-
Notifications
You must be signed in to change notification settings - Fork 0
/
Creating_a_trust_relationship_between_Samba4_domain_controllers(RedOS_7.3.2_Server)_and_Windows_Server_2012R2
488 lines (474 loc) · 43.4 KB
/
Creating_a_trust_relationship_between_Samba4_domain_controllers(RedOS_7.3.2_Server)_and_Windows_Server_2012R2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
Создание доверительных отношений между контроллерами домена Samba (RedOS 7.3.2 Server) и Windows Server 2012R2
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Все описанные ниже действия выполнялись под пользователем root
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
План действий:
1) Создать контроллер домена на ОС Windows Server 2012R2;
2) Создать контроллер домена на ОС Linux RedOS 7.3.2 Server;
3) Подготовить контроллер домена на ОС Windows Server 2012R2 для создания доверительных отношений с контроллером домена на ОС Linux RedOS 7.3.2 Server;
4) Подготовить контроллер домена на ОС Linux RedOS 7.3.2 Server для создания доверительных отношений с контроллером домена на ОС Windows Server 2012R2;
5) Создать доверительные отношения.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Адресация уже настроенной ВМ с ОС Windows Server 2012R2
Hostname: dcd.domenok.ru
IP-address: 10.10.10.222
Mask: 255.255.255.0
Gateway: 10.10.10.253
DNS: 127.0.0.1
------------
Адресация уже настроенной ВМ с ОС RedOS 7.3.2 Server
Hostname: dcc.vir.ru
IP-address: 10.10.10.111
Mask: 255.255.255.0
Gateway: 10.10.10.253
DNS: 10.10.10.111
DNS: 10.10.10.222
Поисковый домен: domenok.ru
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Предисловие:
------------
КД - контроллер домена.
------------
Nano - это консольный текстовый редактор для UNIX и Unix-подобных операционных систем, основанный на библиотеке curses и распространяемый под лицензией
GNU GPL.
------------
Samba4 - это многофункциональный серверный продукт, предоставляющий как реализацию файлового сервера, сервиса печати, так и сервера идентификации(winbind).
------------
Winbind - это демон («служба» в терминах Windows), работающий на клиентах Samba и действующий как прокси для связи между PAM и NSS, работающими на
компьютере Linux, с одной стороны, и Active Directory, работающей на контроллере домена, с другой.
------------
NMTUI - это инструмент командной строки, который используется для настройки сети в системах Gnu / Linux. При запуске он вызывает графический текстовый
интерфейс, который помогает пользователям легко и эффективно настраивать сетевые интерфейсы.
------------
Active Directory (AD) — это службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. С помощью AD можно объединить различные
объекты сети (серверы, принтеры и различные сервисы) в единую систему, наладить удобный поиск и использование необходимых данных.
------------
Сервер - это компьютер, выполняющий определённые роли в домене.
------------
Контроллер домена - это сервер, хранящий каталог и обслуживающий запросы пользователей к каталогу. Помимо хранения данных контроллер домена может выступать
в качестве одной из FSMO-ролей.
------------
Домен - это минимальная структурная единица организации Active Directory(может состоять из пользователей, компьютеров, принтеров, прочих общих ресурсов).
------------
Дерево доменов - это иерархическая система доменов, имеющая единый корень(корневой домен).
------------
Лес доменов - это множество деревьев доменов, находящихся в различных формах доверительных отношений.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
1) Ни для кого не секрет, как настраивается ВМ с ОС Windows Server 2012R2 и как поднимается контроллер домена. И для того, чтобы не захламлять интсрукцию,
я предпочту не рассказывать о том, как настраивается ВМ с ОС Windows Server 2012R2.
Но вот что нужно знать при создании КД. КД должен быть с таким функционалом:
------------
1 - Forest functional level: Windows Server 2008R2;
2 - Domain functional level: Windows Server 2008R2.
------------
Если создадите с другим функционалом, то работать ничего не будет.
ТАКЖЕ!!! Не забудьте добавить обратные DNS-зоны.
В моём примере обратная DNS-зона будет выглядеть следующим образом: 10.10.10.in-addr.arpa
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
https://redos.red-soft.ru/base/server-configuring/domain-config/install-samba-dc/
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
2) При создании ВМ минимально рекомендуется выделить: Sockets: 2; Cores: 2; Memory(MiB): 8192.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
После установки рабочей станции, обязательно нужно прописать статику. После того, как статическая адресация будет прописана, нужно будет перезагрузить
сетевой интерфейс:
------------
ifdown ens18 && ifup ens18 |#|#| Перезапуск сетевого интерфейса.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum update -y && yum upgrade -y |#|#| Поиск и обновление пакетов.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
reboot |#|#| Перезагрузка системы.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum install samba-client*.x86_64 samba-common.noarch samba-common*x86_64 samba-dc*.x86_64 samba-libs*.x86_64 samba-winbind*.x86_64 -y |#|#| Установка необходимых пакетов
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
smbd -b | grep HAVE_LIBKADM5SRV_MIT |#|#| Проверка Samba на наличие Kerberos Heimdal. Если команда выдаёт "HAVE_LIBKADM5SRV_MIT", тогда нужно установить Samba с поддержкой Kerberos Heimdal.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
mv /etc/krb5.conf /etc/krb5.conf.bak |#|#| Переименование дефолтного файла Kerberos.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak |#|#| Переименование дефолтного файла Samba.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
smbd -V |#|#| Команда проверки установленной версии Samba.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/selinux/config |#|#| В файле config нужно поменять статус SElinux. Заменить текст SELINUX=enforcing на SELINUX=permissive.
setenforce 0
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
hostnamectl set-hostname dcc.vir.ru |#|#| Смена имени сервера.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/hosts |#|#| В файле hosts нужно добавить ниже IP-адрес сервера, его полное и короткое имя.
Пример: 10.10.10.111 dcc.vir.cu dcc
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl restart NetworkManager |#|#| Перезагразка сетевого интерфейса.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/resolv.conf |#|#| Проверка файла resolv.conf в прописанными dns-адресами.
Вывод должнен быть таким:
# Generated by NetworkManager
search vir.ru
nameserver 77.88.8.88
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain provision --use-rfc2307 --interactive |#|#| Запуск конфигурирования Samba в роли контроллера домена в интерактивном режиме.
Realm [VIR.RU]:
Domain [VIR]:
Server Role (dc, member, standalone) [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [77.88.8.88]: 10.10.10.111
Administrator password:
Retype password:
INFO 2023-02-03 12:55:46,492 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2108: Looking up IPv4 addresses
INFO 2023-02-03 12:55:46,494 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2125: Looking up IPv6 addresses
WARNING 2023-02-03 12:55:46,495 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2132: No IPv6 address will be assigned
INFO 2023-02-03 12:55:46,755 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2274: Setting up share.ldb
INFO 2023-02-03 12:55:46,771 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2278: Setting up secrets.ldb
INFO 2023-02-03 12:55:46,783 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2283: Setting up the registry
INFO 2023-02-03 12:55:46,825 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2286: Setting up the privileges database
INFO 2023-02-03 12:55:46,847 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2289: Setting up idmap db
INFO 2023-02-03 12:55:46,862 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2296: Setting up SAM db
INFO 2023-02-03 12:55:46,867 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #880: Setting up sam.ldb partitions and settings
INFO 2023-02-03 12:55:46,868 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #892: Setting up sam.ldb rootDSE
INFO 2023-02-03 12:55:46,871 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1305: Pre-loading the Samba 4 and AD schema
Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs
INFO 2023-02-03 12:55:46,909 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1383: Adding DomainDN: DC=vir,DC=ru
INFO 2023-02-03 12:55:46,922 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1415: Adding configuration container
INFO 2023-02-03 12:55:46,933 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1430: Setting up sam.ldb schema
INFO 2023-02-03 12:55:49,421 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1448: Setting up sam.ldb configuration data
INFO 2023-02-03 12:55:49,554 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1489: Setting up display specifiers
INFO 2023-02-03 12:55:51,254 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1497: Modifying display specifiers and extended rights
INFO 2023-02-03 12:55:51,287 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1504: Adding users container
INFO 2023-02-03 12:55:51,288 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1510: Modifying users container
INFO 2023-02-03 12:55:51,289 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1513: Adding computers container
INFO 2023-02-03 12:55:51,290 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1519: Modifying computers container
INFO 2023-02-03 12:55:51,291 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1523: Setting up sam.ldb data
INFO 2023-02-03 12:55:51,397 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1553: Setting up well known security principals
INFO 2023-02-03 12:55:51,435 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1567: Setting up sam.ldb users and groups
INFO 2023-02-03 12:55:51,552 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #1575: Setting up self join
Repacking database from v1 to v2 format (first record CN=ms-SPP-Installation-Id,CN=Schema,CN=Configuration,DC=vir,DC=ru)
Repack: re-packed 10000 records so far
Repacking database from v1 to v2 format (first record CN=interSiteTransport-Display,CN=C04,CN=DisplaySpecifiers,CN=Configuration,DC=vir,DC=ru)
Repacking database from v1 to v2 format (first record CN=ipsecNFA{59319BE2-5EE3-11D2-ACE8-0060B0ECCA17},CN=IP Security,CN=System,DC=vir,DC=ru)
INFO 2023-02-03 12:55:52,602 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1200: Adding DNS accounts
INFO 2023-02-03 12:55:52,619 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1234: Creating CN=MicrosoftDNS,CN=System,DC=vir,DC=ru
INFO 2023-02-03 12:55:52,634 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1247: Creating DomainDnsZones and ForestDnsZones partitions
INFO 2023-02-03 12:55:52,677 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/sambadns.py #1252: Populating DomainDnsZones and ForestDnsZones partitions
Repacking database from v1 to v2 format (first record DC=j.root-servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=vir,DC=ru)
Repacking database from v1 to v2 format (first record DC=_kerberos._tcp.Default-First-Site-Name._sites.dc,DC=_msdcs.vir.ru,CN=MicrosoftDNS,DC=ForestDnsZones,DC=vir,DC=ru)
INFO 2023-02-03 12:55:52,849 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2012: Setting up sam.ldb rootDSE marking as synchronized
INFO 2023-02-03 12:55:52,852 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2017: Fixing provision GUIDs
INFO 2023-02-03 12:55:53,923 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2348: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
INFO 2023-02-03 12:55:53,923 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2350: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
INFO 2023-02-03 12:55:53,967 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #2082: Setting up fake yp server settings
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #487: Once the above files are installed, your Samba AD server will be ready to use
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #492: Server Role: active directory domain controller
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #493: Hostname: dcc
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #494: NetBIOS Domain: VIR
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #495: DNS Domain: vir.ru
INFO 2023-02-03 12:55:54,024 pid:4043 /usr/lib64/python3.8/site-packages/samba/provision/__init__.py #496: DOMAIN SID: S-1-5-21-25273870-955602320-113037211
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
После окончания конфигурирования контроллера домена, нужно зайти в настройки сетевого интерфейса и встроке "Серверы DNS" поменять адрес 77.88.8.88 на 10.10.10.111.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/samba/smb.conf |#|#| В файле smb.conf, раздел [global] нужно привести к следующему виду:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[global]
log level = 3
dns forwarder = 10.10.10.111
netbios name = DCC
realm= VIR.RU
server role = active directory domain controller
workgroup= VIR
idmap_ldb:use rfc2307 = yes
vfs objects = dfs_samba4 acl_xattr
map acl inherit = yes
store dos attributes = yes
allow dns updates = nonsecure
nsupdate command = /usr/bin/nsupdate -g
dsdb:schema update allowed = true
security = user
map to guest = bad user
wins support = no
dns proxy = no
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[netlogon]
path = /var/lib/samba/sysvol/vir.ru/scripts
read only = No
[public]
path = /samba/public
guest ok = yes
force user = nobody
browsable = yes
writable = yes
[private]
path = /samba/private
valid users = @smbgrp
guest ok = no
browsable = yes
writable = yes
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
testparm |#|#| Команда для проверки работоспособности файла "smb.conf" в каталоге "/etc/samba/"
При хорошем раскладе вывод должен быть таким:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Load smb config files fr om /etc/samba/smb.conf
Loaded services file OK.
Weak crypto is allowed
Server role: ROLE_ACTIVE_DIRECTORY_DC
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cp /var/lib/samba/private/krb5.conf /etc/ |#|#| Копирование сконфигурированного файла Kerberos.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/krb5.conf |#|#| Файл нужно привести к следующему виду:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[libdefaults]
default_realm = VIR.RU
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[realms]
VIR.RU = {
default_domain = vir.ru
}
[domain_realm]
dcc = VIR.RU
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl status samba.service |#|#| Проверка статуса Samba.
systemctl start samba.service |#|#| Запуск службы Samba.
systemctl enable samba.service --now |#|#| Добавление в автозапуск сервиса Samba
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
reboot |#|#| Перезапуск системы
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
ping ya.ru |#|#| Команда проверки dns
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
ps ax | egrep "samba|smbd|nmbd|winbindd" |#|#| Команда проверки запущенных процессов
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo --ping-dc |#|#| Команда для проверки подключения службы Winbind к контроллеру домена
При упешном подключении Winbind
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo -u |#|#| Команда для показа доменных пользователей
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
wbinfo -g |#|#| Команда для показа доменных групп
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
yum install -y redadm |#|#| Команда для установки Web-интерфейса, для управления для управления доменом Samba
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/redadm/server.conf |#|#| Команда для настройки конфигурационного файла Samba-сервера
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Пример настройки конфигурационного файла:
-----------------------------------------
[SETTINGS]
name= vir.ru |#|#| Имя вашего домена
ldap_url= ldaps://10.10.10.111:636 |#|#| ldaps-адрес к нужному контроллеру домена, в нашем случае это Samba DC
cert_path= /etc/pki/ca-trust/source/anchors/ca.pem |#|#| адрес сертификата TLS(SSL) (создается автоматически при установке, можете указать свой)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/redadm/client.conf
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
[SETTINGS]
IP=10.10.10.111 |#|#| IP-адрес вашего сервера RedAdm, к которому будут подключаться клиенты
PORT=8989 |#|#| Порт, к которому будут подключаться клиенты РЕД АДМ
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl enable redadm.service redis.service redadm-celery-worker.service redadm-celery-beat.service --now |#|#| Команда для добавления в автозагрузку
сервисов ПО RedAdm
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
systemctl restart redadm
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вход осуществляется с помощью доменной учетной записи Linux RedOS 7.3.2 Workstation
Ссылка для входа: http://ip-address:8989
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
3) Подготовка КД на ОС Windows Server 2012R2 для создания доверительных отношений с контроллером домена на ОС Linux RedOS 7.3.2 Server
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Настройка DNS на сервере Windows
------------
Нужно создать сервер условной пересылки, для этого откройте "Диспетчер DNS" и перейдите на вкладку «Серверы условной пересылки».
Далее впишите DNS домен сервера SAMBA "vir.ru" и его IP-адрес "10.10.10.111". Также нужно поставить галочку рядом с надписью "Сохранять условный сервер пересылки
в Active Directory и реплецировать её следующим образом". Выберите «Все DNS серверы в этом лесу» и нажмите "ОК".
||
dnscmd /zoneadd vir.ru /forwarder 10.10.10.111
------------
Также необходимо добавить глобальный «Сервер пересылки» в свойствах DNS сервера Windows.
Для этого в диспетчере DNS нажмите правой кнопкой мыши на сервере DNS (DCD) и в выпадающем меню выберите «Свойства», перейдите на вкладку «Сервер пересылки»,
нажмите на кнопку «Изменить» и в открывшемся окне введите IP-адрес сервера "10.10.10.111".
------------
Чтобы убедиться, что сервер AD "domenok.ru" может корректно видеть Samba "vir.ru", проверьте, правильно ли разрешены записи SRV в командной строке на сервере "DCD".
------------
C:\> nslookup.exe
> set type=srv
> _ldap._tcp.vir.ru
> _kerberos._tcp.vir.ru
> exit
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
4) Подготовка КД на ОС Linux RedOS 7.3.2 Server для создания доверительных отношений с контроллером домена на ОС Windows Server 2012R2
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
В настройках сетевого интерфейса, укажите два IP-адреса, адрес КД "domenok.ru" и адрес КД "vir.ru". Также указите поисковый домен: domenok.ru. Полсе чего не забудьте
перезагрузить сетевой интерфейс.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/resolv.conf |#|#| Команда вывода содержимого файла "resolv.conf", который находится в каталоге "/etc/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод должен быть таким:
------------
# Generated by NetworkManager
search domenok.ru vir.ru
nameserver 10.10.10.222
nameserver 10.10.10.111
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Далее идём в файл "smb.conf", который находится по пути "/etc/samba/" и меняем IP-адрес в строке "dns forwarder" на адрес домена "domenok.ru"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
nano /etc/samba/smb.conf |#|#| Команда для редактирования файла "smb.conf", который находится в каталоге "/etc/samba/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Затем нужно отредактировать файл "krb5.conf", который находится в каталоге "/etc/", добавив в него строки в группу "[realms]"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Строки, которые нужно добавить в группу "[realms]"
------------
DOMENOK.RU = {
kdc = dcd.domenok.ru
admin_server = dcd.domenok.ru
}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
cat /etc/krb5.conf |#|#| Команда вывода содержимого файла "krb5.conf", который находится в каталоге "/etc/"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод должен быть таким:
------------
[libdefaults]
default_realm = VIR.RU
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[realms]
VIR.RU = {
default_domain = vir.ru
}
DOMENOK.RU = {
kdc = dc.domenok.ru
admin_server = dc.domenok.ru
}
[domain_realm]
dcc = VIR.RU
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
kinit Администратор@DOMENOK.RU |#|#| Команда для проверки запроса билета
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
klist |#|#| Команда для проверки тикета
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Проверка успешно полученного тикета:
------------
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Администратор@DOMENOK.RU
Valid starting Expires Service principal
03.02.2023 15:15:12 03.02.2023 01:15:12 krbtgt/DOMENOK.RU@DOMENOK.RU
renew until 04.02.2023 15:15:12
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
5) Настройка доверительных отношений
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
#####################################################################################################################################################################
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain trust create domenok.ru -U Администратор@domenok.ru |#|#| Команда для настройки доверительных отношений между контроллерами домена
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Если после введения пароля все прошло успешно, то вывод будет таким:
------------
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
GENSEC backend 'krb5' registered
GENSEC backend 'fake_gssapi_krb5' registered
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
LocalDomain Netbios[VIR] DNS[vir.ru] SID[S-1-5-21-25273870-955602320-113037211]
resolve_lmhosts: Attempting lmhosts lookup for name _ldap._tcp.DOMENOK.RU<0x0>
RemoteDC Netbios[DCD] DNS[dcd.domenok.ru] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6,ADS_WEB_SERVICE,DS_8,__unknown_00008000__]
Using binding ncacn_np:dcd.domenok.ru
resolve_lmhosts: Attempting lmhosts lookup for name dcd.domenok.ru<0x20>
Password for [Администратор@DOMENOK.RU]:
Cannot reach a KDC we require to contact (null) : kinit for Администратор@DOMENOK.RU failed (Cannot contact any KDC for requested realm)
gensec_spnego_client_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for cifs/dcd.domenok.ru failed (next[ntlmssp]): NT_STATUS_NO_LOGON_SERVERS
Got challenge flags:
Got NTLMSSP neg_flags=0x62898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
RemoteDomain Netbios[DOMENOK] DNS[domenok.ru] SID[S-1-5-21-615651707-2160561468-1044660757]
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
Using binding ncacn_np:dcd.domenok.ru
resolve_lmhosts: Attempting lmhosts lookup for name dcd.domenok.ru<0x20>
Cannot reach a KDC we require to contact (null) : kinit for Администратор@DOMENOK.RU failed (Cannot contact any KDC for requested realm)
gensec_spnego_client_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for cifs/dcd.domenok.ru failed (next[ntlmssp]): NT_STATUS_NO_LOGON_SERVERS
Got challenge flags:
Got NTLMSSP neg_flags=0x62898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Validating outgoing trust...
OK: LocalValidation: DC[\\dcd.domenok.ru] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dcc.vir.ru] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
samba-tool domain trust show domenok.ru |#|#| Команда для проверки установленных доверительных отношений между КД
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Вывод команды должен быть таким:
------------
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
GENSEC backend 'krb5' registered
GENSEC backend 'fake_gssapi_krb5' registered
Using binding ncalrpc:DCC[,auth_type=ncalrpc_as_system]
LocalDomain Netbios[VIR] DNS[vir.ru] SID[S-1-5-21-25273870-955602320-113037211]
TrustedDomain:
NetbiosName: DOMENOK
DnsName: domenok.ru
SID: S-1-5-21-615651707-2160561468-1044660757
Type: 0x2 (UPLEVEL)
Direction: 0x3 (BOTH)
Attributes: 0x4 (QUARANTINED_DOMAIN)
PosixOffset: 0x00000000 (0)
kerb_EncTypes: 0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
На этом инструкция закончена! Спасибо за внимание!)