Tagit: set up linux active directory server using samba4
Tässä ohjeessa asennetaan Active Directory -palvelin Samba4 -ohjelmistolla. Ohjeessa käydään läpi myös Windows -työaseman liittäminen toimialueeseen ja hallintaohjelmistojen asentaminen.
Ohjeen palvelin on puhdas Debian-asennus ja toimialueen nimi on korv.fi.
Asetetaan palvelimelle staattinen IP-osoite asetuksineen. Muokataan /etc/network/interfaces -tiedostoa seuraavasti (kts. kuva 1):
auto eth0
iface eth0 inet static
address 10.0.0.100
netmask 255.255.255.0
gateway 10.0.0.2
dns-nameservers 10.0.0.2
dns-search korv.fi
Otetaan muutokset voimaan komennolla /etc/init.d/networking restart
Muokataan osoite myös /etc/hosts -tiedostoon seuraavasti (kts. kuva 2):
127.0.0.1 localhost
10.0.0.100 korvit-debian korvit-debian.korv.fi
Asetetaan nimipalvelinasetukset. Muokataan /etc/resolv.conf -tiedostoa seuraavasti (kts. kuva 3):
nameserver 127.0.0.1
nameserver 10.0.0.2
Asennetaan tarvittavat ohjelmistot komennolla apt-get update && apt-get install samba4 samba4-clients bind9 attr
Poistetaan vanha Samba-asetustiedosto komennolla rm /etc/samba/smb.conf
Syötetään seuraavan komennon nimet isoilla ja pienillä kirjaimilla esimerkin mukaisesti. Domain on realm ilman päätettä. Administrator-käyttäjän salasanan on täytettävä vahvuusvaatimukset.
Suoritetaan asetuskomento /usr/share/samba/setup/provision --realm=korv.fi --domain=KORV --adminpass='vaikeaS4L4S4N4' --server-role=dc
Lisätään /etc/samba/smb.conf -tiedostoon passdb backend = samba4:n alle seuraava rivi (kts kuva 4): server services = +smb -s3fs
Otetaan muutokset voimaan komennolla /etc/init.d/samba4 restart
Testataan Samban toimivuutta komennolla smbclient -L localhost -U% . Tulosteessa pitäisi näkyä netlogon- ja sysvol -jaot.
 |
 |
 |
 |
| Kuva 1 | Kuva 2 | Kuva 3 | Kuva 4 |
Lisätään /etc/bind/named.conf -tiedoston loppuun rivi (kts. kuva 5): include "/var/lib/samba/private/named.conf";
Lisätään ja muokataan /etc/bind/named.conf.options -tiedostoon options-aaltosulkujen sisälle rivit (kts. kuva 6):
forwarders { 10.0.0.2; };
dnssec-validation no;
allow-query { any; };
allow-recursion { any; };
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
Muokataan /etc/default/bind9 -tiedostoa seuraavasti (kts. kuva 7): OPTIONS="-4 -u bind"
Otetaan muutokset voimaan komennolla /etc/init.d/bind9 restart
Tarkistetaan DNS:n toiminta komennolla host -t SRV _ldap._tcp.korv.fi. . Vastaukseksi pitäisi tulla kuittaus SRV-tietueen olemassaolosta.
Asennetaan Kerberos komennolla apt-get install krb5-user . Syötetään realmiksi toimialueen nimi, korv.fi (kts. kuva 8).
Lisätään /etc/krb5.conf -tiedostoon default_realm = korv.fi -rivin alle rivit (kts. kuva 9):
dns_lookup_realm = false
dns_lookup_kdc = true
Tarkistetaan Kerberoksen toiminta komennoilla kinit administrator@KORV.FI ja klist -e . Vastaukseksi pitäisi tulla ensimmäisestä komennosta salasanan syötön jälkeen vanhentumisilmoitus tai ei mitään. Toisesta komennosta tulee lyhyt lista tiketeistä.
 |
 |
 |
 |
 |
| Kuva 5 | Kuva 6 | Kuva 7 | Kuva 8 | Kuva 9 |
Windows-työasema liitetään toimialueeseen aivan kuten tavalliseen Active Directory -järjestelmään (Järjestelmä > Muuta asetuksia > Muuta). Toimialuetta kirjoitettaessa täytyy kirjoittaa koko toimialueen nimi (kts. kuva 10).
Tärkeää: palvelimen ja työaseman kello ei saa heittää montaa minuuttia! Jos kellonajat eivät täsmää, käyttäjätunnusten syötön jälkeen tapahtuu tuntematon virhe.
Samba-palvelinta hallitaan hieman yllättäen aivan kuten tavallista Active Directory -palvelintakin Remote Server Administration Toolseilla (RSAT, kts. kuva 11), jotka voi ladata Microsoftin Download Centeristä (linkki hakutuloksiin). Työkalujen asennus vaihtelee käyttöjärjestelmittäin, esimerkiksi Windows 7:n asennuksen jälkeen työkalut täytyy vielä laittaa päälle Ohjauspaneelin kautta.
 |
 |
| Kuva 10 | Kuva 11 |