Администрирование контроллера Samba

Средства администрирования удаленного сервера от MS
Подготовка резервного контроллера домена
Добавление резервного контроллера в домен
Настройка NTP на контроллере домена dc1.skynet.murom
Настройка NTP на резервном контроллере домена dc2.skynet.murom
Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

Средства администрирования удаленного сервера от MS

Введение ПК с Windows в домен Samba делается точно так же, как и ввод компьютера в домен MS AD.

Для администрирования домена Samba установите RSAT - https://wiki.samba.org/index.php/Installing_RSAT

Включите компоненты: «Установка удаление программ» - «Включение отключение компонентов» - «Средства удаленного администрирования сервера»

После настройки перезагрузите ПК.

В управлении DNS подключитесь к dc1.skynet.murom, добавьте обратную зону и PTR запись для контроллера домена dc1. Кроме работы с DNS через оснастку Windows существует способ добавления обратной зоны dns с помощью команд в терминале Linux.
Для этого, предварительно, получите kerberos-тикет:

kinit administrator@SKYNET.MUROM

Добавьте обратную зону:

samba-tool dns zonecreate -U Administrator dc1.skynet.murom 1.81.10.in-addr.arpa
samba-tool dns add skynet.murom 1.81.10.in-addr.arpa 96 PTR dc1.skynet.murom -U administrator

в последней команде 96 - это последний октет (четвертый) в IP-адресе(10.81.1.96) сервера samba.

Следующие зоны, вероятно, создавать не обязательно, но такие зоны автоматически настроены на Windows srv:

samba-tool dns zonecreate -U Administrator dc1.skynet.murom 0.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 127.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 255.in-addr.arpa

Подготовка резервного контроллера домена

Настроите сеть, по примеру DC1.

Для этого, используйте утилиту «Сетевые соединения», расположенную в «Меню» → «Параметры» → «Сетевые соединения» в графическом окружении Cinnamon или «Система» → «Параметры» → «Сетевые соединения» в графическом окружении Mate. Выберите ваше активное подключение, нажмите кнопку «Изменить», перейдите на вкладку «Параметры IPv4», поменяйте «Метод» на «Вручную» и укажите IP-адрес, маску и шлюз. В поле «Серверы DNS» напишите адрес IP-адрес машины, а в поле «Поисковые домены» введите skynet.murom, нажмите применить и перезапустите NetworManager.

Проверьте, что все изменилось, выведя содержимое файла resolv.conf:

cat /etc/resolv.conf

nameserver 10.81.1.96
search skynet.murom

С помощью hostnamectl измените доменное имя машины на dc2.skynet.murom:

hostnamectl set-hostname dc2.skynet.murom

В /etc/hosts пропишите:

<IP-адрес-сервера-DC2> dc2.skynet.murom dc2

Добавление резервного контроллера в домен

Скопируйте конфигурации самбы c основного контроллера /etc/samba/smb.conf и /etc/krb5.conf

Поменяйте в /etc/samba/smb.conf

netbios name=DC2

Получите билет:

# kinit Administrator

и проверьте вывод:

# klist

Добавьте winbind в файл /etc/nsswitch.conf
Winbind будет использоваться как прокси между AD и связкой PAM и NSS. Для аутентификации AD winbind использует kerberos, а LDAP используется для получения информации.

DC2# nano /etc/nsswitch.conf
passwd: winbind sss files systemd
group:  winbind sss files systemd
shadow: winbind files sss
hosts:  files dns wins 

Выполните команду присоединения к домену в роли "backend":

samba-tool domain join skynet.murom DC -U Administrator --dns-backend=SAMBA_INTERNAL --realm=skynet.murom

Введите пароль от доменного Администратора контроллера домена.

При этом в прямой зоне DNS должна появиться соответствующая A запись.

Добавьте сервис samba в автозагрузку и запустите его:

systemctl enable samba.service
systemctl start samba.service

В dns добавляем Ptr запись нашего второго сервера в обратную зону.

Проверка репликации:

# samba-tool drs showrepl

В конце может быть "Warning: No NC replicated for Connection!", но, как написано на samba.com, - это не критично.

Команда запуска принудительной репликации:

samba-tool drs replicate dc2.skymet.murom dc1.skynet.murom dc=skynet,dc=murom

Первым указывается приемник, а следующим идет источник.

По умолчанию автоматическая репликация внутрисайтовая в Windows AD занимает 5 сек, межсайтовая репликация 15 мин.(значения эти не регулируются). Без успешной двунаправленной репликации в течение 14 дней DC исключается из Active Directory.

Настройка NTP на контроллере домена dc1.skynet.murom

Установка:

для РЕД ОС версии 7.1 или 7.2:

# yum install ntp

для РЕД ОС версии 7.3 и старше:

# dnf install ntp

Измените группу и права:

# chgrp ntp /var/lib/samba/ntp_signd/
# sudo chmod 750 /var/lib/samba/ntp_signd/

Отредактируйте конфигурационный файл:

# nano /etc/ntp.conf

Добавьте следующие строки:

server 127.127.1.0 
fudge 127.127.1.0 stratum 10 
server 0.pool.ntp.org iburst prefer
server 1.pool.ntp.org iburst prefer
ntpsigndsocket /usr/local/samba/ntp_signd/

Закомментируйте строки:

# driftfile /var/lib/ntp/ntp.drift
# logfile /var/log/ntp

Описание параметров файла конфигурации NTP:

ntpsigndsocket /usr/local/samba/ntp_signd/ - позволит клиентским машинам отправлять NTP-запросы к серверу используя Active Directory

Server - указывает на сервера синхронизации времени

restrict 127.0.0.1 - обмен данным с самим собой

iburst — отправлять несколько пакетов (повышает точность)

prefer — указывает на предпочитаемый сервер времени

server 127.127.1.0 — позволит в случае отказа сети Интернет брать время из своих системных часов.

Старт NTP и добавление в автозапуск :

# systemctl stop chronyd && systemctl disable chronyd
# systemctl start ntpd && systemctl enable ntpd

Проверка статуса NTP:

# systemctl status ntpd.service

Проверить состояние получения эталонного времени можно командой:

# ntpq -p

Настройка NTP на резервном контроллере домена dc2.skynet.murom

Отключите сервис chrony:

# systemctl stop chronyd && systemctl disable chronyd

Запустите сервис NTP:

# systemctl start ntpd && systemctl enable ntpd

В файл /etc/ntp.conf на резервном контроллере добавьте строки:

server dc1.skynet.murom iburst prefer
server 0.pool.ntp.org iburst
server 1.pool.ntp.org iburst
server 2.pool.ntp.org iburst

Проверка:

[root@dc2 ~]# ntpq -p
remote refid st t when poll reach   delay offset jitter
==========================================================================
*dc1.skynet.murom 62.33.136.11 2 u - 64 1 0.272 0.177 0.618
cello.corbina.n 194.58.202.20 2 u - 64 1 14.088 2.191 0.673
62.183.87.106 194.190.168.1 2 u 1 64 1 48.239 9.129 10.577

Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

https://wiki.samba.org/index.php/SysVol_replication_(DFS-R)

Папка SYSVOL содержит групповые политики и скрипты. Отсутствие репликации приведет к неправильной работе групповых политик и сценариев входа. Есть два варианта: однонаправленная синхронизации и двунаправленная. В первом случае, реплика снимается с основного контроллера и распространяется на все резервные.

Во втором работает в обе стороны. Используем для этого Rsync и Unison (программа двунаправленной синхронизации файлов).

Установка:

eсли вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

# yum install rsync unison

eсли вы используете РЕД ОС версии 7.3 и старше, выполните команду:

# dnf install rsync unison

Создание для ssh rsa ключей и копирование публичного ключ на DC2:

[root@dc1 ~]# ssh-keygen -t rsa
[root@dc1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@DC2.skynet.murom

Теперь без ввода пароля можно попасть по ssh с DC1 на DC2 выполнив команду:

ssh dc2.skynet.murom

При низких скоростях в сети, unison может некорректно работать, поэтому при повторной его работе будет использоваться ранее созданное подключение по ssh, для этого:

mkdir ~/.ssh/ctl
cat << EOF > ~/.ssh/ctl/config
Host *
ControlMaster auto
ControlPath ~/.ssh/ctl/%h_%p_%r
ControlPersist 1
EOF

Лог файл репликации (следим за размером лога!)

# touch /var/log/sysvol-sync.log
# chmod 640 /var/log/sysvol-sync.log

Создайте файла конфигурации unison, для этого создадим каталог .unison:

# mkdir /root/.unison

а теперь создадим в нем файл конфигурации:

# nano /root/.unison/default.prf

с содержимым:

root = /var/lib/samba
# Note that 2 x / behind DC2, it is required
root = ssh://root@DC2.skynet.murom//var/lib/samba 
# Путь синхронизации
path = sysvol
#ignore = Path stats  ## ignores /var/www/stats
auto=true
batch=true
perms=0
rsync=true
maxthreads=1
retry=3
confirmbigdeletes=false
servercmd=/usr/bin/unison
copythreshold=0
copyprog = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --inplace --compress
copyprogrest = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --partial --inplace --compress
copyquoterem = true
copymax = 1
logfile = /var/log/sysvol-sync.log

Установка rsync и unison на DC2:

для РЕД ОС версии 7.1 или 7.2:

# yum install rsync unison

для РЕД ОС версии 7.3 и старше:

# dnf install rsync unison

Сделайте backup sysvol, потом запустите команду синхронизации:

/usr/bin/rsync -XAavz --log-file /var/log/sysvol-sync.log --delete-after -f"+ */" -f"- *" /var/lib/samba/sysvol root@dc2.skynet.murom:/var/lib/samba && /usr/bin/unison
&> /dev/null

в этой строке программа rsync создает структуры каталогов с расширенными атрибутами, а затем программа Unison копирует только эти расширенные атрибуты файлов.

Межсайтовая синхронизации настраивается через оснастку(mmc) "Active Directory Sites and Services" в Windows. Оснастка входит в пакет RSAT.

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.