Themen
Geräte
Serverdienste
Webdienste
Apps-Android
Apps-iOS
Apps-PC
Sonstiges
Themen
Geräte
Serverdienste
Webdienste
Apps-Android
Apps-iOS
Apps-PC
Sonstiges
Setting up Samba as an Active Directory Domain Controller
AD Naming FAQ: Empfehlung: subdomain.domainyouown.tld
Beispiel:
ds.<yourdomain>.spdns.org / NETBIOS-Domain-Name = <YOURDOMAIN>
Distribution-specific Package Installation: Demzufolge scheidet RHEL/CentOS aus als Active Directory Domain Controller aus.
Voraussetzung:
nano /etc/hosts
192.168.178.3 dc1.ds.<youdomain>.spnds.org dc1 #127.0.1.1 auf dc1 entfernen
apt-get install samba smbclient winbind
Remove the existing smb.conf file (Path to the file: smbd -b | grep „CONFIGFILE“)
mv /etc/samba/smb.conf /etc/samba/smb.conf.org
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=ds.<yourdomain>.spdns.org --domain=<YOURDOMAIN> --adminpass='<yourpassword>'
DNS auf den im AD-DC installierten DNS Server zeigen lassen:
nano /etc/resolv.conf
domain ds.<yourdomain>.spdns.org nameserver 192.168.178.3 (Auf sich selbst zeigen lassen)
systemctl mask smbd nmbd winbind systemctl disable smbd nmbd winbind systemctl unmask samba-ad-dc systemctl enable samba-ad-dc (systemctl status samba-ad-dc) (systemctl start samba-ad-dc)
Log-Files: /var/log/samba
Neustart
reboot
apt-get install krb5-user cp /var/lib/samba/private/krb5.conf /etc/
https://wiki.samba.org/index.php/Time_Synchronisation
apt-get install ntp
Ansehen:
ls -ld /var/lib/samba/ntp_signd/
drwxr-x--- 2 root root 4096 1. May 09:30 /var/lib/samba/ntp_signd/
Setzen:
chown root:ntp /var/lib/samba/ntp_signd/ chmod 750 /var/lib/samba/ntp_signd/ nano /etc/ntp.conf
server 0.pool.ntp.org iburst prefer server 1.pool.ntp.org iburst prefer server 2.pool.ntp.org iburst prefer # Die pool auskommentieren
systemctl restart ntp systemctl status ntp
Kontrolle:
date
Neustart des Servers
reboot
Test DNS: Muss aufgelöst werden
ping ds.<yourdomain>.spdns.org
Test Kerberos
kinit administrator klist
Test Shares: 3 Shares sollten zu sehen sein
smbclient -L localhost -U%
Test Authentifizierung: Sollte ohne Fehler durchgehen
smbclient //localhost/netlogon -U Administrator -c 'ls'
Man kann sie theoretisch in der Gruppenrichtlinienverwaltung deaktivieren:
Man muss die Kennwortrichtlinie deshalb am Server ändern:
samba-tool domain passwordsettings set --complexity=off samba-tool domain passwordsettings set --history-length=0 samba-tool domain passwordsettings set --min-pwd-age=0 samba-tool domain passwordsettings set --max-pwd-age=0 samba-tool domain passwordsettings set --min-pwd-length=6
Aktuelle Kennwortrichtlinien anzeigen
samba-tool domain passwordsettings show
samba-tool user create <Benutzername>
Dann in RSAT verschieben und anpassen
Zertifikat für den Domain Controller dc1.ds.<yourdomain>.spdns.org erstellen, siehe Zertifikate.
Das Server-Zertifikat, den Server-Key und das CA-Zertifikat z.B. über die Freigabe
smb://192.168.178.3/netlogon
in den Server kopieren.
cd /var/lib/samba/private/tls/ cp /var/lib/samba/sysvol/ds.<yourdomain>.spdns.org/scripts/<YOURDOMAIN>-CA* . chown root * chgrp root * chmod 644 <YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-crt.pem chmod 644 <YOURDOMAIN>-CA-<Datum>-crt.pem chmod 600 <YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-key.pem
smb.conf anpassen
nano /etc/samba/smb.conf
[global] tls enabled = yes tls keyfile = tls/<YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-key.pem tls certfile = tls/<YOURDOMAIN>-CA-dc1.ds.<yourdomain>.spdns.org-<Datum>-crt.pem tls cafile = tls/<YOURDOMAIN>-CA-<Datum>-crt.pem
systemctl restart samba-ad-dc
Kontrolle mit journalctl -xe
Windows Admin PC
Lokale Admins https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups