Администрирование контроллера SAMBA

Средства администрирования удаленного сервера от MS
Подготовка резервного контроллера домена
Добавление резервного контроллера в домен
Установка необходимых пакетов
Присоединение сервера в качестве вторичного контроллера домена
Дополнительная настройка сервера
Запуск служб
Настройка NTP на контроллере домена dc1.skynet.murom
Настройка NTP на резервном контроллере домена dc2.skynet.murom
Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

Средства администрирования удаленного сервера от MS

Введение ПК с Windows в домен Samba производится точно так же, как и ввод компьютера в домен MS AD.

Для администрирования домена Samba установите RSAT - https://wiki.samba.org/index.php/Installing_RSAT.

Включите компоненты: «Установка удаление программ» - «Включение отключение компонентов» - «Средства удаленного администрирования сервера».

После настройки перезагрузите ПК.

В управлении DNS подключитесь к dc1.skynet.murom, добавьте обратную зону и PTR-запись для контроллера домена dc1. Кроме работы с DNS через оснастку Windows существует способ добавления обратной зоны dns с помощью команд в терминале.

Для этого, предварительно, получите kerberos-тикет:

kinit administrator@SKYNET.MUROM

Добавьте обратную зону:

samba-tool dns zonecreate -U Administrator dc1.skynet.murom 1.81.10.in-addr.arpa
samba-tool dns add dc1.skynet.murom 1.81.10.in-addr.arpa 96 PTR dc1.skynet.murom -U administrator

в последней команде 96 - это последний октет (четвертый) в IP-адресе (10.81.1.96) сервера samba.

Следующие зоны, вероятно, создавать не обязательно, но такие зоны автоматически настроены на Windows srv:

samba-tool dns zonecreate -U Administrator dc1.skynet.murom 0.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 127.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 255.in-addr.arpa

Подготовка резервного контроллера домена

Настройте сеть, по примеру DC1.

Для этого, используйте утилиту «Сетевые соединения», расположенную в «Меню» → «Параметры» → «Сетевые соединения» в графическом окружении Cinnamon или «Система» → «Параметры» → «Сетевые соединения» в графическом окружении Mate. Выберите ваше активное подключение, нажмите кнопку «Изменить», перейдите на вкладку «Параметры IPv4», поменяйте «Метод» на «Вручную» и укажите IP-адрес, маску и шлюз. В поле «Серверы DNS» напишите адрес IP-адрес машины, а в поле «Поисковые домены» введите skynet.murom, нажмите применить и перезапустите NetworManager.

Проверьте, что все изменилось, выведя содержимое файла resolv.conf:

 cat /etc/resolv.conf 

nameserver 10.81.1.96 
search skynet.murom 

С помощью hostnamectl измените доменное имя машины на dc2.skynet.murom:

hostnamectl set-hostname dc2.skynet.murom

В /etc/hosts пропишите:

<IP-адрес-сервера-DC2> dc2.skynet.murom dc2

Добавление резервного контроллера в домен

Установка необходимых пакетов

Установите необходимые пакеты командой:

dnf install samba* krb5*

Присоединение сервера в качестве вторичного контроллера домена

Скопируйте конфигурации самбы c основного контроллера /etc/samba/smb.conf и /etc/krb5.conf.

Измените в /etc/samba/smb.conf значение следующего параметра:

netbios name=DC2

Получите билет:

# kinit Administrator

и проверьте вывод:

# klist

Добавьте winbind в файл /etc/nsswitch.conf.

Winbind будет использоваться как прокси между AD и связкой PAM и NSS. Для аутентификации AD winbind использует kerberos, а LDAP используется для получения информации.

nano /etc/nsswitch.conf 

passwd: winbind sss files systemd
group:  winbind sss files systemd
shadow: winbind files sss
hosts:  files dns wins 

Выполните команду присоединения к домену в роли "backend":

samba-tool domain join skynet.murom DC -U Administrator --dns-backend=SAMBA_INTERNAL --realm=skynet.murom

Введите пароль от доменного Администратора контроллера домена.

При этом в прямой зоне DNS должна появиться соответствующая A-запись.

Дополнительная настройка сервера

Выполните дополнительную настройку сервера аналогично тому, как это сделано в подразделе Дополнительная настройка основного сервера.

Отредактируйте файл /etc/samba/smb.conf и добавьте в секцию [global] следующие строки (либо отредактируйте существующие):

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
allow dns updates = nonsecure
dns update command = /usr/sbin/samba_dnsupdate --all-names
dsdb:schema update allowed = true

После внесения изменений в файл /etc/samba/smb.conf выполните проверку:

testparm

Пример вывода команды:

Load smb config files from /etc/samba/smb.conf
vfs objects specified without required AD DC module: dfs_samba4
Loaded services file OK.
Weak crypto is allowed

Server role: ROLE_ACTIVE_DIRECTORY_DC

Press enter to see a dump of your service definitions

Удалите из настроек сетевого интерфейса из списка DNS-серверов IP-адрес внешнего сервера, который был указан ранее. В данном примере это 8.8.8.8. Перезагрузите сетевой интерфейс.

Запуск служб

Запустите и добавьте в автозагрузку службы samba:

systemctl enable samba --now

Проверьте статус службы:

systemctl status samba 

В DNS добавьте PTR-запись второго сервера в обратную зону. 

Для проверки репликации выполните:

samba-tool drs showrepl

Предупреждение Warning: No NC replicated for Connection! можно проигнорировать (см. FAQ в Samba Wiki).

Для запуска принудительной репликации выполните:

samba-tool drs replicate dc2.skynet.murom dc1.skynet.murom dc=skynet,dc=murom

В качестве первого аргумента должен быть указан приемник, в качестве второго - источник.

По умолчанию автоматическая внутрисайтовая репликация в Windows AD занимает 5 сек, межсайтовая репликация - 15 мин. Данные значения не регулируются. Без успешной двунаправленной репликации в течение 14 дней DC исключается из Active Directory.

Настройка NTP на контроллере домена dc1.skynet.murom

Для установки NTP выполните:

dnf install ntp

Измените группу и права:

 chgrp ntp /var/lib/samba/ntp_signd/
 chmod 750 /var/lib/samba/ntp_signd/

Отредактируйте конфигурационный файл:

nano /etc/ntp.conf

Добавьте следующие строки:

server 127.127.1.0 
fudge 127.127.1.0 stratum 10 
server 0.pool.ntp.org iburst prefer
server 1.pool.ntp.org iburst prefer
ntpsigndsocket /var/lib/samba/ntp_signd/

Закомментируйте строки:

 #driftfile /var/lib/ntp/ntp.drift
 #logfile /var/log/ntp

Описание параметров файла конфигурации NTP:

• ntpsigndsocket /usr/local/samba/ntp_signd/ - позволит клиентским машинам отправлять NTP-запросы к серверу используя Active Directory;

• Server - указывает на сервера синхронизации времени;

• restrict 127.0.0.1 - обмен данным с самим собой;

• iburst — отправлять несколько пакетов (повышает точность);

• prefer — указывает на предпочитаемый сервер времени;

• server 127.127.1.0 — позволит, в случае отказа сети Интернет, брать время из своих системных часов.

Старт NTP и добавление в автозапуск:

 systemctl disable chronyd --now
 systemctl enable ntpd --now

Проверка статуса NTP:

 systemctl status ntpd.service

Проверить состояние получения эталонного времени можно командой:

 ntpq -p

Настройка NTP на резервном контроллере домена dc2.skynet.murom

Отключите службу chrony:

 systemctl disable chronyd --now

Запустите службу NTP:

 systemctl enable ntpd --now

В файл /etc/ntp.conf на резервном контроллере добавьте строки:

server dc1.skynet.murom iburst prefer
server 0.pool.ntp.org iburst
server 1.pool.ntp.org iburst
server 2.pool.ntp.org iburst

Проверка:

[root@dc2 ~]# ntpq -p
remote refid st t when poll reach   delay offset jitter
==========================================================================
*dc1.skynet.murom 62.33.136.11 2 u - 64 1 0.272 0.177 0.618
cello.corbina.n 194.58.202.20 2 u - 64 1 14.088 2.191 0.673
62.183.87.106 194.190.168.1 2 u 1 64 1 48.239 9.129 10.577

Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

Информацию о настройке Samba на поддержку репликации SysVol через DFS-R или FRS см. по ссылке. 

Папка SYSVOL содержит групповые политики и скрипты. Отсутствие репликации приведет к неправильной работе групповых политик и сценариев входа. Есть два варианта: однонаправленная синхронизации и двунаправленная. В первом случае, реплика снимается с основного контроллера и распространяется на все резервные.

Во втором работает в обе стороны. Используем для этого Rsync и Unison (программа двунаправленной синхронизации файлов).

Для установки пакетов выполните:

dnf install rsync unison

Создание для ssh rsa-ключей и копирование публичного ключ на DC2:

[root@dc1 ~]# ssh-keygen -t rsa
[root@dc1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@DC2.skynet.murom

Теперь без ввода пароля можно попасть по ssh с DC1 на DC2 выполнив команду:

ssh dc2.skynet.murom

При низких скоростях в сети, unison может некорректно работать, поэтому при повторной его работе будет использоваться ранее созданное подключение по ssh, для этого:

mkdir ~/.ssh/ctl
cat << EOF > ~/.ssh/ctl/config
Host *
ControlMaster auto
ControlPath ~/.ssh/ctl/%h_%p_%r
ControlPersist 1
EOF

Лог файл репликации (следим за размером лога!)

touch /var/log/sysvol-sync.log
chmod 640 /var/log/sysvol-sync.log

Создайте файла конфигурации unison, для этого создадим каталог .unison:

mkdir /root/.unison

а теперь создайте в нем файл конфигурации:

nano /root/.unison/default.prf

с содержимым:

root = /var/lib/samba
# Note that 2 x / behind DC2, it is required
root = ssh://root@DC2.skynet.murom//var/lib/samba 
# Путь синхронизации
path = sysvol
#ignore = Path stats  ## ignores /var/www/stats
auto=true
batch=true
perms=0
rsync=true
maxthreads=1
retry=3
confirmbigdeletes=false
servercmd=/usr/bin/unison
copythreshold=0
copyprog = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --inplace --compress --old-args
copyprogrest = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --partial --inplace --compress --old-args
copyquoterem = true
copymax = 1
logfile = /var/log/sysvol-sync.log

Установка rsync и unison на DC2:

dnf install rsync unison

Сделайте backup sysvol, потом запустите команду синхронизации:

/usr/bin/rsync -XAavz --log-file /var/log/sysvol-sync.log --delete-after -f"+ */" -f"- *" /var/lib/samba/sysvol root@dc2.skynet.murom:/var/lib/samba && /usr/bin/unison
&> /dev/null

в этой строке программа rsync создает структуры каталогов с расширенными атрибутами, а затем программа Unison копирует только эти расширенные атрибуты файлов.

Межсайтовая синхронизация настраивается через оснастку (mmc) "Active Directory Sites and Services" в Windows. Оснастка входит в пакет RSAT.

Дата последнего изменения: 23.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.