7. Подготовка Samba 4 к роли контроллера домена AD.

7. Подготовка Samba 4 к роли контроллера домена AD.

Теперь можно приступать к подготовке домена.

Замечания.

1. Чтобы избежать проблем, пароль набирайте в английском регистре (уже пофиксили, в принципе можно на русском). По умолчанию включена сложность пароля, в пароль надо включить буквы в разном регистре, цифры, спецсимволы, минимальная длина 7 символов. Пароль пользователя Administrator в дальнейшем можно будет изменить, поэтому я ввел Pa$$w0rd, как рекомендует https://smb-conf.ru/samba4-addc.html

2. Вернемся к файлу /etc/network/interfaces и исправим строку на

dns-nameservers 192.168.1.2

Будем использовать встроенный в Samba 4 DNS сервер. Перезагрузим сеть:

# /etc/init.d/networking restart

Обратите внимание!!! Теперь запросы DNS будут идти через DNS сервер, встроеный в Samba.

Приступим:

# /usr/local/samba/bin/samba-tool domain provision
Realm [SAMDOM.EXAMPLE.COM]:
Domain [SAMDOM]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [192.168.150.16]:
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=samdom,DC=example,DC=com
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=samdom,DC=example,DC=com
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: samba
NetBIOS Domain: SAMDOM
DNS Domain: samdom.example.com
DOMAIN SID: S-1-5-21-2253133045-922010834-3568577260

А вот команда, показывающая текущие Политики паролей Samba4.

# /usr/local/samba/bin/samba-tool domain passwordsettings show
Password informations for domain 'DC=samdom,DC=example,DC=com'
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42

«И что все это значит?»

Password complexity: on — сложность пароля
Store plaintext passwords: off— хранить пароли в открытом виде
Password history length: 24 — сколько паролей хранить для неповторяемости
Minimum password length: 7 — минимальная длина пароля
Minimum password age (days): 1 — минимальное время жизни пароля
Maximum password age (days): 42 — максимальное время жизни пароля

Ну вот собственно хелп по команде

# /usr/local/samba/bin/samba-tool domain passwordsettings --help
Usage: samba-tool domain passwordsettings (show|set) [options]
Set password settings.
Password complexity, history length, minimum password length, the minimum and maximum password age) on a Samba4 server.
Options:
-h, --help show this help message and exit
-H URL, --URL=URL LDB URL for database or target server
--quiet Be quiet
--complexity=COMPLEXITY
The password complexity (on | off | default). Default is 'on'
--store-plaintext=STORE_PLAINTEXT
Store plaintext passwords where account have 'store passwords with reversible encryption' set (on | off |
default). Default is 'off'
--history-length=HISTORY_LENGTH
The password history length (| default).
Default is 24.
--min-pwd-length=MIN_PWD_LENGTH
The minimum password length (| default).
Default is 7.
--min-pwd-age=MIN_PWD_AGE
The minimum password age (| default). Default is 1.
--max-pwd-age=MAX_PWD_AGE
The maximum password age (| default). Default is 43.
Samba Common Options:
-s FILE, --configfile=FILE
Configuration file
-d DEBUGLEVEL, --debuglevel=DEBUGLEVEL
debug level
--option=OPTION set smb.conf option from command line
--realm=REALM set the realm name
Credentials Options:
--simple-bind-dn=DN
DN to use for a simple bind
--password=PASSWORD
Password
-U USERNAME, --username=USERNAME
Username
-W WORKGROUP, --workgroup=WORKGROUP
Workgroup
-N, --no-pass Don't ask for a password
-k KERBEROS, --kerberos=KERBEROS
Use Kerberos
--ipaddress=IPADDRESS
IP address of server
Version Options:
-V, --version Display version number

А вот с помощью этой команды можно поменять пароль

# /usr/local/samba/bin/samba-tool user setpassword Administrator
New Password:
Changed password OK

Настроим Kerberos. Приведем файл /usr/local/samba/share/setup/krb5.conf к виду:

[libdefaults]
default_realm = SAMDOM.EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = true

И заменим им содержимое файла /etc/krb5.conf

Тут я перезагрузил сервер. (Хотя не факт, что это необходимо.)