Сервер 20 как AD

[reiss]

Приветствую всех. Грозят мне купить партию машин с линуксом(вроде альт), а сервера не дали. Стоит задача сделать контроллер домена на самбе. Вменяемого гайда не нашел. Подскажите, что я не так делаю.
Вводные данные:
имя хоста altdc
имя домена gkb34dc.dc
ip 10.174.36.30
Итак:
в smb.conf такое:

Код: [Выделить]

# Global parameters
[global]
dns forwarder = 10.174.36.8
netbios name = ALTDC
realm = GKB34DC.DC
server role = active directory domain controller
workgroup = GKB34DC

[sysvol]
path = /var/lib/samba/sysvol
read only = No

[netlogon]
path = /var/lib/samba/sysvol/gkb34dc.dc/scripts
read only = NoВ hosts такое:

Код: [Выделить]

127.0.0.1       localhost.localdomain localhost
10.174.36.30 altdc.gkb34.dc altdc
Хостнейм

Код: [Выделить]

HOSTNAME=altdc.gkb34dc.dcВ krb5.conf такое:

Код: [Выделить]

[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = GKB34DC.DC
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 GKB34DC.DC = {
  default_domain = 10.174.36.30
 }

[domain_realm]
 .gkb34dc.dc = GKB34DC.DC
 gkb34dc.dc = GKB34DC.DCИ не работает. У меня идеи кончились.

[𝓝𝓲𝓻𝓭]

А зачем контроллер домена для линуксовых хостов? Контроллер домена на самбе это дешевый вариант для виндовых хостов. Линуксовыми хостами проще рулить например ansible. Если речь про распределенную файловую помойку, то отлично подойдет openmediavault. Туда же можно прикрутить LDAP. В общем контроллер домена это не про линуксовые хосты.

[reiss]

например ansible

Целиком с вами согласен. Оно и ССШ тема. Но у меня, окроме них есть еще и Вин10 и Вин8 немного.
Так что вопрос с АД по-прежнему открыт.
Небольшой апдейт к вопросу. При помощи вот этого гайда:
https://adminguide.ru/2020/05/10/controller-domena-ubuntu-20-04-ad-dc/
мне удалось сделать что-то наподобие. Правда без бинда, который тащем-то лишний.
Все работает... почти. Комп в домен вводится. Домен видно, пасс админа распознает, а вот дальше имя пользователя не видит в упор.
Делал:

Код: [Выделить]

adduser
smbpasswd -a
smbpasswd -e
kinitПосле этого klist вываливает билет зарегенного пользователя, но при попытке зайти с винды - неверный пользователь.
Что я забыл или что не договорили в гайде?
Апдейт 2 - после ребута билет пропал. Все чудастее и чудастее(с)

[AnrDaemon]

Правда без бинда, который тащем-то лишний.

Как раз winbind не лишний, а самый нужный.

[reiss]

Про бинд тема дискуссионная.
Подскажите как правильно добавлять пользователей?
Инструкции очень противоречивые.

Как раз winbind не лишний, а самый нужный.

Прошу прощения, вы были правы. Ничего не работает. Но другой затык - сделал я все, как указано в приведенном мной гайде, но самба и bind9 поссорились из-за 53 порта. В итоге или то или то. Как это вылечить?

[AnrDaemon]

Не ставить bind9 на один сервер с Самбой.
Вообще не надо смотреть в сторону инструкций с bind9.
Пользователь добавил сообщение 27 Ноября 2020, 17:40:17:Я себе сделал скрипт для быстрой настройки ADC/MS.

https://github.com/AnrDaemon/samba4-ads/tree/master/root/samba-ads

Подскажите как правильно добавлять пользователей?

Вам нужно установить Remote Server Administration Tools на любую машину с Windows.

[bezbo]

Ничего не работает.

...пришел к выводу что таки ещё рано переводить контроллеры доменоа на 20ю Ubuntu...

[AnrDaemon]

Для тупых авторов тупых гайдов по настройке AD - не надо связывать Самбу с BIND, Самба сама поработает DNS сервером.
А BIND поставьте на другой машине.

[valrust]

Я рекомендую для поднятия AD: Ubuntu 18.04  и в нем поставить Zentyal Server Development Edition.

[AnrDaemon]

Я рекомендую

Это не топик для рекомендаций.

gkb34dc.dc

Кстати, а эта DNS зона вам принадлежит?

[reiss]

А BIND поставьте на другой машине.

Что делать, если это невозможно? Ну не купили мне 2 компа. Один он у меня, как сирота казанская.

Вообще не надо смотреть в сторону инструкций с bind9.

Буду вам очень признателен, если вы напишете свою инструкцию. Вменяемых правда нет. Если у вас есть на это время.

Вам нужно установить Remote Server Administration Tools на любую машину с Windows.

Я краем уха слышал, что для AD на самбе какая-то вебморда есть, но найти не могу.

А BIND поставьте на другой машине.

Как я уже сказал, технически низя. Но у меня есть работающий на микротике ДНСник. Если его указать в качестве резолвирующего и, допустим, статично прописать в нем связку ипа с сервером АД, это сработает? Или там еще надо прописывать зону? Я в общем-то не вижу разницы между данной реализацией ДНС и биндом.

Кстати, а эта DNS зона вам принадлежит?

Так вот я и пытался ее делать. Вместо штатного localhost.localdomain

[AnrDaemon]

А BIND поставьте на другой машине.

Что делать, если это невозможно? Ну не купили мне 2 компа. Один он у меня, как сирота казанская.

LXC например.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# lxc-ls -f
NAME       STATE   AUTOSTART GROUPS IPV4                                                     IPV6
dc1        RUNNING 1         onboot 192.168.17.4                                             -
fileserver RUNNING 1         -      192.168.17.5                                             -
gw         RUNNING 1         -      192.168.10.3, 192.168.17.2, 192.168.18.1, 213.134.200.30 -
postfix    RUNNING 1         -      192.168.17.22                                            -
printing   RUNNING 1         -      192.168.17.23                                            -
tcont      STOPPED 0         -      -                                                        -

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#  lxc-ls -f
NAME           STATE   AUTOSTART GROUPS    IPV4         IPV6
build-bionic64 STOPPED 0         -         -            -
build-trusty32 STOPPED 0         -         -            -
build-trusty64 STOPPED 0         -         -            -
build-xenial64 STOPPED 0         -         -            -
dc1            RUNNING 1         onboot    192.168.1.8  -
hosting64      RUNNING 1         -         192.168.1.5  -
mc-sfs         RUNNING 1         minecraft 192.168.1.16 -
mc-tamik       RUNNING 1         minecraft 192.168.1.17 -
mysql2         RUNNING 1         -         192.168.1.7  -
mysql3         STOPPED 1         -         -            -
pubserver64    RUNNING 1         -         192.168.1.6  -
server3        STOPPED 0         -         -            -
xca-https      STOPPED 0         -         -            -

Вообще не надо смотреть в сторону инструкций с bind9.

Буду вам очень признателен, если вы напишете свою инструкцию. Вменяемых правда нет. Если у вас есть на это время.

Просто игнорируйте всё, что касается BIND9.

Вам нужно установить Remote Server Administration Tools на любую машину с Windows.

Я краем уха слышал, что для AD на самбе какая-то вебморда есть, но найти не могу.

Она исключительно ущербна.

А BIND поставьте на другой машине.

Как я уже сказал, технически низя. Но у меня есть работающий на микротике ДНСник. Если его указать в качестве резолвирующего и, допустим, статично прописать в нем связку ипа с сервером АД, это сработает? Или там еще надо прописывать зону? Я в общем-то не вижу разницы между данной реализацией ДНС и биндом.

Всё зависит от целей. У меня AD DNS держит сама самба, а на gw стоит ресолвер (BIND9) для всего остального (дома ресолвер пока на хосте, надо тоже в контейнер завернуть. Возможно, в докер-контейнер…).

Кстати, а эта DNS зона вам принадлежит?

Так вот я и пытался ее делать. Вместо штатного localhost.localdomain

Оно нифига не штатное. Выбирайте либо полностью фейковую зону, либо поддомен принадлежащей вам зоны.
Например, на работе у меня ads.smth.lan( .lan - признанная топ-левел зона для домашних сетей ), а дома ads.rootdir.org (rootdir.org зарегистрирована на меня).

Смотри https://tools.ietf.org/html/rfc6762#appendix-G а так же ответ https://serverfault.com/a/937808/208335.

[valrust]

Это не топик для рекомендаций.

Пусть автор темы решает для чего этот топик.

Я краем уха слышал, что для AD на самбе какая-то вебморда есть, но найти не могу.

Я выше писал про Zentyal, посмотрите. Только он базируется на Ubuntu Server 18.04, а не 20.04, как заявлено в теме.

[reiss]

Так, господа и товарищи. При помощи какой-то матери домен заработал.
Клиентский комп в него входит, kinit на клиенте отрабатывает, по ссш на сервер пускает...
А вот интерактивно на клиент нет.
при входе ввожу имя юзера в виде user@domain и пасс, соответственно.
Неверный, грит, пароль. По ссш он ему, собаке, верный.
Что надо сделать, чтобы пускало интерактивно на клиент?
Во всех инструкциях - создайте юзера на сервере и заходите.
Нет, изба индейская. Фигвам называется...
Да, инструкцию читал эту https://www.dmosk.ru/miniinstruktions.php?mini=freeipa-centos
С поправкой на дистр.
В логах кербероса такое

Код: [Выделить]

09:45:52 gkb34dc.gkb34.ipa krb5kdc[2842](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), UNSUPPORTED:des3-hmac-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(2
6)}) 10.174.39.43: ISSUE: authtime 1606963552, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, host/comp01.gkb34.ipa@GKB34.IPA for ldap/gkb34dc.gkb34.ipa@GKB34.IPA
дек 03 09:45:52 gkb34dc.gkb34.ipa krb5kdc[2842](info): closing down fd 12


[AnrDaemon]

Код: [Выделить]

getent passwd показывайте.