FailOver köpeltmek üçin Samba4 AD DC-e goşmaça Ubuntu DC-e goşulyň - 5-nji bölüm
Bu gollanma, Ubuntu 16.04 serwerinde üpjün edilen ikinji Samba4 domen kontrolleýjisini, bar bolan Samba AD DC tokaýyna, käbir möhüm AD DC hyzmatlary, esasanam hyzmatlar üçin ýük balansyny/şowsuzlygyny üpjün etmek üçin nädip goşmalydygyny görkezer. SAM maglumat bazasy bilen DNS we AD DC LDAP shemasy.
- Ubuntu-da Samba4 bilen işjeň katalog infrastrukturasyny dörediň - 1-nji bölüm
Bu makala Samba4 AD DC seriýasynyň 5-nji bölümi:
1-nji ädim: Samba4 gurmak üçin başlangyç konfigurasiýa
1. Ikinji DC üçin domen birikmesini hakykatdanam ýerine ýetirip başlamazdan ozal birnäçe başlangyç sazlamalara üns bermeli. Ilki bilen, Samba4 AD DC-e birleşdiriljek ulgamyň baş adynyň düşündirişli adynyň bardygyna göz ýetiriň.
Ilkinji üpjün edilen ýeriň adynyň adyna adc1
diýilýär diýip çak etseňiz, Domen Dolandyryjylaryňyzda yzygiderli at dakmak shemasyny üpjün etmek üçin ikinji DC-ni adc2
diýip atlandyryp bilersiňiz.
Ulgamyň adyny üýtgetmek üçin aşakdaky buýrugy berip bilersiňiz.
# hostnamectl set-hostname adc2
bolmasa/etc/hostname faýlyny el bilen redaktirläp we islenýän at bilen täze setir goşup bilersiňiz.
# nano /etc/hostname
Bu ýerde host adyny goşuň.
adc2
2. Ondan soň, ýerli ulgam çözgüt faýlyny açyň we aşakdaky skrinshotda görkezilişi ýaly esasy domen gözegçisiniň gysga adyna we FQDN-e IP adresi jadygöý nokatlary bilen ýazgy goşuň.
Bu gollanmanyň üsti bilen esasy DC ady adc1.tecmint.lan
bolup, 192.168.1.254 IP adresi çözülýär.
# nano /etc/hosts
Aşakdaky setiri goşuň:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Indiki ädimde/etc/network/interfeýsleri açyň we aşakdaky skrinshotda görkezilişi ýaly ulgamyňyz üçin statiki IP adresi belläň.
Dns-nameservers we dns-gözleg üýtgeýjilerine üns beriň. Bu bahalar, DNS çözgüdiniň dogry işlemegi üçin esasy Samba4 AD DC we ýeriň IP adresini görkezmek üçin düzülmelidir.
Üýtgeşmeleri görkezmek üçin tor daemonyny täzeden açyň. Tor interfeýsiňizdäki DNS bahalarynyň ikisiniň hem bu faýla täzelenendigine göz ýetirmek üçin /etc/resolv.conf faýly barlaň.
# nano /etc/network/interfaces
Adaty IP sazlamalaryňyzy redaktirläň we çalyşyň:
auto ens33 iface ens33 inet static address 192.168.1.253 netmask 255.255.255.0 brodcast 192.168.1.1 gateway 192.168.1.1 dns-nameservers 192.168.1.254 dns-search tecmint.lan
Tor hyzmatyny täzeden açyň we üýtgeşmeleri tassyklaň.
# systemctl restart networking.service # cat /etc/resolv.conf
Dns-gözleg bahasy, öý eýesini gysga ady bilen sorasaňyz, domen adyny awtomatiki usulda goşar (FQDN emele getirer).
4. DNS çözgüdiniň garaşylşy ýaly işleýändigini ýa-da ýokdugyny barlamak üçin aşakdaky skrinshotda görkezilişi ýaly domen gysga adyňyza, FQDN we ýeriňize garşy bir topar ping buýruk beriň.
Bu ýagdaýlaryň hemmesinde Samba4 AD DC DNS serweri esasy DC-iň IP adresi bilen jogap bermeli.
5. Üns bermeli iň soňky goşmaça ädim, esasy Domen Dolandyryjyňyz bilen wagt sinhronlamasydyr. Aşakdaky buýrugy bermek arkaly ulgamyňyza NTP müşderi kömekçi programmasyny gurmak arkaly amala aşyryp bolar:
# apt-get install ntpdate
6. Samba4 AD DC bilen wagt sinhronizasiýasyny el bilen mejbur etmek isleýändigiňizi göz öňünde tutup, aşakdaky buýrugy berip, esasy DC-e garşy ntpdate buýrugyny işlediň.
# ntpdate adc1
2-nji ädim: Gerekli baglylyklar bilen Samba4 guruň
7. Ubuntu 16.04 ulgamyny domeniňize ýazmak üçin ilki Samba4, Kerberos müşderisini we Ubuntu resmi ammarlaryndan aşakdaky buýrugy bermek bilen soňraky ulanmak üçin birnäçe möhüm paket guruň:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Gurnama wagtynda Kerberos sebitiniň adyny görkezmeli bolarsyňyz. Domen adyňyzy baş harplar bilen ýazyň we gurmak işini tamamlamak üçin [Enter] düwmesine basyň.
9. Bukjalary gurmak gutaransoň, kinit buýrugyny ulanyp, domen dolandyryjysy üçin Kerberos biletini sorap sazlamalary barlaň. Berlen Kerberos biletini sanawlamak üçin klist buýrugyny ulanyň.
# kinit [email _DOMAIN.TLD # klist
3-nji ädim: Domain dolandyryjysy hökmünde Samba4 AD DC-e goşulyň
10. Enjamyňyzy Samba4 DC-e birikdirmezden ozal, ulgamyňyzda işleýän ähli Samba4 daemonlarynyň togtadylandygyna göz ýetiriň we arassa başlamak üçin deslapky Samba konfigurasiýa faýlynyň adyny üýtgediň. Domen gözegçisini üpjün edende, samba noldan täze konfigurasiýa faýly döreder.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Domeniň birleşmek prosesine başlamak üçin ilki bilen diňe samba-ad-dc daemony başlaň, şondan soň domeniňizdäki administratiw aýratynlyklary bolan hasaby ulanyp, äleme goşulmak üçin samba-tool buýrugyny işledersiňiz.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Domen integrasiýasynyň bölegi:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Samba4 programma üpjünçiligi bolan Ubuntu domene birleşdirilenden soň, samba esasy konfigurasiýa faýlyny açyň we aşakdaky setirleri goşuň:
# nano /etc/samba/smb.conf
Smb.conf faýlyna aşakdaky bölekleri goşuň.
dns forwarder = 192.168.1.1 idmap_ldb:use rfc2307 = yes template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
Dns ekspeditor IP adresini öz DNS ekspeditor IP bilen çalyşyň. Samba, domeniňiziň abraýly zonasynyň daşyndaky ähli DNS çözgüt talaplaryny şu IP adrese iberer.
13. Netijede, üýtgeşmeleri görkezmek we aşakdaky buýruklary ýerine ýetirip, işjeň katalog köpeltmesini barlamak üçin samba daemonyny täzeden açyň.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Mundan başga-da, başlangyç Kerberos konfigurasiýa faýlyny/etc ýolundan üýtgediň we domeni üpjün edende samba tarapyndan döredilen täze krb5.conf konfigurasiýa faýly bilen çalşyň.
Faýl/var/lib/samba/hususy katalogda ýerleşýär. Bu faýly/etc katalogyna baglanyşdyrmak üçin Linux symlink ulanyň.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Şeýle hem, samba krb5.conf faýly bilen Kerberos tassyklamasyny barlaň. Dolandyryjy ulanyjy üçin bilet soraň we aşakdaky buýruklary bermek bilen keş keşini sanaň.
# kinit administrator # klist
4-nji ädim: Goşmaça domen hyzmatlarynyň tassyklamalary
16. Ilkinji synag, Samba4 DC DNS çözgüdi. Domeniňiziň DNS çözgüdini tassyklamak üçin, aşakdaky skrinshotda görkezilişi ýaly birnäçe möhüm AD DNS ýazgylaryna garşy host buýrugyny ulanyp, domen adyny soraň.
DNS serweri häzirlikçe her talap üçin iki sany IP adresi bilen gaýtalamaly.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Bu DNS ýazgylary, RSAT gurallary gurnalan Windows enjamyndan hem görünmeli. DNS dolandyryjysyny açyň we aşakdaky suratda görkezilişi ýaly dc tcp ýazgylaryňyzy giňeldiň.
18. Indiki synag domen LDAP köpeltmesiniň garaşylyşy ýaly işleýändigini ýa-da ýokdugyny görkezmeli. Samba-guraly ulanyp, ikinji domen gözegçisinde hasap dörediň we hasabyň ilkinji Samba4 AD DC-de awtomatiki usulda köpeldilendigini barlaň.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Şeýle hem, Microsoft AD UC konsolyndan hasap döredip we hasabyň iki domen dolandyryjysynda peýda bolandygyny barlap bilersiňiz.
Düzgüne görä, hasap samba domen dolandyryjylarynyň ikisinde-de awtomatiki usulda döredilmelidir. Wbinfo buýrugyny ulanyp, hasabyň adyny adc1
-dan soraň.
20. Aslynda, Windows-dan AD UC konsolyny açyň, Domain Controllers-e giňeliň we hasaba alnan DC maşynlarynyň ikisini hem görmeli.
5-nji ädim: Samba4 AD DC hyzmatyny işjeňleşdiriň
21. Samba4 AD DC hyzmatlaryny ulgam boýunça işletmek üçin ilki bilen köne we ulanylmadyk Samba daemonlaryny öçüriň we aşakdaky buýruklary işledip diňe samba-ad-dc hyzmatyny işlediň:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Microsoft müşderisinden Samba4 domen gözegçisini uzakdan dolandyrýan bolsaňyz ýa-da domeniňize integrirlenen başga Linux ýa-da Windows müşderileri bar bolsa, DNS serwerine adc2
enjamynyň IP adresini belläň. Artykmaçlyk derejesini almak üçin IP sazlamalary.
Aşakdaky ekran suratlarynda Windows ýa-da Debian/Ubuntu müşderisi üçin zerur konfigurasiýalar görkezilýär.
192.168.1.254 bolan ilkinji DC-iň awtonom görnüşde çykýandygyny göz öňünde tutsaňyz, DNS serweriniň IP adresleriniň konfigurasiýa faýlyndaky tertibini tersine alyň, şonuň üçin ilki elýeterli DNS serwerini soramaga synanyşmaň.
Netijede, Linux ulgamynda Samba4 Active Directory hasaby bilen ýerli tassyklamany ýerine ýetirmek ýa-da Linux-da AD LDAP hasaplary üçin kök artykmaçlyklaryny bermek isleseňiz, Linux buýruk setirinden Samba4 AD infrastrukturasyny dolandyryň gollanmasynyň 2-nji we 3-nji ädimlerini okaň.