IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Измерительная техника, инструменты [278]
    Drones, boats, cars... [99]
    Накопители данных [186]
    Гаджеты для спорта и здоровья... [166]
    Автомобильные гаджеты... [159]
    Сети, сетевые технологии, оборудование... [211]
    Гаджеты, аксессуары... [604]
    News IT, Это интересно, ликбез... [1048]
    Linux и не только [4195]
    Windows 10... [271]
    Планшеты [738]
    Нетбуки, Ноутбуки, Ультрабуки [618]
    Смартфоны, фаблеты.. [4986]
    GPS-навигаторы, трекеры... [49]
    Видеорегистраторы [195]
    mini computers и не только... [365]
    Своими руками [322]
    CB, LPD, PMR- связь... [110]
    Smart TV, UltraHD, приставки, проекторы... [404]
    Радар-детекторы [22]
    DECT, IP-телефоны [18]
    Мультиварки, блендеры и не только... [122]
    Smart Watch [225]
    Блоки питания, Power Banks, зарядки... [340]
    Sound: наушники, плееры, усилители... [568]
    Безопасность IT [478]
    Электронные книги [75]
    Роботы-пылесосы [26]
    electric cars [28]
    Фотокамеры, объективы, искусство фотографии.. [433]
    Время

    Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1243
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2014 » Март » 12 » Контроллер домена на Ubuntu Server
    22:14
    Контроллер домена на Ubuntu Server

    Контроллер домена на Ubuntu Server

    Этот вариант может быть полезен для небольших организаций с компьютерами под управлением Windows.
    Нет необходимости приобретать недешевую Windows Server для организации AD и CAL лицензии для доступа к контроллеру домена.
    В конечном итоге имеем плюшки AD: групповые политики, разграничение прав доступа к ресурсам и т.д.

    Я попытался написать подробный алгоритм действий необходимых для организации Active Directory (AD) Domain Controller (DC) на базе Ubuntu Server.

    Рассмотрим настройку контроллера домена на примере Ubuntu Server 12.04.4 LTS или Ubuntu Server 13.10, инструкция подходит для обоих вариантов без дополнительных изменений

    1. Установка Ubuntu

    Думаю установка Ubuntu-server не вызовет проблем даже у большинства пользователей компьютеров.
    Желательно при установке ОС сразу правильно указать название машины в сети (hostname) с указанием домена (для примера использую dc1.domain.local), чтобы в дальнейшем меньше надо было править конфигурацию в файлах.
    Если в сети не присутствует DHCP-сервер, установщик предложит ввести IP-адрес, маску сети, шлюз и DNS.
    Во время установки, также желательно установить OpenSSH server, чтобы иметь удаленный доступ к серверу, а также правильно указать часовой пояс, в котором находится машина.

    2. Настройка параметров сетевого адаптера

    Настройки сети хранятся в файле /etc/network/interfaces
    Редактируем его на свой вкус. В качестве редактора можно использовать nano, vi и т.п.
    Для редактирования файлов понадобятся root права, их можно получить например командой
    sudo su
    
    после этого, Вы будете работать из под пользователя root.
    О том что Вы работаете с правами root пользователя свидетельствует знак # в приглашении командной строки
    Либо Вы можете перед каждой командой, которая требует root доступа, приписывать sudo
    sudo nano /etc/network/interfaces
    

    В конфигурации Вашего сетевого интерфейса, скорее всего, будет
    iface eth0 inet dhcp
    поменяем настройки на использование статичного ip-адреса.
    В моем случае они выглядят вот так:
    auto lo
    iface lo inet loopback

    auto eth0
    iface eth0 inet static
    address 192.168.10.1
    netmask 255.255.255.0
    gateway 192.168.10.10
    dns-nameservers 192.168.10.10
    dns-search domain.local domain
    После изменения сетевых настроек необходимо перезапустить сетевой сервис
    /etc/init.d/networking restart
    

    3. Установка необходимых пакетов

    Если Вы все же не установили OpenSSH server на первом этапе, это можно сделать командой
    apt-get install ssh
    

    Перед установкой чего либо, лучше сначала обновить систему и пакеты командой
    apt-get update && apt-get upgrade
    

    Для того, чтобы компьютеры сети сверяли время по нашему серверу установим ntp-сервер
    apt-get install ntp
    

    Samba4 будем использовать последней версии и собирать из исходников, так что нам понадобятся пакеты для её сборки и корректной работы.
    apt-get install git checkinstall build-essential libacl1-dev libattr1-dev libblkid-dev 
    libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev
    libldap2-dev dnsutils libbsd-dev attr docbook-xsl libcups2-dev acl

    4. Сборка Samba4

    Для корректной работы Samba потребуется поддержка vfs на уровне файловой системы, для этого внесем изменения в /etc/fstab, необходимо добавить user_xattr,acl,barrier=1 в настройки корневого раздела /
    nano /etc/fstab
    
    должна получится строка, что-то вроде этой:
    /dev/mapper/dc1--vg-root / ext4 user_xattr,acl,barrier=1,errors=remount-ro 0 1
    после чего необходимо перезагрузить компьютер
    reboot
    
    Не забываем про root права
    sudo su

    Скачиваем последнюю стабильную версию Samba из GIT репозитария
    cd /usr/src
    git clone -b v4-1-stable git://git.samba.org/samba.git samba-v4-1-stable
    

    конфигурируем, компилируем и устанавливаем Samba
    cd samba-v4-1-stable && ./configure --enable-debug && make && checkinstall
    
    Параметр --enable-debug необходим для отображения более подробной информации в логах Samba.

    После того, как соберется и установится Samba (это долгое занятие), для удобства её использования, необходимо прописать пути до исполняемых файлов /usr/local/samba/sbin и /usr/local/samba/bin в файлах /etc/sudoers переменная secure_path и /etc/environment переменная PATH, добавив строку :/usr/local/samba/sbin:/usr/local/samba/bin
    nano /etc/sudoers
    
    должна получится строчка что-то вроде этой:
    Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/samba/sbin:/usr/local/samba/bin"
    nano /etc/environment
    
    должна получится строчка что-то вроде этой:
    PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/samba/sbin:/usr/local/samba/bin"

    перезагрузимся еще раз (на всякий случай)
    reboot
    

    5. Поднимаем AD

    В качестве DNS сервера AD будем использовать Samba, поэтому отключаем bind командой
    service bind9 stop && update-rc.d bind9 disable
    

    Для манипуляций с AD в Samba существует иструмент samba-tool.
    Для первоначальной настройки Samba вводим команду
    samba-tool domain provision
    

    Если на первом этапе Вы правильно указали имя компьютера, все настройки, которые запросит программа, можно оставить поумолчанию.
    Во время настройки будет запрошен пароль пользователя Administrator для AD, он должен соответствовать требованиям сложности пароля поумолчанию: хотябы одна буква верхнего регистра, хотябы одна цифра, минимум 8 символов.
    Если же пароль не подошел по сложности и Вы увидели ошибку вроде этой:
    ERROR(ldb): uncaught exception — 0000052D: Constraint violation — check_password_restrictions: the password is too short. It should be equal or longer than 7 characters!
    то перед повторным выполнением первоначальной настройки, необходимо удалить содержимое каталогов /usr/local/samba/private/ и /usr/local/samba/etc/
    Если необходимо изменить сложность паролей это можно сделать командой
    samba-tool domain passwordsettings set --min-pwd-length=6 --complexity=off --max-pwd-age=0 --min-pwd-age=0
    
    эта команда отключает требование сложности, отключает сроки действия паролей, устанавливает минимальную длину пароля 6 символов

    Далее необходимо подправить настройки Samba и добавить туда следующие строки в секцию [global]
    nano /usr/local/samba/etc/smb.conf
    
    allow dns updates = nonsecure and secure
    printing = bsd
    printcap name = /dev/null
    Это позволит динамически обновлять DNS-записи на сервере, при входе рабочей станции (под управлением windows) в домен и отключит поддержку печати, которая постоянно выдает ошибки в лог.

    В файле /etc/resolvconf/resolv.conf.d/head необходимо указать наш DNS-сервер Samba 127.0.0.1
    echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head
    
    и перезапустить сервис resolvconf
    service resolvconf restart
    

    Также установим Kerberos клиент
    apt-get install krb5-user
    и настроим на AD с помощью файла созданного на этапе samba-tool domain provision
    mv /etc/krb5.conf /etc/krb5.conf.old
    cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
    

    Для автоматического запуска сервиса Samba необходим скрипт:
    nano /etc/init.d/samba4
    
    /etc/init.d/samba4

    его необходимо сделать исполняемым
    chmod 755 /etc/init.d/samba4
    

    и создать настройки поумолчанию
    update-rc.d samba4 defaults
    

    Перезагружаем компьютер
    reboot
    

    6. Проверяем работоспособность сервера

    У нас должена быть запущена samba после перезагрузки
    ps aux | grep samba
    
    root 865 0.3 3.0 95408 31748? Ss 18:59 0:00 /usr/local/samba/sbin/samba -D

    Должен работать DNS сервер
    nslookup dc1
    
    Server: 127.0.0.1
    Address: 127.0.0.1#53

    Name: dc1.domain.local
    Address: 192.168.10.1

    Должны быть доступны сетевые ресурсы AD
    smbclient -L localhost -U%
    
    Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
    Sharename Type Comment
    — — — netlogon Disk
    sysvol Disk
    IPC$ IPC IPC Service (Samba 4.1.6)
    Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
    Server Comment
    — — Workgroup Master
    — -------

    Должен подключаться Kerberos
    kinit administrator
    
    Warning: Your password will expire in 41 days on Wed Apr 23 18:49:14 2014

    Должен храниться Ticket kerberos'a
    klist
    
    Valid starting Expires Service principal
    12/03/2014 19:17 13/03/2014 05:17 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

    Должна проходить аутентификация netlogon
    smbclient //localhost/netlogon -UAdministrator -c 'ls'
    
    Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.1.6]
    . D 0 Wed Mar 12 18:46:48 2014
    … D 0 Wed Mar 12 18:49:15 2014


    Вот и всё.
    Можно вводить в домен клиентов, заводить пользователей.

    Управлять AD можно:
    частично при помощи samba-tool на Ubuntu
    при помощи Administration Tools Pack на Windows XP
    при помощи Remote Server Administration Tools (RSAT) на Windows 7 и выше

    Этот пост можно считать неким переводом официального wiki Samba, который находится по адресу:
    wiki.samba.org/index.php/Samba_AD_DC_HOWTO, с моими дополнениями.

    P.S. Если кому-то будет интересно могу еще написать «мануал» про включение резервного контроллера на Ubuntu в домен.

    http://habrahabr.ru/post/215573/
    Категория: Linux и не только | Просмотров: 1211 | Добавил: laptop | Рейтинг: 5.0/3
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Погода
    Погода в Нью-Йорке Погода в Бреcте
    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2019