====== Active Directory Domain Controller ====== ===== Grundlagen ===== [[https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller|Setting up Samba as an Active Directory Domain Controller]] [[https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Subdomain_of_a_Domain_You_Own|AD Naming FAQ]]: Empfehlung: subdomain.domainyouown.tld Beispiel: ds..spdns.org / NETBIOS-Domain-Name = [[https://wiki.samba.org/index.php/Distribution-specific_Package_Installation|Distribution-specific Package Installation]]: Demzufolge scheidet RHEL/CentOS aus als Active Directory Domain Controller aus. **Voraussetzung:** * Das Server-Gerät mit Betriebssystem nach Anleitung unter [[devices:server|Server]] installieren. nano /etc/hosts 192.168.178.3 dc1.ds..spnds.org dc1 #127.0.1.1 auf dc1 entfernen ===== Installation von Samba ===== apt-get install samba smbclient winbind Remove the existing smb.conf file (Path to the file: smbd -b | grep "CONFIGFILE") mv /etc/samba/smb.conf /etc/samba/smb.conf.org ===== Konfiguration des AD-DC ===== samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=ds..spdns.org --domain= --adminpass='' DNS auf den im AD-DC installierten DNS Server zeigen lassen: nano /etc/resolv.conf domain ds..spdns.org nameserver 192.168.178.3 (Auf sich selbst zeigen lassen) systemctl mask smbd nmbd winbind systemctl disable smbd nmbd winbind systemctl unmask samba-ad-dc systemctl enable samba-ad-dc (systemctl status samba-ad-dc) (systemctl start samba-ad-dc) **Log-Files:** /var/log/samba **Neustart** reboot ===== Installation von Kerberos ===== apt-get install krb5-user cp /var/lib/samba/private/krb5.conf /etc/ ===== Zeitsynchronisation ===== https://wiki.samba.org/index.php/Time_Synchronisation apt-get install ntp **Ansehen:** ls -ld /var/lib/samba/ntp_signd/ drwxr-x--- 2 root root 4096 1. May 09:30 /var/lib/samba/ntp_signd/ **Setzen:** chown root:ntp /var/lib/samba/ntp_signd/ chmod 750 /var/lib/samba/ntp_signd/ nano /etc/ntp.conf server 0.pool.ntp.org iburst prefer server 1.pool.ntp.org iburst prefer server 2.pool.ntp.org iburst prefer # Die pool auskommentieren systemctl restart ntp systemctl status ntp **Kontrolle:** date **Neustart des Servers** reboot **Test DNS**: Muss aufgelöst werden ping ds..spdns.org **Test Kerberos** kinit administrator klist **Test Shares:** 3 Shares sollten zu sehen sein smbclient -L localhost -U% **Test Authentifizierung:** Sollte ohne Fehler durchgehen smbclient //localhost/netlogon -U Administrator -c 'ls' ===== Passwortrichtlinien ===== Man kann sie theoretisch in der Gruppenrichtlinienverwaltung deaktivieren: * Default Domain Policy / Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kennwortrichtlinien * Diese GPO wird von Samba 4 (Stand: Dezember 2013) nicht übernommen! * SAMBA4 kann die Gruppenrichtlinien zwar an die Clients verteilen, liest sie aber selbst nicht. Man muss die Kennwortrichtlinie deshalb am Server ändern: samba-tool domain passwordsettings set --complexity=off samba-tool domain passwordsettings set --history-length=0 samba-tool domain passwordsettings set --min-pwd-age=0 samba-tool domain passwordsettings set --max-pwd-age=0 samba-tool domain passwordsettings set --min-pwd-length=6 Aktuelle Kennwortrichtlinien anzeigen samba-tool domain passwordsettings show ===== Benutzer anlegen ===== samba-tool user create Dann in RSAT verschieben und anpassen ===== Zertifikate ===== Zertifikat für den Domain Controller dc1.ds..spdns.org erstellen, siehe [[devices:env:certs-ss|Zertifikate]]. Das Server-Zertifikat, den Server-Key und das CA-Zertifikat z.B. über die Freigabe [[smb://192.168.178.3/netlogon]] in den Server kopieren. cd /var/lib/samba/private/tls/ cp /var/lib/samba/sysvol/ds..spdns.org/scripts/-CA* . chown root * chgrp root * chmod 644 -CA-dc1.ds..spdns.org--crt.pem chmod 644 -CA--crt.pem chmod 600 -CA-dc1.ds..spdns.org--key.pem smb.conf anpassen nano /etc/samba/smb.conf [global] tls enabled = yes tls keyfile = tls/-CA-dc1.ds..spdns.org--key.pem tls certfile = tls/-CA-dc1.ds..spdns.org--crt.pem tls cafile = tls/-CA--crt.pem systemctl restart samba-ad-dc Kontrolle mit journalctl -xe ===== Administration ===== Windows Admin PC * Apache Directory Studio * Network Parameter * Host: 192.168.178.3 * Port: 389 * Encryption: User StartTLS extension * Provider: Apache Directory LDAP Client API * Authentication * Bind DN oder user: CN=Administrator,CN=Users,DC=ds,DC=,DC=spdns,DC=org * Browser Options * BaseDN: DC=ds,DC=,DC=spdns,DC=org * ADS / RSAT Tools herunterladen / Installieren * Gerät in die Domäne hängen und als Domänen-Administrator anmelden * AD Sites und Services: * Standort setzen (z.B.: DE-Wilhelmshaven) * AD Users and Computers * Organisationseinheiten erstellen * ou=c1 * ou=srv,ou=c1 (Server, aber keine DCs hierher verschieben) * ou=ws,ou=c1 (Workstations hierher verschieben) * ou=campus * ou=users,ou=campus * ou=groups,ou=campus Lokale Admins https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups * Gruppe cn=Workstation-Admins,ou=groups,ou=campus anlegen und der lokalen Gruppe Administratoren zuweisen (oberer Part) * Benutzer anlegen