Creeu una infraestructura d'Active Directory amb Samba4 a Ubuntu - Part 1

Samba és un programari gratuït de codi obert que proporciona una interoperabilitat estàndard entre el sistema operatiu Windows i els sistemes operatius Linux/Unix.

Samba pot funcionar com a servidor d'impressió i fitxers autònom per a clients Windows i Linux mitjançant la suite de protocols SMB/CIFS o pot actuar com a controlador de domini d'Active Directory o unir-se a un regne com a membre de domini. El nivell de bosc i domini AD DC més alt que Samba4 pot emular actualment és Windows 2008 R2.

La sèrie es titularà Configuració del controlador de domini Active Directory Samba4, que tracta els següents temes per a Ubuntu, CentOS i Windows:

Aquest tutorial començarà explicant tots els passos que cal tenir en compte per instal·lar i configurar Samba4 com a controlador de domini a Ubuntu 16.04 i Ubuntu 14.04.

Aquesta configuració proporcionarà un punt de gestió central per a usuaris, màquines, comparticions de volum, permisos i altres recursos en una infraestructura Windows-Linux mixta.

  1. Instal·lació del servidor de l'Ubuntu 16.04.
  2. Instal·lació del servidor de l'Ubuntu 14.04.
  3. Una adreça IP estàtica configurada per al vostre servidor AD DC.

Pas 1: configuració inicial per a Samba4

1. Abans de continuar amb la instal·lació de Samba4 AD DC, primer anem a executar uns quants passos previs. Primer assegureu-vos que el sistema estigui actualitzat amb les últimes funcions de seguretat, nuclis i paquets emetent l'ordre següent:

$ sudo apt-get update 
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

2. A continuació, obriu el fitxer /etc/fstab de la màquina i assegureu-vos que el vostre sistema de fitxers de particions té les ACL habilitades, tal com es mostra a la captura de pantalla següent.

Normalment, els sistemes de fitxers Linux moderns comuns, com ara ext3, ext4, xfs o btrfs, admeten i tenen les ACL habilitades de manera predeterminada. Si aquest no és el cas del vostre sistema de fitxers, obriu el fitxer /etc/fstab per editar-lo i afegiu la cadena acl al final de la tercera columna i reinicieu la màquina per aplicar els canvis.

3. Finalment, configureu el nom d'amfitrió de la vostra màquina amb un nom descriptiu, com ara adc1 utilitzat en aquest exemple, editant el fitxer /etc/hostname o emetent.

$ sudo hostnamectl set-hostname adc1

És necessari reiniciar després d'haver canviat el nom de la màquina per aplicar els canvis.

Pas 2: instal·leu els paquets necessaris per a Samba4 AD DC

4. Per transformar el vostre servidor en un controlador de domini Active Directory, instal·leu Samba i tots els paquets necessaris a la vostra màquina emetent l'ordre següent amb privilegis d'arrel en una consola.

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Mentre s'executa la instal·lació, l'instal·lador farà una sèrie de preguntes per configurar el controlador de domini.

A la primera pantalla, haureu d'afegir un nom per a REALM predeterminat de Kerberos en majúscula. Introduïu el nom que utilitzareu per al vostre domini en majúscules i premeu Intro per continuar.

6. A continuació, introduïu el nom d'amfitrió del servidor Kerberos per al vostre domini. Utilitzeu el mateix nom que per al vostre domini, aquesta vegada amb minúscules i premeu Intro per continuar.

7. Finalment, especifiqueu el nom d'amfitrió per al servidor administratiu del vostre regne Kerberos. Feu servir el mateix que el vostre domini i premeu Enter per acabar la instal·lació.

Pas 3: proveïu Samba AD DC per al vostre domini

8. Abans de començar a configurar Samba per al vostre domini, primer executeu les ordres següents per aturar i desactivar tots els dimonis de samba.

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. A continuació, canvieu el nom o elimineu la configuració original de samba. Aquest pas és absolutament necessari abans de proveir Samba AD perquè en el moment de subministrar Samba crearà un nou fitxer de configuració des de zero i generarà alguns errors en cas que trobi un fitxer smb.conf antic.

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Ara, inicieu l'aprovisionament del domini de manera interactiva emetent l'ordre següent amb privilegis d'arrel i accepteu les opcions predeterminades que us ofereix Samba.

A més, assegureu-vos que proporcioneu l'adreça IP d'un reenviador DNS a les vostres instal·lacions (o extern) i trieu una contrasenya segura per al compte d'administrador. Si trieu una contrasenya setmanal per al compte d'administrador, la prestació del domini fallarà.

$ sudo samba-tool domain provision --use-rfc2307 --interactive

11. Finalment, canvieu el nom o suprimiu el fitxer de configuració principal de Kerberos del directori /etc i substituïu-lo mitjançant un enllaç simbòlic amb el fitxer Kerberos recentment generat de Samba situat al camí /var/lib/samba/private emetent les ordres següents:

$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial
$ sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Inicieu i activeu els dimonis del controlador de domini de Samba Active Directory.

$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

13. A continuació, utilitzeu l'ordre netstat per verificar la llista de tots els serveis que requereix un Active Directory per funcionar correctament.

$ sudo netstat –tulpn| egrep ‘smbd|samba’

Pas 4: configuracions finals de Samba

14. En aquest moment Samba hauria d'estar completament operatiu a les seves instal·lacions. El nivell de domini més alt que Samba està emulant hauria de ser Windows AD DC 2008 R2.

Es pot verificar amb l'ajuda de la utilitat samba-tool.

$ sudo samba-tool domain level show

15. Per tal que la resolució DNS funcioni localment, heu d'obrir l'edició final de la configuració de la interfície de xarxa i apuntar la resolució DNS modificant la declaració de servidors de noms dns a l'adreça IP del vostre controlador de domini (utilitza 127.0.0.1 per a la resolució de DNS local) i declaració dns-search per apuntar al vostre regne.

$ sudo cat /etc/network/interfaces
$ sudo cat /etc/resolv.conf

Quan hàgiu acabat, reinicieu el servidor i feu una ullada al fitxer de resolució per assegurar-vos que apunta als servidors de noms DNS correctes.

16. Finalment, proveu el solucionador de DNS emetent consultes i pings contra alguns registres crucials d'AD DC, com a l'extracte següent. Substituïu el nom de domini en conseqüència.

$ ping -c3 tecmint.lan         #Domain Name
$ ping -c3 adc1.tecmint.lan   #FQDN
$ ping -c3 adc1               #Host

Executeu les següents consultes contra el controlador de domini Samba Active Directory.

$ host -t A tecmint.lan
$ host -t A adc1.tecmint.lan
$ host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. A més, verifiqueu l'autenticació Kerberos sol·licitant un bitllet per al compte d'administrador del domini i enumereu el bitllet guardat a la memòria cau. Escriu la part del nom del domini amb majúscules.

$ kinit [email 
$ klist

Això és tot! Ara teniu un controlador de domini AD completament operatiu instal·lat a la vostra xarxa i podeu començar a integrar màquines Windows o Linux a Samba AD.

A la propera sèrie tractarem altres temes de Samba AD, com ara com gestionar el vostre controlador de domini des de la línia d'ordres de Samba, com integrar Windows 10 al nom de domini i gestionar Samba AD de forma remota mitjançant RSAT i altres temes importants.