SAMBA как Domain Controller на CentOS 7
Итак для начала рекомендую проработать вопрос с IP и DHCP. Сервера в начало сети и т.д. - тут уже на вкус и цвет.
Установим имя машины
hostnamectl set-hostname dc
Ставим нужные для компиляции пакеты
yum -y install gcc make wget python-devel gnutls-devel openssl-devel libacl-devel krb5-server krb5-libs krb5-workstation openldap-devel pam pam-devel
Качаем самбу 4 с оф сайта и копилируем
cd /tmp/
wget https://ftp.samba.org/pub/samba/samba-4.6.5.tar.gz (версию можно брать другую)
tar -xzvf samba-4.6.5.tar.gz
cd ./samba-4.6.5
./configure --enable-selftest --with-systemd
make -j2
make -j2 install
Настройка SAMBA как контроллер домена
подсуним правильный конфиг
mv /etc/krb5.conf /etc/krb5.conf_alt
cp /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf
Для первого DC
/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
Для вторичного DC
/usr/local/samba/bin/samba-tool domain join mkm.local DC -UAdministrator –realm=mkm.local
Сделаем файлик для systemd
vim /etc/systemd/system/samba4.service
[Unit]
Добавим самбу в автозагрузку и запустим
Description= Samba 4 Active Directory
After=syslog.target
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/samba/var/run/samba.pid
ExecStart=/usr/local/samba/sbin/samba
[Install]
WantedBy=multi-user.target
systemctl enable samba4 systemctl restart samba4
проверим аутентификацию NT:
/usr/local/samba/bin/smbclient -L localhost -U%
Настроим чтобы машина была сама себе DNS сервером
nano /etc/resolv.conf
nameserver 127.0.0.1
и тестируем DNS:
host -t SRV ldap.tcp.domain.local host -t SRV kerberos.udp.domain.local host -t A dc.domain.local
Теперь немного изменим smb.conf
nano /usr/local/samba/etc/smb.conf
# Global parameters
[global]
Подложим правильный конфиг кербероса и попроаим его под наши нужды
workgroup = MKM
realm = mkm.local
netbios name = DC
server role = active directory domain controller
dns forwarder = 8.8.8.8 #пишем DNS
allow dns updates = nonsecure
nsupdate command = /usr/bin/nsupdate -g # команда обновления dns
[netlogon]
path = /usr/local/samba/var/locks/sysvol/domain.local/scripts
read only = No
write ok = Yes
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
write ok = Yes
ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf
И слегка его подправим
vim /etc/krb5.conf
[libdefaults]
Проверяем:
default_realm = MKM.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
kinit administrator@DOMAIN.LOCAL
Пароль можно выставить бесконечно, хотя это и не очень хорошо
/usr/local/samba/bin/samba-tool domain passwordsettings set --complexity=off --min-pwd-length=6 --max-pwd-age=0
Проверка
klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@DOMAIN.LOCAL
Добавляем зоны обратного просмотра.
/usr/local/samba/bin/samba-tool dns zonecreate dc.mkm.local 0.168.192.in-addr.arpa
/usr/local/samba/bin/samba-tool dns add dc.mkm.local 0.168.192.in-addr.arpa zzz PTR dc.mkm.local
Рулить можно через samba-tool, RSAT,Active Directory Manager,ActiveDir Manager(Android).
Виртуалки https://cloud2.nadejnei.net/index.php/s/0lyWZjucjvH7v0r
http://pyatilistnik.org/otkryivaem-msc-windows-osnastki-cherez-komandnuyu-stroku/