14.3 Администрирование

Включение winbind в nsswith (NSS)

Средства администрирования удаленного сервера от MS

Подготовка резервного контроллера домена

Добавление резервного контроллера в домен

Настройка NTP на контроллере домена dc1.skynet.murom

Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

Включение winbind в nsswith (NSS)

Winbind будет использоваться как прокси между AD и связкой PAM и NSS. Для аутентификации AD winbind использует kerberos, а LDAP для получения информации.

[root@dc1 ~]# nano /etc/nsswitch.conf
passwd:  files winbind
shadow:  files winbind
group: files winbind
hosts: files dns wins
services:  files
netgroup:  files
Проверка:
[root@dc1 ~]# id user
uid=3000020(SKYNET\user) gid=100(users) группы=100(users),3000020(SKYNET\user),3000009(BUILTIN\users)

Cредства администрирования удаленного сервера от MS

Введите windows 7 в домен samba делается это точно также как и ввод компьютера в домен windows, установите RSAT https://wiki.samba.org/index.php/Installing_RSAT

Включите компоненты: «Установка удаление программ» — «Включение отключение компонентов» — «Средства удаленного администрирования сервера»

После настройки перезагрузите ПК.

В управлении DNS подключитесь к dc1.skynet.murom, добавьте обратную зону и PTR запись для контроллера домена dc1. Кроме работы с DNS через оснастку windows есть способ

добавление обратной зоны dns через консоль Linux:

#samba-tool dns zonecreate -U Administrator dc1.skynet.murom 88.168.192.in-addr.arpa

Следующие зоны скорее всего не обязательно создавать(Но,такие зоны автоматически настроены на Windows srv):

samba-tool dns zonecreate -U Administrator dc1.skynet.murom 0.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 127.in-addr.arpa
samba-tool dns zonecreate -U Administrator dc1.skynet.murom 255.in-addr.arpa

Подготовка резервного контроллера домена

Настроите сеть, по примеру DC1.

Для этого, используйте утилиту «Сетевые соединения», расположенную в «Меню» → «Параметры» → «Сетевые соединения» в графическом окружении Cinnamon или «Система» → «Параметры» → «Сетевые соединения» в графическом окружении Mate. Выберите ваше активное подключение, нажмите кнопку «Изменить», перейдите на вкладку «Параметры IPv4», поменяйте «Метод» на «Автоматический (DHCP, только адресс)», в поле «Дополнительные серверы DNS» напишите адрес IP-адрес машины, а в поле «Дополнительные поисковые домены» введите skynet.murom, нажмите применить и перезапустите NetworManager.

Проверьте, что все изменилось, ввыведя содержимое файла resolv.conf:

cat /etc/resolv.conf
nameserver 10.81.1.96
search skynet.murom

С помощью hostnamectl измените доменное имя машины на skynet.murom:

hostnamectl set-hostname skynet.murom

В /etc/hosts пропишите:

127.0.0.1 localhost
127.0.0.1 dc2.skynet.murom dc2

Добавление резервного контроллера в домен

Скопируйте конфигурации самбы c основного контроллера /etc/samba/smb.conf и /etc/krb5.conf

Поменяйте в /etc/samba/smb.conf

netbios name=DC2

Получите билет:

# kinit Administrator

и проверьте вывод:

# klist

Добавьте winbind в файл:

DC2# nano /etc/nsswitch.conf
passwd: files winbind
shadow: files winbind
group:files winbind
hosts:files dns wins
services: files
netgroup: files

Выполните команду:

samba-tool domain join skynet.murom DC -U Administrator --dns-backend=SAMBA_INTERNAL --realm=skynet.murom

Введите пароль от доменного Администратора контроллера домена.

При этом в прямой зоне DNS должна появиться соответсвующая A запись.

В dns добавляем Ptr запись нашего второго сервера в обратную зону.

Проверка репликации:# samba-tool drs showrepl

В конце может быть Warning: No NC replicated for Connection!, но как на писано на samba.com это не критично.

Команда запуск принудительной репликации:

samba-tool drs replicate dc2.skymet.murom dc1.skynet.murom dc=skynet, dc=murom

Первым указывается приемник потом источник.

По умолчанию автоматическая репликация внутрисайтовая в Windows AD занимает 5 сек, межсайтовая репликация 15 мин.(значения эти не регулируются). Без успешной двунаправленной репликации в течение 14 дней DC исключается из Active Directory.

Настройка NTP на контроллере домена dc1.skynet.murom

Установка

# yum install ntp

Измените группу и права:

# chgrp ntp /var/lib/samba/ntp_signd/
# sudo chmod 750 /var/lib/samba/ntp_signd/

Отредактируйте конфигурационный файл:

nano /etc/ntp.conf 
server 127.127.1.0 
fudge 127.127.1.0 stratum 10 
# Where to retrieve the time from
server 0.pool.ntp.org iburst prefer
server 1.pool.ntp.org iburst prefer

Закомментируйте строки:

#driftfile /var/lib/ntp/ntp.drift
#logfile /var/log/ntp
ntpsigndsocket /usr/local/samba/ntp_signd/
# Access control
# Default restriction: Allow clients only to query the time
restrict default kod nomodify notrap nopeer mssntp
# No restrictions for "localhost"
restrict 127.0.0.1
# Enable the time sources to only provide time to this host для защиты от DDOS
restrict 0.pool.ntp.org   mask 255.255.255.255 nomodify notrap nopeer noquery
restrict 1.pool.ntp.org   mask 255.255.255.255 nomodify notrap nopeer noquery
restrict 2.pool.ntp.org   mask 255.255.255.255 nomodify notrap nopeer noquery

Описание настроек:

ntpsigndsocket /usr/local/samba/ntp_signd/ — позволит клиентским машинам отправлять NTP-запросы к серверу используя Active Directory

Server — указывает на сервера синхронизации времени

restrict 127.0.0.1 — обмен данным с самим собой

iburst — отправлять несколько пакетов (повышает точность)

prefer — указывает на предпочитаемый сервер

server 127.127.1.0 — позволит в случае отказа сети Интернет брать время из своих системных часов.

Старт NTP и добавление в автозапуск :

# systemctl stop chronyd && systemctl disable chronyd
# systemctl start ntpd && systemctl enable ntpd

проверка статуса:

# systemctl status ntpd.service

Проверить состояние получения эталонного времени можно командой:

# ntpq -p

Время на резервном контроллере

Также отключаем chrony:

# systemctl stop chronyd && systemctl disable chronyd

Запустите сервис NTP:

# systemctl start ntpd && systemctl enable ntpd

Настройте /etc/ntp.conf на резервном контроллере, добавьте:

server dc1.skynet.murom iburst prefer
server 0.pool.ntp.org iburst
server 1.pool.ntp.org iburst
server 2.pool.ntp.org iburst

Проверка:

[root@dc2 ~]# ntpq -p
remote refid st t when poll reach   delay offset jitter
==========================================================================
*dc1.skynet.murom 62.33.136.11 2 u - 64 1 0.272 0.177 0.618
cello.corbina.n 194.58.202.20 2 u - 64 1 14.088 2.191 0.673
62.183.87.106 194.190.168.1 2 u 1 64 1 48.239 9.129 10.577

Настройка двунаправленной репликации sysvol и netlogon с помощью Unison

https://wiki.samba.org/index.php/SysVol_replication_(DFS-R)

Папка SYSVOL содержит групповые политики и скрипты. Отсутствие репликации приведет к неправильной работе групповых политик и сценариев входа. Есть два варианта: однонаправленная синхронизации и двунаправленная. В первом случае, реплика снимается с основного контроллера и распространяется на все резервные.

Во втором работает в обе стороны. Используем для этого Rsync и Unison.

Установка:

# yum install rsync unison

Создание для ssh rsa ключей и копирование публичного ключ на DC2:

[root@dc1 ~]# ssh-keygen -t rsa
[root@dc1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@DC2.skynet.murom

Теперь легко без ввода пароля можно попасть по ssh с DC1 на DC2 выполнив команду:

ssh dc2.skynet.murom

При низких скоростях в сети, unison может некорректно работать, поэтому при повторной его работе будет использоваться ранее созданное подключение по ssh, для этого:

mkdir ~/.ssh/ctl
cat << EOF > ~/.ssh/ctl/config
Host *
ControlMaster auto
ControlPath ~/.ssh/ctl/%h_%p_%r
ControlPersist 1
EOF

Лог файл репликации (следим за размером лога!)

touch /var/log/sysvol-sync.log
chmod 640 /var/log/sysvol-sync.log

Создание файла конфигурации unison:

mkdir /root/.unison
cat << EOF > /root/.unison/default.prf
# Настройка
# copymax & maxthreads params were set to 1 for easier troubleshooting.
# Have to experiment to see if they can be increased again.
root = /var/lib/samba
# Note that 2 x / behind DC2, it is required
root = ssh://root@DC2.skynet.murom//var/lib/samba 
# Путь синхронизации
path = sysvol
#ignore = Path stats  ## ignores /var/www/stats
auto=true
batch=true
perms=0
rsync=true
maxthreads=1
retry=3
confirmbigdeletes=false
servercmd=/usr/bin/unison
copythreshold=0
copyprog = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --inplace --compress
copyprogrest = /usr/bin/rsync -XAavz --rsh='ssh -p 22' --partial --inplace --compress
copyquoterem = true
copymax = 1
logfile = /var/log/sysvol-sync.log
EOF

Установка rsync и unison на DC2

# yum install rsync unison

Сделайте backup sysvol, потом запустите команду синхронизации:

/usr/bin/rsync -XAavz --log-file /var/log/sysvol-sync.log --delete-after -f"+ */" -f"- *" /var/lib/samba/sysvol root@dc2.skynet.murom:/var/lib/samba && /usr/bin/unison
&> /dev/null

Здесь rsync создает структуры каталогов с расширенными атрибутами. Затем программа Unison копирует только эти расширенные атрибуты файлов.

Межсайтовая синхронизации настраивается через оснастку(mmc) «Active Directory Sites and Services» в Windows. Оснастка входит в пакет RSAT.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email