В этом ролике поднимаем #контроллер #домена на #Fedora 37 Server !!!!Предупреждение!!! IP-адреса, названия доменов, хостов и юзеров используйте СВОИ! НЕ НАДО КОПИРОВАТЬ МОИ! Мои входные данные: Имя хоста: dc1.test.net Домен: test.net IP: 192.168.88.100/24 Статический IP-адрес настраивается перед началом работ по поднятию контроллера домена. Если вы работаете через виртуальную машину, то в настройках адаптера укажите «мост» вместо NAT. Если вы используете VMWare, то не забудте установить чек-бокс «Репликация состояния физической сети». Так же, перед началом работ, рекомендую установить файловый менеджер Dolphin и текстовый редактор Gedit. Кроме того, вам нужно отредактировать файл /etc/hosts: sudo gedit /etc/hosts В файле укажите отдельной строкой ваш статический IP с указанием полного доменного имени контроллера домена. Например, так: 192.168.88.100 dc1.test.net (#domaincontroller) Все команды, что используются в данном видео: dnf install lmdb* dnf builddep libldb samba dnf install samba samba-dc samba-client krb5-workstation hostname dc1.test.net hostnamectl set-hostname dc1.test.net //Открываем Firewall (1 метод) firewall-cmd --add-service=samba-dc --permanent firewall-cmd --reload //Открываем Firewall (2 метод) — добавить правила из командной строки: firewall-cmd --permanent --add-port={53/udp,53/tcp,88/udp,88/tcp,123/udp,135/tcp,137/udp,138/udp,139/tcp,389/udp,389/tcp,445/tcp,464/udp,464/tcp,636/tcp,3268/tcp,3269/tcp,49152-65535/tcp} firewall-cmd --reload //Чтобы запустить Samba DC и работать с SELinux в принудительном режиме, необходимо включить некоторые логические значения samba для SELinux. После установки этих логических значений нет необходимости отключать SELinux. setsebool -P samba_create_home_dirs=on samba_domain_controller=on samba_enable_home_dirs=on samba_portmapper=on use_samba_home_dirs=on //Восстановите контексты безопасности #SELinux по умолчанию для файлов: restorecon -Rv / SAMBA //Удалите файл /etc/samba/smb.conf, если он существует cp /etc/samba/smb.conf smb.conf.usr ← эта команда не обязательна. Она просто сделает бекап файла smb.conf rm /etc/samba/smb.conf //Создайте каталог /etc/systemd/resolved.conf.d/, если он не существует: mkdir /etc/systemd/resolved.conf.d/ //Создайте файл /etc/systemd/resolved.conf.d/custom.conf, содержащий пользовательскую конфигурацию: vim /etc/systemd/resolved.conf.d/custom.conf [Resolve] DNSStubListener=no Domains=test.net DNS=192.168.88.100 //Перезапустите службу с разрешением systemd : systemctl restart systemd-resolved //С помощью #samba-tool подготовьте конфигурацию Samba: samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=TEST.net --domain=TEST --adminpass=Qwerty1234 //Аргумент #--use-rfc2307 предоставляет атрибуты POSIX для Active Directory, которая хранит информацию о пользователях и группах Unix в LDAP ( rfc2307.txt ). //Убедитесь, что в файле /etc/samba/smb.conf указан правильный адрес сервера пересылки DNS. Что касается этого руководства, он должен отличаться от собственного IP-адреса сервера 192.168.88.100, в моем случае я установил 8.8.8.8, однако ваш IP может отличаться: gedit (или vi) /etc/samba/smb.conf #Керберос //После установки Samba нам был предоставлен файл krb5.conf, который мы будем использовать: cp /usr/share/samba/setup/krb5.conf /etc/krb5.conf.d/samba-dc //Отредактируйте содержимое /etc/krb5.conf.d/samba-dc, чтобы оно соответствовало информации о вашей организации: gedit /etc/krb5.conf.d/samba-dc [libdefaults] default_realm = TEST.net dns_lookup_realm = false dns_lookup_kdc = true [realms] TEST.net = { default_domain = TEST } [domain_realm] dc1.test.net = TEST.net //Запуск и включение Samba во время загрузки //Чтобы убедиться, что Samba запустится при инициализации системы, включите и запустите ее: systemctl enable samba systemctl start samba //Тестирование //Связь smbclient -L localhost -N smbclient //localhost/netlogon -UAdministrator -c 'ls' #DNS-тест //Чтобы проверить, работает ли разрешение имен, выполните следующие команды: host -t SRV _ldap._tcp.test.net. //Ответ _ldap._tcp.test.net has SRV record 0 100 389 dc1.test.net. //Запрос host -t SRV _kerberos._udp.test.net. //Ответ _kerberos._udp.test.net has SRV record 0 100 88 dc1.test.net. //Запрос host -t A dc1.test.net. //Ответ dc1.test.net has address 192.168.88.100 //Тест #Kerberos kinit administrator klist //Добавление пользователя в домен #samba-tool предоставляет нам интерфейс для выполнения задач администрирования домена, поэтому мы можем легко добавить пользователя в домен. samba-tool user add --help //Добавим в домен Михаила Кутузова samba-tool user add mikhailk --unix-home=/home/mikhailk --login-shell=/bin/bash --gecos 'Mikhail K.' --given-name=Mikhail --surname='Kutuzov' --mail-address='mikhailk@test.net' //Посмотреть пользователей можно командой: samba-tool user list
