Поднятие Samba AD DC и подключение win-lin клиентов

Для начала включим русскую локаль на нашем хосте

root@dc0:~# dpkg-reconfigure locales

Обновим систему до актуального состояния

root@dc0:~# apt-get update && apt-get dist-upgrade

Установим необходимые пакеты

root@dc0:~# apt install samba krb5-config mc smbclient krb5-auth-dialog krb5-user

На вопросы конфигуратора кербероса пишем

Наш домен:

VANKO.LOCAL

Домен контроллер

dc0.vanko.local

Еще раз домен контроллер

dc0.vanko.local

Поправим хостс-файл

root@dc0:~# nano /etc/hosts

192.168.0.240 dc0.vanko.local dc0

Сохраним конфиг самбы (на всякий случай)

root@dc0:~# mv /etc/samba/smb.conf /etc/samba/smb.conf_bak

Создадим наш домен в интерактивном режиме с помощью samba-tools

root@dc0:~# samba-tool domain provision

Внимание! Пароль должен быть не менее 7 символов!

Проверим

root@dc0:~# smbclient -L localhost -U%

root@dc0:~# smbclient //localhost/netlogon -UAdministrator -c 'ls'

root@dc0:~# host -t SRV _ldap._tcp.vanko.local

root@dc0:~# host -t SRV _kerberos._udp.vanko.local

root@dc0:~# host -t A dc0.vanko.local

Скопируем конфиг керберос в /etc/

root@dc0:~# ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf

Получим билетик

root@dc0:~# kinit administrator@VANKO.LOCAL

Проверим

root@dc0:~# klist

Разрешим хранить наши пароли оооочень долго

root@dc0:~# samba-tool domain passwordsettings set —max-pwd-age=999

Разрешим создавать простые пароли (не рекомендуется, делается исключительно для тестов)

root@dc0:~# samba-tool domain passwordsettings set --complexity=off --history-length=0 --min-pwd-length=3 --min-pwd-age=15 —max-pwd-age=40

Создадим нового пользователя для теста авторизации

root@dc0:~# samba-tool user add vankosa

SAMBA CLIENT

Сначала проверяем все ли у нас хорошо с DNS сервером

root@smb0:~# nano /etc/resolv.conf

search vanko.local

nameserver 192.168.0.240

Установим необходимое

root@smb0:~# apt-get install samba winbind

Проверяем резолвится ли наш доменный контроллер

root@smb0:~# host -t A dc0.vanko.local

dc0.vanko.local has address 192.168.0.240

Зададим нашему клиенту постоянное локальное имя (127.*.*.* с нашим именем не должно быть!)

root@smb0:~# nano /etc/hosts

127.0.0.1 localhost

::1 localhost ip6-localhost ip6-loopback

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

192.168.0.26 smb0.vanko.local smb0

Проверим правильно ли резолвится имя клиента

root@smb0:~# getent hosts smb0

192.168.0.26 smb0.vanko.local smb0

Остановим самбу

root@smb0:~# /etc/init.d/samba stop

Сохраним текущий конфиг самбы

root@smb0:~# mv /etc/samba/smb.conf /etc/samba/smb.conf_bak

Зададим новый конфиг самбы

root@smb0:~# nano /etc/samba/smb.conf

[global]

netbios name = smb0

workgroup = VANKO

security = ADS

realm = VANKO.LOCAL

dedicated keytab file = /etc/krb5.keytab

kerberos method = secrets and keytab

idmap config *:backend = rid

idmap config *:schema_mode = rfc2307

idmap config *:range = 10000-99999

winbind nss info = rfc2307

winbind trusted domains only = no

winbind use default domain = yes

winbind enum users = yes

winbind enum groups = yes

winbind refresh tickets = Yes

template shell = /bin/bash

template homedir = /home/%D/%U

[homes]

path = /home/VANKO/

read only = No

Присоединимся к домену

root@smb0:~# net ads join -U administrator

Доустановим пакеты

root@smb0:~# apt-get install krb5-user libpam-krb5 libpam-ccreds mc libpam-krb5 libpam-winbind libnss-winbind

Поправим метод авторизации

root@smb0:~# nano /etc/nsswitch.conf

passwd: files winbind

group: files winbind

Настроим автоматическое создание пользовательской директории

root@smb0:~# nano /etc/pam.d/common-session

Впишем строку

session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

Перезапустим необходимые сервисы

root@smb0:~# /etc/init.d/winbind restart

root@smb0:~# /etc/init.d/samba start

Проверим все, что сделали

root@smb0:~# wbinfo -u

root@smb0:~# wbinfo -g

root@smb0:~# getent passwd

root@smb0:~# su - vankosa

Если не сработало — перезагрузим машинку

Сейчас все то же самое проделаем в винде