怎么在Ubuntu系統(tǒng)上使用Samba4創(chuàng)建活動(dòng)目錄架構(gòu)

這篇文章主要介紹“怎么在Ubuntu系統(tǒng)上使用Samba4創(chuàng)建活動(dòng)目錄架構(gòu)”的相關(guān)知識(shí)，小編通過實(shí)際案例向大家展示操作過程，操作方法簡(jiǎn)單快捷，實(shí)用性強(qiáng)，希望這篇“怎么在Ubuntu系統(tǒng)上使用Samba4創(chuàng)建活動(dòng)目錄架構(gòu)”文章能幫助大家解決問題。

Samba是一套開源得資源共享軟件，其主要目的就是用于Windows 操作系統(tǒng)與 Linux/Unix 系統(tǒng)之間實(shí)現(xiàn)資源共享。

Samba不僅可以通過 SMB/CIFS 協(xié)議組件來為 Windows 與 Linux 系統(tǒng)之間提供獨(dú)立的文件及打印機(jī)共享服務(wù)，它還能實(shí)現(xiàn)活動(dòng)目錄Active Directory域控制器Domain Controller的功能，或者讓 Linux 主機(jī)加入到域環(huán)境中作為域成員服務(wù)器。當(dāng)前的 Samba4 版本實(shí)現(xiàn)的 AD DC 域及林功能級(jí)別可以取代 Windows 2008 R2 系統(tǒng)的域相關(guān)功能。

以下安裝配置文檔將會(huì)說明在 Windows 和 Linux 的混合系統(tǒng)環(huán)境中，關(guān)于用戶、機(jī)器、共享卷、權(quán)限及其它資源信息的主要配置點(diǎn)。

環(huán)境要求：

1. Ubuntu 16.04 服務(wù)器安裝

2. Ubuntu 14.04 服務(wù)器安裝

3. 為你的 AD DC 服務(wù)器設(shè)置靜態(tài)IP地址

第一步：初始化 Samba4 安裝環(huán)境

1、 在開始安裝 Samba4 AD DC 之前，讓我們先做一些準(zhǔn)備工作。首先運(yùn)行以下命令來確保系統(tǒng)已更新了最新的安全特性，內(nèi)核及其它補(bǔ)?。?/p>

$ sudo apt-get update $ sudo apt-get upgrade$ sudo apt-get dist-upgrade

2、 其次，打開服務(wù)器上的 /etc/fstab 文件，確保文件系統(tǒng)分區(qū)的 ACL 已經(jīng)啟用 ，如下圖所示。

通常情況下，當(dāng)前常見的 Linux 文件系統(tǒng)，比如 ext3、ext4、xfs 或 btrfs 都默認(rèn)支持并已經(jīng)啟用了 ACL 。如果未設(shè)置，則打開并編輯 /etc/fstab 文件，在第三列添加 acl，然后重啟系統(tǒng)以使用修改的配置生效。

啟動(dòng) Linux 文件系統(tǒng)的 ACL 功能

3、 最后使用一個(gè)具有描述性的名稱來設(shè)置主機(jī)名 ，比如這往篇文章所使用的 adc1。通過編輯 /etc/hostname 文件或使用使用下圖所示的命令來設(shè)置主機(jī)名。

$ sudo hostnamectl set-hostname adc1

為了使修改的主機(jī)名生效必須重啟服務(wù)器。

第二步： 為 Samba4 AD DC 服務(wù)器安裝必需的軟件包

4、 為了讓你的服務(wù)器轉(zhuǎn)變?yōu)橛蚩刂破鳎阈枰诜?wù)器上使用具有 root 權(quán)限的賬號(hào)執(zhí)行以下命令來安裝 Samba 套件及所有必需的軟件包。

$ sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

在 Ubuntu 系統(tǒng)上安裝 Samba 套件

5、 安裝包在執(zhí)行的過程中將會(huì)詢問你一系列的問題以便完成域控制器的配置。

在第一屏中你需要以大寫為 Kerberos 默認(rèn) REALM 輸入一個(gè)名字。以大寫為你的域環(huán)境輸入名字，然后單擊回車?yán)^續(xù)。

配置 Kerosene 認(rèn)證服務(wù)

6、 下一步，輸入你的域中 Kerberos 服務(wù)器的主機(jī)名。使用和上面相同的名字，這一次使用小寫，然后單擊回車?yán)^續(xù)。

設(shè)置 Kerberos 服務(wù)器的主機(jī)名

7、 最后，指定 Kerberos realm 管理服務(wù)器的主機(jī)名。使用更上面相同的名字，單擊回車安裝完成。

設(shè)置管理服務(wù)器的主機(jī)名

第三步：為你的域環(huán)境開啟 Samba AD DC 服務(wù)

8、 在為域服務(wù)器配置 Samba 服務(wù)之前，先運(yùn)行如下命令來停止并禁用所有 Samba 進(jìn)程。

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9、 下一步，重命名或刪除 Samba 原始配置文件。在開啟 Samba 服務(wù)之前，必須執(zhí)行這一步操作，因?yàn)樵陂_啟服務(wù)的過程中 Samba 將會(huì)創(chuàng)建一個(gè)新的配置文件，如果檢測(cè)到原有的 smb.conf 配置文件則會(huì)報(bào)錯(cuò)。

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10、 現(xiàn)在，使用 root 權(quán)限的賬號(hào)并接受 Samba 提示的默認(rèn)選項(xiàng)，以交互方式啟動(dòng)域供給domain provision。

還有，輸入正確的 DNS 服務(wù)器地址并且為 Administrator 賬號(hào)設(shè)置強(qiáng)密碼。如果使用的是弱密碼，則域供給過程會(huì)失敗。

$ sudo samba-tool domain provision --use-rfc2307 –interactive

Samba 域供給

11、 最后，使用以下命令重命名或刪除 Kerberos 認(rèn)證在 /etc 目錄下的主配置文件，并且把 Samba 新生成的 Kerberos 配置文件創(chuàng)建一個(gè)軟鏈接指向 /etc 目錄。

$ sudo mv /etc/krb6.conf /etc/krb5.conf.initial$ sudo ln –s /var/lib/samba/private/krb5.conf /etc/

創(chuàng)建 Kerberos 配置文件

12、 啟動(dòng)并開啟 Samba 活動(dòng)目錄域控制器后臺(tái)進(jìn)程

$ sudo systemctl start samba-ad-dc.service$ sudo systemctl status samba-ad-dc.service$ sudo systemctl enable samba-ad-dc.service

開啟 Samba 活動(dòng)目錄域控制器服務(wù)

13、 下一步，使用 netstat 命令 來驗(yàn)證活動(dòng)目錄啟動(dòng)的服務(wù)是否正常。

$ sudo netstat –tulpn| egrep ‘smbd|samba’

驗(yàn)證 Samba 活動(dòng)目錄

第四步： Samba 最后的配置

14、 此刻，Samba 應(yīng)該跟你想像的一樣，完全運(yùn)行正常。Samba 現(xiàn)在實(shí)現(xiàn)的域功能級(jí)別可以完全跟 Windows AD DC 2008 R2 相媲美。

可以使用 samba-tool 工具來驗(yàn)證 Samba 服務(wù)是否正常：

$ sudo samba-tool domain level show

驗(yàn)證 Samba 域服務(wù)級(jí)別

15、 為了滿足 DNS 本地解析的需求，你可以編輯網(wǎng)卡配置文件，修改 dns-nameservers 參數(shù)的值為域控制器地址（使用 127.0.0.1 作為本地 DNS 解析地址），并且設(shè)置 dns-search 參數(shù)為你的 realm 值。

$ sudo cat /etc/network/interfaces$ sudo cat /etc/resolv.conf

為 Samba 配置 DNS 服務(wù)器地址

設(shè)置完成后，重啟服務(wù)器并檢查解析文件是否指向正確的 DNS 服務(wù)器地址。

16、 最后，通過 ping 命令查詢結(jié)果來檢查某些重要的 AD DC 記錄是否正常，使用類似下面的命令，替換對(duì)應(yīng)的域名。

$ ping –c3 tecmint.lan       # 域名$ ping –c3 adc1.tecmint.lan  # FQDN$ ping –c3 adc1              # 主機(jī)

檢查 Samba AD DNS 記錄

執(zhí)行下面的一些查詢命令來檢查 Samba 活動(dòng)目錄域控制器是否正常。

$ host –t A tecmint.lan$ host –t A adc1.tecmint.lan$ host –t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17、 并且，通過請(qǐng)求一個(gè)域管理員賬號(hào)的身份來列出緩存的票據(jù)信息以驗(yàn)證 Kerberos 認(rèn)證是否正常。注意域名部分使用大寫。

$ kinit administrator@TECMINT.LAN$ klist

檢查域環(huán)境中的 Kerberos 認(rèn)證是否正確

關(guān)于“怎么在Ubuntu系統(tǒng)上使用Samba4創(chuàng)建活動(dòng)目錄架構(gòu)”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)，可以關(guān)注億速云行業(yè)資訊頻道，小編每天都會(huì)為大家更新不同的知識(shí)點(diǎn)。