Контроллер домена на Linux — Sernet

Контроллер домена на Linux — Sernet

А теперь к полезному: сейчас я расскажу как поднять контроллер домена на Linux дистрибутиве — Sernet. В отличие от Novell/SUSE Excellent Samba4 Appliance, установка которого описана тут, этот работает у меня без глюков! Тьфу-тьфу-тьфу!!! Итак,…

1. Качай дистрибутив тут.

2. Устанавливаем.

a. Если устанавливаете на MS Hyper-V, то при автоматической установке возникнут проблемы. Избавиться от них можно так: SerNet Samba4 и Hyper-V

b. Рекомендую устанавливать через Advanced options -> Expert Install. На непонятные вопросы отвечать просто нажатием Enter.

c. Настройку сети лучше делать не с помощью dhcp, а вручную. Т.к. это всё-таки контроллер домена, ip должен быть статическим.

3. После установки получаем это: sambasernet

a. Жмём Start Setup

b. Hostname. Указываем имя создаваемого контроллера домена. DC

c. Realm. Указываем полное имя домена. PBD.NET

d. Domain name. Указываем то же самое, только без окончания. PBD

e. Administrator password. Указываем пароль администратора (логин при этом будет root)

f. Forwarder DNS. После настройки домен-контроллера он сам будет выступать в качестве DNS сервера, но только для локальных адресов. Поэтому если на клиентах указывать DNS — ip адрес контроллера домена, то интернет работать не будет. Для работы интернета на клиентах нужно будет ещё добавить вторичный DNS-сервер, например 8.8.8.8. Опция  Forwarder DNS позволяет избежать назначения двух DNS серверов на клиентах. Если служба DNS контроллера домена не может разрешить DNS-запрос, она обрацается к DNS-серверу в сети интернет. Поэтому выбираем Yes и вписываем туда DNS-сервер в интернете. Например, 8.8.8.8 или 91.222.240.250.

g. Zarafa AD schema extensions. Фиг знает что это, и оно скорее всего никому не надо, но я зачем-то установил.

h. Устанавливаем пароль для пользователя sernet

 i. Autologin. Спрашивает Хотите ли Вы отключить автоматический вход для пользователя sernet??? Ясен пень — ДА!

Поздравляю, почти готово!!!

4. Теперь попробуем добавить компьютер в домен.

Для того чтобы можно было включить компьютер в домен, с него должен пинговаться контроллер домена по имени! В нашем случае: ping PBD. Если не пингуется, в настройках сети установите DNS сервер ip_адрес_контроллера_домена, а тот что был раньше сделать альтернативным (Если Вы правильно настроили Forwarder DNS, то альтернативный можете не указывать).

При вхождении в состав домена, потребуется ввести имя пользователя и пароль. Пользователь: Administrator, пароль — тот, что Вы вводили для пользователя root.

1Если всё правильно, компьютер входит в домен и перезагружается.

5. Самое время войти под учетной записью администратора домена. Для этого вписываем Administrator и соответствующий пароль (от root контроллера домена). Домен должен быть выбран PBD.

6. Для управления всем этим чудом, нужно установить windows administrative tools.

После установки идём Панель управления -> Программы -> Программы и компоненты -> Включение или отключение компонентов Windows. Там выбираем средства удаленного администрирования полностью, жмём ОК!

Думаю вам будут полезны и следующие записи:

Всё о Samba на русском
Изменение политики паролей Samba4
Не применяются групповые политики Active Directory
Синхронизация времени с контроллером домена
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Внимание!!!

Предупреждаю по поводу откатов контроллера домена!

Производя откат, или иные операции влекущие за собой изменение времени, обязательно проверяйте синхронизацию времени контроллера домена с временем интернета!!!

Производя откат на большой промежуток времени или восстановление из архива, скорее всего никто не сможет войти в домен из-за просроченных автоматических паролей! Будьте бдительны! И читайте тут

ВНИМАНИЕ!!! Это только теория, сам я так не пробовал:
Чтобы не было проблем с откатом и восстановлением, рекомендую в файле /opt/samba/etc/smb.conf в разделе [global] дописать:

machine password timeout = 31536000

Тем самым увеличится интервал автоматического изменения паролей компьютеров и станет равным 1 год (31536000 секунд). Теперь при восстановлении контроллера домена из бакапа годичной давности не будет проблем с доверительными отношениями.

(Просмотрено 1 411 раз, 1 раз за сегодня)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *