Samba 4 als zweiter Domänen Controller.

Als erstes installieren wir openSuSE 13.1 von einer DVD. Nach der Installation folgende Änderungen vornehmen.

Ausgangsinformationen:

Servername: server-dc2
Domäne: monoplan.lokal
IP-Adresse: 192.168.0.101
Maske: 255.255.255.0
DNS: 192.168.0.100   // Auf dem ersten DC befindet sich auch DNS-Server
Gateway: 192.168.0.1

Danach den sshd Dienst dauerhaft, am besten im Yast aktivieren. Die Firewall stoppen und deaktivieren.
Wichtig: Die Serverzeit muss mit dem erstem Domänen Controller übereinstimmen. Wenn nicht dann abgleichen bzw.den entsprechen Dienst konfigurieren.
Wichtig: auch AppArmor deaktivieren. Es ist vielleicht nicht wichtig bei Domänen Controller, aber ist sehr wichtig bei der Konfiguration des Samba Servers als Mitglied der Domäne.

1.

Jetzt aktualisieren wir unseres System

server-dc:~ # zypper up

 

 

Noch einmal kann man überprüfen, ob die Firewall ausgeschaltet ist.

2.

Folgende Pakete müssen nachinstalliert werden.

  • cups-devel
  • docbook-xsl-stylesheets
  • gcc
  • gnutls
  • krb5-client
  • libacl-devel
  • libblkid-devel
  • libgda-xslt-5_0-4
  • libgnutls-devel
  • libxslt-devel
  • make
  • openldap2
  • openldap2-devel
  • python-bsddb3
  • python-bsddb3-devel
  • python-devel
  • python-setproctitle
  • python-xattr
  • readline-devel
  • sssd

3.

Der Samba-Quellcode wird runtergeladen und z.B. im Ordner /install gespeichert. Danach wird das Paket entpackt und mit folgenden Befehlen konfiguriert, kompiliert und installiert.

server-dc:~ # cd /install
server-dc:~ # tar -xvf samba-4.1.7.tar.gz
server-dc:~ # cd /install/samba-4.1.7
server-dc:~ # ./configure
server-dc:~ # make
server-dc:~ # make install

 

4.

Es wird der Inhalte der Datei /etc/krb5.conf angepasst. Hier handelt sich um die Kerberos Authentifizierung. Der Inhalt sollte wie folgt aussehen.

 

[libdefaults]
   default_realm = MONOPLAN.LOKAL
   dns_lookup_realm = true
   dns_lookup_kdc = true

[logging]
   kdc = FILE:/var/log/krb5/krb5kdc.log
   admin_server = FILE:/var/log/krb5/kadmind.log
   default = SYSLOG:NOTICE:DAEMON

5.

Auch den Inhalt der Datei /etc/resolv.conf sollte man überprüfen.

 

search monoplan.lokal
nameserver 192.168.0.100

6.

 

Um ein administratives Kerberos-Ticket zu erzeugen, geben Sie folgenden Befehl auf dem server-dc2 als root ein kinit Administrator. Mit klist können wir überprüfen, ob alles funktioniert.

 

server-dc2:~ # kinit Administrator
server-dc2:~ # klist

 

 

Die Ausgabe von klist

 

Ticket cache: DIR::/run/user/0/krb5cc/tktZL6t58
Default principal: Administrator@MONOPLAN.LOKAL

Valid starting              Expires                              Service principal
05/04/14 13:10:03     05/04/14 23:10:03            krbtgt/MONOPLAN.LOKAL@MONOPLAN.LOKAL
           renew until 05/05/14 13:09:59

7.

In nächstem Stritt wird der Server der Domäne beitreten. Damit haben wir einen weiteren Domänen Controller.

 

server-dc2:~ # /usr/local/samba/bin/samba-tool domain join monoplan.lokal DC -Uadministrator \
--realm=monoplan.lokal

 

\ - statt "\" weiter mit dem Inhalt der nächsten Zeile.

 

8.

Zuletzt müssen wir noch zwei Einträge in DNS-Server machen. Das können wir auch bequem von diesem Server machen.

 

server-dc2:~ # /usr/local/samba/bin/samba-tool dns add 192.168.0.100 monoplan.lokal SERVER-DC2 \
A 192.168.0.101 -UAdministrator

 

 

\ - statt "\" weiter mit dem Inhalt der nächsten Zeile.

 

 

Bevor wir den nächsten Eintrag in DNS machen, müssen wir den folgenden Befehl ausführen.

 

server-dc2:~ # /usr/local/samba/bin/ldbsearch -H /usr/local/samba/private/sam.ldb '(invocationid=*)' \
--cross-ncs objectguid

 

\ - statt "\" weiter mit dem Inhalt der nächsten Zeile.

Es wird ein oder mehrere Records aufgelistet. Wir brauchen die objectGUID von dem Record in dem sich unsere Server befindet. In unserem Fall ist das der Server mit dem Namen server-dc2. Die Ausgabe sieht ungefähr so aus.

dn: CN=NTDS Settings,CN=SERVER-DC2,CN=Servers,CN=Default-First-Site-Name,
CN=Sites,CN=Configuration,DC=monoplan,DC=lokal objectGUID: 8c2fc585-899f-41fd-b0ac-9307d7e34793
Die objectGUID lautet in Ihrem Fall selbstverständlich anders.

Jetzt kommt der zweiter DNS Eintrag. Die objectGUID Nummer müssen Sie von Ihrer Ausgabe nehmen.

server-dc2:~ # /usr/local/samba/bin/samba-tool dns add 192.168.0.100 _msdcs.MONOPLAN.LOKAL \
8c2fc585-899f-41fd-b0ac-9307d7e34793 CNAME SERVER-DC2.MONOPLAN.LOKAL -Uadministrator

 

\ - statt "\" weiter mit dem Inhalt der nächsten Zeile.

Den Samba-Dienst können wir jetzt starten.

 

server-dc:~ # /usr/local/samba/sbin/samba

 

9.

Sollte beim Booten auch gleich der Samba-Dienst gestartet werden, können wir z.B. die Datei
/etc/init.d/boot.local mit diese Zeile ergänzen.

 

/usr/local/samba/sbin/samba

 

10.

Der Zustand der Replikation kann man sich mit folgendem Befehl anzeigen lassen.

 

server-dc:~ # /usr/local/samba/bin/samba-tool drs showrepl

 

 

Sie können z.B. auch einen neuen Benutzer anlegen und dann auf beiden Server überprüfen, ob der Benutzer vorhanden ist.

 

server-dc:~ # /usr/local/samba/bin/pdbedit -a NeuerBenutzer
server-dc:~ # /usr/local/samba/bin/pdbedit -Lv