Samba PDC on ubuntu 22.04

Index

1. Requirements
2. AD設定
3. 事前作業

3.1  Resolver設定
3.2 干渉サービス停止
3.3 時刻同期
3.4 既存設定保存

4. PDC導入

4.1 Pkg導入
4.2 PDC provision
4.3 事後設定

5. PDC立上げ

5.1 起動
5.2 Tests
5.3 AD user 設定
5.4 unix 共通user 設定

6. Windows Client設定

7. Linux Client設定

本文

1. Requirements

OS ubuntu 22.04
Samba 4.15

2. AD 設定

Domain  ad
Realm AD.SYS
host :  me
IP address : 192.168.1.1
Administrator pw: 決めておく

.local はmdns と衝突するため、.sys とした。

IP address は複数のNetworkがある場合に、bindするportを指定するため。Dockerやlibvirtが内部ネットワークを使用していた場合、その内部ネットワークにPDC のサービスがbindされるのを防ぐためにip address を指定する。

3. 事前作業

3.1  Resolver

3.1.1 systemd-resolved がsamba dnsと干渉するため、停止。

sudo systectl  disable systemd-resolved
sudo systemctl stop systemd-resolved

3.1.2 /etc/resolv.conf を編集

echo nameserver=8.8.8.8 |sudo tee /etc/resolv.cinf

3.2 干渉サービス停止

$ sudo systemctl disabe smb winbind nmd
$ sudo systemctl stop smb winbind nmd samba-ad-dc

bind運用中で、samba internal dns を使用するなら、bind も停止。

samba-ad-dcは後で使用するので、disableしない。

3.3 時刻同期

既に時刻同期済みなら不要。timezoneも忘れずに設定する。

3.4 back up smb.conf, krb.conf

既存のsmb,krbの設定を保存したいなら、保存しておく。

4. PDC導入

4.1 Pkg install

$ sudo apt install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind -y

krb5 install 中に下記を聞かれるので、それぞれ答える。

realm : AD.SYS
krb server : ad.sys
admin server : ad.sys

krb5.conf 初期設定に使われる。後でkrb5.conf を変更しても良い。

4.2 provision

$ sudo samba-tool domain provision --use-rfc2307 --interactive

Realm []:  AD.SYS
Domain []:  ad
Server Role (dc, member, standalone) [dc]: 
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: 
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.53]: 8.8.8.8
Administrator password: 適当
Retype password: 適当

前記コマンド中のメッセージで、krb5 .conf の初期ファイルを/var/lib に作成したと出るので、/etc にコピーする。

4.3 事後設定

$ sudo cp /var/lib/kerberos/krb5.conf /etc

installer version によってはディレクトリが違うかも。

resolver がlocal dns=samba internal dns を使用するように設定。

$ echo -e "nameserver 127.0.0.1\nsearch ad.sys" |sudo tee /etc/resilv.conf

5. 立上げ

5.1 サービス起動

$ sudo systemctl enable samba-ad-dc
$ sudo systemctl start samba-ad-dc

5.2 tests

$ sudo samba-tool computer list
$ host ad.sys
$ host -t SRV _kerberos._udp.sugisoft.local
$ host -t SRV _ldap._tcp.sugisoft.local

$ sudo samba-tool domain level show
$ smbclient //localhost/netlogon -UAdministrator -c ls

以後は後程

5.3 user 設定

$ sudo samba-tool user create  foo

5.4 unix 共通user 設定

uid/gid =10005/10000とするuser bar , password =PWDを作成する場合

samba-tool user create bar PWD --nis-domain=ad --unix-home=/home/bar --uid-number=10005 --login-shell=/bin/bash --gid-number=10000

既存アカウントのuid,gid設定変更

samba-tool user addunixattrs bar 8888 --gid-number=9999 --login-shell=/bin/bash --unix-home=/home/bar

編集

samba-tool user edit --editor emacs bar

6. Windows Client

コンパネでドメイン参加

7. Linux Client

realm join ad.sys