Установка сервера SAMBA DC

Предварительная настройка сервера
Обновление пакетов
Установка необходимых пакетов
Отключение SELinux
Присваивание серверу доменного имени
Отключение DNS-службы systemd-resolved
Настройка сетевого интерфейса
Настройка сетевого интерфейса вручную
Настройка сетевого интерфейса с помощью утилиты nmtui
Создание нового домена под управлением контроллера домена Samba DC
Создание резервных копий файлов
Настройка конфигурации Kerberos
Настройка DNS-сервера BIND
Первоначальное полуавтоматическое конфигурирование сервера с помощью утилиты samba-tool
Дополнительная настройка сервера
Запуск и проверка работоспособности службы samba

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Сервер графический
• Версия ПО: samba-4.17.5-2h, krb5-devel-1.20.1-1, bind-32:9.16.27-1

Предварительная настройка сервера

Обновление пакетов

Перейдите в сеанс пользователя root:

su - 

и выполните обновление всех пакетов: 

dnf makecache && dnf upgrade

Все дальнейшие действия выполняются с правами пользователя root, если не указано иное.

Установка необходимых пакетов

Для установки необходимых пакетов выполните:

dnf install samba* krb5* bind

Отключение SELinux

На время настройки переведите SELinux в режим уведомлений:

setenforce 0

Статус службы SELinux можно посмотреть командой sestatus.

Замените в файле конфигурации /etc/selinux/config режим enforcing на permissive командой:

sed -i "s/SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config

После перезагрузки системы служба SELinux будет запущена — в режиме, который указан в конфигурационном файле.

Присваивание серверу доменного имени

Сервер контроллера домена должен иметь собственное уникальное доменное имя и статический IP-адрес. Назначьте серверу полное доменное имя: например, если короткое имя сервера dc1, то для домена skynet.murom полное имя сервера имеет вид dc1.skynet.murom:

hostnamectl set-hostname dc1.skynet.murom

Отключение DNS-службы systemd-resolved

Откройте файл /etc/systemd/resolved.conf.

sudo nano /etc/systemd/resolved.conf

Установите параметр DNSStubListener в значение no, как показано в примере. Это необходимо, чтобы отключить прослушивание systemd-resolved на порту 53.

После внесения изменений в файл необходимо перезапустить systemd-resolved и NetworkManager командой:

systemctl restart systemd-resolved.service NetworkManager 

Проверьте изменения в настройках, выполните:

cat /etc/resolv.conf

В выводе должен быть указан адрес отличающийся от 127.0.0.53. Например:

nameserver 192.168.1.96
search skynet.murom

Настройка сетевого интерфейса

По умолчанию сетевой интерфейс настроен для получения IP-адреса по DHCP. Нужно установить серверу контроллера домена статический IP-адрес.

Настройку сетевого интерфейса можно выполнить несколькими способами, в данной статье рассматриваются два из них:

• вручную, путём редактирования файла настроек;
• с помощью графической консольной утилиты nmtui.

Настройка сетевого интерфейса вручную

Настройки хранятся в файле /etc/NetworkManager/system-connections/<имя_сетевого_интерфейса>.nmconnection. Именуются они, например, как enp0s3 или enp0s4.

В данном примере сетевой интерфейс имеет имя enp0s3.

Откройте конфигурационный файл в текстовом редакторе:

nano /etc/NetworkManager/system-connections/enp0s3.nmconnection

Внесите следующие изменения:

1) измените тип соединения на статический:

method=manual

2) установите значение для игнорирования DNS из DHCP:

ignore-auto-dns=true

3) укажите IP-адрес контроллера, маску подсети и IP-адрес шлюза:

address1=192.168.1.96/24,192.168.1.1

4) укажите в качестве DNS-сервера IP-адрес создаваемого контроллера домена:

dns=192.168.1.96

5) впишите домен поиска (в данном примере это skynet.murom):

dns-search=skynet.murom;

Итоговый файл настройки должен иметь вид:

[connection]
id=enp0s3
uuid=97def639-603a-4167-9613-edd5bd902ef8
type=ethernet
interface-name=enp0s3
timestamp=1704763284

[ethernet]

[ipv4]
address1=192.168.1.96/24,192.168.1.1
dns=192.168.1.96;
dns-search=skynet.murom;
ignore-auto-dns=true
method=manual

[ipv6]
addr-gen-mode=eui64
method=auto

[proxy]

Перезагрузите сетевой интерфейс для применения настроек:

systemctl restart NetworkManager

Для проверки настроек статической IP-адресации воспользуйтесь командой ifconfig или ip addr.

Настройка сетевого интерфейса с помощью утилиты nmtui

Запустите утилиту в консоли:

nmtui

В настройках сетевого интерфейса в конфигурации IPv4 укажите следующие значения:

• тип конфигурирования – «Вручную»;
• IP-адрес создаваемого сервера и маску подсети – 192.168.1.96/24;
• адрес шлюза – 192.168.1.1;
• IP-адрес первого DNS-сервера – IP-адрес сервера с доступом к локальному репозиторию или интернету, например 8.8.8.8 (при добавлении контроллера домена РЕД АДМ в существующий домен указать IP-адрес контроллера домена существующего домена);
• IP-адрес второго DNS-сервера – IP-адрес создаваемого контроллера домена, 192.168.1.96;
• домен поиска – skynet.murom.

Перезагрузите сетевой интерфейс для применения настроек:

systemctl restart NetworkManager

Проверьте доступные серверы имен, просмотрев файл resolv.conf:

cat /etc/resolv.conf

Вывод команды должен иметь примерно следующий вид:

nameserver 8.8.8.8 
nameserver 192.168.1.96 
search skynet.murom

Создание нового домена под управлением контроллера домена Samba DC

Создание резервных копий файлов

Переименуйте файл /etc/smb.conf, он будет создан позднее в процессе выполнения команды samba-tool. Наличие данного файла на момент запуска полуавтоматической конфигурации может вызвать ошибку.

mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

Создайте резервную копию используемого по умолчанию конфигурационного файла kerberos:

cp /etc/krb5.conf /etc/krb5.conf.bak

Настройка конфигурации Kerberos

Проверьте права на доступ к файлу /etc/krb5.conf:

ls -l /etc/krb5.conf

Пользователем-владельцем файла должен быть root, а группой-владельцем – named. Пример корректного вывода:

-rw-r--r-- 1 root named 104 фев 7 11:05 /etc/krb5.conf

При необходимости смените владельцев:

chown root:named /etc/krb5.conf

Откройте файл /etc/krb5.conf:

nano /etc/krb5.conf

В секции [libdefaults] установите имя домена, используемое по умолчанию:

default_realm = SKYNET.MUROM

Добавьте в секции [realms] и [domain_realm] информацию об именах домена и сервера:

[realms]
 SKYNET.MUROM = {
   kdc = dc1.skynet.murom
   admin_server = dc1.skynet.murom
 }

[domain_realm]
   .skynet.murom = SKYNET.MUROM
   skynet.murom = SKYNET.MUROM

Пример содержания файла после редактирования:

includedir /etc/krb5.conf.d/

[logging]
   default = FILE:/var/log/krb5libs.log
   kdc = FILE:/var/log/krb5kdc.log
   admin_server = FILE:/var/log/kadmind.log

[libdefaults]
   dns_lookup_realm = false
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true
   rdns = false
   pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
   spake_preauth_groups = edwards25519
   dns_canonicalize_hostname = fallback
   qualify_shortname = ""
   default_realm = SKYNET.MUROM
   default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 SKYNET.MUROM = {
   kdc = dc1.skynet.murom
   admin_server = dc1.skynet.murom
 }

[domain_realm]
   .skynet.murom = SKYNET.MUROM
   skynet.murom = SKYNET.MUROM

Откройте файл /etc/krb5.conf.d/crypto-policies:

nano /etc/krb5.conf.d/crypto-policies

и приведите его содержание к следующему виду:

[libdefaults]
   default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
   default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
   preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

Настройка DNS-сервера BIND

Откройте файл /etc/named.conf:

nano /etc/named.conf

и внесите в блок options { следующие значения параметров (при необходимости, добавив отсутствующие параметры):

listen-on port 53 { 192.168.1.96; };
allow-query { any; };
dnssec-validation no;
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
forwarders { 8.8.8.8; };

где:

• 192.168.1.96 – IP-адрес создаваемого DNS-сервера, совпадает с адресом контроллера домена;
• allow-query – разрешает выполнять запросы всем, но из соображений безопасности можно ограничить доступ для конкретной сети, например, вместо any прописать 192.168.1.0/24;
• dnssec-validation – включение валидации dnssec, укажите no;
• tkey-gssapi-keytab и minimal-responses – установка этих опций позволит включить динамическое обновление DNS с использованием Kerberos;
• forwarders – значения IP-адресов внешних DNS-серверов с выходом во внешнюю сеть, для перенаправления на них запросов, например, { 8.8.8.8; }.

Добавьте в конец списка с директивами include строку:

include "/var/lib/samba/bind-dns/named.conf";

Файл должен иметь примерно следующий вид:

options {
listen-on port 53 { 192.168.1.96; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
secroots-file "/var/named/data/named.secroots";
recursing-file "/var/named/data/named.recursing";
allow-query { any; };
recursion yes;
dnssec-validation no;
managed-keys-directory "/var/named/dynamic";
geoip-directory "/usr/share/GeoIP";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
forwarders { 8.8.8.8;};
include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/var/lib/samba/bind-dns/named.conf";

Первоначальное полуавтоматическое конфигурирование сервера с помощью утилиты samba-tool

Конфигурирование в интерактивном режиме выполняется командой:

samba-tool domain provision --use-rfc2307 --interactive

Описание некоторых опций (параметров) этой команды:

• use-rfc2307 – параметр добавляет POSIX атрибуты (UID / GID) на схеме AD. Он понадобится при аутентификации клиентов Linux, BSD, или OS X (в том числе, на локальной машине), в дополнение к Microsoft Windows;

• interactive – запуск в интерактивном режиме;

• realm – указывает на полное DNS-имя домена, которое настроено в /etc/hosts, в верхнем регистре (в рассматриваемом примере это SKYNET.MUROM);

• Domain – краткое имя домена NetBIOS (в примере – SKYNET);

• Server Rules – роль сервера (например, DC – domain controller);

• DNS backend – DNS-сервер. Возможные значения – SAMBA_INTERNAL (внутренний DNS сервера), BIND9_FLATFILE, BIND9_DLZ, NONE;

• DNS forwarder IP address – данный параметр позволяет указать IP-адрес DNS-сервера, на который будут перенаправлены DNS-запросы, в том случае, когда сервер не сможет их разрешить.

Более подробная информация доступна в Wiki-справке проекта Samba по адресу https://wiki.samba.org, на странице “Setting up Samba as an Active Directory Domain Controller”.

Пример сокращённого листинга настройки для тестового домена skynet.murom:

Realm [SKYNET.MUROM]:
Domain [SKYNET]:
Server Role (dc, member, standalone) [dc]: dc 
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ 
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs
Adding DomainDN: DC=skynet,DC=murom 
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers and extended rights
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=skynet,DC=murom 
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
The Kerberos KDC configuration for Samba AD is located at /var/lib/samba/private/kdc.conf
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
Setting up fake yp server settings
Once the above files are installed, your Samba AD server will be ready to use
Server Role: active directory domain controller
... Hostname:dc1 
... NetBIOS Domain:SKYNET 
... DNS Domain: skynet.murom 
... DOMAIN SID:S-1-5-21-4010603892-1310842104-1159347701

После запуска автоматической настройки файлы конфигурации будут созданы автоматически.

Дополнительная настройка сервера

Настройки сервера находятся в файле /etc/samba/smb.conf. Конфигурирование сервера выполняется путём внесения изменений в этот файл:

nano /etc/samba/smb.conf

Начиная с версии 3.3.0 в Samba есть модуль acl_xattr, который позволяет Samba корректно обрабатывать Windows ACL (Access Control List) и обеспечивает полноценную поддержку прав доступа к файлам.

Для подключения этого модуля добавьте в файл /etc/samba/smb.conf в секцию [global] следующие строки (либо отредактируйте существующие):

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

Для включения автоматического обновления записей в DNS добавьте два параметра в секцию [global]:

allow dns updates = nonsecure
nsupdate command = /usr/bin/nsupdate -g


В секцию [global] добавьте поддержку расширений схемы Samba AD (Active Directory):

dsdb:schema update allowed = true

Пример содержания файла /etc/samba/smb.conf с внесёнными дополнительными изменениями:

cat /etc/samba/smb.conf

#Global parameters
[global]
netbios name = DC1
realm= SKYNET.MUROM
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
workgroup= SKYNET
idmap_ldb:use rfc2307 = yes
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
nsupdate command = /usr/bin/nsupdate -g
dsdb:schema update allowed = true

[sysvol]
path = /var/lib/samba/sysvol
read only = No

[netlogon]
path = /var/lib/samba/sysvol/skynet.murom/scripts
read only = No

После внесения изменений в файл /etc/samba/smb.conf выполните проверку:

testparm

Пример вывода команды:

Load smb config files from /etc/samba/smb.conf
vfs objects specified without required AD DC module: dfs_samba4
Loaded services file OK.
Weak crypto is allowed

Server role: ROLE_ACTIVE_DIRECTORY_DC

Press enter to see a dump of your service definitions

Запуск и проверка работоспособности службы samba

Запустите и добавьте в автозагрузку службы samba и named:

systemctl enable samba named --now

Проверьте статус служб:

systemctl status samba named

Проверьте работу динамического обновления DNS:

samba_dnsupdate --verbose --all-names

Для более быстрой проверки рекомендуется отключить IPv6. Сделать это можно с помощью утилиты nmtui.

Дата последнего изменения: 30.10.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.