Konfigurowanie serwera Active Directory z Debianem i Sambą. Pierwsza część

Cześć wszystkim. W ramach tej serii kursów nauczę Cię, jak skonfigurować serwer Active Directory dla sieci z komputerami Okna niski Debian (Jeśli mamy zamiar skonfigurować serwer, zrobimy to poprawnie, drewno opałowe). W pierwszej części wyjaśnię instalację i konfigurację serwera, w drugiej nauczę obsługi narzędzia do zdalnej administracji de Okna 7 i jak przyłączyć komputery do domeny (sam Windows 7 i plik Windows XP). Później zrobię trzecią część oprócz tego, jak dołączyć do zespołów z GNU / Linuksem, ponieważ jest to coś, czego jeszcze nie przetestowałem.

Pomysł ten przyszedł mi do głowy, gdy jestem (lub byłem, zależy od tego, kiedy czytasz ten post) na kursie na strajk technika naprawy sprzętu mikrokomputerowego, w którym zakładaliśmy serwer sieciowy z Okna 2008 (nie RC2) i zacząłem szukać, czy mógłbym zaimplementować to samo pod GNU / Linux a wynik jest naprawdę dobry, nawet mój nauczyciel był zaskoczony szybkością serwera.

Zanim przejdziemy dalej, z pewnością wielu z was zadaje sobie pytanie: Co to jest Active Directory? Cóż, jest to termin używany przez firmę Microsoft w odniesieniu do zestawu narzędzi do administrowania siecią, takich jak serwer DNSadministracja użytkownikami sieci itp.

Będziemy potrzebować:

  • Debian w swojej stabilnej gałęzi (w moim przypadku Wheezy 7.5 z XFCE jako środowiskiem graficznym)
  • Samba 4
  • Klient z Okna 7 / 8 / 8.1 z pakietem do instalacji funkcji zdalnego sterowania serwerem (wymagane do zarządzania serwerem, np udostępniać folder użytkownikom). Zostanie to wyjaśnione w następnym samouczku.

Konfigurowanie serwera

Zanim przejdziemy dalej, musimy zmodyfikować niektóre pliki, aby wszystko działało, zwłaszcza, aby komputery w sieci znalazły serwer domeny.

Pierwszą rzeczą jest podanie adresu naszemu serwerowi Naprawiono IP. W przypadku mojego testowania Debiana w VirtualBox używać sieciczyli to co pochodzi z bazy, ale w rzeczywistym serwerze to konfiguruję Menedżer sieci, więc wyjaśnię, jak to się robi w obu.

Sieci

Pierwszy plik, który będziemy edytować, to / etc / network / interfaces.
# This file describes the network interfaces available on your system

i jak je aktywować. Aby uzyskać więcej informacji, zobacz interfaces (5).

Interfejs sieciowy sprzężenia zwrotnego

auto lo
iface lo inet loopback

Podstawowy interfejs sieciowy

samo eth0
iface eth0 inet static
adres 192.168.0.67
255.255.255.0 netmask
172.26.0.1 bramki
dns-nameservers 192.168.0.67
dns-search class.org
dns-domain class.org
Istota:

  • adres: adres IP naszego zespołu.
  • maska ​​sieci: maska ​​sieci. W małej sieci lub domu zwykle tak jest.
  • przejście: Brama. Zwykle to adres IP routera daje nam wyjście do Internetu.
  • serwery nazw dns: IP serwera DNS. W tym przypadku serwer, ale możesz dodać drugi, na przykład publiczność Google.
  • Ostatnie 2 wskazują nazwę wyszukiwania domeny i samą nazwę domeny.

Teraz musimy dodać następujące wiersze do / etc / hosts:
127.0.0.1 Matrix.clase.org Matrix
192.168.0.67 Matrix.clase.org Matrix

Dzięki temu nazwa domeny zostanie rozwiązana, aby można ją było znaleźć w sieci. Matrix to nazwa, którą nadałem serwerowi.

Wreszcie edytujemy /etc/resolv.conf:

nameserver 192.168.0.13

W niektórych samouczkach, które znalazłem, dodali kolejną linię serwera nazw i kilka innych zmiennych, ale w moim przypadku wystarczyła tylko jedna linia.
Teraz ponownie uruchamiamy usługę sieciową i to wszystko:

/etc/init.d/networking restart

Menedżer sieci

Kliknij prawym przyciskiem myszy ikonę sieci i wybierz Edytuj połączenia. Otrzymamy sieci, które skonfigurowaliśmy, ale interesuje nas tylko połączenie Sieć przewodowa 1 czy jakkolwiek to nazwałeś. Klikamy na nią dwukrotnie, pojawi się nowe okno i przejdziemy do Ustawienia IPv4. W metoda wybierać Instrukcja obsługi. Teraz kliknij dodać i wypełnij wszystkie pola:
AC DC Debian - Menedżer sieci
Teraz przechodzimy do zakładki Ogólne warunki i upewniamy się, że jest oznaczony Wszyscy użytkownicy muszą łączyć się z tą siecią. Kliknij oszczędzać i wyszliśmy.

Instalowanie Samby 4

W naszym przypadku zamierzamy pobrać i skompilować Sambę 4 z jej strony, ponieważ w Debianie jest ona dostępna tylko za pośrednictwem repozytorium Backporty i dało mi to problemy z uzależnieniem.

Mamy zamiar http://samba.org aby pobrać najnowszą stabilną wersję i rozpakować pakiet w folderze.

Najnowsza stabilna wersja w momencie pisania tego artykułu to 4.1.8 więc to będzie ten, z którym pracujemy.

Aby go skompilować, będziemy musieli zainstalować następujące pakiety:

apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl

Po pobraniu i rozpakowaniu otwieramy terminal, przechodzimy do folderu i wykonujemy następujące polecenia:
./configure --enable-debug
make
make install

Domyślna instalacja jest w  / usr / local / samba. Chociaż obsługuje parametr –prefix = / usr NIE instaluje go w odpowiednich katalogach (na przykład pliki binarne ich nie umieszczają / usr / bin)

Teraz dodajemy nowe trasy w PATH. W moim przypadku w /etc/bash.bashrc zastosowanie do wszystkich użytkowników, w tym roota.

export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin

Tworzymy również link w / etc, aby Samba mogła znaleźć plik konfiguracyjny:

ln -s /usr/local/samba/etc/ /etc/samba

Zamierzamy skonfigurować serwer Samby. W tym celu wykonujemy:

samba-tool domain provision --realm=clase.org --domain=CLASE --adminpass=Contraseña --use-rfc2307

gdzie:

  • -Królestwo: to pełna nazwa domeny.
  • -Domena: jest domeną. Musi być w środku wielkie litery
  • –Adminspass: to hasło administratora sieci.
  • –Użyj-rfc2307: aktywować AC.

Jeśli po chwili wszystko pójdzie dobrze, Samba zakończy konfigurację. Jeśli chcesz poznać wszystkie możliwe opcje, po prostu uruchom:

samba-tool domain provision -h

Teraz zamierzamy edytować plik /etc/samba/smb.conf. Na razie interesuje nas następująca linia:
dns forwarder = 192.168.0.1

Ta linia musi wskazywać na serwer DNS, który daje nam dostęp do Internetu (w tym przypadku routera). Samba przyjmuje domyślną konfigurację sieci, ale zaleca się jej weryfikację.

Teraz zaczynamy usługę:

samba

i sprawdzamy połączenie wykonując:

smbclient -L localhost -U%

A jeśli wszystko się zgadza, zobaczymy coś podobnego do tego:
sprawdzanie, czy Samba działa
W przypadku wystąpienia błędu połączenia sprawdzamy kroki z poprzedniego punktu. Dziennik Samby znajduje się w /usr/local/samba/var/log.samba

Teraz skopiujemy plik /usr/local/samba/private/krb5.conf a / Etc. Teraz sprawdzimy, czy możemy się połączyć:

kinit administrator@CLASE.ORG

oko, domena musi być pisana wielką literą.

Następnie zapyta nas o hasło użytkownika (w tym przypadku administratora) i czy otrzymamy komunikat podobny do «Ostrzeżenie: Twoje hasło wygaśnie za 40 dni w poniedziałek, 14 lipca, 13:57:10 2014» jest to, że wyszło poprawnie.

I jak na razie pierwsza część tutoriala. Czytamy poniżej.

Komentowałem to już kilka razy w komentarzach, ale umieściłem to tutaj. Ze względu na to, że aktualnie nie posiadam niezbędnych zasobów (mam tylko komputer w domu i montuję to na kursie) i robienie tego na maszynach wirtualnych jest uciążliwe, nie mogę kontynuować. Jeśli ktoś z odpowiednią wiedzą i zespołem chce to kontynuować, może to zrobić)

Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

44 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Lolo powiedział

    Bardzo interesujące, zawsze chciałem wiedzieć, jak to się robi.

    Czy można to zrobić za pomocą SSH zamiast Samby?

    Rozumiem, że jest to dużo szybsze i bezpieczniejsze.

    1.    Obraz zastępczy Claudio Concepcion powiedział

      Drogi Lolo, to niemożliwe, ponieważ SSH umożliwia sesję (i inne rzeczy, takie jak przesyłanie plików i aplikacji) przez terminal między komputerami z systemem GNU Linux. Podczas gdy Samba stanowi alternatywę dla systemu GNU Linux w systemie Active Directory firmy Microsoft.

      Son Link stworzył kontroler domeny w systemie GNU Linux.

  2.   Anthony powiedział

    Bardzo dobre tuto. Jest świetny dla ludzi takich jak ja, którzy są na nim trochę zieloni. Wielkie dzięki

  3.   Obraz zastępczy Claudio Concepcion powiedział

    Dziękuję Ci! Doskonały przewodnik. Zatwierdzać…

  4.   adiazc87 powiedział

    Dziękuję przyjacielu, bardzo dobry przewodnik Mam nadzieję, że druga część, tak przy okazji, czy zmusiłeś go do pracy z LDAP?

    Pozdrowienia.

  5.   Sebastianie powiedział

    Bardzo ciekawe, czekam na kontynuację. Dziękuję. ^ _ ^

    PS: Myślę, że w konfiguracji / etc / network / interfaces jest mały błąd transkrypcji, mówi on dns-domian, gdy wydaje mi się, że domena dns-powinna zostać wyłączona.

  6.   Wilson Ruiz ru powiedział

    Ten artykuł wydał mi się bardzo interesujący. Ponieważ dopiero się uczę i nie mam dużej wiedzy na ten temat i chcę dowiedzieć się więcej o zarządzaniu i administrowaniu systemami operacyjnymi.

  7.   eliotime3000 powiedział

    Czy to jest dobre do tworzenia folderów współdzielonych w Debianie, czy po prostu przechodzi w ten sposób do innego samouczka?

  8.   Gonzalo powiedział

    Istnieje dystrybucja Linuksa o nazwie Resara Server oparta na Ubuntu, która służy wyłącznie do budowy kontrolera domeny, wypróbowałem i jest bardzo łatwa w użyciu, mogłem dołączyć komputery do domeny z tym serwerem, zostawiam tutaj instrukcję może ktoś to wykorzysta - http://ostechnix.wordpress.com/2012/12/31/resara-server-an-alternative-opensource-linux-domain-controller-for-windows-active-directory-controller/

    1.    elav powiedział

      Och !!! Świetny wkład dnia .. Dziękuję 😉

      1.    Gonzalo powiedział

        Zapraszamy! 😀

    2.    The_Mastersok powiedział

      Dziękujemy za udostępnienie !!!
      pozdrowienia

  9.   Oscar powiedział

    Świetny tutorial, będę czekał na resztę. Pamiętam, kiedy zainstalowałem plik PDF w Debianie 6 z Sambą 3 i LDAP. Zadziałało, ale musiałem użyć szablonów .pol do edycji dyrektyw. W takim przypadku, jak są administrowane te zasady?

  10.   Mario Guillermo Zavala Silva powiedział

    Doskonała informacja ... Dzięki za to ...

    TWOJE ZDROWIE!!!

  11.   Zaprzestać powiedział

    Świetny…. Jestem tym całkiem zainteresowany ……. na kiedy druga część ??? lub jeśli masz do tego instrukcję, wyślij mi ją e-mailem ... proszę !!!! dzięki

  12.   The_Mastersok powiedział

    Doskonały samouczek….
    Mam nadzieję, że pewnego dnia wprowadzę to w życie.
    Pozdrawiamy i czekamy na drugą część !!!!

  13.   Leandro powiedział

    Prawda jest taka, że ​​raz to zrobiłem, ale nie wdałem się w prawie nic ... Chcę polecić / Wam narzędzie, nie wiem, czy je znacie, czy nie, nie znam jego ograniczeń, ale aby połączyć się z serwerem Active Directory nie miałem problemu, wypróbowałem to na uczelni i działało bardzo dobrze. Program nazywa się Podobnie, robi to samo, co wszystko, co robiłeś z Sambą, nic poza tym, że nie konfigurujesz tak bardzo, to jest coś bardziej podsumowującego, oczywiście możesz modyfikować to, czego potrzebujesz

    Mam nadzieję, że to ci pomoże! Twoje zdrowie

  14.   Cezar powiedział

    Bardzo ciekawy artykuł, nie mogę się doczekać drugiej części. Było wielkim zaskoczeniem, gdy dowiedziałem się, że można obsłużyć "nowoczesny" katalog aktywny z Gnu / Linux, pamiętam, że robiłem to dawno temu z Active Directory typu NT 4 i było wielkim rozczarowaniem brak możliwości emulacji kiedy Microsoft zmienił „strukturę” twojego LDAP na Windows 2000 Server.

    Pozdrowienia z Ekwadoru =]

  15.   mmm powiedział

    Cześć. Wielkie dzięki!
    Mam kilka wątpliwości… do czego właściwie służy active directory?
    Z drugiej strony, czy możesz nauczyć, jeśli możesz, jak kontrolować, co robią użytkownicy?
    Pozdrowienia i podziękowania.

    Ja dla audior zaimplementowałem to: http://chicheblog.wordpress.com/2011/01/21/como-auditar-la-actividad-de-los-usuarios-en-samba/
    Ale jeśli możesz go rozszerzyć lub dodać coś, co znasz, to doceniamy!
    pozdrowienia

  16.   RaulBaca powiedział

    Dobranoc, pozdrowienia z Peru.
    Mam zapytanie trochę inne niż wszystko opublikowane, zobacz, żeby trochę wyjaśnić, zobacz Mam ten folder skonfigurowany w pliku /etc/samba/smb.conf

    [Prywatny]
    komentarz = Folder prywatny
    path = / home / Private
    tylko do odczytu = tak
    Browseable = yes
    gość ok = nie
    public = nie
    write list = @comercial, @gestion
    prawidłowi użytkownicy = @comercial, @gestion
    utwórz maskę = 0777
    maska ​​katalogu = 0777

    Teraz moje zapytanie działa, wszystko działa dobrze, ale kiedy z komputera loguję się z użytkownikiem «pepe» należącym do grupy «comercial» iz innego komputera loguję się jako użytkownik «coco» należący do grupy «gestion», gdy tworzę plik lub folder od użytkownika «pepe» i chcę usunąć ten katalog lub plik utworzony na innym komputerze z użytkownikiem «coco», mówi mi, że nie mogę, ponieważ nie mam przywileje, ale sam autor może usunąć ten plik lub katalog, osiągasz.

    Folder prywatny został utworzony w następujący sposób:
    chmod -R 777 / home / Private
    Pracują w tej samej sieci LAN.
    Używam Distro Ubuntu Server 14.xx
    Należy zauważyć, że chcę, aby ten PRYWATNY folder był zarządzany przez 2 lub więcej użytkowników. Pomysł pracy z grupami, ale wydaje się, że jest coś, czego mi brakuje lub pomijam, mam nadzieję, że twoja uwaga i ja zwracaj uwagę na swoje komentarze.

    1.    Święty powiedział

      Przyjaciel, który możesz osiągnąć, usuwając przecinki
      w ten sposób.

      write list = @comercial @gestion
      prawidłowi użytkownicy = @comercial @gestion

  17.   Raúl Baca Centeno powiedział

    Witam drodzy,

    Chciałbym wiedzieć, czy druga część kursu jest jeszcze w toku, uważnie słucham Waszych uwag i dziękuję.

  18.   Miguel powiedział

    Dzień dobry, właśnie dziś przeczytałem wszystkie komentarze i mam maszynę w połowie konfiguracji, z tego powodu dowiaduję się, że drugiej części nie opublikujesz i chcę wiedzieć, czy możesz mieć plik wykonywalny w folderze i kilka dbf tabele, aby uzyskać dostęp z kilku komputerów.
    Prosimy o jak najszybszą odpowiedź.

  19.   Raul Baca powiedział

    Szanowni Państwo,
    Chciałbym wiedzieć, czy druga część tego interesującego tutoriala jest jeszcze w toku, z góry dziękuję za uwagę.
    Dziękuję.

  20.   Jaraneda powiedział

    Doskonały samouczek, mam nadzieję, że zachęcisz do drugiej części, czy możesz mi powiedzieć, jakie są narzędzia do zdalnego sterowania serwerem, aby je pobrać i przetestować.

    Pozdrowienia.

  21.   BETO powiedział

    Gratuluję, a druga część?

  22.   Daniel Bernal powiedział

    Ciekawy artykuł, czy wydałeś następną wersję?

  23.   pobór powiedział

    Bardzo dobry tutorial, tylko jedno pytanie druga część, jak by to było, czy na tym tutorialu się kończy?

  24.   SARA powiedział

    LUBIĘ POMYSŁ NA UCZENIE SIĘ NOWYCH RZECZY, DZIĘKUJĘ ZA PODZIELENIE SIĘ WIEDZĄ,
    POZDROWIENIA

    POSTSCRIPT: NA TEMAT NAUKI SPRÓBUJĘ ZROBIĆ TO NA MOJEJ WIRTUALNEJ MASZYNIE DEBIAN JAKO SERWER I Z GRUPAMI WIRTUALNYCH KLIENTÓW, JEDNEGO Z WIN7 I INNYCH Z WIN8.

  25.   Edgar powiedział

    Ten przewodnik jest niekompletny, nie podajesz katalogów, zostawiasz rzeczy losowo, na twoim miejscu powtórzyłbym to

    1.    elav powiedział

      Lub możesz go wypełnić i napisać samodzielnie, chętnie go dla Ciebie opublikujemy.

  26.   ściana ada powiedział

    jak skonfigurować serwer w Debianie 5, aby móc zdalnie łączyć się z XP

  27.   Francisco powiedział

    cześć, a kiedy to zrobię:
    root @ pdc: ~ # apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev \ libgnutls-dev libreadline-dev python-dev libpam0g-dev \ python-dnspyth gdb pkg-config libpopt-dev libldap2-dev \ dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2 ac1
    mówi mi:
    Czytanie list pakietów ... Gotowe
    Zależność drzewa budynku
    Odczyt informacji o stanie ... Gotowe
    Pakiet Essential build-essential nie jest dostępny, ale odwołuje się do niego inny pakiet.
    Może to oznaczać, że brakuje pakietu, jest on przestarzały lub
    jest dostępny tylko z innego źródła
    E: Package build-essential nie ma kandydata do instalacji

    jakaś pomoc? dzięki

  28.   anonimowy powiedział

     

    1.    anonimowy powiedział

      repozytoria nie są skonfigurowane

  29.   Carlos powiedział

    Wiem, że nie zamierzasz opublikować mojego komentarza. Artykuł jest dość zły, nie trzeba mówić, jak skonfigurowano Kerberos, ponieważ stosujesz go w wymaganiach. Dlaczego kompilować Sambę? Wersja 4 jest już dostępna. Przy ustawionej konfiguracji Kinit wyświetla naprawiony błąd NT_STATUS_DENIED!. Dla wszystkich zainteresowanych rozpoczęciem: https://help.ubuntu.com/lts/serverguide/samba-dc.html