Доменная инфраструктура на базе Samba
След.

Доменная инфраструктура на базе Samba

Руководство администратора

Редакция апрель, 2024

Аннотация

Samba может выступать в роли контроллера домена и сервиса Active Directory.

Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.

1. Введение

1.1. Основные сведения о логической модели AD
1.2. Схема стенда

2. Создание контроллера домена Active Directory на базе Samba

2.1. Подготовка системы к установке сервера Samba AD DC

2.1.1. Системные требования к серверу Samba AD DC
2.1.2. Синхронизация времени
2.1.3. Требования к портам

2.2. Создание домена

2.2.1. Параметры команды разворачивания домена
2.2.2. Установка пакетов
2.2.3. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
2.2.4. Домен с BIND9_DLZ

2.3. Настройка Kerberos

2.4. Проверка работоспособности домена

2.5. Редактирование существующего домена

2.5.1. Повышение уровня схемы, функционального уровня домена
2.5.2. Включение RFC2307 после разворачивания домена

2.6. Заведение дополнительного DC

2.7. Контроллер домена на чтение (RODC)

2.7.1. Установка и настройка RODC
2.7.2. Политики репликации и кэширования паролей на RODC

2.8. Изменение DNS бэкенда контроллера домена Active Directory

2.8.1. Миграция с Samba INTERNAL на BIND9_DLZ
2.8.2. Миграция с BIND9_DLZ на Samba INTERNAL

2.9. Отладочная информация

2.9.1. Настройка уровня журналирования Samba
2.9.2. Управление процессами
2.9.3. DNS

2.10. Удаление контроллера домена

2.10.1. Понижение роли онлайн-контроллера домена
2.10.2. Понижение автономного контроллера домена
2.10.3. Проверка

2.11. Управление политиками паролей домена

2.11.1. Глобальные парольные политики
2.11.2. Объекты настроек паролей (PSO)

3. Репликация

3.1. Настройка репликации

3.2. Проверка статуса репликации

3.2.1. Отображение статуса репликации на контроллере домена Samba
3.2.2. Отображение статусов репликации на контроллере домена Windows

3.3. Двунаправленная репликация SysVol

3.3.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
3.3.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
3.3.3. Сопоставления встроенных идентификаторов пользователей и групп

4. Клиент сети Active Directory

4.1. SSSD vs Winbind

4.2. Подготовка системы к вводу в домен

4.2.1. Установка пакетов
4.2.2. Синхронизация времени
4.2.3. Настройка DNS

4.3. Ввод клиентских машин в Active Directory

4.3.1. Параметры команды system-auth
4.3.2. Подключение к AD с помощью SSSD
4.3.3. Подключение к AD с помощью Samba Winbind

4.4. Отладочная информация

4.4.1. Настройка уровня журналирования Samba
4.4.2. Ошибка при подключении к IP-адресу 127.0.0.1
4.4.3. getent не показывает доменных пользователей и группы
4.4.4. Ошибки при присоединении к домену

4.5. Повторная регистрация клиента

4.6. Удаление клиента AD

4.7. Настройка аутентификации доменных пользователей на DC

4.7.1. Winbind
4.7.2. SSSD
4.7.3. Генерация keytab-файла
4.7.4. Службы
4.7.5. Настройка ролей
4.7.6. Групповые политики
4.7.7. Настройка SSH

4.8. Настройка обновления паролей аккаунтов машин

4.8.1. Локальная политика смены пароля
4.8.2. Включение обновления пароля
4.8.3. Отключение обновления пароля
4.8.4. Диагностика
4.8.5. Восстановление работоспособности

5. Доверительные отношения (Трасты)

5.1. Настройка доверия

5.1.1. Общие сведения
5.1.2. Особенности доверительных отношений в Samba

5.2. Настройка DNS

5.2.1. Два домена Samba
5.2.2. Samba DC и Windows Server с AD

5.3. Создание двухстороннего транзитивного подключения

5.3.1. Два домена Samba
5.3.2. Samba DC и Windows Server с AD

5.4. Управление пользователями и группами

5.4.1. Список пользователей и групп
5.4.2. Тестирование аутентификации
5.4.3. Просмотр доверия в Windows

5.5. Использование трастов на LINUX-клиентах

5.5.1. Настройка winbind
5.5.2. Настройка SSSD

5.6. Удаление доверия

5.6.1. На стороне Samba
5.6.2. На стороне Windows Server с AD

6. Конфигурирование Samba

6.1. Журналирование в Samba

6.1.1. Уровни журналирования
6.1.2. Настройка ведения журнала аудита
6.1.3. Интерпретация журналов аудита JSON

6.2. Создание keytab-файла

6.2.1. Создание SPN и генерация keytab с помощью samba-tool

7. Администрирование Samba

7.1. Управление пользователями и группами

7.1.1. В ADMC
7.1.2. С помощью samba-tool

7.2. Резервное копирование и восстановление Samba AD DC

7.2.1. Восстановление произвольного контроллера домена после фатального сбоя
7.2.2. Резервное копирование и восстановление из резервной копии

7.3. Роли FSMO

7.3.1. Семь ролей FSMO
7.3.2. Просмотр и передача ролей FSMO

7.4. Настройка Samba для привязки к определённым интерфейсам

7.5. Аутентификация других сервисов в Samba AD

7.5.1. Настройка аутентификации Kerberos для веб-сервера Apache
7.5.2. Настройка аутентификации Kerberos для веб-сервера Nginx
7.5.3. Настройка браузеров для SSO

7.6. Distributed File System

7.6.1. Пространство DFS-имен
7.6.2. Настройка DFS на сервере Samba

7.7. Настройка SSSD

7.7.1. Журналирование SSSD
7.7.2. Настройки SSSD в ЦУС
7.7.3. Включение автономной аутентификации

7.8. Файловый сервер

7.9. Монтирование общих ресурсов samba

7.9.1. Подключение с использованием gio
7.9.2. Подключение с использованием pam_mount
7.9.3. Подключение с использованием Autofs

7.10. Установка RSAT

7.10.1. Windows Server
7.10.2. Windows 10 (1809 и более поздних версиях)
7.10.3. Windows Vista и 7

7.11. Инструменты командной строки

7.11.1. samba-tool
7.11.2. wbinfo
7.11.3. net
7.11.4. adcli
7.11.5. ldapsearch
7.11.6. sssctl
7.11.7. testparm

7.12. Конфигурационные файлы

7.12.1. smb.conf
7.12.2. krb5.conf
7.12.3. sssd.conf
7.12.4. resolv.conf

8. Примечания

8.1. Настройка беспарольного доступа по ssh
8.2. Центр управления системой