Задание:
11) Реализация доменной инфраструктуры SAMBA AD
- a) Сконфигурируйте основной доменный контроллер на SRV1-HQ
- 1. Используйте модуль BIND9_DLZ
- 2. Создайте 30 пользователей user1-user30 с паролем P@ssw0rd.
- 3. Пользователи user1-user10 должны входить в состав группы group1.
- 4. Пользователи user11-user20 должны входить в состав группы group2.
- 5. Пользователи user21-user30 должны входить в состав группы group3.
- 6. Создайте подразделения CLI и ADMIN
- i. Поместите клиентов в подразделения в зависимости от их роли.
- 7. Клиентами домена являются ADMIN-DT, CLI-DT, ADMIN-HQ, CLI-HQ.
- f) В качестве резервного контроллера домена используйте SRV1-DT.
- 1. Используйте модуль BIND9_DLZ
- h) Реализуйте общую папку на SRV1-HQ
- 1. Используйте название SAMBA
- 2. Используйте расположение /opt/data
Вариант реализации:
SRV1-HQ:
- Установим необходимый пакет:
apt-get install task-samba-dc -y- Настройка BIND9 для работы с Samba AD:
- Отключаем chroot:
control bind-chroot disabled-
- Отключаем KRB5RCACHETYPE:
grep -q KRB5RCACHETYPE /etc/sysconfig/bind || echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind-
- Подключаем плагин BIND_DLZ:
grep -q 'bind-dns' /etc/bind/named.conf || echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf-
- Отредактируем файл /etc/bind/options.conf:
vim /etc/bind/options.conf-
-
- в раздел options необходимо добавить строки:
-
-
-
- в раздел logging необходимо добавить строку:
-
- Выполняем остановку службы bind:
systemctl stop bind- Необходимо очистить базы и конфигурацию Samba:
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol- Запускаем интерактивную установку контроллера домена:
samba-tool domain provision
-
- результат:
- Запускаем службы samba и bind:
systemctl enable --now sambasystemctl start bind- Настраиваем Kerberos:
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf- Проверяем:
- Добавляем все необходимые записи типа A, PTR и CNAME средствами samba-tool
- добавляем записи типа А:
samba-tool dns add 127.0.0.1 au.team r-dt A 192.168.33.89
samba-tool dns add 127.0.0.1 au.team fw-dt A 192.168.33.90
samba-tool dns add 127.0.0.1 au.team fw-dt A 192.168.33.1
samba-tool dns add 127.0.0.1 au.team fw-dt A 192.168.33.65
samba-tool dns add 127.0.0.1 au.team fw-dt A 192.168.33.81
samba-tool dns add 127.0.0.1 au.team admin-dt A 192.168.33.82
samba-tool dns add 127.0.0.1 au.team srv1-dt A 192.168.33.66
samba-tool dns add 127.0.0.1 au.team srv2-dt A 192.168.33.67
samba-tool dns add 127.0.0.1 au.team srv3-dt A 192.168.33.68
samba-tool dns add 127.0.0.1 au.team cli-dt A 192.168.33.2
samba-tool dns add 127.0.0.1 au.team r-hq A 192.168.11.1
samba-tool dns add 127.0.0.1 au.team r-hq A 192.168.11.65
samba-tool dns add 127.0.0.1 au.team r-hq A 192.168.11.81
samba-tool dns add 127.0.0.1 au.team sw1-hq A 192.168.11.82
samba-tool dns add 127.0.0.1 au.team sw2-hq A 192.168.11.83
samba-tool dns add 127.0.0.1 au.team sw3-hq A 192.168.11.84
samba-tool dns add 127.0.0.1 au.team admin-hq A 192.168.11.85
samba-tool dns add 127.0.0.1 au.team cli-hq A 192.168.11.2- Проверяем:
samba-tool dns query 127.0.0.1 au.team @ ALL-
- результат:
- Создаём зоны обратного просмотра для добавления PTR-записей:
- для сети офиса HQ:
samba-tool dns zonecreate 127.0.0.1 11.168.192.in-addr.arpa-
- для сети офиса DT:
samba-tool dns zonecreate 127.0.0.1 33.168.192.in-addr.arpa-
- проверяем:
samba-tool dns zonelist 127.0.0.1-
-
- результат:
-
- Добавляем все необходимые записи типа A, PTR и CNAME средствами samba-tool
- добавляем записи типа PTR:
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 89 PTR r-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 90 PTR fw-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 1 PTR fw-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 65 PTR fw-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 81 PTR fw-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 82 PTR admin-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 66 PTR srv1-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 67 PTR srv2-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 68 PTR srv3-dt.au.team
samba-tool dns add 127.0.0.1 33.168.192.in-addr.arpa 2 PTR cli-dt.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 1 PTR r-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 65 PTR r-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 66 PTR srv1-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 81 PTR r-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 82 PTR sw1-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 83 PTR sw2-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 84 PTR sw3-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 85 PTR admin-hq.au.team
samba-tool dns add 127.0.0.1 11.168.192.in-addr.arpa 2 PTR cli-hq.au.team- Проверяем:
-
- добавляем записи типа CNAME — для необходимых сервисов:
samba-tool dns add 127.0.0.1 au.team www CNAME srv1-dt.au.team -U administratorsamba-tool dns add 127.0.0.1 au.team zabbix CNAME srv1-dt.au.team -U administrator- Проверяем:
- Создаём группы group1, group2 и group3:
samba-tool group add group1samba-tool group add group2samba-tool group add group3-
- Проверяем:
- Создаём пользователей user1-user30 с паролем P@ssw0rd:
-
- Создаём пользователей user1-user10 — и добавляем в группу group1:
for i in {1..10}; do
samba-tool user add user$i P@ssw0rd;
samba-tool user setexpiry user$i --noexpiry;
samba-tool group addmembers "group1" user$i;
done-
- Создаём пользователей user11-user20 — и добавляем в группу group2:
for i in {11..20}; do
samba-tool user add user$i P@ssw0rd;
samba-tool user setexpiry user$i --noexpiry;
samba-tool group addmembers "group2" user$i;
done-
- Создаём пользователей user21-user30 — и добавляем в группу group3:
for i in {21..30}; do
samba-tool user add user$i P@ssw0rd;
samba-tool user setexpiry user$i --noexpiry;
samba-tool group addmembers "group3" user$i;
done-
- Проверяем:
- Создим подразделения CLI и ADMIN:
samba-tool ou add 'OU=CLI'
samba-tool ou add 'OU=ADMIN'-
- проверяем:
SRV1-DT:
- Реализуем резервный контроллер домена с модулем BIND9_DLZ:
- Установим необходимый пакет:
apt-get install task-samba-dc -y-
- Останавливаем конфликтующие службы krb5kdc и slapd, а также bind:
for service in smb nmb krb5kdc slapd bind; do
systemctl disable $service;
systemctl stop $service;
done-
- Отключаем KRB5RCACHETYPE:
grep -q KRB5RCACHETYPE /etc/sysconfig/bind || echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind-
- Подключаем плагин BIND_DLZ:
grep -q 'bind-dns' /etc/bind/named.conf || echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf-
- Отредактируем файл /etc/bind/options.conf:
vim /etc/bind/options.conf-
-
- в раздел options необходимо добавить строки:
-
-
-
- в раздел logging необходимо добавить строку:
-
-
- Установим следующие параметры в файле конфигурации клиента Kerberos:
vim /etc/krb5.conf-
-
- содержимое:
-
-
- Запросим билет Kerberos администратора домена:
kinit administrator@AU.TEAM-
-
- проверяем:
-
-
- Необходимо очистить базы и конфигурацию Samba:
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol-
- Вводим SRV1-DT в домен au.team в качестве контроллера домена:
samba-tool domain join au.team DC -Uadministrator --realm=au.team --dns-backend=BIND9_DLZ-
- Включаем и добавляем в автозагрузку службы samba и bind:
systemctl enable --now sambasystemctl enable --now bind-
- Выполняем процедуру репликации — с первого контроллера домена на второй:
samba-tool drs replicate srv1-dt.au.team srv1-hq.au.team dc=au,dc=team -Uadministrator-
- Для выполнения репликации на первый контроллер домена со второго на FW-DT должно быть задано следующее правило:
firewall forward add src 192.168.11.64/28 dst 192.168.33.64/28 pass-
- Выполняем процедуру репликации на первый контроллер домена со второго:
samba-tool drs replicate srv1-hq.au.team srv1-dt.au.team dc=au,dc=team -Uadministrator
ADMIN-HQ:
- Вводим в домен:
8 — Перезагрузить виртуальную машину
CLI-HQ:
- Вводим в домен аналогично ADMIN-HQ:
ADMIN-DT:
- Вводим в домен аналогично ADMIN-HQ:
CLI-DT:
- Вводим в домен аналогично ADMIN-HQ:
SRV1-HQ:
- Проверяем наличие клиентов в домене:
samba-tool computer list-
- результат:
- Перемещаем клинетов в подразредения:
- ADMIN-DT в подразделение ADMIN:
samba-tool computer move ADMIN-DT 'OU=ADMIN,DC=au,DC=team'-
- ADMIN-HQ в подразделение ADMIN:
samba-tool computer move ADMIN-HQ 'OU=ADMIN,DC=au,DC=team'-
- CLI-DT в подразделение CLI:
samba-tool computer move CLI-DT 'OU=CLI,DC=au,DC=team'-
- CLI-HQ в подразделение CLI:
samba-tool computer move CLI-HQ 'OU=CLI,DC=au,DC=team'- Проверяем:
SRV1-HQ:
- Реализуем общую папку, вносим следующую информацию в конфигурационный файл /etc/samba/smb.conf:
- Перезагружаем службу samba:
systemctl restart samba-
- проверяем:
