Linux jako klient Active Directory z profilami wędrującymi cz. II

W pierwszej części poradnika pokazałem jak zainstalować i skonfigurować system Xubuntu w celu dodania komputera do Active Directory i uruchomienia logowania użytkowników domenowych. W tej części przedstawię kilka wskazówek, które ułatwią korzystanie z systemu Linux w Active Directory. Punktem kulminacyjnym tego artykułu będzie włączenie montowania zasobów użytkowników z serwera. Dzięki temu profile wędrujące przestaną dotyczyć wyłącznie systemów Windows.

Punkt trzeci poniższego tutoriala nie dotyczy bezpośrednio Linuxa. Pokazuję w nim jak tworzyć grupę w domenie i nadawać jej uprawnienia do folderów. To do jakiej grupy należą użytkownicy jest ważne w systemie Linux i przekłada się na uprawnienia folderów lokalnych. Dla administratora domeny, w której użytkownicy korzystają z różnych systemów operacyjnych, zarządzanie grupami będzie miało znaczenie.

1. Ustawienie hasła administratora

Jeśli w systemie jest zalogowany użytkownik domeny a w konsoli chcemy się dostać do konta root, musimy wykonać dosyć skomplikowaną operację: zalogować się na konto użytkownika stworzone podczas instalacji systemu poprzez wpisanie polecenie su manager (lub inna nazwa) i podanie hasła, wpisanie polecenia sudo su i ponowne podanie hasła. Aby uprości sprawę możemy będąc zalogowani na konto root wydać komendę

# passwd

i podać nowe hasło. Po tej operacji będzie można się zalogować na konto root z poziomu dowolnego usera poprzez wydanie polecenie su i podanie nowo utworzonego hasła.

2. Ustawienie domyślnej domeny logowania i praw do folderu użytkownika

W poprzedniej części pokazałem, że aby zalogować się do systemu Xubuntu kontem domenowym, nazwę użytkownika trzeba poprzedzić krótką nazwą domeny (hogwart\mpgomulka). Można sobie ułatwić sprawę wydając polecenie:

# lwconfig AssumeDefaultDomain true

Przy logowaniu można wpisywać samą nazwę użytkownika. Ta zmiana będzie miała też znaczenie później przy montowaniu folderów użytkowników.

Po za logowaniu do Xubuntu kontem użytkownika AD jest tworzony katalog profilu w lokalizacji /home/likewise-open/NAZWA_DOMENY/nazwa_proflu. Według domyślnych ustawień użytkownik ma pełne prawa do folderu, ale inni użytkownicy w danej grupie mogą przeglądać jego zawartość. Aby udzielić wyłącznych praw do folderu użytkownikowi, trzeba wywołać komendę:

# lwconfig homedirumask 077

Narzędzie lwconfig jest instalowane wraz z pakietem likewise-open.

3. Profile wędrujące i folder wspólny

Poniższe operacje będziemy wykonywać dla użytkowników konkretnej grupy. Dlatego w tym zagadnieniu zacznę od utworzenia grupy i jej członków.

Na komputerze z systemem Windows z zainstalowanymi przystawkami administracji serwerem trzeba otworzyć Użytkownicy i komputery usługi Active Directory, otworzyć folder Users, kliknąć prawym przyciskiem myszy, wybrać Nowy => Grupa:

Jeśli tworzymy konta dla uczniów, możemy nazwać grupę "Students". Pozostałe opcje pozostawiamy domyślne.
W kolejnym kroku należy utworzyć konta, np. student1, student2, student3... wybierając Nowy => Użytkownik. Wystarczy wypełnić pole Imię lub Nazwisko oraz Nazwa logowania użytkownika. Każdego użytkownika należy dodać do grupy Students poprzez kliknięcie prawym przyciskiem myszy, wybranie Właściwości, karta Członek grupy. Do listy dodajemy grupę Students, ustawiamy ją jako domyślną i usuwamy grupę Domain users:

Następnie należy utworzyć foldery na kontrolerze domeny. Jeden wspólny - Common i drugi do przechowywania prywatnych plików użytkowników mobilnych. Trzeba zalogować się kontem root i wykonać polecenie:

# mkdir /usr/local/samba/var/Common
# mkdir /usr/local/samba/var/StudentsData

Aby udostępnić zasoby sieciowe w Sambie, trzeba wyedytować plik /usr/local/samba/etc/smb.conf dodając informację o nowo utworzonych folderach:

Trzeba przeładować ustawienia Samby poleceniem:

# /usr/local/samba/bin/smbcontrol all reload-config

Aby sprawdzić czy zmiany odniosły skutek wydajemy komendę:

# /usr/local/samba/bin/smbclient -L localhost -U%

Nowe foldery powinny się pojawić na liście:

W kolejnym kroku musimy przydzielić grupie Students uprawnienia do nowych folderów. W tym celu wracamy na komputer z Windows, wciskamy klawisze Windows+R i wpisujemy \\nazwa_serwera. Powinno pojawić się okno:

Klikamy prawym przyciskiem myszy na folder Common, wybieramy Właściwości, kartę Zabezpieczenia i klikamy Edytuj. Z listy możemy usunąć wszystkie wpisy poza Administratorem. Musimy dodać grupę Students i nadać jej Pełną kontrolę:

W przypadku folderu StudentsData klikamy prawym przyciskiem myszy, wybieramy Właściwości, kartę Zabezpieczenia. Klikamy przycisk Zaawansowane i Zmień uprawnienia. Z listy usuwamy wszystko poza Administratorem, dodajemy grupę Students i w okienku, które się pojawi wybieramy "Tylko ten folder" i zezwalamy na Pełną kontrolę:

Klikamy OK. W okienku odznaczamy pole "Dołącz uprawnienia dziedziczne z tego obiektu nadrzędnego":

Zamykamy okna klikając OK.

Aby użytkownicy mieli dostęp do folderu Common i swoich folderów prywatnych zaraz po zalogowaniu w systemie Windows, należy wprowadzić  następujące ustawienia. Trzeba zaznaczyć wszystkich użytkowników z grupy Students, kliknąć prawym przyciskiem myszy, wybrać Właściwości, kartę Profil i wprowadzić ustawienia według schematu:

Klikamy Zastosuj, potwierdzamy wyskakujący komunikat i klikamy OK.

W ten sposób utworzyliśmy profile wędrujące w grupie Students. Po zalogowaniu w systemie Windows, w oknie Mój komputer jest widoczny dysk sieciowy zmapowanego folderu Common:

4. Montowanie zasobów w Xubuntu

Wiemy już jak stworzyć profil wędrujący i korzystać z niego w systemach Windows. Umiemy też utworzyć wspólny folder i mapować dysk sieciowy. W tym punkcie pokażę jak te same operacje przeprowadzić w systemie Linux na przykładzie Xubuntu.

Aby móc montować zasoby Samby w Linuxie musimy zainstalować odpowiednie pakiety. W Xubuntu (i innych systemach opartych na Debianie) otwieramy konsolę, logujemy się na konto root i wykonujemy polecenie:

# apt-get install cifs-utils

Folder Common

Zaczniemy od montowania folderu wspólnego. Będą mieli do niego dostęp wszyscy użytkownicy grupy Students. Najpierw utworzymy folder, do którego będą montowane zasoby:

# mkdir /mnt/Common

W ten sposób utworzony folder jest własnością użytkownika root w grupie root. Musimy zatem zmienić właściciela folderu:

# chown :NAZWA_DOMENY\\Students /mnt/Common

Nadamy też pełne uprawnienia grupie Students do folderu:

# chmod 070 /mnt/Common

Wydając polecenie:

# ls -l /mnt

powinniśmy zobaczyć następujący zapis:

Zwykłe montowanie dla jednego użytkownika możemy wykonać wydając polecenie:

# mount.cifs //serwer.domena.local/Common /mnt/Common -o username=student1,password=P@ssword,uid=NAZWA_DOMENY\\student1

Odmontowujemy poleceniem:

# umount /mnt/Common

Aby folder Common był montowany przy każdym uruchomieniu komputera, musimy dodać odpowiedni zapis w pliku /etc/fstab:

Zapis credentials=/usr/src/.smbcred oznacza, że nazwa użytkownika i hasło znajduje się w ukrytym pliku, który musimy stworzyć. Wydajemy komendę:

# mcedit /usr/src/.smbcred

i wpisujemy nazwę użytkownika posiadającego prawa do zasobów sieciowych oraz hasło:

Nadajemy jeszcze odpowiednie prawa do pliku, aby login i hasło nie dostały się w niepowołane ręce:

# chmod 600 /usr/src/.smbcred

Foldery prywatne użytkownika

Nieco inaczej wygląda kwestia montowania folderu z danymi użytkownika. W Linuxie istnieje możliwość zamontowania wybranych zasobów podczas logowania usera. W tym celu musimy zainstalować pakiet

# apt-get install libpam-mount

Po instalacji dopisujemy jedną linijkę do polik /etc/security/pam_mount.conf.xml:

Wpis oznacza m. in., że zasoby będą montowane do folderu Windows w lokalizacji użytkownika w systemie. Nie trzeba tworzyć folderu Windows. Będzie on się pojawiał automatycznie podczas logowania i znikał po wylogowaniu. Jeśli użytkownicy będą równolegle korzystali z systemu Windows 7 należy zmenić wpis
path="StudentsData/%(DOMAIN_USER).V2"
Możemy wpisać kilka linijek <volume... /> dla użytkowników różnych grup.

Po wykonaniu powyższych operacji, możemy zalogować się do Xubuntu profilem domenowym. Po zalogowaniu wchodzimy w Katalog użytkownika i sprawdzamy czy jest w nim folder Windows. Jeśli wcześniej nie logowaliśmy się w systemie Windows, folder nie zostanie utworzony. Następnie z pulpitu wchodzimy w System plików, otwieramy folder mnt a następnie Common. Wewnątrz tworzymy dowolny plik lub katalog:

Następnie z innego komputera wchodzimy do lokalizacji \\serwer\Common. Powinien wyświetlić się utworzony testowy plik:

Oznacza to, że folder Common montuje się poprawnie.

Na końcu dla testów w Xubuntu w prawym górnym rogu klikamy nazwę usera i wybieramy Przełącz użytkownika. Logujemy się innym kontem domenowym.

Na ekranie widać, że drugi użytkownik z grupy Students posiada uprawnienia do folderu Common i nie ma uprawnień do folderu pierwszego zalogowanego profilu.

Skróty do folderu Windows i Common możemy wyciągnąć na pulpit. Klikamy na folder prawym przyciskiem myszy, wybieramy Wyślij do => Pulpit (utwórz dowiązanie).

5. Dodanie grupie uprawnień administracyjnych w Xubuntu

Grupom w Active Directory można nadawać prawa administracyjne w Linuxie, aby użytkownicy mogli wykonywać polecenia administratora poprzedzone słówkiem sudo. Aby to zrobić, należy z poziomu root wyedytować plik /etc/sudoers i dodać linijkę jak na ekranie:

Po zapisaniu pliku wydajemy komendę testową z poziomu użytkownika domeny:

$ sudo apt-get update

Po wpisaniu hasła użytkownika powinniśmy dostać taki wynik:

Zakończenie

Desktop z systemem Linux został dodany do domeny Active Directory. Profile wędrujące zostały uruchomione a użytkownicy mogą zapisywać swoje dane w jednym folderze zarówno w systemie Linux i Windows.

Administratorom życzę powodzenia we wdrożeniach. Wszelkie pytania i sugestie piszcie w komentarzach. Zawsze chętnie pomogę.

Linux jako klient Active Directory z profilami wędrującymi cz. I

Wstęp

Uruchomienie kontrolera domeny Active Directory w systemie Unix/Linux niemal domaga się, aby komputery klienckie nie było obsługiwane wyłącznie przez systemy Windows, ale także przez środowiska z rodziny darmowego oprogramowania. Bez względu na to jaki system zarządza kontrolerem domeny, można podpiąć Linuxa do Active Directory. Jak to zrobić, pokażę w tym tutorialu.

Pierwszym wyborem, przed jakim staje administrator, jest to, którą dystrybucję wybrać do instalacji na desktopach. Przed napisaniem tego poradnika dopadł mnie taki sam dylemat, więc przetestowałem kilka środowisk. Nieco inaczej podłącza się do domeny systemy z rodziny Red Hat (Fedora, CentOS) a inaczej Debian/Ubuntu czy Suse. Ostatecznie wybrałem drugi zestaw a konkretnie system Xubuntu. Dlaczego akurat ten? Po pierwsze oprogramowanie z rodziny Ubuntu jest obecnie bardzo popularne, cały czas rozwijane i wspierane. Po drugie, po intuicyjnej  instalacji dostajemy gotowy i działający system, którego nie trzeba specjalnie konfigurować żeby działał. No i po trzecie (i chyba najważniejsze), czytelnikami moich poprzednich poradników są nie raz administratorzy szkolnych pracowni, którzy szukają alternatywy dla umierającego programu "Pracowni komputerowych dla szkół" z SBS-em. Od przyjaciela wiem, że komputery w takich pracowniach to leciwe maszyny, którym ciężko obsłużyć coś ponad Windows XP, który lada dzień straci wsparcie. Potrzeba więc lekkiego systemu z mało wymagającym środowiskiem graficznym. Takim jest Xfce dostępny m. in. w Xubuntu (Ubuntu+Xfce). Z tej samej rodziny mogę również polecić system Linux Mint. Wywodzi się również z Ubuntu i jest możliwość zainstalowania środowiska Xfce.

Instalacja systemu

Obraz płyty instalacyjnej można pobrać ze strony http://xubuntu.org/getxubuntu/. Jak wspomniałem we wstępie instalacja Xubuntu przebiega bezproblemowo i intuicyjnie. W pierwszym kroku należy wybrać język systemu:

Kolejne opcje można pozostawić domyślnie. Okienku "Tożsamość użytkownika" należy wypełnić wg wzoru:

"Imię i nazwisko użytkownika" można zostawić puste. Po kliknięciu "Naprzód" można zrobić sobie kawę i poczekać aż pojawi się ekran:

Klikamy "Uruchom ponownie komputer". Po chwili pojawi się komunikat:

Wyjmujemy płytę instalacyjną i wciskamy Enter.

Następnie należy się zalogować kontem utworzonym podczas instalacji:

Konfiguracja przed podłączeniem do domeny

Kolejne kroki będziemy wykonywać głównie w konsoli. W tym celu na górze po lewej rozwijam menu ukryte pod logiem Xfce, wybieramy Akcesoria i Emulator terminala:

Do wprowadzania ustawień potrzebujemy konta roota więc w konsoli wpisujemy:

$ sudo su

i podajemy hasło naszego użytkownika.

Najpierw należy sprawdzić czy mamy połączenie z siecią, w której znajduje się domena Active Directory. Wywołujemy komendę

# ifconfig

i sprawdzamy adres IP komputera:

Poprzez ping dowolnego adresu internetowego możemy sprawdzić połączenie ze światem.

Podobnie jak w poprzednich poradnikach polecam instalację programu Midnight Commander, który da nam wygodny menedżer plików oraz przyjazny edytor tekstów mcedit. W tym celu wywołujemy polecenie:

# apt-get install mc

Jeśli wszystko do tej pory przebiegło poprawnie, musimy sprawdzić połączenie z kontrolerem domeny. Wywołujemy komendę:

# ping nazwa_serwera -c 6

Prawdopodobnie kolejne linijki pingu będą wyświetlać się dosyć niemrawo, gdyż system w poszukiwaniu nazwy przeszukuje DNS. Aby proces przyspieszyć, trzeba wyedytować plik /etc/hosts:

# mcedit /etc/hosts

Dopisujemy linijkę na górze pliku poprzez wpisanie adresu IP, pełnej i krótkiej nazwy naszego kontrolera domeny:

Aby zapisać wciskamy F2, a żeby wyjść - dwa razy Esc. Po tej operacji jeszcze raz sprawdzamy ping. Powinien iść znacznie szybciej.

Kolejne kroki mają za zadanie poprawne ustawienie pliku /etc/resolv.conf. Odpowiada on za przeszukiwanie DNS i rozpoznawanie nazw hostów. W Linuxach desktopowych podczas instalacji systemu zostają zainstalowane pakiety, które dynamicznie aktualizują ten plik. Jednego z nich musimy się pozbyć. Wykonujemy polecenie:

# apt-get purge resolvconf

Następnie edytujemy plik /etc/NetworkManager/NetworkManager.conf i przed linijką dns=dnsmasq stawiamy znak #.
W kolejnym kroku trzeba otworzyć plik /etc/dhcp/dhclient.conf oraz znaleźć i wyedytować dwie linijki wg wzoru:

Oczywiście trzeba wpisać swoją nazwę domeny i adres serwera.

Na koniec tego etapu musimy jeszcze wyedytować plik /etc/nsswitch.conf. Odnajdujemy i zmieniamy linijkę:

hosts:          files dns mdns4_minimal [NOTFOUND=return]

Zainstalujemy jeszcze pakiet likewise-open, który później pozwoli nam się połączyć z domeną:

# apt-get install likewise-open

Po instalacji restartujemy komputer.

Podpięcie komputera do domeny

Po ponownym uruchomieniu komputera otwieramy terminal i logujemy się na konto roota. Poleceniem

# cat /etc/resolv.conf

sprawdzamy zawartość pliku. Powinna być ona zbliżona do tej:

W pliku musi się znaleźć nazwa domeny i adres serwera DNS (kontrolera domeny).

Podłączenie komputera do domeny Active Directory odbywa się przez polecenie:

# domainjoin-cli join pelna.nazwa.domeny konto_administratora_domeny

Podajemy hasło administratora domeny i jeśli wszystko do tej pory przebiegło poprawnie powinny się wyświetlić następujące komunikaty:

Komputer został dodany do Active Directory. Jak mówi ostatni komunikat, należy ponownie uruchomić komputer.

Gdy po restarcie wyświetli się ekran logowania, należy rozwinąć listę i wybrać "Inny użytkownik...":

W polu nazwy użytkownika trzeba wpisać nazwę poprzedzoną krótką nazwą domeny:

Po wpisaniu hasła klikamy "Log In" i uruchamia się system. W prawym górnym rogu ekranu widzimy pełną nazwę użytkownika domeny:

Na koniec można jeszcze otworzyć przystawkę "Użytkownicy i komputery usługi Active Directory" na komputerze z systemem Windows w celu potwierdzenia, że desktop z Xubuntu dodał się do domeny:

Zakończenie

Jeśli chodzi o dodanie komputera z systemem Linux do Active Directory i logowanie kontem domenowym to wszystko. W kolejnym artykule pokażę jeszcze klika przydatnych opcji, m. in. jak montować dane użytkowników przechowywane na serwerze, aby móc w pełni cieszyć się możliwościami profili wędrujących.

Replikacja SysVol na kontrolerach Samba4

Post jest w zasadzie streszczeniem artykułu z oficjalnego HowTo Samby: https://wiki.samba.org/index.php/SysVol_Replication. Od siebie dodałem uzupełnienie m. in. w postać grafik ilustrujących poszczególne czynności.

Na chwilę obecną Samba4 nie wspiera pełnej replikacji SysVol. Możliwe jest natomiast jednokierunkowe kopiowanie SysVol z głównego kontrolera domeny na kontrolery dodatkowe. Istnienie głównego kontrolera ("master") jest tutaj znaczące.

Przed rozpoczęciem pracy nad konfiguracją replikacji należy upewnić się, co do ustawień głównego kontrolera. W tym celu logujemy się kontem administratora domeny na komputer z systemem Windows, na którym mamy zainstalowane narzędzia administracji serwerem. Następnie wciskamy klawisze Windows+R, wpisujemy gpmc.msc i klikamy OK. Uruchomi się przystawka "Zarządzanie zasadami grupy". W drzewku po lewej stronie trzeba odnaleźć ikonę naszej domeny, kliknąć prawym przyciskiem i wybrać Zmień kontroler domeny... Ukaże się okienko:

Ustawienia powinny być takie jak na obrazku. Są to ustawienia domyślne.

Kolejne operacje będziemy przeprowadzać na głównym kontrolerze domeny.

Najpierw należy zainstalować rsync oraz xinetd. W tym celu wykonujemy polecenie:

# apt-get install rsync xinetd

Następnym krokiem jest edycja pliku /etc/xinetd.d/rsync. Wykonujemy polecenie

# mcedit /etc/xinetd.d/rsync

i wypełniamy wg wzoru:

Następnie trzeba utworzyć i wyedytować plik /etc/rsyncd.conf:

Kolejnym krokiem jest utworzenie pliku /usr/local/samba/etc/rsyncd.secret i zapisanie w nim hasła:

sysvol-replication:T@jn3hasl0

Plik musi posiadać odpowiednie atrybuty w celu ukrycia hasła przed niepowołanymi osobami. W tym celu wykonujemy komendę:

# chmod o-r /usr/local/samba/etc/rsyncd.secret

Ostatnim krokiem jest restart xindetd:

# service xinetd restart

Dalsze operacje muszą zostać wykonywane na wszystkich dodatkowych kontrolerach domeny, na które chcemy replikować.

Najpierw należy zainstalować rsync.

Następnie trzeba utworzyć plik /usr/local/samba/etc/rsync-sysvol.secret i wpisać do niego hasło ustawione na głównym kontrolerze:

T@jn3hasl0

Do tego pliku również nie mogą mieć dostępu niepowołane osoby.

W celu uruchomienia replikacji należy wywołać polecenie:

# rsync --dry-run -XAavz --delete-after --password-file=/usr/local/samba/etc/rsync-sysvol.secret rsync://sysvol-replication@192.168.0.1/SysVol/ /usr/local/samba/var/locks/sysvol/

Po znaku '@' podajemy IP głównego kontrolera domeny. Po wykonaniu komendy efekt powinien być następujący:

Jeśli wszystko się udało należy wykonać powyższe polecenie jeszcze raz bez opcji --dry-run. Dopiero wówczas pliki zostaną skopiowane.

Jeśli chcemy aby replikacja uruchamiała się w określonych odstępach czasu, należy powyższe polecenie dodać do tablicy crone. W tym celu z poziomu użytkownika root wydajemy polecenie:

# crontab -e

i na końcu dodajemy:

59 23 * * * rsync -XAavz --delete-after --password-file=/usr/local/samba/etc/rsync-sysvol.secret rsync://sysvol-replication@192.168.0.1/SysVol/ /usr/local/samba/var/locks/sysvol/

W ten sposób replikacja będzie się uruchamiać codziennie o godzinie 23:59.

Synchronizacja czasu w domenie - NTP

Jedną z metod uwierzytelniania użytkowników domeny jest sprawdzanie przez Kerberosa czy czas (zegar systemowy) na komputerach klienckich i kontrolerze domeny jest taki sam. W celu zapewnienia synchronizacji czasu w Active Directory stosuje się protokół NTP. Na kontrolerze Samba4 w systemie Debian w prosty sposób można uruchomić serwer czasu i skonfigurować go do pracy w domenie.

Instalacja

Aby zainstalować serwer czasu należy wykonać polecenie:

# apt-get install ntp

Kolejnym krokiem jest konfiguracja pliku /etc/ntp.conf:

Wystarczy przepisać wszystko z powyższego obrazka.

Następnie należy zrestartować usługę poleceniem:

# service ntp restart

Serwer jest gotowy do pracy.

Synchronizacja czasu na komputerach klienckich

W systemie Windows XP w wierszu poleceń wykonujemy komendę:

w32tm /resync

Efekt powinien być następujący:

W systemie Windows 7 wywołujemy polecenie:

net time /set

Przy pytaniu Czy chcesz ustawić czas lokalnego komputera, aby zgadzał się
z czasem na \\serwer.naszej.domeny? (T/N) [T]: wciskamy Enter:

Jeśli w domenie są komputery klienckie lub dodatkowe kontrolery z systemem Linux, w celu synchronizacji czasu należy zainstalować na nich narzędzie ntpdate.

W systemach opartych na Debianie wykonujemy polecenie:

# apt-get install ntpdate

Synchronizacja odbywa się przez wykonanie polecenia:

# ntpdate 192.168.0.1

Podajemy adres IP serwera NTP w naszej domenie:

Źródła:

https://wiki.samba.org/index.php/Configure_NTP
http://dug.net.pl/tekst/166/serwer_ntp/
http://wss.geekclub.pl/forum/watek/synchronizacja-czasu-w-domenie,337205

Samba4 jako dodatkowy kontroler istniejącej domeny

Kilka osób zapytało mnie ostatnio jak dołączyć serwer z Sambą do istniejącej już domeny jako dodatkowy kontroler a przy okazji też jako dodatkowy DNS. Informacje na ten temat można znaleźć na stronie https://wiki.samba.org/index.php/Samba4/HOWTO/Join_a_domain_as_a_DC. Żeby jednak wszystko było jasne i zrozumiałe, pokusiłem się o szybki test i spieszę z podzieleniem się zdobytą wiedzą.

Za bazę do testów posłużył mi skonfigurowany wcześniej podstawowy kontroler domeny wg tego tutarialu: http://www.samba.org.pl/2013/09/active-directory-na-linuxie-kompletny.html. Zatem podłączyłem Sambę do Samby :)

A teraz o tym co trzeba robić po kolei.

Na początku należy otworzyć wspomniany wyżej tutorial i skonfigurować system, kończąc na punkcie III. 3. Oczywiście należy nadać komputerowi inną nazwę i numer IP.

Przy instalacji kerberosa pola Kerberos servers for your realm i Administrative server for your Kerberos realm można zostawić puste. Należy jednak pamiętać aby poprawnie wpisać nazwę domeny.

Kolejnym krokiem jest wyedytowanie pliku /etc/krb5.conf. Należy usunąć całą jego zawartość, pozostawiając tylko poniższą treść:

[libdefaults]
   default_realm = NAZWA.NASZEJ.DOMENY
   dns_lookup_realm = true
   dns_lookup_kdc = true

Następnie trzeba wyedytować plik /etc/resolv.conf wg wzoru:

nameserver 192.168.0.1
nameserver 192.168.0.2
domain nazwa.naszej.domeny
search nazwa.naszej.domeny

Jako pierwszy musi być wpisany DNS rozpoznający nazwy w domenie, czyli np. adres głównego kontrolera. Jako drugi podajemy adres konfigurowanego drugiego serwera.

Po dwóch powyższych krokach należy wykonać polecenie, które doda nowy kontroler do istniejącej domeny:

# /usr/local/samba/bin/samba-tool domain join nazwa.naszej.domeny DC -Uadministrator --realm=nazwa.naszej.domeny --dns-backend=BIND9_DLZ

Konfigurator zapyta o hasło administratora domeny a po jego wpisaniu rozpocznie się proces dodawania dodatkowego kontrolera. Po tej operacji powinien się wyświetlić komunikat taki jak ten:

Joined domain SAMBA (SID S-1-5-21-3565189888-2228146013-2029845409) as a DC

Oznacza on, że nigdzie nie popełniliśmy błędu :)

W kolejnych krokach wykonujemy punkty III. 6., III. 8. i III. 9. tutoriala.

Następnie możemy zalogować się do komputera z systemem Windows podpiętego do naszej domeny, na którym mamy zainstalowane narzędzia administracji serwerem. Po otwarciu przystawki "Użytkownicy i komputery usługi Active Directory" wchodzimy w Domain Controllers i po odświeżeniu powinniśmy zobaczyć dwa kontrolery naszej domeny:

Podobnie wybierając przystawkę "DNS":

Podczas otwierania przystawki "DNS" może wyświetlić się pytanie o to, z którym serwerem chcemy się połączyć. Należy wpisać którąś z nazw. Jeśli na liście brakuje któregoś serwera, należy kliknąć po lewej stronie na ikonę DNS i wybrać Podłącz do serwera DNS...

I to wszystko jeśli chodzi o instalację dodatkowego kontrolera domeny :)