[[oktatas:linux:samba|< Samba]]

====== Samba AD DC ======
  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2019
  * [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: http://szit.hu

===== Bevezetés =====

Meg kell különböztetnünk a Windowsos tartomány és a DNS tartományt.
Tegyük fel, hogy van egy Zold Zrt nevű vállalat. 
Megvásárolják a zold.and tartományt, vagy angolosan
domain-t. Van aki szerint a zold.and nem is tartománynév, 
hanem domain név, így nem keverjük a Windowsos tartománnyal. 
Szóval a zold.and tartomány név az Interneten használatos név. 

A cég saját irodáján belül szeretne egy szervert,
ami Windowsos kliensek számára nyújt szolgáltatásokat.
A Windows szervernek adunk egy nevet, például SMB01. Ez is tartománynév,
ez lesz a windowsos tartománynév. Nem egyenlő az Internetes tartománynévvel,
akár lehet azonos név is.


A következő példánkban az alábbi neveket használjuk:
  * tartománynév: **SMB01**
  * valódi név (realm): **zold.and**
  * gépnév: **edu.zold.and**

Az edu gépnév kötelezően különböző kell legyen az
SMB01 tartománynévtől.

Egy tartományvezérlőt állítunk be, ami 
Samba belső DNS szerverét használja. 

Megjegyzés: A példában .hu, .eu vagy .com 
felső szintű tartomány nevek helyett egy .and
tartománynevet használok. A jó működéshez ajánlott
egy ntp szerver is.

===== Telepítés =====

Telepítsük fel a szükséges csomagokat:

<code bash>
apt install samba smbclient winbind krb5-config
</code>

Telepítéskor olyan kérdésekre kell válaszolnunk mint:
  * A gép DHCP-én keresztül kapja az IP címet vagy nem?
  * A valódi tartomány (realm) megadása. Például: **zold.lan**
  * Gépnév megadása. Például: **edu.zold.lan**

===== Beállítás =====

El kell távolítani a Samba eredeti konfigurációs állományát,
mivel az smbd és nmbd démonok számára készített konfiguráció.
Ezeket a démonokat nem fogjuk használni, leállítjuk őket.

Az eredeti Samba konfiguráció átnevezése:
<code>
mv /etc/samba/smb.conf /etc/samba/smb.conf.eredeti
</code>



Készítsük el a konfigurációs állományt:
<code>
samba-tool domain provision \
  --server-role=dc \
  --dns-backend=SAMBA_INTERNAL \
  --realm=zold.and \
  --domain=SMB01 \
  --adminpass=Titok12345
</code>


A konfigurációt a samba-tool paranccsal készítjük.
A domain provision alparancsokat használjuk, 
ami a tartományvezérlő létrehozását célozza.
Az utána következő kapcsolók a következők:

| <nowiki>--</nowiki>server-role  | A szerver szerepe: tartományvezérlő  |
| <nowiki>--</nowiki>dns-backend=SAMBA_INTERNAL  | DNS kiszolgáló a Samba belső modulja |
| <nowiki>--</nowiki>realm=zold.and  | A DNS tartománynév  |
| <nowiki>--</nowiki>domain=SMB01  | Windowsos tartománynév  |
| <nowiki>--</nowiki>adminpass=Titok12345  | Az Administrator felhasználó jelszava  |

Ha **samba-tool domain provision** parancsot önmagában futtatjuk, 
kapcsolók nélkül, akkor interaktív módban indul el a program,
vagyis bekéri ezeket az adatokat.


Másoljuk a /var/lib/samba/private könyvtárból
a krb5.conf állományt az /etc könyvtárba:
<code>
cp /var/lib/samba/private/krb5.conf /etc/
</code>


Állítsuk le a **smbd nmbd** és **winbind** démonokat, 
tiltsuk le az elindulásokat:
<code>
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
</code>

Maszkoljuk ki, indítsuk el és engedélyezzük a **samba-ad-dc**
démont:
<code>
systemctl unmask samba-ad-dc
systemctl start samba-ad-dc
systemctl enable samba-ad-dc
</code>


===== Ellenőrzés =====

Samba4-en így ellenőrizzük beállításokat:
  samba-tool testparm
A samba-tool nélküli testparm parancs nem ismer minden Samba4 beállítást,
ezért használjuk inkább a "samba-tool testparm" együttest.


  smbclient -L localhost -U%

  samba-tool domain level show

SMB megosztások keresése:
  findsmb
A ''findsmb'' parancs az ''smbclient'' csomag része.

===== Felhasználó felvétele =====

  samba-tool user create janos