15. Развёртывание контроллера домена на базе SambaAD

от

# 15. Развёртывание контроллера домена на базе SambaAD

Вариант реализации:

dc-a (alt-server):

  • Временно для возможности установки необходимых пакетов зададим публичный DNS-сервер:
echo "nameserver 77.88.8.8" > /etc/resolv.conf
  • Устанавливаем пакеты task-samba-dc, bind и bind-utils:
apt-get update && apt-get install -y task-samba-dc bind bind-utils
  • Если при установке системы в настройках сети было указано полное имя домена (например, dc-a.office.ssa2026.region), система может автоматически создать зону office.ssa2026.region, что приведёт к конфликту с Samba при запуске bind
  • Для решения проблемы необходимо закомментировать все строки в файле /etc/bind/local.conf, это предотвратит автозагрузку конфликтующих зон:

  • Отключите chroot:
control bind-chroot disabled
  • Отключите KRB5RCACHETYPE:
echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind
  • Подключите плагин BIND_DLZ:
echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf
  • Отредактируйте файл /etc/bind/options.conf:
  • в раздел options добавьте строки:
    • tkey-gssapi-keytab — путь к ключевой таблице для GSS-API (интеграция с Kerberos);
    • minimal-responses — уменьшает объём ответов;
    • listen-on — IP-адреса, на которых принимаются запросы;
    • allow-query — разрешённые подсети для DNS-запросов;
    • allow-recursion — подсети, которым разрешены рекурсивные запросы;
    • forwarders — внешние DNS-серверы для пересылки;;
    • forward first — сначала пересылать, затем кешировать;

    • в раздел logging добавьте строку:
    • logging —  подавление предупреждений о «lame servers»

  • Восстановить к начальному состоянию Samba:
rm -f /etc/samba/smb.conf

rm -f /etc/samba/smb.conf

rm -rf /var/cache/samba

mkdir -p /var/lib/samba/sysvol
  • Интерактивное создание домена:
samba-tool domain provision
    • в качестве DNS backend указать BIND9_DLZ

    • результат успешного создания домена в интерактивном режиме:

  • Включить в автозагрузку службы samba и bind, также запустить их:
systemctl enable --now samba

systemctl enable --now bind
  • При создании домена Samba автоматически генерирует корректный файл krb5.conf для домена в каталоге /var/lib/samba/private/
  • Можно просто заменить этим файлом файл, находящийся в каталоге /etc/:
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
  • Перезагрузить службу samba:
systemctl restart samba
  • Просмотр общей информации о домене можно выполнить с помощью команды samba-tool domain info 127.0.0.1:

  • Просмотр предоставляемых служб можно выполнить с помощью команды smbclient -L localhost -Uadministrator:
  • netlogon и sysvol создаются автоматически и необходимы для работы контроллера домена

  • Проверка конфигурации DNS:
  • проверка наличия nameserver 127.0.0.1 в /etc/resolv.conf:

    • проверка имён хостов «_kerberos._udp.«:

    • проверка имён хостов «_ldap._tcp.«:

    • проверка имён хостов «адрес хоста.«:

  • Проверка Kerberos-аутентификации (имя домена должно быть в верхнем регистре):

  • Просмотр полученного билета:

cli1-a и cli2-a (alt-workstation):

  • Для ввода в дломен установим пакет task-auth-ad-sssd:
apt-get update && apt-get install -y task-auth-ad-sssd
  • Для ввода компьютера в домен в ЦУС необходимо выбрать пункт ПользователиАутентификация
  • В окне модуля Аутентификация следует выбрать пункт Домен Active Directory, заполнить поля (Домен, Рабочая группа, Имя компьютера), выбрать пункт SSSD (в единственном домене) и нажать кнопку Применить

  • В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК:

  • Результат успешного присоединения к домену:

  • Перезагрузить рабочую станцию для применения всех настроек

cli1-a (alt-workstation):

  • Установить пакет admc:
apt-get install -y admc
  • Запуск ADMC осуществляется из меню запуска приложений: пункт СистемныеADMC или из командной строки (команда admc)
  • Для запуска ADMC необходимо предварительно получить ключ Kerberos для администратора домена:

  • Результат успешного запуска admc:

  • Создать ofadmins:

  • Создать ofusers:

  • Создать группу ofadmins в подразделение ofadmins:

  • Создать группу ofusers в подразделение ofusers:

  • Создать пользователя ofadmin1 в подразделение ofadmins:

    • Добавить созданного пользователя в группу ofadmins:

  • Создать пользователя ofuser1 в подразделение ofusers
  • Добавить созданного пользователя в группу ofusers

  • Создать пользователя user1:

cli2-a или cli1-a (alt-workstation):

  • Проверить возможность входа из-под созданных пользователей:
  • ofadmin1:

    • ofuser1:

    • user1:

cli1-a и cli2-a (alt-workstation):

  • Необходимо установить пакет gpupdate:
apt-get install -y gpupdate
  • Включить модуль групповых политик:
gpupdate-setup enable

cli1-a (alt-workstation):

  • Установим пакет gpui, для редактирования настроек клиентской конфигурации:
apt-get install -y gpui
  • В оснастке ADMC — переходим в раздел Объекты групповой политики -> ПКМпо office.ssa2026.region и нажимаем Создать политику и связать с этом подразделением:

  • Задаём имя и нажимаем ОК:

  • Выбираем созданную групповую политику ПКМ и нажимаем Изменить:

  • В соответствие с требованиями задания — реализуем необходимый функционал:
  • Задаём картинку компании для рабочего стола и запрещаем её менять
    • но, чтобы на cli2-a (или же из под любого другого пользователя) картинка также была установлена, её необходимо разместить на общем ресурсе (например, создав общую папку)

      • опционально (необязательно):

    • Запрещаем изменение сетевых настроек:
    • пройтись по всему списку и выставить Включено, с вариантом ограничений No (выставить чек-бокс Блокировать):

  • Проверить, перезагружаем cli1-aи cli2-a:
  • картинка фона рабочего стола должна быть установлена:

    • при попытке отключить сетевой интерфейс, данная возможность отсутствует:

Последнее изменение: среда, 19 ноября 2025, 14:16