FailOver köpeltmek üçin Samba4 AD DC-e goşmaça Ubuntu DC-e goşulyň - 5-nji bölüm

Bu gollanma, Ubuntu 16.04 serwerinde üpjün edilen ikinji Samba4 domen kontrolleýjisini, bar bolan Samba AD DC tokaýyna, käbir möhüm AD DC hyzmatlary, esasanam hyzmatlar üçin ýük balansyny/şowsuzlygyny üpjün etmek üçin nädip goşmalydygyny görkezer. SAM maglumat bazasy bilen DNS we AD DC LDAP shemasy.

1. Ubuntu-da Samba4 bilen işjeň katalog infrastrukturasyny dörediň - 1-nji bölüm

Bu makala Samba4 AD DC seriýasynyň 5-nji bölümi:

1-nji ädim: Samba4 gurmak üçin başlangyç konfigurasiýa

1. Ikinji DC üçin domen birikmesini hakykatdanam ýerine ýetirip başlamazdan ozal birnäçe başlangyç sazlamalara üns bermeli. Ilki bilen, Samba4 AD DC-e birleşdiriljek ulgamyň baş adynyň düşündirişli adynyň bardygyna göz ýetiriň.

Ilkinji üpjün edilen ýeriň adynyň adyna adc1 diýilýär diýip çak etseňiz, Domen Dolandyryjylaryňyzda yzygiderli at dakmak shemasyny üpjün etmek üçin ikinji DC-ni adc2 diýip atlandyryp bilersiňiz.

Ulgamyň adyny üýtgetmek üçin aşakdaky buýrugy berip bilersiňiz.

# hostnamectl set-hostname adc2

bolmasa/etc/hostname faýlyny el bilen redaktirläp we islenýän at bilen täze setir goşup bilersiňiz.

# nano /etc/hostname

Bu ýerde host adyny goşuň.

adc2

2. Ondan soň, ýerli ulgam çözgüt faýlyny açyň we aşakdaky skrinshotda görkezilişi ýaly esasy domen gözegçisiniň gysga adyna we FQDN-e IP adresi jadygöý nokatlary bilen ýazgy goşuň.

Bu gollanmanyň üsti bilen esasy DC ady adc1.tecmint.lan bolup, 192.168.1.254 IP adresi çözülýär.

# nano /etc/hosts

Aşakdaky setiri goşuň:

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. Indiki ädimde/etc/network/interfeýsleri açyň we aşakdaky skrinshotda görkezilişi ýaly ulgamyňyz üçin statiki IP adresi belläň.

Dns-nameservers we dns-gözleg üýtgeýjilerine üns beriň. Bu bahalar, DNS çözgüdiniň dogry işlemegi üçin esasy Samba4 AD DC we ýeriň IP adresini görkezmek üçin düzülmelidir.

Üýtgeşmeleri görkezmek üçin tor daemonyny täzeden açyň. Tor interfeýsiňizdäki DNS bahalarynyň ikisiniň hem bu faýla täzelenendigine göz ýetirmek üçin /etc/resolv.conf faýly barlaň.

# nano /etc/network/interfaces

Adaty IP sazlamalaryňyzy redaktirläň we çalyşyň:

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Tor hyzmatyny täzeden açyň we üýtgeşmeleri tassyklaň.

# systemctl restart networking.service
# cat /etc/resolv.conf

Dns-gözleg bahasy, öý eýesini gysga ady bilen sorasaňyz, domen adyny awtomatiki usulda goşar (FQDN emele getirer).

4. DNS çözgüdiniň garaşylşy ýaly işleýändigini ýa-da ýokdugyny barlamak üçin aşakdaky skrinshotda görkezilişi ýaly domen gysga adyňyza, FQDN we ýeriňize garşy bir topar ping buýruk beriň.

Bu ýagdaýlaryň hemmesinde Samba4 AD DC DNS serweri esasy DC-iň IP adresi bilen jogap bermeli.

5. Üns bermeli iň soňky goşmaça ädim, esasy Domen Dolandyryjyňyz bilen wagt sinhronlamasydyr. Aşakdaky buýrugy bermek arkaly ulgamyňyza NTP müşderi kömekçi programmasyny gurmak arkaly amala aşyryp bolar:

# apt-get install ntpdate

6. Samba4 AD DC bilen wagt sinhronizasiýasyny el bilen mejbur etmek isleýändigiňizi göz öňünde tutup, aşakdaky buýrugy berip, esasy DC-e garşy ntpdate buýrugyny işlediň.

# ntpdate adc1

2-nji ädim: Gerekli baglylyklar bilen Samba4 guruň

7. Ubuntu 16.04 ulgamyny domeniňize ýazmak üçin ilki Samba4, Kerberos müşderisini we Ubuntu resmi ammarlaryndan aşakdaky buýrugy bermek bilen soňraky ulanmak üçin birnäçe möhüm paket guruň:

# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Gurnama wagtynda Kerberos sebitiniň adyny görkezmeli bolarsyňyz. Domen adyňyzy baş harplar bilen ýazyň we gurmak işini tamamlamak üçin [Enter] düwmesine basyň.

9. Bukjalary gurmak gutaransoň, kinit buýrugyny ulanyp, domen dolandyryjysy üçin Kerberos biletini sorap sazlamalary barlaň. Berlen Kerberos biletini sanawlamak üçin klist buýrugyny ulanyň.

# kinit [email _DOMAIN.TLD
# klist

3-nji ädim: Domain dolandyryjysy hökmünde Samba4 AD DC-e goşulyň

10. Enjamyňyzy Samba4 DC-e birikdirmezden ozal, ulgamyňyzda işleýän ähli Samba4 daemonlarynyň togtadylandygyna göz ýetiriň we arassa başlamak üçin deslapky Samba konfigurasiýa faýlynyň adyny üýtgediň. Domen gözegçisini üpjün edende, samba noldan täze konfigurasiýa faýly döreder.

# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Domeniň birleşmek prosesine başlamak üçin ilki bilen diňe samba-ad-dc daemony başlaň, şondan soň domeniňizdäki administratiw aýratynlyklary bolan hasaby ulanyp, äleme goşulmak üçin samba-tool buýrugyny işledersiňiz.

# samba-tool domain join your_domain DC -U "your_domain_admin"

Domen integrasiýasynyň bölegi:

# samba-tool domain join tecmint.lan DC -U"tecmint_user"

Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Samba4 programma üpjünçiligi bolan Ubuntu domene birleşdirilenden soň, samba esasy konfigurasiýa faýlyny açyň we aşakdaky setirleri goşuň:

# nano /etc/samba/smb.conf

Smb.conf faýlyna aşakdaky bölekleri goşuň.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Dns ekspeditor IP adresini öz DNS ekspeditor IP bilen çalyşyň. Samba, domeniňiziň abraýly zonasynyň daşyndaky ähli DNS çözgüt talaplaryny şu IP adrese iberer.

13. Netijede, üýtgeşmeleri görkezmek we aşakdaky buýruklary ýerine ýetirip, işjeň katalog köpeltmesini barlamak üçin samba daemonyny täzeden açyň.

# systemctl restart samba-ad-dc
# samba-tool drs showrepl

14. Mundan başga-da, başlangyç Kerberos konfigurasiýa faýlyny/etc ýolundan üýtgediň we domeni üpjün edende samba tarapyndan döredilen täze krb5.conf konfigurasiýa faýly bilen çalşyň.

Faýl/var/lib/samba/hususy katalogda ýerleşýär. Bu faýly/etc katalogyna baglanyşdyrmak üçin Linux symlink ulanyň.

# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf

15. Şeýle hem, samba krb5.conf faýly bilen Kerberos tassyklamasyny barlaň. Dolandyryjy ulanyjy üçin bilet soraň we aşakdaky buýruklary bermek bilen keş keşini sanaň.

# kinit administrator
# klist

4-nji ädim: Goşmaça domen hyzmatlarynyň tassyklamalary

16. Ilkinji synag, Samba4 DC DNS çözgüdi. Domeniňiziň DNS çözgüdini tassyklamak üçin, aşakdaky skrinshotda görkezilişi ýaly birnäçe möhüm AD DNS ýazgylaryna garşy host buýrugyny ulanyp, domen adyny soraň.

DNS serweri häzirlikçe her talap üçin iki sany IP adresi bilen gaýtalamaly.

# host your_domain.tld
# host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
# host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Bu DNS ýazgylary, RSAT gurallary gurnalan Windows enjamyndan hem görünmeli. DNS dolandyryjysyny açyň we aşakdaky suratda görkezilişi ýaly dc tcp ýazgylaryňyzy giňeldiň.

18. Indiki synag domen LDAP köpeltmesiniň garaşylyşy ýaly işleýändigini ýa-da ýokdugyny görkezmeli. Samba-guraly ulanyp, ikinji domen gözegçisinde hasap dörediň we hasabyň ilkinji Samba4 AD DC-de awtomatiki usulda köpeldilendigini barlaň.

# samba-tool user add test_user

# samba-tool user list | grep test_user

19. Şeýle hem, Microsoft AD UC konsolyndan hasap döredip we hasabyň iki domen dolandyryjysynda peýda bolandygyny barlap bilersiňiz.

Düzgüne görä, hasap samba domen dolandyryjylarynyň ikisinde-de awtomatiki usulda döredilmelidir. Wbinfo buýrugyny ulanyp, hasabyň adyny adc1 -dan soraň.

20. Aslynda, Windows-dan AD UC konsolyny açyň, Domain Controllers-e giňeliň we hasaba alnan DC maşynlarynyň ikisini hem görmeli.

5-nji ädim: Samba4 AD DC hyzmatyny işjeňleşdiriň

21. Samba4 AD DC hyzmatlaryny ulgam boýunça işletmek üçin ilki bilen köne we ulanylmadyk Samba daemonlaryny öçüriň we aşakdaky buýruklary işledip diňe samba-ad-dc hyzmatyny işlediň:

# systemctl disable smbd nmbd winbind
# systemctl enable samba-ad-dc

22. Microsoft müşderisinden Samba4 domen gözegçisini uzakdan dolandyrýan bolsaňyz ýa-da domeniňize integrirlenen başga Linux ýa-da Windows müşderileri bar bolsa, DNS serwerine adc2 enjamynyň IP adresini belläň. Artykmaçlyk derejesini almak üçin IP sazlamalary.

Aşakdaky ekran suratlarynda Windows ýa-da Debian/Ubuntu müşderisi üçin zerur konfigurasiýalar görkezilýär.

192.168.1.254 bolan ilkinji DC-iň awtonom görnüşde çykýandygyny göz öňünde tutsaňyz, DNS serweriniň IP adresleriniň konfigurasiýa faýlyndaky tertibini tersine alyň, şonuň üçin ilki elýeterli DNS serwerini soramaga synanyşmaň.

Netijede, Linux ulgamynda Samba4 Active Directory hasaby bilen ýerli tassyklamany ýerine ýetirmek ýa-da Linux-da AD LDAP hasaplary üçin kök artykmaçlyklaryny bermek isleseňiz, Linux buýruk setirinden Samba4 AD infrastrukturasyny dolandyryň gollanmasynyň 2-nji we 3-nji ädimlerini okaň.