[[oktatas:linux:samba|< Samba]]

====== Samba AD DC és Bind9 ======
  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2019
  * [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: http://szit.hu

===== Bevezetés =====


Egy windowsos tartományvezérlőt szeretnénk beállítani
Samba4 programmal. A DNS szervert a Samba4 mellé
telepített Bind9 szerver fogja ellátni.

A példánkban az alábbi neveket használjuk:
  * Windows tartománynév: SMB01
  * valódi név (realm): zold.lan
  * gépnév: edu.zold.lan

Megjegyzés: A példában .hu, .eu vagy .com 
felső szintű tartomány nevek helyett egy .and
tartománynevet használok.

===== Hálózat =====

Állítsuk be a szerver IP címét.

  nano /etc/network/interfaces

<code>
...
allow-hotplug enp0s3
iface enp0s3 inet static
    address 192.168.10.2/24
    gateway 192.168.10.1
</code>


Állítsuk be a névszerverre vonatkozó adatokat:
<code>
domain zold.lan
search zold.lan
nameserver 192.168.10.1
</code>

Gépnév: 
  nano /etc/hostname
Tartalma:
  edu

Gépek:
  nano /etc/hosts

<code>
127.0.0.1     localhost
192.168.10.2  edu.zold.lan
...
</code>

===== Telepítés =====

Telepítsük fel a szükséges csomagokat:

<code bash>
apt install samba smbclient winbind krb5-config bind9 dnsutils
</code>

Telepítéskor olyan kérdésekre kell válaszolnunk mint:
  * Módosítsuk az smb.conf-t, hogy a WINS DHCP-hez legyen beállítva? (n)
  * A valódi tartomány (realm) megadása. Például: ZOLD.LAN
  * Kereberos szerver számára realm: edu.zold.lan
  * Kerberos adminisztratív szerver realm: edu.zold.lan

===== Beállítás =====

El kell távolítani a Samba telepítéskor létrejött konfigurációs 
állományát, mivel az smbd és nmbd démonok számára készített 
konfiguráció. Ezeket a démonokat nem fogjuk használni, 
leállítjuk őket.

Az eredeti Samba konfiguráció átnevezése:
<code>
mv /etc/samba/smb.conf{,.eredeti}
</code>



Készítsük el a tartományvezérlőt:
<code>
samba-tool domain provision \
  --use-rfc2307 \
  --server-role=dc \
  --dns-backend=BIND9_DLZ \
  --realm=zold.lan \
  --domain=SMB01 \
  --adminpass=Titok12345
</code>

Ugyanaz egy sorban:
<code>
samba-tool domain provision --use-rfc2307 --server-role=dc --dns-backend=BIND9_DLZ --realm=zold.lan --domain=SMB01 --adminpass=Titok12345
</code>



A konfigurációt a samba-tool paranccsal készítjük.
A domain provision alparancsot használjuk, 
ami a tartományvezérlőnek állítja be szerverünket.
Az utána következő kapcsolók a következők:

| <nowiki>--use-rfc2307</nowiki>  | rfc2307 beállítása  |
| <nowiki>--server-role</nowiki>  | A szerver szerepe: tartományvezérlő  |
| <nowiki>--dns-backend=BIND9_DLZ</nowiki>  | DNS kiszolgáló a helyi BIND9 szerver |
| <nowiki>--realm=zold.lan</nowiki>  | A DNS tartománynév  |
| <nowiki>--domain=SMB01</nowiki>  | Windowsos tartománynév  |
| <nowiki>--adminpass=Titok12345</nowiki>  | Az Administrator felhasználó jelszava  |



Másoljuk a /var/lib/samba/private/krb5.conf állományt az /etc könyvtárba:
<code>
cp /var/lib/samba/private/krb5.conf /etc/
</code>

Beállítás nem szükséges; a fenti nevekkel így néz ki a tartalma:
<code>
[libdefaults]
	default_realm = ZOLD.LAN
	dns_lookup_realm = false
	dns_lookup_kdc = true
</code>

A default_realm meg kell egyezzen a Samba tartománynévvel.


Állítsuk le a smbd nmbd és winbind démonokat, és
tiltsuk le az elindulásokat:
<code>
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
</code>

Maszkoljuk ki, indítsuk el és engedélyezzük a samba-ad-dc
démont:
<code>
systemctl unmask samba-ad-dc
systemctl start samba-ad-dc
systemctl enable samba-ad-dc
</code>

===== DNS szerver =====

  nano /etc/bind/named.conf

<code>
include "/var/lib/samba/bind-dns/named.conf";
</code>



Újraindítjuk a bind9-t:
  systemctl restart bind9

===== Ellenőrzés =====

  samba-tool domain level show

  dig @localhost zold.lan

  smbclient -L localhost -U%

  smbclient //localhost/netlogon -UAdministrator%Titok12345 -c ls

==== DNS ellenőrzése ====

<code>
host -t A zold.lan
host -t SRV _ldap._tcp.zold.lan
host -t SRV _kerberos._udp.zold.lan
</code>

==== Kerberos ellenőrzése ====


  kinit administrator
===== Felhasználó felvétele =====

  samba-tool user create janos

  samba-tool user list
===== Windows kliens csatlakoztatása =====


  * DNS szervernek meg kell adni tartományvezérlőt.
  * Az smb01 tartományhoz csatlakozunk.

===== Függelék =====

==== Dinamikus DNS frissítés ====

A dinamikus DNS frissítés esetén, ha egy gépet
csatlakoztatunk a tartományhoz, az új gépnév 
automatikusan bekerül a BIND DNS szerver zónájába. 

Ha szeretnénk dinamikus DNS frissítést, szerkesszük a
Debian10 alatt a /etc/bind/named.conf.options állományt:

  nano /etc/bind/named/conf.options

A végére tegyük be:
<code>
options {
     [...]
     tkey-gssapi-keytab "/usr/local/samba/bind-dns/dns.keytab";
     minimal-responses yes;
};
</code>

Indítsuk újra a DNS szervert.

  systemctl restart bind9


Ha nem Debian Linuxon végezzük a beállítást, a bind-dns könyvtár helyett
a private könyvtár kellhet: /usr/local/samba/private/dns.keytab.