SambaのAD DC(ドメインコントローラ)の構成
HTTP:// lihaitao.cn/?p=299
山東省の前任者は、ブログに書いた
、非常に良いです。。実験を行う別の日。
SambaのAD DC(ドメインコントローラ)が設定されている■
以下の項目を確認するために、Active Directoryを使用進めるために。
* AD DCサーバのホスト名:centos7-Sambaの
-domain:TESTAD
・完全ドメイン名:TESTAD.LOCAL
1、事前準備
①CentOS7ホスト名の設定
#はcentos7-サンバ>の/ etcエコー /ホスト名を
ホスト名を有効にするように、上記のコマンドの実行後に再起動を。
②yumをソースインストールによってので、Sambaドメインのcontrolerのない準備ソースがないので
①メイクパッケージに依存してSambaのインストール
yumを\ perlの-develのgccのATTR libacl libblkidの-develのインストール#
GNUTLS-のdevel Pythonのreadlineの-develの-develのをpkgconfig GDB \
krb5の-のzlib-develのsetroubleshootは、ワークステーションサーバーのlibaio-develののの\で有効になって
policycoreutils-のPythonプラグイン\で有効になってsetroubleshoot
libsemanageのPython-perlの-perlの-のExtUtils-MakeMakerの解析・ヤップ\
perlの-POPTテスト・ベース・のdevelのlibxml2-develのlibattr- devel \の
keyutilsカップ-LIBS-develのバインド-utilsの-develのlibxsltはの\
のdocbook-スタイルのXSLのOpenLDAP-develのautoconfのPAM-のdevel \
python2-暗号libtomcrypt libtommath libidn-develのlibpcapの-develの
②システムカップのパッケージがない場合、カップが必要インストール、およびカップサービスを開始します。
ヤムCUPSをインストールする#
#CUPSを開始systemctl
2、Sambaのインストール(4.1.12たとえば、新しいバージョン4.4.10に置き換えることができます)
#wgetのhttps://download.samba.org/pub/samba/stable/samba-4.1.12.tar.gz
#タール- Sambaの-4.1.12.tar.gz zxvf
ます。#cdのSamba-4.1.12
#のは./configure && && make installを作ります
3、Samba構成
#/ RFC2307レベル= 2008_R2 -interactive -function- -use USR /ローカル/サンバ/ binに/ Sambaドメインツール提供
レルム:TESTAD.LOCAL(初期設定入力ドメイン)
ドメイン[TESTAD] :(Enterキー)
サーバーの役割(DC、メンバー、スタンドアロン)[DC]を:(Enterキー)
DNSのバックエンド(SAMBA_INTERNAL、BIND9_FLATFILE、BIND9_DLZ、NONE)[SAMBA_INTERNAL]:(Enterキー)
IPアドレス(書き込み'なし'フォワーダDNS [192.168.122.21])フォワーディング無効にするには: (入力キー)
管理者パスワード:コンプレックス、7つの以上の文字に(パスワード管理、パスワードの複雑さの要件を)
再入力パスワード:(管理者パスワード(再入力))
見上げるIPv4がアドレス
見上げるIPv6をアドレス
が割り当てられますことではありませんIPv6アドレス
secrets.ldb設定
レジストリで設定します
権限データベースセットアップ
dbのIDMAPの設定
dbのSAMのセットアップ
sam.ldbパーティションと設定セットアップ
sam.ldbでrootDSE設定
予圧サンバ4とADスキーマ
DomainDNを追加した:DC = testad、DC =ローカル
追加構成コンテナ
設定sam.ldbスキーマまで
sam.ldb設定データの設定
表示指定の設定
表示指定変更する
ユーザーコンテナの追加
、ユーザーのコンテナの変更
コンピュータコンテナの追加
コンピュータのコンテナの変更
sam.ldbデータの設定
よく知られたセキュリティプリンシパルの設定
sam.ldbユーザーの設定をし、グループ
の自己を設定するには、参加します
DNSアカウントの追加
CN = MicrosoftDNSの作成、CN =システム、DC = testad、DC =ローカル
の作成のDomainDnsZonesとForestDNSZonesのパーティション
DomainDnsZonesおよびForestDNSZonesのパーティションの取り込み
同期としてマーキングsam.ldbのでrootDSEの設定を
固定用規定のGUID
のSamba 4に適したA Kerberos設定することとなっています/usr/local/samba/private/krb5.confで生成された
偽のYPサーバ設定の設定
上記のファイルがインストールされたら、Samba4サーバが使用できるようになります
Active Directoryドメインコントローラ:サーバーの役割を
ホスト名:centos7-サンバ
のNetBIOSドメイン: TESTAD
DNSドメイン:testad.local
DOMAIN SID:S-1-5-21-4219608262-2753158698-2115138841
ドメインの遠端に配置されました。
あなたは、ドメインを再構成したい場合は、コマンドの最適な使用は、古いドメインのコンフィグレーションファイルを削除します。
-F /usr/local/samba/etc/smb.conf RM#
#RM -fは/ usr / local /サンバ/プライベート/ *
#RM -fは/ usr / local /サンバの/ var /ロック/ SYSVOL / *
以下の内容で生成された4,3 smb.confのコマンド、
#の/usr/local/samba/etc/smb.confのCAT
#無料パラメータ参加
[グローバル]
ワークグループ= TESTAD
領域= TESTAD.LOCAL
NetBIOS名= centos7のSamba
サーバーの役割をコントローラのActive Directoryドメイン=
DNSフォワーダ= 192.168.122.21
idmap_ldb:ユースRFC2307 =はい
[NETLOGON]
パス= /usr/local/samba/var/locks/sysvol/testad.local/scriptsは
なし=読み取り専用します
[SYSVOL]
パス=は/ usr / local /サンバの/ var /ロック/ SYSVOLは、
唯一=いいえ読み取ります
5、Sambaが起動
#は/ usr / local / samba / sbinに/サンバ
6は、サーバが共有ディレクトリを確認することができます
は/ usr / local / samba / binに#を/ smbclientの-L localhostの-U%
ドメイン= [TESTAD] OS = [UNIX]サーバ= [Sambaの4.1.12]
共有名タイプコメント
--- - ---
NETLOGONディスク
SYSVOLディスク
IPC $ IPC IPCサービス(Sambaの4.1.12)
ドメイン= [TESTAD] OS = [UNIX]サーバ= [Sambaの4.1.12]
サーバーのコメント
--- ---
ワークグループマスター
--- ---
DNSが正常でない場合は、図7に示すように、ドメインを作成した後、DC機能は、そうDNS設定を使用することができません。
次のコマンドは、ドメインコントローラのDNSサーバーのIPアドレスは、自分自身を設定します。
#エコー「ネームサーバ127.0.0.1」> /etc/resolv.confを
上記の構成後に行い、DNSサービスかどうかを確認するために、次のコマンドを実行します。
①DNSZONEの確認
#は/ usr / local / samba / binに/サンバ-DNSのzonelist 127.0.0.1 -U管理者ツールの
[TESTAD \管理者]のパスワード:
2ゾーン(S)が発見
pszZoneName:testad.local
フラグ:DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
ZoneType:DNS_ZONE_TYPE_PRIMARY
バージョン:50
dwDpFlags:DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
pszDpFqdn:DomainDnsZones.testad.local
pszZoneName:_msdcs.testad.local
フラグ:DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
ZoneType:DNS_ZONE_TYPE_PRIMARY
バージョン:50
dwDpFlags:DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
pszDpFqdn:ForestDnsZones.testad.local
②DNS的记录的确认
SRV _ldap._tcp.TESTAD.LOCAL -t#ホスト
_ldap._tcp.TESTAD.LOCAL SRVレコード0100389 centos7-samba.testad.localを持っています。
SRV _kerberos._udp.TESTAD.LOCAL -t#ホスト
_kerberos._udp.TESTAD.LOCALは0 100 88 centos7-samba.testad.local SRVレコードを持っています。
#ホスト-t-centos7 samba.testad.local
centos7-samba.testad.localは、アドレス192.168.122.84を持っています
。8、Kerberos構成
、Kerberos構成で以下。次のコマンドの実装では、テンプレートコンフィギュレーションファイルをコピーします。
#/etc/krb5.confのCPの/usr/local/samba/private/krb5.conf
CP: `の/etc/krb5.confは、Y「を交換する?
テストKeroberos機能を。(フォーム:大文字での完全なドメイン名@ kinitを管理者
#[email protected]のkinit
[email protected]用パスワード:
警告:あなたのパスワードウィルザ・によって2015インディアン09越07月曜日15時57分48秒ON 41日に失効
がある場合次のエラーメッセージが、確認するDNSドメイン名が大文字かどうか、誤って入力されています。
#[email protected]のkinit
[email protected]用パスワード:
のkinit:返信はしばらくの間に取得初期資格情報をKDCの期待と一致しませんでした
9、のファイアウォール・SELinuxの構成
ファイアウォールが起動され、対応するポートを開くために、次のコマンドを実行します。
ファイアウォール-CMD -permanent -zone#= = Sambaの公共-addで修理
#ファイアウォール-CMD = -permanent -zone公共-add =ケルベロスで修理
#ファイアウォール-CMD = -permanent -zone -add-公共サービスLDAP =
#ファイアウォール-permanent -zone公共-add = -cmd-サービス-LDAPS =
#=ファイアウォール-CMD -permanent -zone -add-パブリックDNS-サービス=
#=ファイアウォール-CMD -permanent -zone公共-add-NTP-サービス=
#ファイアウォール-CMD -add = -zone公共-永久ポート= 135 / TCP
#ファイアウォール-CMD = -permanent -zone公共-addポート= 464 / TCPの
#ファイアウォール-CMD = -permanent -zone公共-addポート= 1024 / TCP
ファイアウォール-CMD -permanent -zone#=公共-add-PORT = 3268 / TCP
#ファイアウォール-CMD = -permanent -zone公共-add-PORT = 3269 / TCP
#ファイアウォール-CMD -permanent -zone =パブリック-addポート= 137 / udppの
#ファイアウォール-CMD -permanent -zone =パブリック-addポート= 138 / UDP
#ファイアウォール-CMD -permanent -zone =パブリック-addポート= 389 / UDP
#ファイアウォール-CMDの-reload
SELinuxが有効になっている場合は、だけでなく、次のコマンドを実行します。
-P samba_domain_controller ON setsebool#
#setsebool -P samba_export_all_ro ON
setsebool -P samba_export_all_rw ON#
#setsebool -P samba_enable_home_dirs ON
ファイアウォールを必要としない場合は、ファイアウォールは、次のコマンドでオフにすることができます。
Systemctl STOPは、#1 firewalld
#が無効firewalld systemctl
おそらくSELinuxは無効にする、次のコマンドで、そうでない場合はSELinuxを。
setenforce 0#1
#は、/ etc / SELinuxの/ configのsedの"/ SELINUX / S /施行/無効/ G"を-i.bak
10、ログオンドメイン
DCサーバアドレス、「コンピュータ名/ドメイン名の変更」ドメイン(TESTAD)ログインで運転後のDNSサーバアドレス上のWindowsクライアント。
解決策は、のためにサンバ・ツールドメインの提供を行うために場合rhel7.3には、次のエラーが発生します
includedir以下はの/etc/krb5.confのこの行をコメントアウト/etc/krb5.conf.d/。
問題:
ERROR(LDB):キャッチされない例外- ../source4/dsdb/samdb/ldb_modules/password_hash.c:2241で操作エラー
ファイル「/usr/local/samba/lib64/python2.7/site-packages/samba/netcmd/ __init__.py」_runの中、ライン175、
リターンself.run(* argsが、** kwargsからは)
『/usr/local/samba/lib64/python2.7/site-packages/samba/netcmd/domain.pyファイル』、ライン461は、実行中
NOSYNC = ldap_backend_nosync、ldap_dryrun_mode = ldap_dryrun_mode)
提供の「/usr/local/samba/lib64/python2.7/site-packages/samba/provision/__init__.py」ファイル、行2171、
skip_sysvolacl = skip_sysvolacl)
provision_fillでファイル「/usr/local/samba/lib64/python2.7/site-packages/samba/provision/__init__.py」、ライン1794、
next_rid = next_rid、dc_rid = dc_rid)
fill_samdbで、ライン1452、「/usr/local/samba/lib64/python2.7/site-packages/samba/provision/__init__.py」ファイル
「KRBTGTPASS_B64」:b64encode(krbtgtpass.encode( 'UTF-16ル' ))
setup_add_ldif用に、ライン55を「/usr/local/samba/lib64/python2.7/site-packages/samba/provision/common.py」ファイル
ldb.add_ldif(データ、制御)
「ファイルは/ usr / local /サンバ/ lib64に/ python2.7 / add_ldifでのsite-packages /サンバ/ __ init__.py」、行225、
self.add(MSG、コントロール)
原因:
/etc/krb5.confの的includedir以下/etc/krb5.conf.d /不正确
この行はコメントアウト。
#私たちは、の/etc/krb5.conf
<中略>
#includedir /etc/krb5.conf.d/←ノート
<省略>
サンバ構築されたOpenLDAPのデータメソッドへの11回の直接アクセス
smb.confのアドを変更
LDAPサーバーはありません=強い認証が必要です
その後のsmbdを再起動します
执行命令
のldapsearch -h TESTAD.LOCAL -x -LLL -D「CN =管理者、CNはDC、ユーザーを= = testad、DC =ローカル」-W -b「CNユーザー、ローカルDC = testad、DC =を=」
サービスの開始以降に行われた12のサンバ
ファイルを編集します
/etc/systemd/system/samba-ad-dc.service
----サンバ-AD dc.serviceコンテンツ開始-------
[部]
説明AD = DCのsamba4
remote-fs.target nss-lookup.target = network.target後
[サービス]
タイプ=シンプル
ExecStart =は/ usr / local / samba / sbinに/サンバ-i
PIDFILE =の/ var /実行/サンバ/ samba.pid
[インストール]
WantedBy = multi-user.targetを
----サンバ-AD-dc.service内容结束-------
コマンドを実行し、起動サービスを作成し、サービスを開始し、サービスの状態を確認してください。
systemctlはサンバ-AD-DCを有効
サンバ-AD-DC起動systemctl
systemctlステータスサンバ-AD-DCを
13のSamba4パスワードポリシーの管理コマンド
今コマンド戦略をチェック
#サンバ・ツールドメインpasswordsettingsは表示され
たドメインのパスワード情報'DC = officepcv1、DC = UNIX-電源、DC =ネット'を
パスワードの複雑さ:上の
ストア平文パスワード:オフ
パスワードの履歴の長さ:24
最小パスワード長:7
最小パスワードの有効期間(日):1つの
パスワードの有効期間(日):42
アカウントのロックアウト期間(分):30
アカウントのロックアウトのしきい値(試行): 0
(分)の後にアカウントロックアウトをリセットします:30
Windowsのパスワードポリシーは、ActiveDirectoryのの記述に対応します
項目説明
複雑パスワードの複雑さのパスワード(混合英数字記号、3文字以上など、ユーザー名を含めることはできません)リミット
ストアplaingtextパスワードパスワード元のストレージ使用している
パスワードパスワード履歴の過去の長履歴の長さ
最小パスワード長パスワードの最小の長さ
の最小パスワードを(0が一度に変更することができます)パスワードの有効期間の時間変更しないでください
パスワードの有効期間パスワードYouxiaoqixian(0無期限)
、それはロックされた時間(分)の数に達した場合にアカウントロックアウト期間が間違ったパスワードを入力します
(アカウントロックアウトのしきい値のパスワードロック後の試みを0)はロックしない
アカウントロックアウトは、時間(分)をクリアした後でリセットパスワードの試行を
上記のパラメータは、(E)次のコマンドを変更することができます。
無効チェックパスワードの複雑※
#をサンバ・ツールドメインpasswordsettings設定-complexity =オフ:
※パスワードの最小の長さが設定されている。6
#Sambaドメイン・ツールPasswordSettings SET = -min。6長-PWD
※パスワード総統より禁止は中に0に設定されている
-minセット#サンバ・ツールドメインpasswordsettings -pwd年齢= 0
※パスワードを無期限に設定されているYouxiaoqixian
#サンバ・ツールドメインpasswordsettingsは-max設定 -pwd-年齢= 0
パスワードロック時間※お60分です
#サンバ・ツールドメインpasswordsettings設定-account -lockout-期間= 60
設定ロックする前パスワードの試行を※5
#サンバ・ツールドメインPasswordSettings SETの-accountロックアウトしきい値= 5
クリアな高時のパスワード試行を※0〜5分
#サンバ・ツールドメインpasswordsettingsが設定-reset -account-ロックアウト後= 5