Wstęp
Od ostatnich postów na tym blogu już trochę czasu minęło, a
w systemach wolnego oprogramowania pojawiły się nowości. Przede wszystkim 25
kwietnia br. ukazała się nowa stabilna wersja systemu operacyjnego Linux –
Debian 8 Jessie a 6 czerwca jej aktualizacja (8.1). Dla tej wersji zmienia
się sposób instalacji Samby i konfiguracji kontrolera domeny Active Directory.
Samba również cały czas się rozwija, dlatego 4 marca br. pojawiła się wersja 4.2
a wraz z nią przestała być rozwijana Samba 3. Najnowszym stabilnym wydaniem
tego serwera jest 4.2.2 z 27 maja. Na napisanie nowej książki z aktualnymi
sposobami konfiguracji kontrolera domeny potrzeba trochę czasu, więc najnowsze
informacje zamieszczam właśnie tutaj.
W poprzedniej wersji Debiana można było zainstalować Sambę
poprzez kompilację źródeł (opisane tutaj: https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html)
lub z repozytoriów Backports (pokazane w książce). Debian 8 Jessie zawiera
Sambę 4 w standardowych repozytoriach. Jest to jednak wersja 4.1.17, zatem
jeśli chcemy mieć najnowszą wersję serwera, musimy skompilować źródła. W
najnowszym Debianie zmienia się także sposób instalacji serwera DNS Bind oraz
pojawia się kilka mniejszych zmian, które niedoświadczonym użytkownikom mogą
zepsuć nastrój.
W tym artykule pokarzę jak zainstalować i skonfigurować
kontroler domeny poprzez instalację Samby z repozytoriów Debiana. Instalację
poprzez kompilację źródeł opiszę w drugiej części, w innym poście.
Część I – instalacja i konfiguracja systemu operacyjnego
Instalacja i konfiguracja najnowszego Debiana nie różni się
znacząco o opisanej w poprzedniej wersji poradnika - https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html.
Zakładamy, że kontrolerem domeny będzie komputer wpięty do sieci w topologii
gwiazdy wraz z komputerami klienckimi:
Debiana zainstalujemy z wykorzystaniem obrazu płyty
„netinstall”, który należy pobrać ze strony https://www.debian.org/distrib/netinst
i wypalić na nośniku fizycznym. Podczas instalacji serwer musi mieć dostęp
do Internetu.
Sposób instalacji przebiega tak jak we wcześniejszym
artykule, do momentu wyboru składników systemu:
W Debianie 7 w tym miejscu mogliśmy zaznaczyć do instalacji
serwer DNS. Tutaj tej opcji nie ma. Wybór składników systemu jest w zasadzie
dowolny. Jeśli serwer ma być tylko kontrolerem domeny AD, można nie
zaznaczać żadnych punktów.
Kolejną różnicę zobaczymy pod koniec instalacji. Jak widać
na poniższym rysunku trzeba ręcznie wybrać urządzenie, na którym zostanie
zainstalowany program rozruchowy.
Po zakończeniu instalacji należy zalogować się kontem root i
skonfigurować system. W tym miejscu trzeba wykonać kroki opisane w punkcie II
tej instrukcji: https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html.
Część II – konfiguracja kontrolera domeny
Aby odpalić Active Directory pod kontrolą Debiana, trzeba
zainstalować Sambę, serwer DNS i system autoryzacji Kerberos. W tym celu
wystarczy wydać polecenie:
# apt-get install
samba smbclient bind9 krb5-user
Następnie trzeba wypromować domenę. Najpierw należy usunąć
stary plik konfiguracyjny poleceniem
# rm /etc/samba/smb.conf
W kolejnym kroku wydajemy komendę:
# samba-tool domain
provision
i odpowiadamy na pytania kreatora. Przy opcjach Realm,
Domain i Server Role po prostu wciskamy Enter. Przy opcji DNS backend wpisujemy
BIND9_DLZ. Podajemy dwukrotnie hasło administratora domeny (nie może być
trywialne!) i czekamy aż proces promowania dobiegnie końca. Jeśli wszystko do
tej pory zrobiliśmy poprawnie, powinniśmy zobaczyć wynik podobny do poniższego.
W następnym etapie należy skopiować plik krb5.conf
poleceniem
# cp /var/lib/samba/private/krb5.conf
/etc/krb5.conf
oraz wyedytować wg wzoru:
Do poprawnego działania kontrolera domeny potrzeba jeszcze
skonfigurować zainstalowany wcześniej serwer DNS Bind9. Najpierw edytujemy plik
/etc/bind/named.conf.options jak poniżej:
Następnie plik /etc/bind/named.conf.local:
oraz /etc/resolv.conf:
Wrzucając Sambę 4 do głównego repozytorium, twórcy Debiana
zaliczyli wtopę, a przynajmniej tak można sądzić po konieczności edycji
ostatniego pliku - /var/lib/samba/private/named.conf:
W Debianie 8 Jessie domyślnie instalowana jest nowsza wersja
Binda niż ta, którą Samba 4 ma w ustawieniach :-)
Po zapisaniu wszystkich plików warto sprawdzić konfigurację
Binda poleceniem
# named-checkconf
Jeśli nic się nie pojawi, to dobrze, a jeśli się pojawi, to
będziemy wiedzieć, w którym pliku popełniliśmy błąd.
Ostatnim etapem jest restart serwisów Samby i Binda. W tym
celu wykonujemy polecenia:
# /etc/init.d/samba
stop
# /etc/init.d/bind9
stop
# /etc/init.d/samba
start
# /etc/init.d/bind9
start
Następnie sprawdzamy czy serwisy wystartowały:
# pgrep named
(powinien pojawić się numer serwisu)
# pgrep samba
(lista numerów serwisów)
Na koniec wykonujemy jeszcze polcenie
# kinit
administrator
po którym wpisujemy hasło administratora domeny oraz
# smbclient –L localhost
–U%
Efekt powinien być taki jak na grafice:
Konfiguracja dobiegła końca. Można podpinać komputery
klienckie do domeny :-)
