Ubuntu 上で Samba4 を使用して Active Directory インフラストラクチャを作成する - パート 1
Samba は、Windows OS とLinux/Unix オペレーティング システム間の標準的な相互運用性を提供する無料のオープン ソース ソフトウェアです。
Samba は、SMB/CIFS プロトコル スイートを通じて Windows および Linux クライアントのスタンドアロン ファイルおよびプリント サーバーとして動作したり、Active Directory ドメイン コントローラ として機能したり、ドメインメンバーとしてのstrong>レルム。現在Samba4 がエミュレートできる最高のAD DC ドメインとフォレスト レベルはWindows 2008 R2 です。
このシリーズのタイトルは「Samba4 Active Directory ドメイン コントローラの設定」で、Ubuntu、CentOS、Windowsに関する次のトピックを取り上げます。strong>:
このチュートリアルでは、Samba4 を Ubuntu 16.04 のドメイン コントローラーとしてインストールして構成するために注意する必要があるすべての手順を説明することから始めます。とUbuntu 14.04。
この構成は、Windows と Linux が混在するインフラストラクチャ内のユーザー、マシン、ボリューム共有、アクセス許可、その他のリソースに中央管理ポイントを提供します。
要件:
- Ubuntu 16.04 サーバーのインストール。
- Ubuntu 14.04サーバーのインストール。
- AD DC サーバー用に構成された静的 IP アドレス。
ステップ 1: Samba4 の初期構成
1.Samba4 AD DC のインストールを続行する前に、まず事前に必要な手順をいくつか実行しましょう。まず、以下のコマンドを実行して、システムが最新のセキュリティ機能、カーネル、およびパッケージで最新であることを確認します。
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
2. 次に、マシンの /etc/fstab ファイルを開き、以下のスクリーンショットに示すように、パーティション ファイル システムのACL が有効になっていることを確認します。
通常、ext3、ext4、xfs、btrfs などの一般的な最新の Linux ファイル システムはサポートされており、ACL が有効になっています。デフォルト。ファイル システムがそうでない場合は、/etc/fstab ファイルを開いて編集し、3 列目の最後に acl
文字列を追加して再起動します。 > 変更を適用するためのマシン。
3. 最後に、/etc/hostname ファイルを編集するか、次の方法でマシンのホスト名を、この例で使用されている adc1
などのわかりやすい名前で設定します。発行すること。
sudo hostnamectl set-hostname adc1
マシン名を変更した後、変更を適用するには再起動が必要です。
ステップ 2: Samba4 AD DC に必要なパッケージをインストールする
4. サーバーを Active Directory ドメイン コントローラーに変換するには、以下のコマンドを実行して、Samba と必要なすべてのパッケージをマシンにインストールします。コンソールでルート権限を使用してコマンドを実行します。
sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
5. インストールの実行中、ドメイン コントローラーを構成するためにインストーラーによって一連の質問が表示されます。
最初の画面で、Kerberos のデフォルトの REALM
の名前を大文字で追加する必要があります。ドメインに使用する名前を大文字で入力し、Enter キーを押して続行します。
6. 次に、ドメインの Kerberos サーバーのホスト名を入力します。ドメインと同じ名前を使用し、今回は小文字を使用し、Enter キーを押して続行します。
7. 最後に、Kerberos レルムの管理サーバーのホスト名を指定します。ドメインと同じものを使用し、Enter キーを押してインストールを完了します。
ステップ 3: ドメインに Samba AD DC をプロビジョニングする
8. ドメインの Samba の構成を開始する前に、まず以下のコマンドを実行して、すべての Samba デーモンを停止して無効にします。
sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service
9. 次に、samba の元の設定の名前を変更するか、削除します。この手順は、Samba AD をプロビジョニングする前に必ず必要です。これは、プロビジョニング時に Samba が新しい設定ファイルを最初から作成し、古い < が見つかった場合にエラーが発生するためです。smb.conf ファイル。
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
10. ここで、root 権限で以下のコマンドを発行して対話的にドメインのプロビジョニングを開始し、Samba が提供するデフォルトのオプションを受け入れます。
また、社内 (または外部) の DNS フォワーダーの IP アドレスを必ず指定し、管理者アカウントには強力なパスワードを選択してください。管理者アカウントに 1 週間のパスワードを選択すると、ドメインのプロビジョニングは失敗します。
sudo samba-tool domain provision --use-rfc2307 --interactive
11. 最後に、/etc ディレクトリから Kerberos メイン設定ファイルの名前を変更するか削除し、シンボリックリンクを使用して /var/lib にある Samba で新しく生成された Kerberos ファイルに置き換えます。以下のコマンドを実行して、/samba/private パスを指定します。
sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/
12. Samba Active Directory ドメイン コントローラ デーモンを起動して有効にします。
sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service
13. 次に、netstat コマンドを使用して、Active Directory が適切に実行するために必要なすべてのサービスのリストを確認します。
sudo netstat –tulpn| egrep ‘smbd|samba’
ステップ 4: Samba の最終構成
14. 現時点では、Samba は貴施設で完全に動作しているはずです。 Samba がエミュレートする最高のドメイン レベルはWindows AD DC 2008 R2 である必要があります。
これはsamba-tool ユーティリティを使用して確認できます。
sudo samba-tool domain level show
15. DNS 解決をローカルで機能させるには、ネットワーク インターフェイス設定を編集し、dns-nameservers を変更して DNS 解決を指定する必要があります。 > ステートメントをドメイン コントローラーの IP アドレスに設定し (ローカル DNS 解決には 127.0.0.1 を使用します)、dns-search ステートメントを使用してドメイン コントローラーをポイントします。 領域です。
sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf
完了したら、 サーバーを再起動し、リゾルバー ファイルを調べて、正しい DNS ネーム サーバーを指していることを確認します。
16. 最後に、以下の抜粋のように、いくつかの AD DC の重要なレコードに対してクエリと ping を発行して、DNS リゾルバーをテストします。ドメイン名を適宜置き換えてください。
ping -c3 tecmint.lan #Domain Name
ping -c3 adc1.tecmint.lan #FQDN
ping -c3 adc1 #Host
Samba Active Directory ドメイン コントローラーに対して次のいくつかのクエリを実行します。
host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record
17. また、ドメイン管理者アカウントのチケットを要求して Kerberos 認証を検証し、キャッシュされたチケットを一覧表示します。ドメイン名の部分は大文字で書きます。
kinit [email
klist
それだけです!これで、完全に動作するAD ドメイン コントローラがネットワークにインストールされ、Windows または Linux マシンを Samba AD< に統合できるようになりました。。
次のシリーズでは、Samba コマンド ラインから自分がドメイン コントローラーであることを管理する方法、Windows 10 をドメイン名に統合し、Samba AD をリモートで管理する方法など、他の Samba AD トピックについて取り上げます。 RSAT の使用およびその他の重要なトピック。