[[oktatas:linux:samba|< Samba]]

====== Debian10 AD DC tartományba léptetés ======
  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2019
  * [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: http://szit.hu

===== Bevezetés =====

A tartományba léptetés megoldható több módon:
  * winbind
  * sssd
  * ldap

Itt most a winbind megoldást fogjuk használni.

Mire jó, ha tartományba léptetünk egy linuxos gépet?
  * A linuxos gépről kezelhetjük a tartományt, például a net paranccsal.
  * A helyi linuxos kliensen használhatjuk a tartományi felhasználókat és csoportokat.
  * A helyi linuxos kliensen tartományi fiókkal azonosíthatja magát a felhasználó.

Terv:
  * a beléptetendő gép IP címe: 192.168.10.11
  * gép neve: m11
  * átjáró: 192.168.10.1
  * tartomány: zold.lan
  * tartományvezérlő IP címe: 192.168.10.2
  * A windowsos tartomány neve: SMB01
  * A tartományvezérlő gép neve: edu
  * A tartományvezérlő administrator jelszva: Titok12345

<note important>
A megfelelő működéshez, a csatlakoztatandó kliens gép rendszeridejének
meg kell egyeznie a szerver rendszeridejével. Az eltérés 5 perc lehet.
Ha szükséges használjuk az ntp csomagot.
</note>
===== Előzetes konfigurálás =====
Az előzetes konfigurációs nélkül a működés nem garantált. 


==== Gépnév ====


  hostnamectl set-hostname m11

==== Gépnév és IP címek helyben ====

  nano /etc/hosts

<code>
127.0.0.1       localhost
192.168.10.11   m11.zold.lan m11
</code>


==== IP cím ====

  nano /etc/network/interfaces

<code>
...
allow-hotplug enp0s3
iface enp0s3 inet static
	address 192.168.10.11/24
	gateway 192.168.10.1
</code>


==== Névfeloldás ====

Feltételezzük, hogy a resolvconf csomag nincs telepítve.
Ha telepítve van akkor a /etc/network/interface állományban
kell az alábbiakat beállítani.

  nano /etc/resolv.conf

<code>
domain zold.lan
search zold.lan
nameserver 192.168.10.2
nameserver 192.168.10.1
nameserver 8.8.8.8
</code>

A folytatás előtt nézzük meg, hogy fut-e a dhclient démon.
Ha fut, le kell állítani, mert átírhatja a resolv.conf állományt. 
Ellenőrizzük: 
  ps ax | grep dhclient

Ha van ilyen folyamat, indítsuk újra a gépet. Az újraindulás után 
már nem indul el a dhclient. A dhclient akkor futhat, ha a telepített
gépen az IP cím DHCP-re volt állítva. 

==== DHCP-vel beállított IP cím ====
DHCP esetén el kell érnünk, hogy a tartományvezérlő IP címe első helyre kerüljön,
és legyen keresés zold.lan névhez képest.
Erre akkor van szükségünk, ha DHCP szerveren ez nem megoldható.

Szerkesszük a dhclient.conf állományt:
  nano /etc/dhcp/dhclient.conf

Fűzzük az állomány végéhez:
<code>
...
supersede domain-name "zold.lan";
prepend domain-name-servers 192.168.10.2;
</code>


===== Telepítés =====

Telepítsük a szükséges csomagokat:

  apt install winbind samba-common krb5-config

A telepítéskor  megjelenő kérdésre:
  [ No ]

===== Samba beállítás =====

A Samba démonokat ugyan nem fogunk futtatni, de winbind használja
az ''/etc/samba/smb.conf'' állományt, ezért kellett telepíteni a samba-common
csomagot.

Nevezzük át az eredeti smb.conf állományt:
  mv /etc/samba/smb.conf{,.initial}

Hozzuk létre az újat:
  nano /etc/samba/smb.conf

Tartalma a következő legyen:

<code>

[global]
        workgroup=SMB01
        server role = member server
        client signing = yes
        client use spnego = yes
        realm = ZOLD.LAN
        security = ads

        idmap config * : backend = tdb
        idmap config * : range = 3000-7999
        idmap config SMB01 : backend = autoid
        idmap config SMB01 : range = 10000-999999

        kerberos method = secrets and keytab
        dedicated keytab file = /etc/krb5.keytab
</code>


===== Kerberos beállítása =====

Nevezzük át az eredeti konfigurációs állományt:
  mv /etc/krb5.conf{,.initial}

Hozzunk létre egy újat:
  nano /etc/krb5.conf

Tartalma a következő legyen:
<code>
[libdefaults]
        default_realm = ZOLD.LAN
        dns_lookup_realm = false
        dns_lookup_kdc = true
</code>

===== Beléptetés tartományba =====

Beléptetés előtt kérdezzük le a tartományvezérlőt:


<code>
# samba-tool domain info 192.168.5.61
Forest           : zold.lan
Domain           : zold.lan
Netbios domain   : SMB01
DC name          : edu.zold.lan
DC netbios name  : EDU
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name
</code>


Beléptetés:

<code>
# net ads join -U administrator%Titok12345
Using short domain name -- SMB01
Joined 'M11' to dns domain 'zold.lan'
</code>

===== Ellenőrzés =====
  net ads info

===== Függelék =====

==== DHCP-re megoldások ====

Ha DHCP-vel van beállítva az IP cím, gondoskodjunk arról, hogy az
''/etc/resolv.conf'' állományban a tartományvezérlő IP címe legyen
az első. 

Ha a DHCP szerveren erre nincs lehetőségünk, akkor használhatjuk a 
resolvconf csomagot:

  apt install resolvconf

Szerkesszük a konfigurációhoz tartozó head állományt:
  nano /etc/resolvconf/resolv.conf.d/head

Írjuk ebbe az állományba a tartománynév címét:
  nameserver 192.168.10.2

Indítsuk újra a resolvconf szolgáltatást:
  systemctl restart resolvconf


=== DHCP megoldás másként ===

A sed paranccsal is beszúrhatunk az /etc/resolv.conf állomány elejére
a resolv.conf állományba két sort:

<code interfaces /etc/network/interfaces>
allow-hotplug enp0s3
iface enp0s3 inet dhcp
        post-up sed -i '1 i\search zold.and' /etc/resolv.conf
        post-up sed -i '1 i\nameserver 192.168.5.61' /etc/resolv.conf

</code>