Pesquisa de site

Crie uma infraestrutura do Active Directory com Samba4 no Ubuntu - Parte 1

Samba é um software de código aberto gratuito que fornece uma interoperabilidade padrão entre os sistemas operacionais Windows e Linux/Unix.

O Samba pode operar como um servidor de arquivos e impressão independente para clientes Windows e Linux através do conjunto de protocolos SMB/CIFS ou pode atuar como um Controlador de domínio do Active Directory ou unido a um Controlador de domínio do Active Directory.Reino como um Membro do Domínio. O nível mais alto de domínio e floresta do AD DC que atualmente o Samba4 pode emular é o Windows 2008 R2.

A série será intitulada Configurando o controlador de domínio do Active Directory Samba4, que cobre os seguintes tópicos para Ubuntu, CentOS e Windows:

Este tutorial começará explicando todas as etapas que você precisa seguir para instalar e configurar o Samba4 como um Controlador de Domínio no Ubuntu 16.04. e Ubuntu 14.04.

Esta configuração fornecerá um ponto de gerenciamento central para usuários, máquinas, compartilhamentos de volume, permissões e outros recursos em uma infraestrutura Windows-Linux mista.

Requisitos:

  1. Instalação do servidor Ubuntu 16.04.
  2. Instalação do servidor Ubuntu 14.04.
  3. Um endereço IP estático configurado para seu servidor AD DC.

Etapa 1: configuração inicial para Samba4

1. Antes de prosseguir com a instalação do Samba4 AD DC, vamos executar algumas etapas pré-requisitos. Primeiro, certifique-se de que o sistema esteja atualizado com os últimos recursos de segurança, kernels e pacotes emitindo o comando abaixo:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Em seguida, abra o arquivo /etc/fstab da máquina e certifique-se de que o sistema de arquivos de suas partições tenha ACLs ativados, conforme ilustrado na captura de tela abaixo.

Normalmente, sistemas de arquivos Linux modernos comuns, como ext3, ext4, xfs ou btrfs, suportam e têm ACLs habilitadas por padrão. Se esse não for o caso do seu sistema de arquivos, basta abrir o arquivo /etc/fstab para edição e adicionar a string acl no final da terceira coluna e reiniciar a máquina para aplicar as alterações.

3. Por fim, configure o nome do host da sua máquina com um nome descritivo, como adc1 usado neste exemplo, editando o arquivo /etc/hostname ou emissão.

sudo hostnamectl set-hostname adc1

Uma reinicialização é necessária depois de alterar o nome da sua máquina para aplicar as alterações.

Etapa 2: instalar os pacotes necessários para Samba4 AD DC

4. Para transformar seu servidor em um Controlador de Domínio Active Directory, instale o Samba e todos os pacotes necessários em sua máquina emitindo o comando abaixo comando com privilégios root em um console.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Durante a instalação, uma série de perguntas serão feitas pelo instalador para configurar o controlador de domínio.

Na primeira tela você precisará adicionar um nome para Kerberos padrão REALM em letras maiúsculas. Digite o nome que você usará para o seu domínio em letras maiúsculas e pressione Enter para continuar.

6. Em seguida, insira o nome do host do servidor Kerberos do seu domínio. Use o mesmo nome do seu domínio, desta vez em letras minúsculas e pressione Enter para continuar.

7. Por fim, especifique o nome do host para o servidor administrativo do seu domínio Kerberos. Use o mesmo do seu domínio e pressione Enter para finalizar a instalação.

Etapa 3: provisionar o Samba AD DC para seu domínio

8. Antes de começar a configurar o Samba para o seu domínio, primeiro execute os comandos abaixo para parar e desabilitar todos os daemons do samba.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Em seguida, renomeie ou remova a configuração original do samba. Esta etapa é absolutamente necessária antes de provisionar o Samba AD porque no momento do provisionamento o Samba criará um novo arquivo de configuração do zero e gerará alguns erros caso encontre um arquivo antigo. arquivosmb.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Agora, inicie o provisionamento do domínio de forma interativa emitindo o comando abaixo com privilégios de root e aceite as opções padrão que o Samba fornece.

Além disso, certifique-se de fornecer o endereço IP de um encaminhador DNS em suas instalações (ou externo) e escolha uma senha forte para a conta de administrador. Se você escolher uma senha semanal para a conta de administrador, o provisionamento do domínio falhará.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Finalmente, renomeie ou remova o arquivo de configuração principal do Kerberos do diretório /etc e substitua-o usando um link simbólico pelo arquivo Kerberos recém-gerado pelo Samba localizado em /var/lib /samba/private emitindo os comandos abaixo:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Inicie e ative os daemons do Samba Active Directory Domain Controller.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Em seguida, use o comando netstat para verificar a lista de todos os serviços exigidos por um Active Directory para funcionar corretamente.

sudo netstat –tulpn| egrep ‘smbd|samba’

Etapa 4: configurações finais do Samba

14. Neste momento o Samba deverá estar totalmente operacional em suas instalações. O nível de domínio mais alto que o Samba está emulando deve ser o Windows AD DC 2008 R2.

Isso pode ser verificado com a ajuda do utilitário samba-tool.

sudo samba-tool domain level show

15. Para que a resolução de DNS funcione localmente, você precisa editar abertamente as configurações da interface de rede e apontar a resolução de DNS modificando servidores de nomes de DNS para o endereço IP do seu Controlador de Domínio (use 127.0.0.1 para resolução de DNS local) e a instrução dns-search para apontar para o seu reino.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Quando terminar, reinicie seu servidor e dê uma olhada no seu arquivo resolvedor para ter certeza de que ele aponta de volta para os servidores de nomes DNS corretos.

16. Por fim, teste o resolvedor de DNS emitindo consultas e pings em alguns registros cruciais do AD DC, como no trecho abaixo. Substitua o nome de domínio adequadamente.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Execute algumas consultas no controlador de domínio Samba Active Directory.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Além disso, verifique a autenticação Kerberos solicitando um ticket para a conta do administrador do domínio e liste o ticket armazenado em cache. Escreva a parte do nome de domínio em letras maiúsculas.

kinit [email 
klist

Isso é tudo! Agora você tem um Controlador de Domínio AD totalmente operacional instalado em sua rede e pode começar a integrar máquinas Windows ou Linux no Samba AD.

Na próxima série abordaremos outros tópicos do Samba AD, como como gerenciar seu controlador de domínio a partir da linha de comando do Samba, como integrar o Windows 10 ao nome de domínio e gerenciar o Samba AD remotamente usando RSAT e outros tópicos importantes.