Inhaltsverzeichnis

Active Directory Domain Controller

Active Directory Domain Controller

Grundlagen

Setting up Samba as an Active Directory Domain Controller

AD Naming FAQ: Empfehlung: subdomain.domainyouown.tld

Beispiel:

ds.<yourdomain>.spdns.org / NETBIOS-Domain-Name = <YOURDOMAIN>

Distribution-specific Package Installation: Demzufolge scheidet RHEL/CentOS aus als Active Directory Domain Controller aus.

Voraussetzung:

Das Server-Gerät mit Betriebssystem nach Anleitung unter Server installieren.

nano /etc/hosts

192.168.178.3 dc1.ds.<youdomain>.spnds.org dc1
#127.0.1.1 auf dc1 entfernen

Installation von Samba

apt-get install samba smbclient winbind

Remove the existing smb.conf file (Path to the file: smbd -b | grep „CONFIGFILE“)

mv /etc/samba/smb.conf /etc/samba/smb.conf.org

Konfiguration des AD-DC

samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=ds.<yourdomain>.spdns.org --domain=<YOURDOMAIN> --adminpass='<yourpassword>'

DNS auf den im AD-DC installierten DNS Server zeigen lassen:

nano /etc/resolv.conf

domain ds.<yourdomain>.spdns.org
nameserver 192.168.178.3 (Auf sich selbst zeigen lassen)

systemctl mask smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
(systemctl status samba-ad-dc)
(systemctl start samba-ad-dc)

Log-Files: /var/log/samba

Neustart

reboot

Installation von Kerberos

apt-get install krb5-user
cp /var/lib/samba/private/krb5.conf /etc/

Zeitsynchronisation

https://wiki.samba.org/index.php/Time_Synchronisation

apt-get install ntp

Ansehen:

ls -ld /var/lib/samba/ntp_signd/

drwxr-x--- 2 root root 4096  1. May 09:30 /var/lib/samba/ntp_signd/

Setzen:

chown root:ntp /var/lib/samba/ntp_signd/
chmod 750 /var/lib/samba/ntp_signd/
nano /etc/ntp.conf

server 0.pool.ntp.org     iburst prefer
server 1.pool.ntp.org     iburst prefer
server 2.pool.ntp.org     iburst prefer
# Die pool auskommentieren

systemctl restart ntp
systemctl status ntp

Kontrolle:

date

Neustart des Servers

reboot

Test DNS: Muss aufgelöst werden

ping ds.<yourdomain>.spdns.org

Test Kerberos

kinit administrator
klist

Test Shares: 3 Shares sollten zu sehen sein

smbclient -L localhost -U%

Test Authentifizierung: Sollte ohne Fehler durchgehen

smbclient //localhost/netlogon -U Administrator -c 'ls'

Passwortrichtlinien

Man kann sie theoretisch in der Gruppenrichtlinienverwaltung deaktivieren:

Default Domain Policy / Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kennwortrichtlinien
Diese GPO wird von Samba 4 (Stand: Dezember 2013) nicht übernommen!
SAMBA4 kann die Gruppenrichtlinien zwar an die Clients verteilen, liest sie aber selbst nicht.

Man muss die Kennwortrichtlinie deshalb am Server ändern:

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=6

Aktuelle Kennwortrichtlinien anzeigen

samba-tool domain passwordsettings show

Benutzer anlegen

samba-tool user create <Benutzername>

Dann in RSAT verschieben und anpassen

Zertifikate

Zertifikat für den Domain Controller dc1.ds.<yourdomain>.spdns.org erstellen, siehe Zertifikate.

Das Server-Zertifikat, den Server-Key und das CA-Zertifikat z.B. über die Freigabe

smb://192.168.178.3/netlogon

in den Server kopieren.

cd /var/lib/samba/private/tls/
cp /var/lib/samba/sysvol/ds.<yourdomain>.spdns.org/scripts/<YOURDOMAIN>-CA* .
chown root *
chgrp root *
chmod 644 <YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-crt.pem
chmod 644 <YOURDOMAIN>-CA-<Datum>-crt.pem
chmod 600 <YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-key.pem

smb.conf anpassen

nano /etc/samba/smb.conf

[global]
 tls enabled  = yes
 tls keyfile  = tls/<YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-key.pem
 tls certfile = tls/<YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-crt.pem
 tls cafile   = tls/<YOURDOMAIN>-CA-<Datum>-crt.pem

systemctl restart samba-ad-dc

Kontrolle mit journalctl -xe

Administration

Windows Admin PC

Apache Directory Studio
- Network Parameter
  - Host: 192.168.178.3
  - Port: 389
  - Encryption: User StartTLS extension
  - Provider: Apache Directory LDAP Client API
- Authentication
  - Bind DN oder user: CN=Administrator,CN=Users,DC=ds,DC=<yourdomain>,DC=spdns,DC=org
- Browser Options
  - BaseDN: DC=ds,DC=<yourdomain>,DC=spdns,DC=org

ADS / RSAT Tools herunterladen / Installieren
- Gerät in die Domäne hängen und als Domänen-Administrator anmelden
- AD Sites und Services:
  - Standort setzen (z.B.: DE-Wilhelmshaven)
- AD Users and Computers
  - Organisationseinheiten erstellen
    - ou=c1
    - ou=srv,ou=c1 (Server, aber keine DCs hierher verschieben)
    - ou=ws,ou=c1 (Workstations hierher verschieben)
    - ou=campus
    - ou=users,ou=campus
    - ou=groups,ou=campus

Lokale Admins https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups

Gruppe cn=Workstation-Admins,ou=groups,ou=campus anlegen und der lokalen Gruppe Administratoren zuweisen (oberer Part)
Benutzer anlegen