Vedetta —
Vedetta è la seconda macchina realizzata ed è l’AD-DC della mini LAN.
Poiché farà solo da AD-DC non necessita di particolari spazi, il disco da 20 GB è stato così partizionato
2 gb swap
16 gb /
2 gb /samba
Ci sono diverse considerazioni da fare sulla scelta di avere una macchina che contrariamente a quanto si faceva un tempo provvede solo all’autenticazione degli utenti e alla gestione delle policy globali, con l’avvento della virtualizzazione è diventato facile avere tante macchine piccole che fanno ognuna una cosa, questo vuol dire sostanzialmente macchine semplici da fare e gestire, di contro se prima si avevano due macchine per esempio che coprivano interamente le necessità aziendali oggi si corre il rischio di averne una ventina, però e torniamo al discorso della semplicità una macchina che fa solo ed esclusivamente una cosa (o due-tre) e’ meno facile che si “inchiodi” ed è infinitamente più semplice fare troubleshooting, inoltre anche ipotizzando che non ne vieni fuori tirare in piedi una macchina sostitutiva non è un grosso lavoro, nello specifico parlando di samba ipotizzando che per un motivo qualsiasi la macchina AD-DC vada offline per un periodo di tempo lungo il DC di supporto provvede all’autenticazione e il samba share che sostanzialmente fa solo quello continua a lavorare senza neanche accorgersi, se invece ho nello stesso cesto sia i dati che la parte di autenticazione e qualcosa va storto sono fermo, inoltre chiudendo il discorso una macchina virtuale può essere dumpata facilmente, un conto è fare restore di 10 gb un altro di magari 1 tb.
La prima cosa da fare sulla macchina che sarà il cuore del dominio è sistemare il resolv.conf che dovrà diventare una cosa del genere:
search MYFIRM.LAN oceano.lan
nameserver 192.168.2.205 #se stessa
nameserver 192.168.2.203 #il DNS vero e proprio in questo caso alghero
Si passa a generare l’AD vero e proprio
# samba-tool domain provision –use-rfc2307 –interactive
Realm [OCEANO.LAN]: MYFIRM.LAN
Domain [MYFIRM]:
Server Role (dc, member, standalone) [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (write ‘none’ to disable forwarding) [192.168.200.203]: 192.168.200.203
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs
Adding DomainDN: DC=myfirm,DC=lan
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers and extended rights
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=myfirm,DC=lan
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba AD has been generated at /usr/local/samba/private/krb5.conf
Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
Setting up fake yp server settings
Once the above files are installed, your Samba AD server will be ready to use
Server Role: active directory domain controller
Hostname: vedetta
NetBIOS Domain: myfirm
DNS Domain: myfirm.lan
DOMAIN SID: S-1-5-21-3633762817-3401141303-3063552358
Arrivati a questo punto cancellare il file /etc/krb5.conf esistente e copiare il il file che si trova in /usr/local/samba/private sotto /etc
facciamo due test per vedere se tutto è andato come doveva:
# smbclient -L localhost -U%
Sharename Type Comment
——— —- ——-
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.9.4)
Reconnecting with SMB1 for workgroup listing.
Server Comment
——— ——-
Workgroup Master
e con questo abbiamo listato le share che mette a disposizione l’AD-DC proviamo adesso l’autenticazione con:
# smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter MYFIRM\Administrator’s password:
. D 0 Fri Mar 8 09:55:01 2019
.. D 0 Thu Mar 14 11:38:16 2019
1865076 blocks of size 1024. 1319992 blocks available
e anche qui ci siamo proviamo a fare qualche query al DNS per vedere se tutto è a posto
# host -t A vedetta.myfirm.lan.
vedetta.myfirm.lan has address 192.168.2.205
# host -t SRV _ldap._tcp.MYFIRM.LAN.
_ldap._tcp.MYFIRM.LAN has SRV record 0 100 389 vedetta.myfirm.lan.
# host -t SRV _kerberos._udp.MYFIRM.LAN.
_kerberos._udp.MYFIRM.LAN has SRV record 0 100 88 vedetta.myfirm.lan
e anche qui ci siamo. ultimo test sul kerberos e possiamo considerare pronta la macchina
# kinit administrator
Password for administrator@MYFIRM.LAN:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MYFIRM.LAN
Valid starting Expires Service principal
21/03/2019 11:10:22 21/03/2019 21:10:22 krbtgt/MYFIRM.LAN@MYFIRM.LAN
renew until 22/03/2019 11:10:13
Un ultimissima cosa che regolarmente mi scordo, il samba deve partire quando si accende la macchina quindi serve un init script, senza reinventare l’acqua calda l’ho preso da qui:
samba-ad-dc
Un altra cosa molto importante in ambiente AD è la sincronizzazione oraria, tutte le macchine devono avere lo stesso orario o al massimo uno scarto di 5 minuti, in un dominio AD i singoli client non possono scegliersi il server ntp che preferiscono, è il server AD stesso che fa da time server, quindi i singoli client quando si collegano al dominio prendono in automatico l’ora sincronizzandosi.
Qui la configurazione di ntp per un server AD-DC
Categorised as: Linux | Samba | Sistemi operativi | Work
Comments are disabled on this post