Recherche de site Web

Rejoignez un DC Ubuntu supplémentaire à Samba4 AD DC pour la réplication avec basculement - Partie 5


Ce didacticiel va vous montrer comment ajouter un deuxième contrôleur de domaine Samba4, provisionné sur le serveur Ubuntu 16.04, à la forêt Samba AD DC existante afin pour fournir un certain degré d'équilibrage de charge/basculement pour certains services AD DC cruciaux, en particulier pour les services tels que DNS et le schéma LDAP AD DC avec base de données SAM.

Exigences

  1. Créer une infrastructure Active Directory avec Samba4 sur Ubuntu – Partie 1

Cet article est une Partie 5 de la série Samba4 AD DC comme suit :

Étape 1 : Configuration initiale pour l'installation de Samba4

1. Avant de commencer à effectuer la jonction de domaine pour le deuxième contrôleur de domaine, vous devez prendre soin de quelques paramètres initiaux. Tout d'abord, assurez-vous que le nom d'hôte du système qui sera intégré à Samba4 AD DC contient un nom descriptif.

En supposant que le nom d'hôte du premier domaine provisionné s'appelle adc1, vous pouvez nommer le deuxième contrôleur de domaine avec adc2 afin de fournir un schéma de dénomination cohérent. sur vos contrôleurs de domaine.

Pour modifier le nom d'hôte du système, vous pouvez exécuter la commande ci-dessous.

hostnamectl set-hostname adc2

sinon, vous pouvez modifier manuellement le fichier /etc/hostname et ajouter une nouvelle ligne avec le nom souhaité.

nano /etc/hostname

Ajoutez ici le nom d'hôte.

adc2

2. Ensuite, ouvrez le fichier de résolution du système local et ajoutez une entrée avec l'adresse IP qui pointe vers le nom court et le FQDN du contrôleur de domaine principal, comme illustré ci-dessous. capture d'écran.

Grâce à ce didacticiel, le nom principal du contrôleur de domaine est adc1.tecmint.lan et il est résolu en adresse IP 192.168.1.254.

nano /etc/hosts

Ajoutez la ligne suivante :

IP_of_main_DC		FQDN_of_main_DC 	short_name_of_main_DC

3. À l'étape suivante, ouvrez /etc/network/interfaces et attribuez une adresse IP statique à votre système, comme illustré dans la capture d'écran ci-dessous.

Faites attention aux variables dns-nameservers et dns-search. Ces valeurs doivent être configurées pour pointer vers l'adresse IP du Samba4 AD DC et du domaine principal afin que la résolution DNS fonctionne correctement.

Redémarrez le démon réseau afin de refléter les modifications. Vérifiez le fichier /etc/resolv.conf pour vous assurer que les deux valeurs DNS de votre interface réseau sont mises à jour dans ce fichier.

nano /etc/network/interfaces

Modifiez et remplacez par vos paramètres IP personnalisés :

auto ens33
iface ens33 inet static
        address 192.168.1.253
        netmask 255.255.255.0
        brodcast 192.168.1.1
        gateway 192.168.1.1
        dns-nameservers 192.168.1.254
        dns-search tecmint.lan

Redémarrez le service réseau et confirmez les modifications.

systemctl restart networking.service
cat /etc/resolv.conf

La valeur dns-search ajoutera automatiquement le nom de domaine lorsque vous interrogerez un hôte par son nom court (formera le FQDN).

4. Afin de tester si la résolution DNS fonctionne comme prévu, émettez une série de commandes ping sur le nom court de votre domaine, votre nom de domaine complet et votre domaine, comme indiqué dans la capture d'écran ci-dessous.

Dans tous ces cas, le serveur Samba4 AD DC DNS doit répondre avec l'adresse IP de votre DC principal.

5. La dernière étape supplémentaire à laquelle vous devez faire attention est la synchronisation de l'heure avec votre contrôleur de domaine principal. Cela peut être accompli en installant l'utilitaire client NTP sur votre système en exécutant la commande ci-dessous :

apt-get install ntpdate

6. En supposant que vous souhaitiez forcer manuellement la synchronisation de l'heure avec samba4 AD DC, exécutez la commande ntpdate sur le contrôleur de domaine principal en exécutant la commande suivante.

ntpdate adc1

Étape 2 : Installer Samba4 avec les dépendances requises

7. Afin d'inscrire le système Ubuntu 16.04 dans votre domaine, installez d'abord Samba4, le client Kerberos et quelques d'autres packages importants pour une utilisation ultérieure à partir des référentiels officiels Ubuntu en exécutant la commande ci-dessous :

apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

8. Lors de l'installation, vous devrez fournir le nom de domaine Kerberos. Écrivez votre nom de domaine en majuscules et appuyez sur la touche [Entrée] pour terminer le processus d'installation.

9. Une fois l'installation des packages terminée, vérifiez les paramètres en demandant un ticket Kerberos pour un administrateur de domaine à l'aide de la commande kinit. Utilisez la commande klist pour répertorier les tickets Kerberos accordés.

kinit domain-admin-user@YOUR_DOMAIN.TLD
klist

Étape 3 : Rejoignez Samba4 AD DC en tant que contrôleur de domaine

10. Avant d'intégrer votre machine dans Samba4 DC, assurez-vous d'abord que tous les démons Samba4 exécutés sur votre système sont arrêtés et, également, renommez le fichier de configuration Samba par défaut afin de démarrer. faire le ménage. Lors du provisionnement du contrôleur de domaine, samba créera un nouveau fichier de configuration à partir de zéro.

systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

11. Afin de démarrer le processus d'adhésion au domaine, démarrez d'abord uniquement le démon samba-ad-dc, après quoi vous exécuterez samba-tool commande pour rejoindre le royaume en utilisant un compte avec des privilèges administratifs sur votre domaine.

samba-tool domain join your_domain DC -U "your_domain_admin"

Extrait d'intégration de domaine :

samba-tool domain join tecmint.lan DC -U"tecmint_user"
Exemple de sortie
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC

12. Une fois le logiciel Ubuntu avec samba4 intégré dans le domaine, ouvrez le fichier de configuration principal de samba et ajoutez les lignes suivantes :

nano /etc/samba/smb.conf

Ajoutez l'extrait suivant au fichier smb.conf.

dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes

   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

Remplacez l'adresse IP du redirecteur DNS par votre propre adresse IP du redirecteur DNS. Samba transmettra toutes les requêtes de résolution DNS qui se trouvent en dehors de la zone faisant autorité de votre domaine vers cette adresse IP.

13. Enfin, redémarrez le démon samba pour refléter les modifications et vérifiez la réplication d'Active Directory en exécutant les commandes suivantes.

systemctl restart samba-ad-dc
samba-tool drs showrepl

14. De plus, renommez le fichier de configuration Kerberos initial à partir du chemin /etc et remplacez-le par le nouveau fichier de configuration krb5.conf généré par samba lors du provisionnement. le domaine.

Le fichier se trouve dans le répertoire /var/lib/samba/private. Utilisez le lien symbolique Linux pour lier ce fichier au répertoire /etc.

mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf

15. Vérifiez également l'authentification Kerberos avec le fichier samba krb5.conf. Demandez un ticket pour un utilisateur administrateur et répertoriez le ticket mis en cache en exécutant les commandes ci-dessous.

kinit administrator
klist

Étape 4 : Validations supplémentaires des services de domaine

16. Le premier test que vous devez effectuer est la résolution Samba4 DC DNS. Pour valider la résolution DNS de votre domaine, interrogez le nom de domaine à l'aide de la commande host sur quelques enregistrements DNS AD cruciaux, comme présenté dans la capture d'écran ci-dessous.

Le serveur DNS devrait maintenant rejouer avec une paire de deux adresses IP pour chaque requête.

host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld  # TCP LDAP SRV record

17. Ces enregistrements DNS doivent également être visibles à partir d'une machine Windows inscrite sur laquelle les outils RSAT sont installés. Ouvrez DNS Manager et développez les enregistrements TCP de votre domaine comme indiqué dans l'image ci-dessous.

18. Le test suivant doit indiquer si la réplication LDAP du domaine fonctionne comme prévu. À l'aide de samba-tool, créez un compte sur le deuxième contrôleur de domaine et vérifiez si le compte est automatiquement répliqué sur le premier Samba4 AD DC.

Sur adc2 :
samba-tool user add test_user
Sur adc1 :
samba-tool user list | grep test_user

19. Vous pouvez également créer un compte à partir d'une console Microsoft AD UC et vérifier si le compte apparaît sur les deux contrôleurs de domaine.

Par défaut, le compte doit être automatiquement créé sur les deux contrôleurs de domaine samba. Recherchez le nom du compte dans adc1 à l'aide de la commande wbinfo.

20. En fait, ouvrez la console AD UC à partir de Windows, développez les contrôleurs de domaine et vous devriez voir les deux machines DC inscrites.

Étape 5 : Activer le service Samba4 AD DC

21. Afin d'activer les services samba4 AD DC à l'échelle du système, désactivez d'abord certains démons Samba anciens et inutilisés et activez uniquement le service samba-ad-dc en exécutant les commandes ci-dessous. :

systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc

22. Si vous administrez à distance le contrôleur de domaine Samba4 à partir d'un client Microsoft ou si vous avez d'autres clients Linux ou Windows intégrés à votre domaine, assurez-vous de mentionner l'adresse IP du adc2 machine aux paramètres IP du serveur DNS de leur interface réseau afin d'obtenir un niveau de redondance.

Les captures d'écran ci-dessous illustrent les configurations requises pour un client Windows ou Debian/Ubuntu.

En supposant que le premier DC avec 192.168.1.254 soit hors ligne, inversez l'ordre des adresses IP du serveur DNS dans le fichier de configuration afin qu'il n'essaye pas d'interroger en premier un serveur indisponible. Serveur dns.

Enfin, si vous souhaitez effectuer une authentification locale sur un système Linux avec un compte Samba4 Active Directory ou accorder des privilèges root pour les comptes AD LDAP sous Linux, lisez les étapes 2 et 3 du didacticiel Gérer l'infrastructure AD Samba4 à partir de la ligne de commande Linux.