Product SiteDocumentation Site

Глава 2. Создание контроллера домена Active Directory на базе Samba

2.1. Подготовка системы к установке сервера Samba AD DC
2.1.1. Системные требования к контроллеру домена Samba AD
2.1.2. Синхронизация времени
2.1.3. Требования к портам
2.2. Создание домена
2.2.1. Параметры команды разворачивания домена
2.2.2. Настройка NTP-сервера
2.2.3. Установка имени контроллера домена
2.2.4. Установка пакетов
2.2.5. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
2.2.6. Домен с BIND9_DLZ
2.3. Настройка Kerberos
2.4. Проверка работоспособности домена
2.5. Присоединение к домену в роли контроллера домена
2.5.1. Заведение дополнительного контроллера домена c бэкендом SAMBA_INTERNAL
2.5.2. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ
2.5.3. Проверка результатов присоединения
2.6. Контроллер домена на чтение (RODC)
2.6.1. Установка и настройка RODC
2.6.2. Политики репликации и кеширования паролей на RODC
2.6.3. Проверка репликации пароля пользователя на сервере RODC
2.7. Редактирование существующего домена
2.7.1. Повышение уровня схемы, функционального уровня домена
2.7.2. Включение RFC2307 после разворачивания домена
2.7.3. Изменение DNS бэкенда контроллера домена Active Directory
2.8. Отладочная информация
2.8.1. Настройка уровня журналирования Samba
2.8.2. Управление процессами
2.8.3. DNS
2.9. Удаление контроллера домена
2.9.1. Понижение роли онлайн-контроллера домена
2.9.2. Понижение автономного контроллера домена
2.9.3. Проверка
Использование Samba 4 в роли контроллера домена Active Directory позволяет вводить Windows 7/8 в домен без манипуляций с реестром.
Поддерживаются следующие базовые возможности Active Directory:
  • аутентификация рабочих станций Windows и Linux и служб;
  • авторизация и предоставление ресурсов;
  • групповые политики (GPO);
  • перемещаемые профили (Roaming Profiles);
  • поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows;
  • поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования).

2.1. Подготовка системы к установке сервера Samba AD DC

В этом разделе перечислены требования для установки сервера Samba AD DC. Перед установкой необходимо убедиться, что система соответствует этим требованиям.

Примечание

Для установки контроллера домена Samba AD нужны привилегии суперпользователя.

Примечание

При применении Samba в качестве DC AD в условиях реальной эксплуатации рекомендуется использовать два или более контроллера домена для обеспечения отказоустойчивости.

2.1.1. Системные требования к контроллеру домена Samba AD

2.1.1.1. RAM

Для демонстрационной/тестовой системы рекомендуется 2 ГБ.
Для производственной установки рекомендуется не менее 4 ГБ ОЗУ, а затем 2 ГБ на каждую дополнительную 1000 пользователей.

Примечание

Параметр, который оказывает наибольшее влияние на требования к памяти, — это количество одновременных открытий сеансов.

2.1.1.2. Размеры хранилища

10 ГБ достаточно для доменов с несколькими сотнями пользователей.
При планировании размера хранилища также необходимо учесть:
  • уровни журналов и политику хранения журналов;
  • использование изображений/аватаров для идентификации пользователей;
  • количество пользователей, машин и групп;
  • место под резервные копии.

2.1.1.3. CPU

Для нескольких сотен пользователей достаточно 4 vCPUs.
Некоторые процессы Samba не являются многопоточными, поэтому увеличение числа процессоров не повысит производительность.
Чтобы сбалансировать нагрузку, необходимо создать второй контроллер домена в репликации с первым и применить политику балансировки нагрузки на уровне клиента.
Необходимое количество контроллеров домена зависит от нескольких параметров:
  • количество сторонних приложений LDAP, подключенных к AD;
  • качество кода сторонних LDAP-приложений, подключенных к AD;
  • количество запросов к файловым серверам.

2.1.1.4. DNS

Не следует использовать существующий домен, если вы не являетесь владельцем домена. Рекомендуется использовать зарезервированный домен верхнего уровня RFC2606 (https://tools.ietf.org/html/rfc2606) для частных тестовых установок, например, alt.test.
Имя домена для разворачиваемого DC должно состоять минимум из двух компонентов, разделённых точкой.

Важно

Необходимо избегать суффиксов .local. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon.

Примечание

Имя как контроллера домена, так и всех ПК членов домена не должно превышать 15 символов (ограничение связано с sAMAccountName в Active Directory).

2.1.2. Синхронизация времени

Для аутентификации Kerberos необходима точная синхронизация времени между рабочими станциями членов домена и контроллером домена. Максимально допустимое отклонение времени по умолчанию составляет 5 минут. Если член домена или DC имеет большую разницу во времени, доступ будет запрещен. В результате пользователь не сможет получить доступ к общим папкам или выполнить запрос к каталогу.
На всех DC домена должен быть настроен сервер времени NTP.
Samba поддерживает как ntpd, так и chrony в качестве сервера NTP. Демон синхронизирует время с внешними источниками и позволяет клиентам получать время с сервера, на котором запущен демон.
Схема синхронизации времени
Из схемы синхронизации времени видно, что только DC с ролью Эмулятор PDC получает свое время от внешних серверов времени, все остальные DC получают время от эмулятора PDC, все рабочие станции получают время от любого DC. Клиенты Windows в конечном итоге получают свое время от DC эмулятора PDC через DC, и если DC эмулятора PDC отключается, другие DC будут продолжать его искать, и время может смещаться. В качестве обходного пути следует установить одинаковые внешние серверы времени на всех DC. В этом случае, если эмулятор PDC отключится и его нельзя будет легко перезапустить, нужно передать или захватить роль эмулятора PDC другому DC.

2.1.3. Требования к портам

Для корректной работы службы Samba на контроллере домена должны быть открыты порты, указанные в табл. Порты, используемые Samba AD DC.

Таблица 2.1. Порты, используемые Samba AD DC

Служба
Порт
Протокол
Примечание
DNS
53
TCP и UDP
Для DNS от контроллера домена к контроллеру домена и от клиента к контроллеру домена. Может быть предоставлен внутренним DNS-сервером Samba или DNS-сервером Bind9
Kerberos
88
TCP и UDP
Для аутентификации Kerberos
NTP
123
UDP (Опционально)
Если на контроллере домена настроен и работает NTP
End Point Mapper (DCE/RPC Locator Service)
135
TCP
Для операций клиента с контроллером домена
NetBIOS Name Service
137
UDP
NetBIOS Datagram
138
UDP
Для службы репликации файлов между контроллерами домена
NetBIOS Session
139
TCP
Для службы репликации файлов между контроллерами домена
LDAP
389
TCP и UDP
Для обработки регулярных запросов от клиентских компьютеров к контроллерам домена
SMB over TCP
445
TCP
Для службы репликации файлов
Kerberos
464
TCP и UDP
Используется kadmin для установки и смены пароля Kerberos
LDAPS
636
TCP
Если в файле smb.conf установлен параметр tls enabled = yes (по умолчанию)
Global Catalog
3268
TCP
Для глобального каталога от клиента к контроллеру домена
Global Catalog SSL
3269
TCP
Если в файле smb.conf установлен параметр tls enabled = yes (по умолчанию)
Dynamic RPC Ports
49152-65535
TCP
Диапазон соответствует диапазону портов, используемому в Windows Server 2008 и более поздних версиях. Чтобы вручную установить диапазон портов в Samba, необходимо задать требуемый диапазон в параметре rpc server port в файле smb.conf. Подробности см. в описании параметра на справочной странице man smb.conf.

Примечание

В зависимости от состава используемых служб для работы Samba могут потребоваться и другие порты.