Ingħaqad ma' Ubuntu DC Addizzjonali għal Samba4 AD DC għal FailOver Replication - Parti 5
Dan it-tutorja jurik kif iżżid it-tieni kontrollur tad-dominju Samba4, ipprovdut fuq is-server Ubuntu 16.04, mal-foresta Samba AD DC eżistenti sabiex tipprovdi grad ta’ bilanċ ta’ tagħbija/failover għal xi servizzi AD DC kruċjali, speċjalment għal servizzi bħal Skema DNS u AD DC LDAP b'database SAM.
- Oħloq Infrastruttura ta' Direttorju Attiv b'Samba4 fuq Ubuntu – Parti 1
Dan l-artikolu huwa Parti-5 tas-serje Samba4 AD DC kif ġej:
Pass 1: Konfigurazzjoni Inizjali għal Samba4 Setup
1. Qabel ma tibda fil-fatt twettaq domain joining għat-tieni DC, għandek bżonn tieħu ħsieb ftit settings inizjali. L-ewwel, kun żgur li l-hostname tas-sistema li se tkun integrata f'Samba4 AD DC fih isem deskrittiv.
Jekk wieħed jassumi li l-isem tal-host tal-ewwel qasam ipprovdut jissejjaħ adc1, tista 'ssemmi t-tieni DC b'adc2 sabiex tipprovdi skema ta' ismijiet konsistenti fil-Kontrolluri tad-Dominju tiegħek.
Biex tibdel l-isem tal-host tas-sistema tista 'toħroġ il-kmand ta' hawn taħt.
# hostnamectl set-hostname adc2
inkella tista' teditja manwalment il-fajl /etc/hostname u żżid linja ġdida bl-isem mixtieq.
# nano /etc/hostname
Hawnhekk żid l-isem tal-host.
adc2
2. Sussegwentement, iftaħ il-fajl tar-riżoluzzjoni tas-sistema lokali u żid dħul bl-indirizz IP li jindika l-isem qasir u l-FQDN tal-kontrollur tad-dominju prinċipali, kif muri fil-screenshot hawn taħt.
Permezz ta 'dan it-tutorja, l-isem DC primarju huwa adc1.tecmint.lan u jirrisolvi għal indirizz IP 192.168.1.254.
# nano /etc/hosts
Żid il-linja li ġejja:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Fuq il-pass li jmiss, iftaħ /etc/network/interfaces u jassenja indirizz IP statiku għas-sistema tiegħek kif muri fil-screenshot hawn taħt.
Oqgħod attent għal dns-nameservers u dns-search variables. Dawn il-valuri għandhom jiġu kkonfigurati biex jindikaw lura lejn l-indirizz IP tad-DC u l-isfera primarja ta' Samba4 AD sabiex ir-riżoluzzjoni tad-DNS taħdem b'mod korrett.
Ibda mill-ġdid id-daemon tan-netwerk sabiex tirrifletti l-bidliet. Ivverifika l-fajl /etc/resolv.conf biex tiżgura li ż-żewġ valuri DNS mill-interface tan-netwerk tiegħek huma aġġornati għal dan il-fajl.
# nano /etc/network/interfaces
Editja u ibdel bl-issettjar tal-IP tad-dwana tiegħek:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Ibda mill-ġdid is-servizz tan-netwerk u kkonferma l-bidliet.
# systemctl restart networking.service # cat /etc/resolv.conf
Il-valur dns-search se jehmeż awtomatikament l-isem tad-dominju meta inti mistoqsija host bl-isem qasir tiegħu (se jifforma l-FQDN).
4. Sabiex tittestja jekk ir-riżoluzzjoni tad-DNS tkunx qed taħdem kif mistenni, ħarġet serje ta 'kmandi ping kontra l-isem qasir tad-dominju, l-FQDN u l-isfera tiegħek kif muri fil-screenshot ta' hawn taħt.
F'dawn il-każijiet kollha s-server Samba4 AD DC DNS għandu jwieġeb bl-indirizz IP tad-DC prinċipali tiegħek.
5. L-aħħar pass addizzjonali li għandek bżonn tieħu ħsieb huwa s-sinkronizzazzjoni tal-ħin mal-Kontrollur tad-Dominju prinċipali tiegħek. Dan jista 'jsir billi tinstalla l-utilità tal-klijent NTP fis-sistema tiegħek billi toħroġ il-kmand hawn taħt:
# apt-get install ntpdate
6. Jekk wieħed jassumi li trid tisforza manwalment is-sinkronizzazzjoni tal-ħin ma 'samba4 AD DC, mexxi kmand ntpdate kontra d-DC primarju billi toħroġ il-kmand li ġej.
# ntpdate adc1
Pass 2: Installa Samba4 b'Dipendenzi Meħtieġa
7. Sabiex tirreġistra s-sistema Ubuntu 16.04 fid-dominju tiegħek, l-ewwel installa Samba4, klijent Kerberos u ftit pakketti importanti oħra għal użu aktar tard minn repożitorji uffiċjali ta 'Ubuntu billi toħroġ il-kmand hawn taħt:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Waqt l-installazzjoni ser ikollok bżonn tipprovdi l-isem tal-isfera Kerberos. Ikteb l-isem tad-dominju tiegħek b'ittri kbar u agħfas il-buttuna [Enter] biex tlesti l-proċess ta' installazzjoni.
9. Wara li tispiċċa l-installazzjoni tal-pakketti, ivverifika s-settings billi titlob biljett Kerberos għal amministratur tad-dominju bl-użu tal-kmand kinit. Uża l-kmand tal-klist biex telenka l-biljett Kerberos mogħti.
# kinit [email _DOMAIN.TLD # klist
Pass 3: Ingħaqad ma' Samba4 AD DC bħala Kontrollur tad-Dominju
10. Qabel ma tintegra l-magna tiegħek f'Samba4 DC, l-ewwel kun żgur li d-daemons kollha Samba4 li qed jaħdmu fis-sistema tiegħek jitwaqqfu u, ukoll, semmi mill-ġdid il-fajl tal-konfigurazzjoni Samba default sabiex tibda nadifa. Waqt li jipprovdi l-kontrollur tad-dominju, samba se joħloq fajl ta 'konfigurazzjoni ġdid mill-bidu.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Sabiex tibda l-proċess ta 'għaqda tad-dominju, l-ewwel ibda biss samba-ad-dc daemon, u wara se tmexxi kmand samba-tool biex tingħaqad mal-isfera billi tuża kont bi privileġġi amministrattivi fuq id-dominju tiegħek.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Silta tal-integrazzjoni tad-dominju:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Wara li l-Ubuntu b'softwer samba4 ikun ġie integrat fid-dominju, iftaħ il-fajl tal-konfigurazzjoni prinċipali ta 'samba u żid il-linji li ġejjin:
# nano /etc/samba/smb.conf
Żid is-silta li ġejja mal-fajl smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Ibdel l-indirizz IP tal-forwarder tad-DNS bl-IP tal-ispeditur tad-DNS tiegħek stess. Samba jibgħat il-mistoqsijiet kollha dwar ir-riżoluzzjoni tad-DNS li jkunu barra ż-żona awtorevoli tad-dominju tiegħek lil dan l-indirizz IP.
13. Fl-aħħarnett, terġa 'tibda samba daemon biex tirrifletti l-bidliet u ċċekkja r-replikazzjoni tad-direttorju attiv billi tesegwixxi l-kmandi li ġejjin.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Barra minn hekk, semmi mill-ġdid il-fajl tal-konfigurazzjoni Kerberos inizjali mill-mogħdija /etc u tibdilha bil-fajl tal-konfigurazzjoni krb5.conf il-ġdid iġġenerat minn samba waqt li tipprovdi d-dominju.
Il-fajl jinsab fid-direttorju /var/lib/samba/private. Uża symlink Linux biex tgħaqqad dan il-fajl mad-direttorju /etc.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Ivverifika wkoll l-awtentikazzjoni Kerberos bil-fajl samba krb5.conf. Itlob biljett għal utent amministratur u elenka l-biljett fil-cache billi toħroġ il-kmandi hawn taħt.
# kinit administrator # klist
Pass 4: Validazzjonijiet ta' Servizzi ta' Dominju Addizzjonali
16. L-ewwel test li għandek bżonn tagħmel huwa Samba4 DC DNS riżoluzzjoni. Biex tivvalida r-riżoluzzjoni tad-DNS tad-dominju tiegħek, mistoqsija l-isem tad-dominju billi tuża l-kmand tal-host kontra ftit rekords AD DNS kruċjali kif ippreżentati fuq il-screenshot hawn taħt.
Is-server tad-DNS għandu jerġa 'jirrepeti sa issa b'par ta' żewġ indirizzi IP għal kull mistoqsija.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Dawn ir-rekords DNS għandhom ikunu viżibbli wkoll minn magna Windows iskritta b'għodda RSAT installata. Iftaħ il-Maniġer tad-DNS u jespandi għar-rekords tcp tad-dominju tiegħek kif muri fl-immaġni hawn taħt.
18. It-test li jmiss għandu jindika jekk ir-replikazzjoni LDAP tad-dominju taħdimx kif mistenni. Uża samba-tool, oħloq kont fuq it-tieni kontrollur tad-dominju u vverifika jekk il-kont huwiex awtomatikament replikat fuq l-ewwel Samba4 AD DC.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Tista' wkoll toħloq kont minn console Microsoft AD UC u tivverifika jekk il-kont jidherx fuq iż-żewġ kontrolluri tad-dominju.
B'mod awtomatiku, il-kont għandu jinħoloq awtomatikament fuq iż-żewġ kontrolluri tad-dominju samba. Mistoqsija l-isem tal-kont minn adc1 billi tuża l-kmand tal-wbinfo.
20. Bħala fatt, iftaħ il-console AD UC mill-Windows, jespandi għal Kontrolluri tad-Dominju u għandek tara ż-żewġ magni DC iskritti.
Pass 5: Ippermetti s-Servizz Samba4 AD DC
21. Sabiex is-servizzi samba4 AD DC jiġu attivati fis-sistema kollha, l-ewwel iddiżattiva xi Samba daemons qodma u mhux użati u ppermetti biss is-servizz samba-ad-dc billi tħaddem il-kmandi hawn taħt:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Jekk tamministra mill-bogħod il-kontrollur tad-dominju Samba4 minn klijent Microsoft jew għandek klijenti Linux jew Windows oħra integrati fid-dominju tiegħek, kun żgur li ssemmi l-indirizz IP tal-magna adc2 mas-server DNS tal-interface tan-netwerk tagħhom settings tal-IP sabiex tikseb livell ta' redundancy.
Il-screenshots hawn taħt juru l-konfigurazzjonijiet meħtieġa għal Windows jew klijent Debian/Ubuntu.
Jekk wieħed jassumi li l-ewwel DC b'192.168.1.254 imur offline, aqleb l-ordni tal-indirizzi IP tas-server DNS fil-fajl tal-konfigurazzjoni sabiex ma jipprovax jagħmel mistoqsija l-ewwel server DNS mhux disponibbli.
Fl-aħħarnett, f'każ li trid twettaq awtentikazzjoni lokali fuq sistema Linux b'kont Samba4 Active Directory jew tagħti privileġġi tal-għeruq għall-kontijiet AD LDAP f'Linux, aqra l-passi 2 u 3 mit-tutorja Immaniġġja l-Infrastruttura Samba4 AD minn Linja ta' Kmand Linux.