SAMBA AD Windows | b14esh.com

Настройка kerberos

0) Устанавливаем пакеты:
apt-get install winbind krb5-user ntp - устанавливаем основные пакеты для вода пк с linux в домен ( при установке krb5-user будет произведена настройка)
apt-get install libpam-krb5 libpam-winbind libnss-winbind - устанавливаем  дополнительные пакеты ( обычно сами ставятся ) 

1) Редактируем настройки DNS
nano /etc/resolvconf/resolv.conf.d/head - файл генерирует /etc/resolv.conf, редактируем его если нету dhcp server для добавления своего сервера
--------------head---------------------
nameserver ip_адресc
search mti.local
-------------/head---------------------
1.1) Если как то не правильно берется DNS из DHCP клиента можно поменять тут
nano /etc/dhcp/dhclient.conf - файл настроек dhcp клиента, если DNS сервер выдается не правильно можно раскомментировать следующие: 
-----------dhclient.conf----
#supersede domain-name "fugue.com home.vix.com";
#prepend domain-name-servers 127.0.0.1;
----------/dhclient.conf----

3) Изменения имени ПК
nano /etc/hostname - файл имени сервера
nano /etc/hosts - файл генерируется автоматически при загрузке ос

4) Проверка работы DNS
nslookup server_name - проверка работы DNS

5) Настройка синхронизации времени
ntp - программа для синхронизации времени
nano /etc/ntp.conf - меняем строку на наш адрес контроллера домена
-----ntp.conf-----
server dc.name_domain.local
----/ntp.conf-----
service ntp restart

6)  настройка kerberos
dpkg-reconfigure krb5-kdc - воспользоватся мастером настройки
nano /etc/krb5.conf - файл настройки 
------krb5.conf----
!!! внимание на регистр букв
default_realm = ИМЯ_НАШЕГО_ДОМЕНА.local
      
         kdc = dc.имя_нашего_домена.local
         admin_server = dc.имя_нашего_домена.local


[domain_realm] - ищем и дописываем
     .имя_нашего_домена.local =  ИМЯ_НАШЕГО_ДОМЕНА.local
     имя_нашего_домена.local =  ИМЯ_НАШЕГО_ДОМЕНА.local
------/krb5.conf---

7) Проверка kerberos
kinit amin@ИМЯ_НАШЕГО_ДОМЕНА.local - делаем запрос к домену
klist - смотрим полученные билеты

0) Устанавливаем пакеты:

apt-get install winbind krb5-user ntp - устанавливаем основные пакеты для вода пк с linux в домен ( при установке krb5-user будет произведена настройка)

apt-get install libpam-krb5 libpam-winbind libnss-winbind - устанавливаем дополнительные пакеты ( обычно сами ставятся )

1) Редактируем настройки DNS

nano /etc/resolvconf/resolv.conf.d/head - файл генерирует /etc/resolv.conf, редактируем его если нету dhcp server для добавления своего сервера

--------------head---------------------

nameserver ip_адресc

search mti.local

-------------/head---------------------

1.1) Если как то не правильно берется DNS из DHCP клиента можно поменять тут

nano /etc/dhcp/dhclient.conf - файл настроек dhcp клиента, если DNS сервер выдается не правильно можно раскомментировать следующие:

-----------dhclient.conf----

#supersede domain-name "fugue.com home.vix.com";

#prepend domain-name-servers 127.0.0.1;

----------/dhclient.conf----

3) Изменения имени ПК

nano /etc/hostname - файл имени сервера

nano /etc/hosts - файл генерируется автоматически при загрузке ос

4) Проверка работы DNS

nslookup server_name - проверка работы DNS

5) Настройка синхронизации времени

ntp - программа для синхронизации времени

nano /etc/ntp.conf - меняем строку на наш адрес контроллера домена

-----ntp.conf-----

server dc.name_domain.local

----/ntp.conf-----

service ntp restart

6) настройка kerberos

dpkg-reconfigure krb5-kdc - воспользоватся мастером настройки

nano /etc/krb5.conf - файл настройки

------krb5.conf----

!!! внимание на регистр букв

default_realm = ИМЯ_НАШЕГО_ДОМЕНА.local

kdc = dc.имя_нашего_домена.local

admin_server = dc.имя_нашего_домена.local

[domain_realm] - ищем и дописываем

.имя_нашего_домена.local = ИМЯ_НАШЕГО_ДОМЕНА.local

имя_нашего_домена.local = ИМЯ_НАШЕГО_ДОМЕНА.local

------/krb5.conf---

7) Проверка kerberos

kinit amin@ИМЯ_НАШЕГО_ДОМЕНА.local - делаем запрос к домену

klist - смотрим полученные билеты

настройка samba для работы в AD windows:

0. nano /etc/samba/smb.conf - редактируем конфиг samba
-----------smb.conf--------
workgroup = WORKGROUP - ищем эту строку
workgroup = ИМЯ_НАШЕГО_ДОМЕНА - меняем на короткое имя нашего домена ( полное  -> nde.local, короткое -> nde )

realm = ИМЯ_НАШЕГО_ДОМЕНА.local - дописываем (realm днс суфикс)
security = ADS - дописываем ( как работает авторизация )
auth methods = winbind - дописываем ( самба передает всю авторизацию winbind )
winbind enum users = yes - дописываем
winbind enum groups = yes - дописываем
winbind use default domain = yes - дописываем  использовать домен по умолчанию
winbind separator = / - дописываем ( какой разделитель использовать в ИМЯ_НАШЕГО_ДОМЕНА\user - им может быть любой символ )
idmap config * : range = 10000-20000 - задаем значения  id для пользователей
#server role = standalone server - комментируем эту строку
#passdb backend = tdbsam - комментируем эту строку
#obey pam restrictions = yes - комментируем эту строку
#unix password sync = yes - комментируем эту строку
#passwd program = /usr/bin/passwd %u - комментируем эту строку
#passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . - комментируем эту строку
#pam password change = yes - комментируем эту строку
#map to guest = bad user - комментируем эту строку
#usershare allow guests = yes - комментируем эту строку
[Shared]
      comment = some folder
      patch = /data/shared
      inherit acls = yes
      writable = yes 

-----------/smb.conf-------

1. Проверяем конфигурацию samba
testparm - проверка файла /etc/samba/smb.conf на ошибки конфигурации

0. nano /etc/samba/smb.conf - редактируем конфиг samba

-----------smb.conf--------

workgroup = WORKGROUP - ищем эту строку

workgroup = ИМЯ_НАШЕГО_ДОМЕНА - меняем на короткое имя нашего домена ( полное -> nde.local, короткое -> nde )

realm = ИМЯ_НАШЕГО_ДОМЕНА.local - дописываем (realm днс суфикс)

security = ADS - дописываем ( как работает авторизация )

auth methods = winbind - дописываем ( самба передает всю авторизацию winbind )

winbind enum users = yes - дописываем

winbind enum groups = yes - дописываем

winbind use default domain = yes - дописываем использовать домен по умолчанию

winbind separator = / - дописываем ( какой разделитель использовать в ИМЯ_НАШЕГО_ДОМЕНА\user - им может быть любой символ )

idmap config * : range = 10000-20000 - задаем значения id для пользователей

#server role = standalone server - комментируем эту строку

#passdb backend = tdbsam - комментируем эту строку

#obey pam restrictions = yes - комментируем эту строку

#unix password sync = yes - комментируем эту строку

#passwd program = /usr/bin/passwd %u - комментируем эту строку

#passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . - комментируем эту строку

#pam password change = yes - комментируем эту строку

#map to guest = bad user - комментируем эту строку

#usershare allow guests = yes - комментируем эту строку

[Shared]

comment = some folder

patch = /data/shared

inherit acls = yes

writable = yes

-----------/smb.conf-------

1. Проверяем конфигурацию samba

testparm - проверка файла /etc/samba/smb.conf на ошибки конфигурации

Вводим наш сервер в домен windows:

net ads join -U admin@ИМЯ_НАШЕГО_ДОМЕНА.local - вводим в домен наш сервер с samba

1	net ads join -U admin@ИМЯ_НАШЕГО_ДОМЕНА.local - вводим в домен наш сервер с samba

После ввода в домен windows нужно настроит настроить nsswitch:

nano  /etc/nsswitch.conf - отредактируем строки:
-------nsswitch.conf----
passwd:         files winbind - изменяем слово compat на files winbind
group:          files winbind - изменяем слово compat на files winbind
shadow:         files winbind - изменяем слово compat на files winbind
-------/nsswitch.conf---
2. Перезагружаем сервер samba
3. Проверяем работу в домене
wbinfo -u - должны увидеть пользователей из AD Windows
wbinfo -g - должны увидеть группы из AD Windows
id имя_доменного_юзака - должны также увидеть  информацию о пользователях
getent passwd - команда должна показать пользователей unix + AD
getent group  - команда должна показать группы пользователей unix + AD

nano /etc/nsswitch.conf - отредактируем строки:

-------nsswitch.conf----

passwd: files winbind - изменяем слово compat на files winbind

group: files winbind - изменяем слово compat на files winbind

shadow: files winbind - изменяем слово compat на files winbind

-------/nsswitch.conf---

2. Перезагружаем сервер samba

3. Проверяем работу в домене

wbinfo -u - должны увидеть пользователей из AD Windows

wbinfo -g - должны увидеть группы из AD Windows

id имя_доменного_юзака - должны также увидеть информацию о пользователях

getent passwd - команда должна показать пользователей unix + AD

getent group - команда должна показать группы пользователей unix + AD