...
Es wird vorausgesetzt, dass der Domaincontroller ebenfalls ein Samba-Server ist, z.B. nach folgenden Anleitung erstellt: Konfiguration samba als active directory domain controller
| Info |
|---|
Bitte berücksichtigen, dass diese Anleitung NICHT auf dem Domaincontroller zur Anwendung kommen darf, sondern ausschließlich auf den sogenannten "Member Server", also die Server welche Mitglied in der Domain werden sollen. |
Verwendete Konfiguration
| Variable | Wert | Beschreibung |
|---|---|---|
| meinserver | lemaker.fritz.box | Server der Domaincontroller ist |
| IPADRESSE | 192.168.101.18 | IP-Adresse des Domaincontrollers |
| example.com | lemaker.fritz.box | Domain |
| EXAMPLE | MB | alternative Workgroup |
| UBUNTU | ubu | Name des Linuxcomputers der in die Domain aufgenommen werden soll und auf dem die hier beschriebene Konfiguration stattfindet |
Vorbereitung der Installation
...
Die Namenauflösung wird getestet in dem man auf den Domaincontroller, einen internen Namen und auf einen beliebigen anderen Server außerhalb des Subnetzes einen ping absetzt.
| Code Block | ||
|---|---|---|
| ||
root@ubu:~# ping -c 1 lemaker.fritz.box PING lemaker.fritz.box (192.168.101.18) 56(84) bytes of data. 64 bytes from lemaker.fritz.box (192.168.101.18): icmp_seq=1 ttl=64 time=13.8 ms --- lemaker.fritz.box ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 13.853/13.853/13.853/0.000 ms |
| Code Block | ||
|---|---|---|
| ||
root@ubu:~# host -t SRV _kerberos._udp.lemaker.fritz.box _kerberos._udp.lemaker.fritz.box has SRV record 0 100 88 lemaker.lemaker.fritz.box. root@ubu:~# |
| Code Block | ||
|---|---|---|
| ||
root@ubu:~# ping -c 1 t-online.de PING t-online.de (217.6.164.162) 56(84) bytes of data. 64 bytes from www.t-online.de (217.6.164.162): icmp_seq=1 ttl=249 time=22.9 ms --- t-online.de ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 22.902/22.902/22.902/0.000 ms root@ubu:~# |
DNS-Konfiguration ggf. anpassen
Ist die o.g. Prüfung der Namensauflösung negativ verlaufen und werden insbesondere die internen Namen der Domainstruktur nicht aufgelöst, so muss die DNS-Konfiguration angepasst werden.
Soll-Konfiguration: Der DNS-Server ist gleich dem Domaincontroller.
Die beste Möglichkeit ist die Einstellung über das Tool /usr/bin/network-admin (als User "root" auf einer grafischen Oberfläche)
| Gallery | ||||
|---|---|---|---|---|
|
Lokale host-Datei anpassen
...
| Code Block | ||
|---|---|---|
| ||
127.0.0.1 ubu.lemaker.fritz.box localhost ubu #127.0.1.1 ubu 192.168.101.18 lemaker.fritz.box lemaker # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters |
ntp-Dienst prüfen
Für den ordnungsgemäßen Betrieb innerhalb einer Domain ist es wichtig, dass alle Computer an der Domain die gleiche Zeit verwenden.
Dies erreicht man am besten in dem man einen netzbasierten Zeitserver verwendet (ntp = Network Time Protocol")
Häufig ist dies bei einer Ubuntu-Installation bereits gegeben.
Prüfung:
| Code Block |
|---|
#Ist ntpdate installiert?
root@ubuntu:~# type ntpdate
ntpdate is /usr/sbin/ntpdate
#Versuch eines Zeitupdates
root@ubuntu:~# ntpdate -u de.pool.ntp.org
16 Jan 17:42:07 ntpdate[1784]: adjust time server 89.163.209.233 offset 0.299721 sec
root@lemaker:~#
#Ist die regelmäßige Zeitsynchronisation aktiv ?
root@ubuntu:~# service ntp status
* NTP server is running
root@ubuntu:~# |
Installation / Konfiguration
...
Danach muss noch die Kerberos-Konfigurationsdatei kontrolliert / angepasst werden.
Wie bereits erwähnt: Nur wenn man ADS verwenden möchte....
| Code Block | ||||
|---|---|---|---|---|
| ||||
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
default_realm = LEMAKER.FRITZ.BOX
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
ticket_lifetime = 24000
clock_skew = 300
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
LEMAKER.FRITZ.BOX = {
kdc = lemaker.fritz.box:88
admin_server = lemaker.fritz.box:464
default_domain = LEMAKER.FRITZ.BOX
}
[domain_realm]
.lemaker.fritz.box = LEMAKER.FRITZ.BOX
lemaker.fritz.box = LEMAKER.FRITZ.BOX
[login]
krb4_convert = true
krb4_get_tickets = false |
...
Samba konfigurieren
| Code Block | ||||
|---|---|---|---|---|
| ||||
[global] security = ads realm = LEMAKER.FRITZ.BOX #Der folgende Eintrag wird nicht benötigt #password server = IPADRESSE #IP des Domain Controllers workgroup = MB idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind cache time = 10 winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = member server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes [printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700 [print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no |
Dann den Service samba starten, aber winbind noch nicht.
Ggf. kann man die samba-Konfiguration mit dem Befehl "testparm" testen.
Domain beitreten
| Code Block |
|---|
root@ubu:~# net ads join -U Administrator
Enter Administrator's password:
Using short domain name -- MB
Joined 'UBU' to dns domain 'lemaker.fritz.box'
root@ubu:~# |
Wenn beim Beitritt zur Domain der folgende Fehler auftritt ...
| Code Block |
|---|
No DNS domain configured for <COMPUTERNAME>. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER |
... dann bitte nochmal den Abschnitt "Lokale host-Datei anpassen" lesen und hostdatei korrekt anpassen.
Danach winbind-Service starten
| Code Block |
|---|
root@ubu:~# service winbind start
winbind start/running, process 1485
root@ubu:~# |
Erste Tests mit winbind
| Code Block |
|---|
root@ubu:~# wbinfo -u
administrator
krbtgt
guest
root@ubu:~# |
| Code Block |
|---|
root@ubu:~# wbinfo -g
allowed rodc password replication group
enterprise read-only domain controllers
denied rodc password replication group
read-only domain controllers
group policy creator owners
ras and ias servers
domain controllers
enterprise admins
domain computers
cert publishers
dnsupdateproxy
domain admins
domain guests
schema admins
domain users
dnsadmins
root@ubu:~# |
Nameservice switch konfigurieren
| Code Block | ||
|---|---|---|
| ||
#Folgende Einträge anpassen
passwd: compat winbind
group: compat winbind
shadow: compat |
Danach winbind-Service neu starten
Userliste anzeigen
Es sollten lokale UNIX_Benutzer und Domainuser angezeigt werden
| Code Block |
|---|
root@ubu:~# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:106::/var/run/dbus:/bin/false
landscape:x:103:109::/var/lib/landscape:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
klaus:x:1000:1000:klaus,,,:/home/klaus:/bin/bash
#Ab hier Domainbenutzer
administrator:*:10000:10000:Administrator:/home/administrator:/bin/bash
krbtgt:*:10001:10000:krbtgt:/home/krbtgt:/bin/bash
guest:*:10002:10001:Guest:/home/guest:/bin/bash
root@ubu:~# |
Gruppenliste anzeigen
| Code Block |
|---|
root@ubu:~# getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,klaus
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:klaus
floppy:x:25:
tape:x:26:
sudo:x:27:klaus
audio:x:29:
dip:x:30:klaus
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:klaus
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
libuuid:x:101:
netdev:x:102:
crontab:x:103:
syslog:x:104:
fuse:x:105:
messagebus:x:106:
mlocate:x:107:
ssh:x:108:
landscape:x:109:
klaus:x:1000:
lpadmin:x:110:klaus
sambashare:x:111:klaus
winbindd_priv:x:112:
#Ab hier Domaingruppen
allowed rodc password replication group:x:10002:
enterprise read-only domain controllers:x:10003:
denied rodc password replication group:x:10004:krbtgt
read-only domain controllers:x:10005:
group policy creator owners:x:10006:administrator
ras and ias servers:x:10007:
domain controllers:x:10008:
enterprise admins:x:10009:administrator
domain computers:x:10010:
cert publishers:x:10011:
dnsupdateproxy:x:10012:
domain admins:x:10013:administrator
domain guests:x:10001:
schema admins:x:10014:administrator
domain users:x:10000:
dnsadmins:x:10015: |