Этот текст основан на Samba 4 AD DC HOWTO, но имеет некоторые существенные дополнения.
Если вы собираете samba 4 из исходников и у вас нет 100% уверенности в успехе, то настоятельно рекомендую 1-ую установку проводить на тестовом стенде. Samba 4 критична к зависимостям, установка пройдет без ошибок, а проблемы могут возникнуть на стадии поднятия AD или при работе с ним.
При установке будем использовать:
Installation Directory: /usr/local/samba
Server Hostname: pdc
DNS Domain Name: test.loc
NT4 Domain Name: test
IP Address: 192.168.1.2
Server Role: DC
Скачиваем последний релиз samba 4 с официального сайта. В моем случае это 4.0.3
Распаковываем:
# tar –zxf samba-4.0.3.tar.gz
Установка/обновление
Если хотите «отловить» не установленные зависимости или дополнительные компоненты можно, например, так:
# ./configure --enable-debug --enable-selftest > /root/samba4.log 2>&1
# cat /root/samba4.log | grep "not found" > /root/samba4_not_found.log
Стандартная установка, рекомендованная разработчиками такая:
# ./configure --enable-debug --enable-selftest
# make
# make install
Добавляем запись в /etc/resolv.conf:
domain test.loc
nameserver 192.168.1.2
C wikipedia: «Так как Avahi использует зону .local для своих целей, эту зону нельзя использовать в локальной сети. Однако .local может уже использоваться в локальной сети, и перестраивать сетевую адресацию будет накладно»
avahi пока пользоваться не доводилось, поэтому выкладываю как есть.
Запуск скрипта установки:
# /usr/local/samba/bin/samba-tool domain provision
Если название сервера было предварительно сконфигурировано, можно соглашаться, нажимая enter
Realm [TEST.LOC]: TEST.LOC
Domain [TEST]: TEST
Server Role [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (write 'none' to disable forwarding) [8.8.8.8]: 8.8.8.8
При начальной установке SAMBA_INTERNAL не умеет обрабатывать (resolve) внешние адреса (например, адреса интернет). Для этого стоит использовать внешний DNS forwarder IP address.
Administrator Password:
Требуется использовать стойкий пароль, включающий минимальную длину и «сложность».
После этого создается AD и устанавливается схема по умолчанию windows 2003R2.
До запуска samba я бы рекомендовал добавить следующую строку в /usr/local/samba/etc/smb.conf:
Allow dns updates = True | signed
Это необходимо для того, чтобы компьютеры, включаемые в домен сразу же регистрировались в DNS.
true – неподписанное обновление
signed – только подписанное обновление
false – без обновления
Можно так же создать тестовую общую папку share и прописать ее в конфигурационный файл /usr/local/samba/etc/smb.conf.
В моем случае это выглядит так:
# Global parameters
[global]
workgroup = TEST
realm = TEST.LOC
netbios name = PDC
server role = active directory domain controller
allow dns updates = True
dns forwarder = 8.8.8.8
[netlogon]
path = /usr/local/samba/var/locks/sysvol/test.loc/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
[share]
path = /share
comment = Share
read only = No
Если samba4 собрала свой Kerberos, а проверить это можно наличием файла /usr/local/samba/private/krb5.conf, то стандартный файл Kerberos, который обычно лежит в /etc лучше куда-нибудь переместить. А на его месте лучше создать ссылку:
# ln -s /usr/local/samba/private/krb5.conf /etc/
Примечание: Я сначала удалил стандартный /etc/krb5.conf как и предлагалось на официальном сайте, но при автообновлении пакетов моего дистрибутива стандартный файл был автоматически создан заново. Что привело к проблемам kinit/klist.
Сам же /usr/local/samba/private/krb5.conf должен выглядеть примерно так:
[libdefaults]
default_realm = TEST.LOC
dns_lookup_realm = false
dns_lookup_kdc = true
Перед запуском samba 4 не забудьте остановить другую версию samba (если имеется и запущена), а так же named, если будете использовать samba 4 DNS.
Запускаем samba:
# /usr/local/samba/sbin/samba
для отладки я пользовался
# /usr/local/samba/sbin/samba -i --debuglevel=9
На сайте производителя так же рекомендовано использовать:
Для разработчиков
# /usr/local/samba/sbin/samba -i -M single
Для отладки (samba запускается, ограничиваясь единым процессом, все сообщения журнала печатаются в стандартный вывод)
# gdb --args /usr/local/samba/sbin/samba -i -M single
Здесь можно взять загрузочные скрипты (initscripts) для различных ситем
При старте samba у меня открываются следующие порты tcp:
# nmap -sS 127.0.0.1
PORT STATE SERVICE
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
636/tcp open ldapssl
1024/tcp open kdm
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
При старте samba у меня открываются следующие порты udp:
# nmap -sU 127.0.0.1
PORT STATE SERVICE
53/udp open domain
88/udp open|filtered kerberos-sec
137/udp open netbios-ns
138/udp open|filtered netbios-dgm
389/udp open|filtered ldap
464/udp open|filtered kpasswd5
631/udp open|filtered ipp (cups)
Если все нормально, то стоит пройти ряд тестов, что убедиться, что все у нас в порядке с sambaclient, dns, Kerberos.
sambaclient
Запускаем:
$ /usr/local/samba/bin/smbclient -L localhost -U%
Получаем:
Sharename Type Comment
--------- ---- -------
IPC$ IPC IPC Service (Samba 4.0.3)
share Disk Share
sysvol Disk
netlogon Disk
Если проблемы, делаем следующее:
# killall samba
# rm -v -- /usr/local/samba/var/run/smbd-fileserver.conf.pid
# /usr/local/samba/sbin/samba
Проверяем аутентификацию в домене. Запускаем:
$ smbclient //localhost/netlogon -UAdministrator%'p4$$word' -c 'ls'
Получаем:
Domain=[TEST] OS=[Unix] Server=[Samba 4.0.3]
. D 0 Wed Sep 12 21:00:36 2012
.. D 0 Wed Sep 12 21:02:28 2012
dns
$ host -t SRV _ldap._tcp.test.loc.
_ldap._tcp.test.loc has SRV record 0 100 389 dc.test.loc.
$ host -t SRV _kerberos._udp.test.loc.
_kerberos._udp.test.loc has SRV record 0 100 88 pdc.test.loc.
$ host -t A pdc.test.loc.
pdc.test.loc has address 192.168.1.2
Примечание: Если вы выбрали DNS SAMBA_INTERNAL, то какая-либо дополнительная настройка, включая динамическое обновление не требуется. Настройку Bind описывать не буду, так как сам не пробовал. Почитать об этом можно в оригинальной статье.
Динамическое обновление DNS стартует каждые 10 минут и использует утилиту samba_dnsupdate. Чтобы динамическое обновление в принципе было возможным нужна утилита nsupdate из комплекта Bind. Для проверки можно использовать:
# /usr/local/samba/sbin/samba_dnsupdate --verbose --all-names
Kerberos
В следующей команде название домена ОБЯЗАТЕЛЬНО В ВЕРХНЕМ РЕГИСТРЕ.
$ kinit administrator@TEST.LOC
Password:
$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@TEST.LOC
Valid starting Expires Service principal
02/10/10 19:39:48 02/11/10 19:39:46 krbtgt/TEST.LOC@TEST.LOC
В случае проблем проверяйте /etc/resolve.conf и /usr/local/samba/share/setup/krb5.conf с настройками, описанными выше.
Настройка NTP
dhcp-server сообщает компьютерам с динамическими адресами ip адрес локального сервера NTP. Если вы используете dhcpd, то нужно добавить следующую строку в dhcpd.conf
…
option ntp-servers 192.168.1.2;
…
Примечание: Вообще расхождение времени более чем на 5 минут между клиентом и сервером было серьезной проблемой при авторизации samba 3.x в домене. Клиенты Kerberos не могли пройти проверку подлинности на сервере.
Эта синхронизация требовалась для предотвращения возможности использования атакующим старого аутентификатора, чтобы замаскироваться под легального пользователя.
На клиентах в домене samba 4 для теста я сбил время и дату на несколько суток, часов, минут назад. При этом мне удавалось не только авторизовываться, но и добавлять компьютеры в домен. А при 1-ом входе компьютера в домен часы синхронизировались.
Однако, расхождение во времени стало проблемой при добавлении windows контроллеров домена и репликацией между windows домен контроллерами и samba 4 dc.
Для корректной работы ntpd вам потребуется версия ntpd (=>4.2.6) поддерживающая signed ntp. Т.е. версия поставляемая с RHEL6 и Ubuntu < 11.04 старая. Ntpd в Debian Squeeze поддерживает signed ntp.
Если у вас старая версия, то сервис ntpd будет запускаться корректно, при этом в логах (в моем случае в /var/log/messages) будет писать что-то вроде:
configure: keyword "mssntp" unknown, line ignored
configure: keyword "ntpsigndsocket" unknown, line ignored
configure: keyword "mssntp" unknown, line ignored
Синхронизация при этом происходить не будет.
Для того, чтобы заработала синхронизация времени добавляем в ntp.conf минимальный набор строк:
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default mssntp
Можно добавить такой набор строк в ntp.conf:
server 127.127.1.0
fudge 127.127.1.0 stratum 12
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default mssntp
Ну, а это расширенный набор ntp.conf:
server 127.127.1.0
fudge 127.127.1.0 stratum 10
server 0.pool.ntp.org iburst prefer
server 1.pool.ntp.org iburst prefer
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default kod nomodify notrap nopeer mssntp
restrict 127.0.0.1
restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery
restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery
Дальше можно приступить к администрированию AD либо средствами samba, либо средствами windows. Об этом в следующей статье.
Ссылки на пакеты администрирования для windows:
adminpack sp2 xp/2003 x32 rus
adminpack sp2 xp/2003 x64 rus
rsat for win 7 sp1 x32/x64 rus
rsat for win 8 x32/x64 rus
rsat for win 8.1 x32/x64 rus
gpmc sp1 xp/2003 x32 eng (для xp/2003 x64 gpmc нет)