Доменная инфраструктура на базе Samba
След.

Доменная инфраструктура на базе Samba

Руководство администратора

Редакция октябрь, 2024

Аннотация

Samba может выступать в роли контроллера домена и сервиса Active Directory.

Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.

1. Введение

1.1. Основные сведения о логической модели AD
1.2. Схема стенда

2. Создание контроллера домена Active Directory на базе Samba

2.1. Подготовка системы к установке сервера Samba AD DC

2.1.1. Системные требования к контроллеру домена Samba AD
2.1.2. Синхронизация времени
2.1.3. Требования к портам

2.2. Создание домена

2.2.1. Параметры команды разворачивания домена
2.2.2. Установка пакетов
2.2.3. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
2.2.4. Домен с BIND9_DLZ

2.3. Настройка Kerberos

2.4. Проверка работоспособности домена

2.5. Присоединение к домену в роли контроллера домена

2.5.1. Заведение дополнительного контроллера домена c бэкендом SAMBA_INTERNAL
2.5.2. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ
2.5.3. Проверка результатов присоединения

2.6. Контроллер домена на чтение (RODC)

2.6.1. Установка и настройка RODC
2.6.2. Политики репликации и кеширования паролей на RODC
2.6.3. Проверка репликации пароля пользователя на сервере RODC

2.7. Редактирование существующего домена

2.7.1. Повышение уровня схемы, функционального уровня домена
2.7.2. Включение RFC2307 после разворачивания домена
2.7.3. Изменение DNS бэкенда контроллера домена Active Directory

2.8. Отладочная информация

2.8.1. Настройка уровня журналирования Samba
2.8.2. Управление процессами
2.8.3. DNS

2.9. Удаление контроллера домена

2.9.1. Понижение роли онлайн-контроллера домена
2.9.2. Понижение автономного контроллера домена
2.9.3. Проверка

3. Репликация

3.1. Настройка репликации

3.2. Проверка статуса репликации

3.2.1. Отображение статуса репликации на контроллере домена Samba
3.2.2. Отображение статусов репликации на контроллере домена Windows

3.3. Двунаправленная репликация SysVol

3.3.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
3.3.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
3.3.3. Сопоставление встроенных идентификаторов пользователей и групп

4. Клиенты Альт Домен

4.1. SSSD vs Winbind

4.2. Подготовка системы к вводу в домен

4.2.1. Установка пакетов
4.2.2. Синхронизация времени
4.2.3. Настройка DNS

4.3. Присоединение к домену в роли участника

4.3.1. Команда system-auth
4.3.2. Подключение к домену AD с помощью SSSD
4.3.3. Подключение к AD с помощью Samba Winbind

4.4. Вход пользователя

4.5. Отладочная информация

4.5.1. Настройка уровня журналирования Samba
4.5.2. Ошибка при подключении к IP-адресу 127.0.0.1
4.5.3. getent не показывает доменных пользователей и группы

4.6. Удаление клиента AD

4.7. Повторная регистрация клиента

4.8. Настройка аутентификации доменных пользователей на DC

4.8.1. Winbind
4.8.2. SSSD
4.8.3. Генерация keytab-файла
4.8.4. Службы
4.8.5. Настройка ролей
4.8.6. Групповые политики
4.8.7. Настройка SSH

4.9. Настройка обновления паролей аккаунтов машин

4.9.1. Локальная политика смены пароля
4.9.2. Включение обновления пароля
4.9.3. Отключение обновления пароля
4.9.4. Диагностика
4.9.5. Восстановление работоспособности

5. Доверительные отношения (Трасты)

5.1. Настройка доверия

5.1.1. Общие сведения
5.1.2. Особенности доверительных отношений в Samba

5.2. Настройка DNS

5.2.1. Два домена Samba
5.2.2. Samba DC и Windows Server с AD

5.3. Создание двухстороннего транзитивного подключения

5.3.1. Два домена Samba
5.3.2. Samba AD и Windows Server с AD

5.4. Управление пользователями и группами

5.4.1. Список пользователей и групп
5.4.2. Тестирование аутентификации
5.4.3. Просмотр доверия в Windows

5.5. Использование трастов на LINUX-клиентах

5.5.1. Настройка Winbind
5.5.2. Настройка SSSD

5.6. Удаление доверия

5.6.1. На стороне Samba
5.6.2. На стороне Windows Server с AD

6. Администрирование Samba

6.1. Управление пользователями и группами

6.1.1. В ADMC
6.1.2. С помощью samba-tool

6.2. Администрирование DNS

6.2.1. DNS-записи при вводе машины в домен
6.2.2. Утилита samba-tool
6.2.3. nsupdate
6.2.4. Oснастка DNS в RSAT
6.2.5. Динамическое обновление DNS-записей
6.2.6. Обновление IP-адресов вручную
6.2.7. Известные проблемы

6.3. Администрирование сайтов и подсетей

6.3.1. Утилита samba-tool

6.4. Управление парольными политиками

6.4.1. Глобальные парольные политики
6.4.2. Объекты настроек паролей (PSO)

6.5. Резервное копирование и восстановление Samba AD DC

6.5.1. Резервное копирование и восстановление из резервной копии
6.5.2. Восстановление произвольного контроллера домена после фатального сбоя

6.6. Роли FSMO

6.6.1. Семь ролей FSMO
6.6.2. Просмотр и передача ролей FSMO

6.7. Настройка Samba для привязки к определённым интерфейсам

6.8. Создание keytab-файла

6.8.1. Назначение и формат SPN
6.8.2. Создание SPN и генерация keytab с помощью samba-tool

6.9. Настройка DHCP-сервера для обновления DNS-записей

6.9.1. Настройка DHCP-сервера
6.9.2. Настройка переключения DHCP

6.10. Аутентификация других сервисов в Samba AD

6.10.1. Настройка аутентификации Kerberos для веб-сервера Apache
6.10.2. Настройка аутентификации Kerberos для веб-сервера Nginx
6.10.3. Настройка браузеров для SSO

6.11. Distributed File System

6.11.1. Пространство DFS-имен
6.11.2. Настройка DFS на сервере Samba

6.12. Настройка SSSD

6.12.1. Журналирование SSSD
6.12.2. Настройки SSSD в ЦУС
6.12.3. Включение автономной аутентификации

6.13. Файловый сервер

6.14. Монтирование общих ресурсов samba

6.14.1. Подключение с использованием gio
6.14.2. Подключение с использованием pam_mount
6.14.3. Подключение с использованием Autofs

6.15. Журналирование в Samba

6.15.1. Настройка бэкендов
6.15.2. Настройка файлов журнала
6.15.3. Уровни журналирования
6.15.4. Настройка ведения журнала аудита
6.15.5. Интерпретация журналов аудита JSON

6.16. Усиление безопасности DC

6.16.1. Возможность анонимного получения списка пользователей, групп
6.16.2. Отключение Netbios
6.16.3. Отключение роли сервера печати
6.16.4. Отключение NTLMv1
6.16.5. Генерация дополнительных хешей паролей
6.16.6. Защита DNS-записей wpad и isatap
6.16.7. Ограничение диапазона динамических портов
6.16.8. Аудит запросов к каталогам SYSVOL и NetLogon
6.16.9. Отправка логов аудита в rsyslog

6.17. Установка RSAT

6.17.1. Windows Server
6.17.2. Windows 10 (1809 и более поздних версиях)
6.17.3. Windows Vista и 7

6.18. Инструменты командной строки

6.18.1. samba-tool
6.18.2. wbinfo
6.18.3. net
6.18.4. adcli
6.18.5. ldapsearch
6.18.6. sssctl
6.18.7. testparm

6.19. Конфигурационные файлы

6.19.1. smb.conf
6.19.2. krb5.conf
6.19.3. sssd.conf
6.19.4. resolv.conf
6.19.5. Bind

7. Решение проблем

7.1. Диагностика

7.1.1. Инструмент диагностики состояния контроллера домена
7.1.2. Инструмент диагностики клиента домена
7.1.3. ALT Diagnostic Tool

8. Примечания

8.1. Настройка беспарольного доступа по ssh
8.2. Центр управления системой