP dla serwera.

Wykonujemy polecenie:

# mcedit /etc/network/interfaces

i edytujemy plik według wzoru:


Zapisujemy plik klawiszem F2 i wychodzimy z edytora F10. Aby zmiany odniosły skutek musimy zresetować połączenie sieciowe. Wykonujemy dwa polecenia:

# /etc/init.d/networking stop
oraz

# /etc/init.d/networking start

Aktualny adres IP komputera można sprawdzić poleceniem # ifconfig, a połączenie poprzez ping dowolnego serwera, np. Google.

3. Przypisanie nazwy komputera do ustawionego adresu IP

W tym celu trzeba wyedytować plik /etc/hosts zgodnie ze wzorem:


Poprawność operacji sprawdzamy poleceniem:

# ping nazwa_serwera -c 4

Powinniśmy zobaczyć następujący efekt:

III. Instalacja serwera Samba4

1. Instalacja niezbędnych pakietów

Zgodnie z informacjami z oficjalnego HOWTO instalacji Samba4 trzeba zainstalować poniższy zestaw:

# apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

Zestaw dla Debiana w wersji 8 Jessie jest nieco inny:

# apt-get install bind9 build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls28-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

Jednym z pakietów jest Kerberos, dlatego w trakcie instalacji zostaniemy poproszeni o podanie kilku danych. Nazwę domeny zostawiamy domyślną (powinna być zgodna z tym co wpisaliśmy podczas instalacji systemu operacyjnego):


W następnych dwóch okienkach nie musimy nic zmieniać (możemy zostawić je puste), bo później i tak podmienimy plik konfiguracji Kerberosa.

2. Ustawienie montowania partycji głównej z opcją ACL

Opcja ta nie jest domyślnie włączona a jest konieczna do przeprowadzenia procesu promowania domeny Active Directory.

Należy otworzyć w edytorze plik konfiguracyjny /etc/fstab, znaleźć linijkę

/ ext4 errors=remount-ro 0 1

i zmienić wpis na

/ ext4 errors=remount-ro,user_xattr,acl,barrier=1 1 1

Następnie wykonujemy polecenie:

# mount -o remount /
3. Instalacja pakietu Samba4

Instalacji serwera dokonamy przez pobranie najnowszej paczki z serwera ftp. Dla porządku warto pobierane paczki zapisywać w oddzielnym katalogu. Wykonujemy polecenia:

# cd /usr/src

# wget https://download.samba.org/pub/samba/stable/samba-4.3.3.tar.gz --no-check-certificate

Po pobraniu rozpakowujemy paczkę:

# tar zxvf samba-4.3.3.tar.gz

Wchodzimy do katalogu:

# cd samba-4.3.3

i dokonujemy instalacji:

# ./configure –-enable-selftest
# make (Ta operacja może zając sporo czasu, w zależności od szybkości procesora i wielkości pamięci RAM. Przy jednym rdzeniu taktowanym zegarem 3 GHz i 1 GB RAM trwa to do 30 minut. )
# make install

4. Promowanie domeny (provisioning)

Wykonujemy polecenie:

# /usr/local/samba/bin/samba-tool domain provision

i odpowiadamy na pytania kreatora. Przy opcjach Realm, Domain i Server Role po prostu wciskamy Enter. Przy opcji DNS backend wpisujemy BIND9_DLZ. Podajemy dwukrotnie hasło administratora domeny i czekamy aż proces promowania dobiegnie końca. Jeśli wszystko do tej pory zrobiliśmy poprawnie, powinniśmy zobaczyć wynik podobny do poniższego.

5. Skopiowanie pliku krb5.conf

Wraz z instalacją pakietu Kerberos został utworzony plik /etc/krb5.conf. Zawiera on wiele danych, które w podstawowej konfiguracji kontrolera domeny nie są potrzebne. Zawartość pliku trzeba zmienić, jednak aby nie utracić informacji w nim zawartych możemy plik zarchiwizować. Wykonujemy polecenie:

# cp /etc/krb5.conf /etc/krb5.conf.old

Plik o odpowiedniej zawartości dostarcza nam Samba4. Musimy go tylko skopiować:

# cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Aby sprawdzić, czy plik został poprawnie skopiowany, wykonujemy polecenie:

# cat /etc/krb5.conf

Powinniśmy uzyskać wynik jak poniżej:

6. Konfiguracja serwera DNS do pracy z kontrolerem domeny Samba4

Serwer DNS Bind9 zainstalowaliśmy razem z systemem operacyjnym. Musimy go jeszcze odpowiednio skonfigurować. W tym celu edytujemy plik /etc/bind/named.conf.options i nadajemy mu taki kształt:

Następnie dopisujemy jedną linijkę do pliku /etc/bind/named.conf.local:

Poprawność konfiguracji serwera DNS sprawdzamy poleceniem

# named-checkconf

Jeśli nic się nie wyświetli to znaczy, że jest dobrze :)

7. Edycja pliku /etc/resolv.conf

Domyślnie w tym pliku wpisane są adresy DNS dostawcy Internetu. Chcemy jednak aby w pierwszej kolejności był przeszukiwany nasz serwer i domena. Zatem plik powinien wyglądać następująco:

Jeśli żądana nazwa nie zostanie rozpoznana przez nasz serwer, rozpocznie on przeszukiwanie serwerów wpisanych w opcji forwarders pliku /etc/bind/named.conf.options.

Po wprowadzeniu zmian restartujemy serwer DNS poleceniami

# /etc/init.d/bind9 stop
# /etc/init.d/bind9 start  

Jeśli zobaczymy dwa razy zielone [ ok ], to będzie znaczyło, że skonfigurowaliśmy serwer poprawnie. Dla pewności można spingować dowolny serwer zewnętrzny, np. Google.

8. Uruchomienie serwera Samba4

Wykonujemy polecenie:

# /usr/local/samba/sbin/samba

To samo polecenie wpisujemy do pliku /etc/rc.local aby Samba4 uruchamiała się wraz ze startem systemu operacyjnego:

9. Sprawdzenie działania serwisów w systemie

a) Samba4

Aby sprawdzić czy serwer Samba4 jest uruchomiony wykonujemy komendę:

# pgrep samba

Powinniśmy otrzymać taki wynik:

Wyświetlone w kolumnie liczby to numery serwisów otwartych w systemie.

Innym sposobem sprawdzenia poprawnego działania kontrolera domeny jest wywołanie polecenia

# /usr/local/samba/bin/smbclient -L localhost -U%

Efekt powinien być następujący:

b) Kerberos

Dzięki poniższemu poleceniu sprawdzimy poprawność działania zarówno pakietu Kerberos jak i Bind9:

# kinit administrator

Powinniśmy zostać poproszeniu o podanie hasła administratora domeny Active Directory. Jeśli tak się stało, to znaczy że nasz kontroler domeny działa poprawnie.

Aby uzyskać absolutną pewność, że wszystko działa dobrze, możemy wykonać restart serwera, np. poleceniem

# shutdown -r now

i wykonać wszystkie testy z punktu 9.

W tym miejscu kończy się instalacja i konfiguracja kontrolera domeny Active Directory w systemie Debian. Jeśli wszystkie etapy zostały wykonane zgodnie z przewodnikiem, nie powinny pojawić się żadne błędy. Gdyby coś jednak było nie tak proszę o komentarz lub wiadomość.

Zbyszek Góra

 

Autor: Zbyszek Góra o

Etykiety: Active Directory, Active Directory na Linuxie, Linux, Samba4

Copyright © 2018. HUNTER KOMPUTERY  Rights Reserved.