Prisijunkite prie „Ubuntu DC“ prie „Samba4 AD DC“, skirtos „FailOver“ replikacijai - 5 dalis
Ši pamoka parodys, kaip pridėti antrą „Samba4“ domeno valdiklį, numatytą „Ubuntu 16.04“ serveryje, prie esamo „Samba AD DC“ miško, kad būtų užtikrintas tam tikros svarbiausių AD DC paslaugų apkrovos balansavimas/perjungimas, ypač tokioms paslaugoms kaip DNS ir AD DC LDAP schema su SAM duomenų baze.
- Sukurkite „Active Directory“ infrastruktūrą naudodami „Samba4“ sistemoje „Ubuntu“ - 1 dalis
Šis straipsnis yra „Samba4 AD DC“ serijos 5 dalis taip:
1 veiksmas: pradinė „Samba4“ sąrankos konfigūracija
1. Prieš pradėdami faktiškai atlikti domeno prijungimą prie antrosios nuolatinės srovės, turite pasirūpinti keliais pradiniais nustatymais. Pirmiausia įsitikinkite, kad sistemos, kuri bus integruota į „Samba4 AD DC“, pagrindiniame pavadinime yra aprašomasis vardas.
Darant prielaidą, kad pirmosios aprūpintos srities pagrindinio kompiuterio vardas vadinamas adc1 , antrąjį DC galite pavadinti naudodami adc2 , kad domeno valdikliuose galėtumėte pateikti nuoseklią pavadinimų suteikimo schemą.
Norėdami pakeisti sistemos pagrindinio kompiuterio pavadinimą, galite išduoti žemiau pateiktą komandą.
# hostnamectl set-hostname adc2
kitu atveju galite rankiniu būdu redaguoti/etc/hostname failą ir pridėti naują eilutę su norimu pavadinimu.
# nano /etc/hostname
Čia pridėkite pagrindinio kompiuterio pavadinimą.
adc2
2. Tada atidarykite vietinės sistemos skiriamosios gebos failą ir pridėkite įrašą su IP adresu, kuris nurodo taškus prie pagrindinio domeno valdiklio trumpo pavadinimo ir FQDN, kaip parodyta toliau pateiktoje ekrano kopijoje.
Per šią pamoką pagrindinis DC vardas yra adc1.tecmint.lan ir jis išsiskiria į 192.168.1.254 IP adresą.
# nano /etc/hosts
Pridėkite šią eilutę:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Atlikdami kitą veiksmą, atidarykite/etc/network/interfaces ir priskirkite savo sistemai statinį IP adresą, kaip parodyta toliau pateiktoje ekrano kopijoje.
Atkreipkite dėmesį į dns vardų serverius ir dns paieškos kintamuosius. Kad DNS raiška veiktų tinkamai, šios vertės turėtų būti sukonfigūruotos taip, kad būtų nukreiptos atgal į pirminio „Samba4 AD DC“ ir srities IP adresą.
Norėdami atspindėti pokyčius, iš naujo paleiskite tinklo demoną. Patikrinkite /etc/resolv.conf failą, kad įsitikintumėte, jog abi jūsų tinklo sąsajos DNS vertės atnaujinamos į šį failą.
# nano /etc/network/interfaces
Redaguokite ir pakeiskite savo pasirinktinius IP nustatymus:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Iš naujo paleiskite tinklo paslaugą ir patvirtinkite pakeitimus.
# systemctl restart networking.service # cat /etc/resolv.conf
„Dns-search“ reikšmė automatiškai pridės domeno vardą, kai užklausos pagrindiniame kompiuteryje pateiksite jo trumpąjį pavadinimą (sudarys FQDN).
4. Norėdami patikrinti, ar DNS skiriamoji geba veikia taip, kaip tikėtasi, išleiskite eilę ping komandų prieš savo domeno trumpąjį vardą, FQDN ir karalystę, kaip parodyta žemiau esančiame ekrano kopija.
Visais šiais atvejais „Samba4 AD DC“ DNS serveris turėtų atsakyti nurodydamas pagrindinės nuolatinės srovės IP adresą.
5. Paskutinis papildomas žingsnis, kurio reikia imtis, yra laiko sinchronizavimas su pagrindiniu domeno valdikliu. Tai galima padaryti įdiegus NTP kliento įrankį savo sistemoje, išduodant šią komandą:
# apt-get install ntpdate
6. Darant prielaidą, kad norite rankiniu būdu priversti sinchronizuoti laiką su „samba4 AD DC“, paleiskite komandą „ntpdate“ prieš pirminę nuolatinę įtampą, pateikdami šią komandą.
# ntpdate adc1
2 žingsnis: įdiekite „Samba4“ su reikalingomis priklausomybėmis
7. Norėdami užregistruoti „Ubuntu 16.04“ sistemą į savo domeną, pirmiausia įdiekite „Samba4“, „Kerberos“ klientą ir keletą kitų svarbių paketų, kad galėtumėte juos vėliau naudoti iš oficialių „Ubuntu“ saugyklų, pateikdami šią komandą:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Diegimo metu turėsite nurodyti „Kerberos“ srities pavadinimą. Parašykite domeno vardą didžiosiomis raidėmis ir paspauskite [Enter] mygtuką, kad baigtumėte diegimo procesą.
9. Baigę paketų diegimą, patikrinkite nustatymus, paprašydami „Kerberos“ bilieto domeno administratoriui naudodami komandą kinit. Naudokite komandą klist, kad išvardytumėte suteiktą „Kerberos“ bilietą.
# kinit [email _DOMAIN.TLD # klist
3 žingsnis: Prisijunkite prie „Samba4 AD DC“ kaip domeno valdiklis
10. Prieš integruodami savo kompiuterį į „Samba4 DC“, pirmiausia įsitikinkite, kad visi jūsų sistemoje veikiantys „Samba4“ demonai yra sustabdyti, taip pat pervardykite numatytąjį „Samba“ konfigūracijos failą, kad galėtumėte pradėti tvarkyti. Teikdama domeno valdiklį, „Samba“ sukurs naują konfigūracijos failą nuo nulio.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Norėdami pradėti domeno prisijungimo procesą, pirmiausia paleiskite tik „samba-ad-dc“ demoną, po kurio paleisite komandą „samba-tool“, kad prisijungtumėte prie srities naudodami abonementą su savo domeno administratoriaus teisėmis.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Domeno integravimo ištrauka:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Kai „Ubuntu with samba4“ programinė įranga bus integruota į domeną, atidarykite pagrindinį „samba“ konfigūracijos failą ir pridėkite šias eilutes:
# nano /etc/samba/smb.conf
Pridėkite šią ištrauką prie failo smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Pakeiskite DNS ekspeditoriaus IP adresą savo DNS ekspeditoriaus IP. „Samba“ persiųs visas IP adreso užklausas, esančias už jūsų domeno autoritetingos zonos, šiuo IP adresu.
13. Galiausiai iš naujo paleiskite „Samba“ deemoną, kad atspindėtumėte pakeitimus ir patikrintumėte aktyvų katalogo replikavimą vykdydami šias komandas.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. Be to, pervadinkite pradinį „Kerberos“ konfigūracijos failą iš/etc kelio ir pakeiskite jį nauju konfigūracijos failu krb5.conf, kurį sugeneravo samba, sudarydamas domeną.
Failas yra kataloge/var/lib/samba/private. Norėdami susieti šį failą su/etc katalogu, naudokite „Linux symlink“.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. Taip pat patikrinkite „Kerberos“ autentifikavimą naudodami failą „samba krb5.conf“. Paprašykite bilieto administratoriaus vartotojui ir nurodykite talpykloje esantį bilietą, pateikdami toliau nurodytas komandas.
# kinit administrator # klist
4 žingsnis: Papildomi domeno paslaugų patvirtinimai
16. Pirmasis bandymas, kurį turite atlikti, yra „Samba4 DC DNS“ skiriamoji geba. Norėdami patvirtinti savo domeno DNS skiriamąją gebą, naudodami pagrindinio kompiuterio komandą paklauskite domeno vardo su keletu svarbių AD DNS įrašų, kaip parodyta toliau pateiktoje ekrano kopijoje.
DNS serveris turėtų pakartoti iki šiol su dviem IP adresų poromis kiekvienai užklausai.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Šie DNS įrašai taip pat turėtų būti matomi iš registruoto „Windows“ įrenginio su įdiegtais RSAT įrankiais. Atidarykite DNS tvarkyklę ir išplėskite savo domeno TCP įrašus, kaip parodyta žemiau esančiame paveikslėlyje.
18. Kitas testas turėtų parodyti, ar domeno LDAP replikacija veikia taip, kaip tikėtasi. Naudodamiesi „samba-tool“, sukurkite abonementą antrajame domeno valdiklyje ir patikrinkite, ar paskyra automatiškai pakartojama pirmajame „Samba4 AD DC“.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. Taip pat galite sukurti paskyrą iš „Microsoft AD UC“ konsolės ir patikrinti, ar abonementas rodomas abiejuose domeno valdikliuose.
Pagal numatytuosius nustatymus abonementas turėtų būti automatiškai sukurtas abiejuose „Samba“ domeno valdikliuose. Klauskite paskyros pavadinimo iš adc1 naudodami komandą wbinfo.
20. Tiesą sakant, atidarykite „AD UC“ konsolę iš „Windows“, išplėskite domenų valdiklius ir turėtumėte pamatyti abu užregistruotus nuolatinės srovės įrenginius.
5 žingsnis: Įjunkite „Samba4 AD DC Service“
21. Norėdami įjungti „samba4 AD DC“ paslaugas visoje sistemoje, pirmiausia išjunkite kai kuriuos senus ir nenaudojamus „Samba“ demonus ir įjunkite tik „samba-ad-dc“ paslaugą vykdydami šias komandas:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Jei nuotoliniu būdu administruojate „Samba4“ domeno valdiklį iš „Microsoft“ kliento arba turite kitų „Linux“ ar „Windows“ klientų, integruotų į savo domeną, būtinai paminėkite mašinos adc2 IP adresą į savo tinklo sąsajos DNS serverį. IP nustatymai, norint pasiekti perteklinį lygį.
Žemiau pateiktose ekrano kopijose parodytos „Windows“ arba „Debian“/„Ubuntu“ klientui reikalingos konfigūracijos.
Darant prielaidą, kad pirmasis DC su 192.168.1.254 yra neprisijungęs, pakeiskite DNS serverio IP adresų tvarką konfigūracijos faile, kad jis nebandytų pirmiausia pateikti užklausos dėl nepasiekiamo DNS serverio.
Galiausiai, jei norite atlikti vietinį autentifikavimą „Linux“ sistemoje su „Samba4 Active Directory“ paskyra arba suteikti „Linux“ AD LDAP abonementams pagrindines teises, perskaitykite 2 ir 3 veiksmus vadovėlyje „Samba4 AD infrastruktūros valdymas iš„ Linux “komandų eilutės.