В этом ролике поднимаем #контроллер #домена на #Fedora 37 Server
!!!!Предупреждение!!!
IP-адреса, названия доменов, хостов и юзеров используйте СВОИ!
НЕ НАДО КОПИРОВАТЬ МОИ!
Мои входные данные:
Имя хоста: dc1.test.net
Домен: test.net
IP: 192.168.88.100/24
Статический IP-адрес настраивается перед началом работ по поднятию контроллера домена.
Если вы работаете через виртуальную машину, то в настройках адаптера укажите «мост» вместо NAT. Если вы используете VMWare, то не забудте установить чек-бокс «Репликация состояния физической сети».
Так же, перед началом работ, рекомендую установить файловый менеджер Dolphin и текстовый редактор Gedit.
Кроме того, вам нужно отредактировать файл /etc/hosts:
sudo gedit /etc/hosts
В файле укажите отдельной строкой ваш статический IP с указанием полного доменного имени контроллера домена. Например, так:
192.168.88.100 dc1.test.net
(#domaincontroller)
Все команды, что используются в данном видео:
dnf install lmdb*
dnf builddep libldb samba
dnf install samba samba-dc samba-client krb5-workstation
hostname dc1.test.net
hostnamectl set-hostname dc1.test.net
//Открываем Firewall (1 метод)
firewall-cmd --add-service=samba-dc --permanent
firewall-cmd --reload
//Открываем Firewall (2 метод) - добавить правила из командной строки:
firewall-cmd --permanent --add-port={53/udp,53/tcp,88/udp,88/tcp,123/udp,135/tcp,137/udp,138/udp,139/tcp,389/udp,389/tcp,445/tcp,464/udp,464/tcp,636/tcp,3268/tcp,3269/tcp,49152-65535/tcp}
firewall-cmd --reload
//Чтобы запустить Samba DC и работать с SELinux в принудительном режиме, необходимо включить некоторые логические значения samba для SELinux. После установки этих логических значений нет необходимости отключать SELinux.
setsebool -P samba_create_home_dirs=on samba_domain_controller=on samba_enable_home_dirs=on samba_portmapper=on use_samba_home_dirs=on
//Восстановите контексты безопасности #SELinux по умолчанию для файлов:
restorecon -Rv /
SAMBA
//Удалите файл /etc/samba/smb.conf, если он существует
cp /etc/samba/smb.conf smb.conf.usr ← эта команда не обязательна. Она просто сделает бекап файла smb.conf
rm /etc/samba/smb.conf
//Создайте каталог /etc/systemd/resolved.conf.d/, если он не существует:
mkdir /etc/systemd/resolved.conf.d/
//Создайте файл /etc/systemd/resolved.conf.d/custom.conf, содержащий пользовательскую конфигурацию:
vim /etc/systemd/resolved.conf.d/custom.conf
[Resolve]
DNSStubListener=no
Domains=test.net
DNS=192.168.88.100
//Перезапустите службу с разрешением systemd :
systemctl restart systemd-resolved
//С помощью #samba-tool подготовьте конфигурацию Samba:
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=TEST.net --domain=TEST --adminpass=Qwerty1234
//Аргумент #--use-rfc2307 предоставляет атрибуты POSIX для Active Directory, которая хранит информацию о пользователях и группах Unix в LDAP ( rfc2307.txt ).
//Убедитесь, что в файле /etc/samba/smb.conf указан правильный адрес сервера пересылки DNS. Что касается этого руководства, он должен отличаться от собственного IP-адреса сервера 192.168.88.100, в моем случае я установил 8.8.8.8, однако ваш IP может отличаться:
gedit (или vi) /etc/samba/smb.conf
#Керберос
//После установки Samba нам был предоставлен файл krb5.conf, который мы будем использовать:
cp /usr/share/samba/setup/krb5.conf /etc/krb5.conf.d/samba-dc
//Отредактируйте содержимое /etc/krb5.conf.d/samba-dc, чтобы оно соответствовало информации о вашей организации:
gedit /etc/krb5.conf.d/samba-dc
[libdefaults]
default_realm = TEST.net
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
TEST.net = {
default_domain = TEST
}
[domain_realm]
dc1.test.net = TEST.net
//Запуск и включение Samba во время загрузки
//Чтобы убедиться, что Samba запустится при инициализации системы, включите и запустите ее:
systemctl enable samba
systemctl start samba
//Тестирование
//Связь
smbclient -L localhost -N
smbclient //localhost/netlogon -UAdministrator -c 'ls'
#DNS-тест
//Чтобы проверить, работает ли разрешение имен, выполните следующие команды:
host -t SRV _ldap._tcp.test.net.
//Ответ
_ldap._tcp.test.net has SRV record 0 100 389 dc1.test.net.
//Запрос
host -t SRV _kerberos._udp.test.net.
//Ответ
_kerberos._udp.test.net has SRV record 0 100 88 dc1.test.net.
//Запрос
host -t A dc1.test.net.
//Ответ
dc1.test.net has address 192.168.88.100
//Тест #Kerberos
kinit administrator
klist
//Добавление пользователя в домен
#samba-tool предоставляет нам интерфейс для выполнения задач администрирования домена, поэтому мы можем легко добавить пользователя в домен.
samba-tool user add --help
//Добавим в домен Михаила Кутузова
samba-tool user add mikhailk --unix-home=/home/mikhailk --login-shell=/bin/bash --gecos 'Mikhail K.' --given-name=Mikhail --surname='Kutuzov' --mail-address='mikhailk@test.net'
//Посмотреть пользователей можно командой:
samba-tool user list