Uniu-vos a un Ubuntu DC addicional a Samba4 AD DC per a la replicació de failOver - Part 5
Aquest tutorial us mostrarà com afegir un segon controlador de domini Samba4, subministrat al servidor Ubuntu 16.04, al bosc Samba AD DC existent per tal de proporcionar un grau d'equilibri de càrrega/conversió per error per a alguns serveis AD DC crucials, especialment per a serveis com ara Esquema DNS i AD DC LDAP amb base de dades SAM.
- Creeu una infraestructura d'Active Directory amb Samba4 a Ubuntu - Part 1
Aquest article és una part-5 de la sèrie Samba4 AD DC de la següent manera:
Pas 1: configuració inicial per a la configuració de Samba4
1. Abans de començar a unir dominis per al segon DC, heu de tenir cura d'unes quantes configuracions inicials. En primer lloc, assegureu-vos que el nom d'amfitrió del sistema que s'integrarà a Samba4 AD DC conté un nom descriptiu.
Suposant que el nom d'amfitrió del primer regne subministrat s'anomena adc1, podeu anomenar el segon DC amb adc2 per tal de proporcionar un esquema de noms coherent als vostres controladors de domini.
Per canviar el nom d'amfitrió del sistema, podeu emetre l'ordre següent.
# hostnamectl set-hostname adc2
en cas contrari, podeu editar manualment el fitxer /etc/hostname i afegir una nova línia amb el nom desitjat.
# nano /etc/hostname
Aquí afegiu el nom d'amfitrió.
adc2
2. A continuació, obriu el fitxer de resolució del sistema local i afegiu una entrada amb l'adreça IP que assenyala el nom curt i el FQDN del controlador de domini principal, tal com es mostra a la captura de pantalla següent.
A través d'aquest tutorial, el nom de DC principal és adc1.tecmint.lan i es resol a l'adreça IP 192.168.1.254.
# nano /etc/hosts
Afegiu la línia següent:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Al pas següent, obriu /etc/network/interfaces i assigneu una adreça IP estàtica per al vostre sistema, tal com es mostra a la captura de pantalla següent.
Preste atenció als servidors de noms dns i a les variables de cerca dns. Aquests valors s'han de configurar per apuntar cap a l'adreça IP del DC i del regne Samba4 AD primari per tal que la resolució DNS funcioni correctament.
Reinicieu el dimoni de xarxa per reflectir els canvis. Verifiqueu el fitxer /etc/resolv.conf per assegurar-vos que els dos valors DNS de la vostra interfície de xarxa s'actualitzen a aquest fitxer.
# nano /etc/network/interfaces
Editeu i substituïu amb la vostra configuració IP personalitzada:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Reinicieu el servei de xarxa i confirmeu els canvis.
# systemctl restart networking.service # cat /etc/resolv.conf
El valor dns-search afegirà automàticament el nom de domini quan consulteu un amfitrió pel seu nom curt (formarà el FQDN).
4. Per provar si la resolució de DNS funciona com s'esperava, emet una sèrie d'ordres de ping contra el nom curt del domini, el nom de domini complet i el regne tal com es mostra a la captura de pantalla següent.
En tots aquests casos, el servidor DNS Samba4 AD DC hauria de respondre amb l'adreça IP del vostre DC principal.
5. L'últim pas addicional que heu de tenir en compte és la sincronització de l'hora amb el vostre controlador de domini principal. Això es pot aconseguir instal·lant la utilitat de client NTP al vostre sistema emetent l'ordre següent:
# apt-get install ntpdate
6. Suposant que voleu forçar manualment la sincronització de l'hora amb samba4 AD DC, executeu l'ordre ntpdate contra el DC principal emetent l'ordre següent.
# ntpdate adc1
Pas 2: instal·leu Samba4 amb les dependències necessàries
7. Per tal d'inscriure el sistema Ubuntu 16.04 al vostre domini, primer instal·leu Samba4, el client Kerberos i alguns altres paquets importants per al seu ús posterior des dels dipòsits oficials d'Ubuntu emetent l'ordre següent:
# apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Durant la instal·lació, haureu de proporcionar el nom del domini Kerberos. Escriviu el vostre nom de domini amb majúscules i premeu la tecla [Enter] per finalitzar el procés d'instal·lació.
9. Quan finalitzi la instal·lació dels paquets, verifiqueu la configuració sol·licitant un bitllet Kerberos per a un administrador de domini mitjançant l'ordre kinit. Utilitzeu l'ordre klist per llistar el bitllet Kerberos concedit.
# kinit [email _DOMAIN.TLD # klist
Pas 3: uneix-te a Samba4 AD DC com a controlador de domini
10. Abans d'integrar la vostra màquina a Samba4 DC, primer assegureu-vos que tots els dimonis Samba4 que s'executen al vostre sistema estiguin aturats i, a més, canvieu el nom del fitxer de configuració de Samba per defecte per començar a netejar. Mentre proveeix el controlador de domini, samba crearà un nou fitxer de configuració des de zero.
# systemctl stop samba-ad-dc smbd nmbd winbind # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Per tal d'iniciar el procés d'unió al domini, primer inicieu només el dimoni samba-ad-dc, després del qual executareu l'ordre samba-tool per unir-vos al regne mitjançant un compte amb privilegis administratius al vostre domini.
# samba-tool domain join your_domain DC -U "your_domain_admin"
Extracte d'integració de dominis:
# samba-tool domain join tecmint.lan DC -U"tecmint_user"
Finding a writeable DC for domain 'tecmint.lan' Found DC adc1.tecmint.lan Password for [WORKGROUP\tecmint_user]: workgroup is TECMINT realm is tecmint.lan checking sAMAccountName Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan Setting account password for ADC2$ Enabling account Calling bare provision Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf Provision OK for domain DN DC=tecmint,DC=lan Starting replication Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0] Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0] Analyze and apply schema objects Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0] Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0] Replicating critical objects from the base DN of the domain Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0] Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0] Done with always replicated NC (base, config, schema) Replicating DC=DomainDnsZones,DC=tecmint,DC=lan Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0] Replicating DC=ForestDnsZones,DC=tecmint,DC=lan Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0] Committing SAM database Sending DsReplicaUpdateRefs for all the replicated partitions Setting isSynchronized and dsServiceName Setting up secrets database Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Després que l'Ubuntu amb el programari samba4 s'hagi integrat al domini, obriu el fitxer de configuració principal de samba i afegiu les línies següents:
# nano /etc/samba/smb.conf
Afegiu el següent extracte al fitxer smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Substituïu l'adreça IP del reenviador DNS per la vostra pròpia IP del reenviador DNS. Samba reenviarà totes les consultes de resolució de DNS que es troben fora de la zona d'autoritat del vostre domini a aquesta adreça IP.
13. Finalment, reinicieu el dimoni samba per reflectir els canvis i comproveu la rèplica del directori actiu executant les ordres següents.
# systemctl restart samba-ad-dc # samba-tool drs showrepl
14. A més, canvieu el nom del fitxer de configuració inicial de Kerberos des del camí /etc i substituïu-lo pel nou fitxer de configuració krb5.conf generat per samba mentre proveïu el domini.
El fitxer es troba al directori /var/lib/samba/private. Utilitzeu l'enllaç simbòlic de Linux per enllaçar aquest fitxer al directori /etc.
# mv /etc/krb5.conf /etc/krb5.conf.initial # ln -s /var/lib/samba/private/krb5.conf /etc/ # cat /etc/krb5.conf
15. A més, verifiqueu l'autenticació Kerberos amb el fitxer samba krb5.conf. Sol·liciteu un bitllet per a un usuari administrador i enumereu el bitllet a la memòria cau emetent les ordres següents.
# kinit administrator # klist
Pas 4: validacions addicionals de serveis de domini
16. La primera prova que heu de realitzar és la resolució DNS de Samba4 DC. Per validar la resolució de DNS del vostre domini, consulteu el nom del domini mitjançant l'ordre de l'amfitrió amb uns quants registres d'AD DNS crucials, tal com es mostra a la captura de pantalla següent.
El servidor DNS hauria de reproduir-se ara amb un parell de dues adreces IP per a cada consulta.
# host your_domain.tld # host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record # host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Aquests registres DNS també haurien de ser visibles des d'una màquina Windows registrada amb les eines RSAT instal·lades. Obriu el Gestor de DNS i expandiu-vos als registres tcp del vostre domini tal com es mostra a la imatge següent.
18. La següent prova hauria d'indicar si la replicació LDAP del domini funciona com s'esperava. Amb samba-tool, creeu un compte al segon controlador de domini i verifiqueu si el compte es replica automàticament al primer Samba4 AD DC.
# samba-tool user add test_user
# samba-tool user list | grep test_user
19. També podeu crear un compte des d'una consola Microsoft AD UC i verificar si el compte apareix als dos controladors de domini.
Per defecte, el compte s'hauria de crear automàticament als dos controladors de domini samba. Consulteu el nom del compte a adc1 mitjançant l'ordre wbinfo.
20. De fet, obriu la consola AD UC des de Windows, amplieu-vos als controladors de domini i hauríeu de veure les dues màquines DC inscrites.
Pas 5: habiliteu el servei Samba4 AD DC
21. Per habilitar els serveis de samba4 AD DC a tot el sistema, primer desactiveu alguns dimonis Samba antics i no utilitzats i habiliteu només el servei samba-ad-dc executant les ordres següents:
# systemctl disable smbd nmbd winbind # systemctl enable samba-ad-dc
22. Si administreu de forma remota el controlador de domini Samba4 des d'un client de Microsoft o teniu altres clients Linux o Windows integrats al vostre domini, assegureu-vos d'esmentar l'adreça IP de la màquina adc2 al seu servidor DNS de la interfície de xarxa. Configuració IP per obtenir un nivell de redundància.
Les captures de pantalla següents il·lustren les configuracions necessàries per a un client Windows o Debian/Ubuntu.
Suposant que el primer DC amb 192.168.1.254 es desconnecta, invertiu l'ordre de les adreces IP del servidor DNS al fitxer de configuració perquè no intenti consultar primer un servidor DNS no disponible.
Finalment, en cas que vulgueu realitzar l'autenticació local en un sistema Linux amb un compte Samba4 Active Directory o concedir privilegis d'arrel per als comptes AD LDAP a Linux, llegiu els passos 2 i 3 del tutorial Gestiona la infraestructura d'AD Samba4 des de la línia d'ordres de Linux.