====== Active Directory Domain Controller ====== ===== Grundlagen ===== [[https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller|Setting up Samba as an Active Directory Domain Controller]] [[https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Subdomain_of_a_Domain_You_Own|AD Naming FAQ]]: Empfehlung: subdomain.domainyouown.tld Beispiel: ds..spdns.org / NETBIOS-Domain-Name = [[https://wiki.samba.org/index.php/Distribution-specific_Package_Installation|Distribution-specific Package Installation]]: Demzufolge scheidet RHEL/CentOS aus als Active Directory Domain Controller aus. **Voraussetzung:** * Das Server-Gerät mit Betriebssystem nach Anleitung unter [[devices:server|Server]] installieren.


nano /etc/hosts

192.168.178.3 dc1.ds..spnds.org dc1 #127.0.1.1 auf dc1 entfernen ===== Installation von Samba =====


apt-get install samba smbclient winbind

Remove the existing smb.conf file (Path to the file: smbd -b | grep "CONFIGFILE")


mv /etc/samba/smb.conf /etc/samba/smb.conf.org

===== Konfiguration des AD-DC =====


samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=ds..spdns.org --domain= --adminpass=''

DNS auf den im AD-DC installierten DNS Server zeigen lassen:


nano /etc/resolv.conf

domain ds..spdns.org nameserver 192.168.178.3 (Auf sich selbst zeigen lassen)


systemctl mask smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
(systemctl status samba-ad-dc)
(systemctl start samba-ad-dc)

**Log-Files:** /var/log/samba **Neustart**


reboot

===== Installation von Kerberos =====


apt-get install krb5-user
cp /var/lib/samba/private/krb5.conf /etc/

===== Zeitsynchronisation ===== https://wiki.samba.org/index.php/Time_Synchronisation


apt-get install ntp

**Ansehen:**


ls -ld /var/lib/samba/ntp_signd/

drwxr-x--- 2 root root 4096 1. May 09:30 /var/lib/samba/ntp_signd/ **Setzen:**


chown root:ntp /var/lib/samba/ntp_signd/
chmod 750 /var/lib/samba/ntp_signd/
nano /etc/ntp.conf

server 0.pool.ntp.org iburst prefer server 1.pool.ntp.org iburst prefer server 2.pool.ntp.org iburst prefer # Die pool auskommentieren


systemctl restart ntp
systemctl status ntp

**Kontrolle:**


date

**Neustart des Servers**


reboot

**Test DNS**: Muss aufgelöst werden


ping ds..spdns.org

**Test Kerberos**


kinit administrator
klist

**Test Shares:** 3 Shares sollten zu sehen sein


smbclient -L localhost -U%

**Test Authentifizierung:** Sollte ohne Fehler durchgehen


smbclient //localhost/netlogon -U Administrator -c 'ls'

===== Passwortrichtlinien ===== Man kann sie theoretisch in der Gruppenrichtlinienverwaltung deaktivieren: * Default Domain Policy / Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kennwortrichtlinien * Diese GPO wird von Samba 4 (Stand: Dezember 2013) nicht übernommen! * SAMBA4 kann die Gruppenrichtlinien zwar an die Clients verteilen, liest sie aber selbst nicht. Man muss die Kennwortrichtlinie deshalb am Server ändern:


samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=6

Aktuelle Kennwortrichtlinien anzeigen


samba-tool domain passwordsettings show

===== Benutzer anlegen =====


samba-tool user create

Dann in RSAT verschieben und anpassen ===== Zertifikate ===== Zertifikat für den Domain Controller dc1.ds..spdns.org erstellen, siehe [[devices:env:certs-ss|Zertifikate]]. Das Server-Zertifikat, den Server-Key und das CA-Zertifikat z.B. über die Freigabe [[smb://192.168.178.3/netlogon]] in den Server kopieren.


cd /var/lib/samba/private/tls/
cp /var/lib/samba/sysvol/ds..spdns.org/scripts/-CA* .
chown root *
chgrp root *
chmod 644 -CA-dc1.ds..spdns.org--crt.pem
chmod 644 -CA--crt.pem
chmod 600 -CA-dc1.ds..spdns.org--key.pem

smb.conf anpassen


nano /etc/samba/smb.conf

[global] tls enabled = yes tls keyfile = tls/-CA-dc1.ds..spdns.org--key.pem tls certfile = tls/-CA-dc1.ds..spdns.org--crt.pem tls cafile = tls/-CA--crt.pem


systemctl restart samba-ad-dc

Kontrolle mit journalctl -xe ===== Administration ===== Windows Admin PC * Apache Directory Studio * Network Parameter * Host: 192.168.178.3 * Port: 389 * Encryption: User StartTLS extension * Provider: Apache Directory LDAP Client API * Authentication * Bind DN oder user: CN=Administrator,CN=Users,DC=ds,DC=,DC=spdns,DC=org * Browser Options * BaseDN: DC=ds,DC=,DC=spdns,DC=org * ADS / RSAT Tools herunterladen / Installieren * Gerät in die Domäne hängen und als Domänen-Administrator anmelden * AD Sites und Services: * Standort setzen (z.B.: DE-Wilhelmshaven) * AD Users and Computers * Organisationseinheiten erstellen * ou=c1 * ou=srv,ou=c1 (Server, aber keine DCs hierher verschieben) * ou=ws,ou=c1 (Workstations hierher verschieben) * ou=campus * ou=users,ou=campus * ou=groups,ou=campus Lokale Admins https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups * Gruppe cn=Workstation-Admins,ou=groups,ou=campus anlegen und der lokalen Gruppe Administratoren zuweisen (oberer Part) * Benutzer anlegen