Samba Active Directory Server aufsetzen: Unterschied zwischen den Versionen

Aus Vosp.info
Wechseln zu:Navigation, Suche
(Auf dem Host Container samba4.test2.local einrichten)
 
(4 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
 
Zurück zu [[Server_aufsetzen]]
 
Zurück zu [[Server_aufsetzen]]
 +
 +
* https://wiki.ubuntuusers.de/HowTo/Samba-AD-Server_unter_Ubuntu_20.04_installieren/
  
 
=== Im Container samba4.test2.local einrichten ===
 
=== Im Container samba4.test2.local einrichten ===
 
In einem Container, der mit lxc-create erzeugt wurde, ist viel weniger Software installiert als auf dem Host, der mit grml-debootstrab erzeugt wurde.
 
In einem Container, der mit lxc-create erzeugt wurde, ist viel weniger Software installiert als auf dem Host, der mit grml-debootstrab erzeugt wurde.
  
  apt update
+
  # apt update
  apt -y install bash-completion vim less iputils-* dnsutils
+
  # apt -y install bash-completion vim less iputils-* dnsutils
  
 
[[#Farbiges_Promt]]
 
[[#Farbiges_Promt]]
  
 
* Zeitzone anpassen
 
* Zeitzone anpassen
  dpkg-reconfigure tzdata
+
  # dpkg-reconfigure tzdata
 
Die Zeit übernimmt der Container vom Host, die Zeitzone nicht.
 
Die Zeit übernimmt der Container vom Host, die Zeitzone nicht.
  
Zeile 18: Zeile 20:
  
 
Testen mit
 
Testen mit
  getent hosts $(hostname -f)
+
  # getent hosts $(hostname -f)
 
Ausgabe muss bei unserem Beispiel so aussehen
 
Ausgabe muss bei unserem Beispiel so aussehen
 
  10.8.190.5      samba4.test2.local samba4
 
  10.8.190.5      samba4.test2.local samba4
  
 
=== Samba4 AD DC installieren und einrichten ===
 
=== Samba4 AD DC installieren und einrichten ===
  apt install samba krb5-config smbclient winbind
+
  # apt install samba krb5-config smbclient winbind
  
  
Zeile 64: Zeile 66:
  
 
=== systemctl ===
 
=== systemctl ===
  systemctl unmask samba-ad-dc
+
  # systemctl unmask samba-ad-dc
  systemctl enable samba-ad-dc
+
  # systemctl enable samba-ad-dc
  systemctl start samba-ad-dc
+
  # systemctl start samba-ad-dc
  
 
=== Fehler Roaming Profile ===
 
=== Fehler Roaming Profile ===
Zeile 76: Zeile 78:
  
 
* Workaround
 
* Workaround
  vim /etc/samba/smb.conf
+
  # vim /etc/samba/smb.conf
  
 
  veto oplock files = /NTUSER.DAT/
 
  veto oplock files = /NTUSER.DAT/
Zeile 85: Zeile 87:
 
* Der Name des OPSI-Servers muss im Netzwerk auflösbar sein.
 
* Der Name des OPSI-Servers muss im Netzwerk auflösbar sein.
  
  samba-tool dns add localhost test2.local opsi A 10.8.190.1 -U administrator --password=XXXXXXXXXX
+
  # samba-tool dns add localhost test2.local opsi A 10.8.190.1 -U administrator --password=XXXXXXXXXX
  
 
* Auch die Clients müssen auflösbar sein.
 
* Auch die Clients müssen auflösbar sein.
Zeile 91: Zeile 93:
 
Der Grund ist, dass samba-tool keine IP mit z.B. 030 im letzten Block annimmt.
 
Der Grund ist, dass samba-tool keine IP mit z.B. 030 im letzten Block annimmt.
  
  for i in {41..99};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done
+
  # for i in {41..99};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done
  for i in {100..240};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done
+
  # for i in {100..240};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done
  
  
 
==== Reverse-Lookup-Zone ====
 
==== Reverse-Lookup-Zone ====
 
Zone erzeugen.
 
Zone erzeugen.
  samba-tool dns zonecreate localhost  190.8.10.in-addr.arpa. -U administrator --password=XXXXXXXXXXXX
+
  # samba-tool dns zonecreate localhost  190.8.10.in-addr.arpa  -U administrator --password=XXXXXXXXXXXX
  
 
Daten eintragen.
 
Daten eintragen.
  samba-tool dns add localhost  190.8.10.in-addr.arpa. 1 PTR opsi.test2.local -U administrator --password=XXXXXXXXX
+
  # samba-tool dns add localhost  190.8.10.in-addr.arpa 10 PTR opsi.test2.local -U administrator --password=XXXXXXXXX
  samba-tool dns add localhost  190.8.10.in-addr.arpa. 1 PTR samba4.test2.local -U administrator --password=XXXXXXXXX
+
  # samba-tool dns add localhost  190.8.10.in-addr.arpa 5 PTR samba4.test2.local -U administrator --password=XXXXXXXXX
  
  
Zeile 107: Zeile 109:
 
* PTR-Records für die Clients, mit sequence wie oben
 
* PTR-Records für die Clients, mit sequence wie oben
  
  for i in {41..99};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win0$i -U administrator --password=schu22=?alt;done
+
  # for i in {41..99};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win0$i -U administrator --password=schu22=?alt;done
 +
 
 +
# for i in {100..240};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win$i -U administrator --password=schu22=?alt;done
 +
 
 +
 
 +
=== Einstellungen ===
 +
==== Kein Password ====
 +
* Ganz abschalten lässt es sich leider nicht. Minimum ist ein Zeichen
 +
 
 +
samba-tool domain passwordsettings set --complexity=off
 +
samba-tool domain passwordsettings set --history-length=0
 +
samba-tool domain passwordsettings set --min-pwd-age=0
 +
samba-tool domain passwordsettings set --max-pwd-age=0
 +
samba-tool domain passwordsettings set --min-pwd-length=0
  
  for i in {100..240};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win$i -U administrator --password=schu22=?alt;done
+
  systemctl restart samba-ad-dc.service
  
 
=== openvpn ===
 
=== openvpn ===
 
* Dazu muss das '''tun''' Device erzeugt werden
 
* Dazu muss das '''tun''' Device erzeugt werden
  
  vim /etc/rc.local
+
  # vim /etc/rc.local
  
  mkdir /dev/net
+
  # mkdir /dev/net
  mknod /dev/net/tun c 10 200
+
  # mknod /dev/net/tun c 10 200
  chmod 0666 /dev/net/tun
+
  # chmod 0666 /dev/net/tun

Aktuelle Version vom 14. Juni 2022, 14:49 Uhr

Zurück zu Server_aufsetzen

Im Container samba4.test2.local einrichten

In einem Container, der mit lxc-create erzeugt wurde, ist viel weniger Software installiert als auf dem Host, der mit grml-debootstrab erzeugt wurde.

# apt update
# apt -y install bash-completion vim less iputils-* dnsutils

#Farbiges_Promt

  • Zeitzone anpassen
# dpkg-reconfigure tzdata

Die Zeit übernimmt der Container vom Host, die Zeitzone nicht.

  • /etc/hosts
127.0.0.1       localhost
10.8.190.5      samba4.test2.local samba4

Testen mit

# getent hosts $(hostname -f)

Ausgabe muss bei unserem Beispiel so aussehen

10.8.190.5      samba4.test2.local samba4

Samba4 AD DC installieren und einrichten

# apt install samba krb5-config smbclient winbind


  • Samba4 AD DC install
    • Genutzt zur Ersteinrichtung des AD DCs, sehr knapp. Bitte in einem zweiten Tab öffnen
  • # set realm: die Anleitung scheint den fqdn des Servers als REALM zu nutzen.
    • REALM: test2.local
  • # specify the hostname ... of Kerberos servers for your Kerberos realm:
    • samba4.test2.local
  • # specify the hostname ... Administrative server for your Kerberos realm:
    • samba4.test2.local
  • # rename or remove the default config file
root@smamba4:~# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak => Die Endung .bak ist ein MUSS für alte Leute :-)
  • Erzeugen des REALMs. VORHER den Abschnitt auf server-world.info lesen!
root@smb:~# samba-tool domain provision --use-rfc2307 --interactive


  • # restart system
root@samba4:~# reboot 

Unsere Domäne test2.local steht mit den Fähigkeiten eines Windows Server 2008 R2 bereit.
Testweise binden wir einen Windows-Clienten in die Domäne ein.
Für den Beitritt benötigen wir einen berechtigten User und sein Passwort.

Beim domain provision haben wir ein Passowrt vergeben.
Der dazugehörige User heißt administrator.

Ab jetzt können wir uns mit Usern der Domäne am Clienten anmelden.
Bitte beachten: noch haben wir keine Roaming Profiles.

Ab jetzt steht auch ein DNS-Server zur Verfügung. Der OPSI-Server wird ihn auch nutzen.


systemctl

# systemctl unmask samba-ad-dc
# systemctl enable samba-ad-dc
# systemctl start samba-ad-dc

Fehler Roaming Profile

  • Es traten Fehler mit der Profilsyncronisierung auf.
  • Neue Dateien wurde nicht mehr im Profil abgespeichert
journalctl -xn 100|grep -i oplock
  • Oplock break failed for file schueler.V2/ntuser.ini
  • Workaround
# vim /etc/samba/smb.conf
veto oplock files = /NTUSER.DAT/

DNS-Records erzeugen

Forward-Lookup-Zone

  • Der Name des OPSI-Servers muss im Netzwerk auflösbar sein.
# samba-tool dns add localhost test2.local opsi A 10.8.190.1 -U administrator --password=XXXXXXXXXX
  • Auch die Clients müssen auflösbar sein.

Dazu benutzen wir zwei sequence. Die erste von 41-99, die zweite von 100-240.
Der Grund ist, dass samba-tool keine IP mit z.B. 030 im letzten Block annimmt.

# for i in {41..99};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done
# for i in {100..240};do  samba-tool dns add localhost test2.local win0$i A 10.8.190.$i -U administrator --password=XXXXXXXXXXXXX ;done


Reverse-Lookup-Zone

Zone erzeugen.

# samba-tool dns zonecreate localhost  190.8.10.in-addr.arpa  -U administrator --password=XXXXXXXXXXXX

Daten eintragen.

# samba-tool dns add localhost  190.8.10.in-addr.arpa 10 PTR opsi.test2.local -U administrator --password=XXXXXXXXX
# samba-tool dns add localhost  190.8.10.in-addr.arpa 5 PTR samba4.test2.local -U administrator --password=XXXXXXXXX


  • PTR-Records für die Clients, mit sequence wie oben
# for i in {41..99};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win0$i -U administrator --password=schu22=?alt;done
# for i in {100..240};do samba-tool dns add localhost 190.8.10.in-addr.arpa $i PTR win$i -U administrator --password=schu22=?alt;done


Einstellungen

Kein Password

  • Ganz abschalten lässt es sich leider nicht. Minimum ist ein Zeichen
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0
systemctl restart samba-ad-dc.service

openvpn

  • Dazu muss das tun Device erzeugt werden
# vim /etc/rc.local
# mkdir /dev/net
# mknod /dev/net/tun c 10 200
# chmod 0666 /dev/net/tun