Развертывание контроллера домена samba на примере debian 12.

Подписаться 301

Просмотров 5 тыс.

50% 1

В данном видео мы рассмотрим вопрос о том как поднять контроллер домена ActiveDirectory на Linux. Поднимать будем на платформе virtualbox. Воспользуемся инструментом samba для организации данной функции. Плюсы данной платформы: открытость, доступность, безопасность.
Команды из видео:
ip a - посмотреть ip адрес
sudo ip addr add 192.168.3.34/24 dev enp0s3 - назначить ip адрес 192.168.3.34 на интерфейс enp0s3
sudo nano /etc/network/interfaces - в этом файле пропишем наш ip для последующих работ
код ниже нужно прописать в файл:
auto enp0s3
iface enp0s3 inet static
address 192.168.3.34
netmask 255.255.255.0
gateway 192.168.3.34
dns-nameservers 8.8.8.8,8.8.4.4
НАСТРОЙКА SAMBA AD-DC
sudo apt install samba
sudo apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc bind9
Назначение Samba на роль AD DC
sudo systemctl stop winbind smbd nmbd krb5-kdc
sudo systemctl mask winbind smbd nmbd krb5-kdc
sudo rm /etc/samba/smb.conf
samba-tool domain provision (При создании нового домена AD рекомендуется сразу включить так называемые расширения NIS (NIS extensions), передав инструменту samba-tool domain provision параметр --use-rfc2307.)
Настройка автоматического запуска доменной службы Samba
sudo systemctl unmask samba-ad-dc
sudo systemctl enable samba-ad-dc
Перед запуском доменной службы samba настраиваем службу DNS
echo 'include "/var/lib/samba/bind-dns/named.conf";' | sudo tee -a /etc/bind/named.conf
sudo chown -R root:bind /var/lib/samba/bind-dns
sudo systemctl restart bind9
Запуск доменной службы Samba
sudo systemctl start samba-ad-dc
РАБОТА С ПОЛЬЗОВАТЕЛЯМИ
samba-tool user add ivan --given-name=Ivan --surname=Ivanov
sudo samba-tool group list -- список групп
sudo samba-tool user list -- список пользователей
samba-tool user create ehot -- создание пользователей
samba-tool group addmembers 'Domain Admins' ivan
sudo samba-tool user setpassword ivan --смена пароля
###################### Групповая Политика ######################
samba-tool domain passwordsettings set --complexity=off -- требование к паролю отключено (вкл - on)
samba-tool domain passwordsettings set --min-pwd-length=1 -- минимальная длина пароля =1

Опубликовано:

26 сен 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 31

@KDshnik74 3 месяца назад

САМЫЙ ПОНЯТНЫЙ ГАЙД ПО ПОДНЯТИЮ КОНТРОЛЛЕРА ДОМЕНА НА ЛИНУХЕ, СПАСИБО ОГРОМЕННОЕ. Так же хочу добавить, что управлять доменом можно через пакет программ RSAT (WIN10/11)

@oksion88 3 месяца назад

Спасибо! Я так и делаю, полезная штука, в основном использую "Пользователи и компьютеры" и "Управление ГП"

@OttoLilo 6 месяцев назад

Великолепно. Сделайте дополнительное второе видео о том как делать развёртку ПО на удалённые машины, деинсталяцию, менять настройки системы и т.д.

@oksion88 6 месяцев назад

Это можно реализовать через УГП средствами администрирования виндовс на домене линукс, или же использовать диспетчер ADMC в линукс (в случае графической установки ОС)

@OtdelenieBuinyh 3 месяца назад

я изучил все , спасибо сенсей!🙏

@ДивноеСпорт 5 дней назад

В самом начале Вы не обновили систему, а обновили лишь кэш базы пакетов

@АнтонПупкин-з8к 5 месяцев назад

Сделайте видео как можно через связку ( vps -- VPN -- управлять EVE-NG) HTTP запросы на EVE-NG перенапрявлять через VPN c выделенного сервера в инете на домашнюю машину с EVE-NG!

@Tassadar-f9w 4 месяца назад

LDAPS интересно как прикручивать?

@konstantinmarkov229 Месяц назад

А групповые политики в этом домене будут работать?

@oksion88 Месяц назад

@@konstantinmarkov229 Здравствуйте, конечно работают. Управлять можно либо через samba-tool прямо в терминале, либо через ADMC - графическое приложение для линукса, либо через rsat для виндовс. Тут выбор зависит от ваших предпочтений)

@konstantinmarkov229 Месяц назад

@@oksion88 Спасибо!

@ДивноеСпорт 5 дней назад

Winbind уже дааааааааавно не рекомендовано использовать. Вместо него надо юзать sssd

@АлексейЧеркашин-й2ь 6 месяцев назад

Подскажите, а что значит замаскировать установку и зачем это нужно?

@oksion88 6 месяцев назад

Допустим у нас есть определнный пакет (А), этот пакет имеет свой набор зависимостей, и ему еще нужны некоторые доп.пакеты, которые устанавливает пакет (Б), напрямую между собой пакеты (А) и (Б) не могут работать, т.е. уонфликтуют (как например samba-ad-dc с днс сервером samba и bind параллельно, должно работать что-то одно инча ничего не запустится), но набор зависимостей поттягивают, так вот, чтобы не тянуть зависимости вручную и избежать подоных ошибок и есть эта самая "маска"; она скрывает сам сервис, при этом не удаляет его зависимости, что упрощает работу админу и устаняет конфликты.

@kir_yea5957 5 месяцев назад

Подскажи пожалуйста насчет этого, include "/var/lib/samba/bind-dns/named.conf, почему ты указываешь на конфиг для samba которого впринципе там нет, и bind на него ругается. И что самое интересное без него AD будто не хочет работать, хост не вводит в домен. И у тебя на 23:39 тоже самое

@oksion88 4 месяца назад

А тут такая тема, что этот конфиг он дает возможность бинду создавать dns записи домена, без него АДшка может сбоить, и выдавать ошибку, такое частенько бывает. А если нет файла, то следует его вручную создать и прописать в него конфиг. Там конфига на 3-4 строки всего, оригинальный файл побольше из-за большого количества комментариев в нем

@АртурСоболев-ч3н 4 месяца назад

@@oksion88а какой конфиг нужно прописывать? Можешь пожалуйста подсказать

@АртурСоболев-ч3н 4 месяца назад

Вот у меня нет этого файла, клиентская машина не находит домен samba

@АртурСоболев-ч3н 4 месяца назад

Получилось решить, подскажите пожалуйста как?

@oksion88 3 месяца назад

Конфиг данного файла зависит от вашей версии bind

@Tosha.V 5 месяцев назад

расскажи на опыте, как со стабильностью дела обстоят, часто ли бывают сбои и пользователи не могут зайти в учетку?

@oksion88 4 месяца назад

Здравствуйте! Со стабильностью порядок, работает такая схема у меня уже 1,5 года без сбоев, перезагрузку делал ну раза 2 максимум, и то один раз из-за отключения электричества, а так все стабильно (если конечно сам не накосячишь)

@Олег-б3ц9б 25 дней назад

@@oksion88 на с колько пользователей домен? Есть ли возможность прикрутить на линуксе рдп сервер какой-то, как в мелкомягких стандарт rds+ad?

@oksion88 24 дня назад

@@Олег-б3ц9б У меня подключенено около 200 машин и полет нормальный. По поводу rdp есть такое дело в линухе, сам использую иногда, называется xrdp (типа xorg, но по rdp) работает прекрасно:)

@YanTkach 7 месяцев назад

Глаза ушли из чата

@ALP-f6n 8 месяцев назад

показывайте пожалуйста адаптер и на винде очень долго мучались из за этого🥲

@oksion88 7 месяцев назад

На данном видео в качестве адаптера стоит «сетевой мост», его поставил для того, чтобы машинка была видна в моей локальной сети, а так же имела доступ в Интернет, тк для настроек нужно обеспечить работу менеджера пакетов apt.