🕓 💂 👩‍💻 उबंटू सर्वर पर एक डोमेन कंट्रोलर उठाना 👩🏾‍🤝‍👩🏼 🙏🏼 💪🏽

यह विकल्प विंडोज चलाने वाले कंप्यूटरों के लिए छोटे संगठनों के लिए उपयोगी हो सकता है।
डोमेन नियंत्रक तक पहुंच के लिए AD और CAL लाइसेंस के संगठन के लिए महंगा विंडोज सर्वर खरीदने की आवश्यकता नहीं है।
अंत में, हमारे पास ईडी बन्स हैं: समूह नीतियां, संसाधनों तक पहुंच के अधिकारों का भेदभाव आदि।

मैंने उबंटू सर्वर पर आधारित सक्रिय निर्देशिका (AD) डोमेन नियंत्रक (DC) के संगठन के लिए आवश्यक कार्यों की एक विस्तृत एल्गोरिथ्म लिखने की कोशिश की।

उबंटू सर्वर 12.04.4 एलटीएस या उबंटू सर्वर 13.10 के उदाहरण का उपयोग करते हुए एक डोमेन नियंत्रक के विन्यास पर विचार करें, अतिरिक्त बदलावों के लिए निर्देश दोनों विकल्पों के लिए उपयुक्त है।

1. Ubuntu स्थापित करें

मुझे लगता है कि उबंटू-सर्वर स्थापित करने से अधिकांश कंप्यूटर उपयोगकर्ताओं के लिए भी समस्या नहीं होगी।
ओएस स्थापित करते समय, डोमेन (उदाहरण के लिए, dc1.domain.local का उपयोग करें) के साथ नेटवर्क (होस्टनाम) पर मशीन के नाम को तुरंत सही ढंग से इंगित करने के लिए सलाह दी जाती है, ताकि भविष्य में फाइलों में कॉन्फ़िगरेशन को संपादित करना कम आवश्यक हो।
यदि नेटवर्क में कोई डीएचसीपी सर्वर नहीं है, तो इंस्टॉलर आपको आईपी एड्रेस, नेटमास्क, गेटवे और डीएनएस दर्ज करने के लिए संकेत देगा।
स्थापना के दौरान, सर्वर तक दूरस्थ पहुंच के लिए ओपनएसएसएच सर्वर को स्थापित करने की सलाह दी जाती है, साथ ही मशीन जिस समय क्षेत्र में है, उस समय को सही ढंग से निर्दिष्ट करें।

2. नेटवर्क एडेप्टर सेटिंग्स कॉन्फ़िगर करें

नेटवर्क सेटिंग्स फ़ाइल / etc / नेटवर्क / इंटरफेस में संग्रहीत की जाती हैं
हम इसे आपके स्वाद के लिए संपादित करते हैं। आप संपादक के रूप में नैनो, vi आदि का उपयोग कर सकते हैं।
फ़ाइलों को संपादित करने के लिए, आपको रूट अधिकारों की आवश्यकता है, आप उन्हें प्राप्त कर सकते हैं, उदाहरण के लिए, कमांड के साथ

sudo su

उसके बाद, आप रूट के रूप में काम करेंगे।
_{यह तथ्य कि आप रूट विशेषाधिकारों के साथ काम कर रहे हैं , कमांड प्रॉम्प्ट पर # चिह्न द्वारा इंगित किया गया है}
या आप प्रत्येक कमांड से पहले sudo असाइन कर सकते हैं जिसमें रूट एक्सेस की आवश्यकता होती है

 sudo nano /etc/network/interfaces

आपके नेटवर्क इंटरफ़ेस के विन्यास में, सबसे अधिक संभावना है,

iface eth0 inet dhcp

एक स्थिर आईपी पते का उपयोग करने के लिए सेटिंग्स बदलें।
मेरे मामले में, वे इस तरह दिखते हैं:

ऑटो लो
iface लो इनसेट लूपबैक

ऑटो eth0
iface eth0 इनसेट स्थिर
पता 192.168.10.1
netmask 255.255.255.0
गेटवे 192.168.10.10
dns-nameservers 192.168.10.10
dns- खोज domain.local डोमेन

नेटवर्क सेटिंग्स बदलने के बाद, आपको नेटवर्क सेवा को पुनरारंभ करना होगा

 /etc/init.d/networking restart

3. आवश्यक पैकेज स्थापित करना

यदि आपने अभी भी पहले चरण में ओपनएसएसएच सर्वर स्थापित नहीं किया है, तो यह कमांड के साथ किया जा सकता है

 apt-get install ssh

कुछ भी स्थापित करने से पहले, पहले सिस्टम और संकुल को कमांड के साथ अपडेट करना बेहतर होता है

 apt-get update && apt-get upgrade

हमारे सर्वर पर समय की जांच करने के लिए नेटवर्क पर कंप्यूटर के लिए, एक ntp सर्वर स्थापित करें

 apt-get install ntp

Samba4 नवीनतम संस्करण का उपयोग करेगा और स्रोतों से निर्माण करेगा, इसलिए हमें इसके असेंबली और सही संचालन के लिए पैकेज की आवश्यकता है।

 apt-get install git checkinstall build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr docbook-xsl libcups2-dev acl

4. Samba4 बनाएँ

सांबा को सही ढंग से काम करने के लिए, आपको फ़ाइल सिस्टम स्तर पर vfs समर्थन की आवश्यकता होगी, इसके लिए हम / etc / fstab में परिवर्तन करेंगे, आपको उपयोगकर्ता विभाजन की सेटिंग्स में user_xattr, acl, बाधा = 1 जोड़ने की जरूरत है /

 nano /etc/fstab

आपको एक लाइन मिलनी चाहिए, कुछ इस तरह:

/ dev / mapper / dc1 - vg-root / ext4 user_xattr, acl, बाधा = 1, त्रुटियाँ = remount-ro 0 1

जिसके बाद कंप्यूटर को पुनरारंभ करना आवश्यक है

 reboot

जड़ अधिकारों के बारे में मत भूलना

 sudo su

GIT रिपॉजिटरी से सांबा का नवीनतम स्थिर संस्करण डाउनलोड करें

 cd /usr/src git clone -b v4-1-stable git://git.samba.org/samba.git samba-v4-1-stable

कॉन्फ़िगर करें, संकलित करें और सांबा स्थापित करें

 cd samba-v4-1-stable && ./configure --enable-debug && make && checkinstall

सांबा लॉग में अधिक विस्तृत जानकारी प्रदर्शित करने के लिए --enable-debug विकल्प की आवश्यकता होती है।

सांबा को इकट्ठा करने और स्थापित करने के बाद (यह एक लंबा सबक है), इसके उपयोग की सुविधा के लिए, आपको निष्पादन योग्य फ़ाइलों / usr / स्थानीय / सांबा / sbin और / usr / स्थानीय / samba / बिन में फ़ाइलों / पथ / sudoers चर safe_path को पथ निर्दिष्ट करने की आवश्यकता है और / etc / वातावरण लाइन को जोड़कर पथ चर : / usr / स्थानीय / samba / sbin: / usr / स्थानीय / samba / बिन

 nano /etc/sudoers

आपको इस तरह से एक लाइन मिलनी चाहिए:

डिफ़ॉल्ट सुरक्षित_पथ = "/ usr / स्थानीय / sbin: / usr / स्थानीय / बिन: / usr / sbin: / usr / बिन: / sbin: / bin : / usr / स्थानीय / सांब / इंजन / / usr / स्थानीय / सांबा / बिन "

 nano /etc/environment

आपको इस तरह से एक लाइन मिलनी चाहिए:

पथ = "/ usr / स्थानीय / sbin: / usr / स्थानीय / बिन: / usr / sbin: / usr / बिन: / sbin: / bin: / usr / खेल : / usr / स्थानीय / samba / sbin: / usr / स्थानीय / सांबा / बिन "

फिर से रिबूट (बस मामले में)

 reboot

5. ईस्वी सं

हम सांबा का उपयोग AD सर्वर DNS के रूप में करेंगे, इसलिए हम बाइंड को अक्षम करते हैं

 service bind9 stop && update-rc.d bind9 disable

सांबा में एडी के साथ हेरफेर के लिए एक उपकरण सांबा-उपकरण है।
सांबा को पहली बार कॉन्फ़िगर करने के लिए, कमांड दर्ज करें

 samba-tool domain provision

यदि पहले चरण में आपने कंप्यूटर का नाम सही ढंग से दर्ज किया है, तो आप उन सभी सेटिंग्स को छोड़ सकते हैं जो प्रोग्राम डिफ़ॉल्ट रूप से पूछता है।
सेटअप के दौरान, AD उपयोगकर्ता पासवर्ड के लिए प्रशासक से अनुरोध किया जाएगा, इसे डिफ़ॉल्ट पासवर्ड जटिलता आवश्यकताओं को पूरा करना होगा: कम से कम एक अपरकेस पत्र, कम से कम एक अंक, कम से कम 8 अक्षर।
यदि पासवर्ड जटिलता में मेल नहीं खाता है और आपने इस तरह एक त्रुटि देखी है:

त्रुटि (ldb): बिना किसी अपवाद के - 0000052D: बाधा का उल्लंघन - check_password_restrictions: पासवर्ड बहुत छोटा है। यह 7 वर्णों के बराबर या अधिक लंबा होना चाहिए!

प्रारंभिक कॉन्फ़िगरेशन को फिर से निष्पादित करने से पहले, आपको निर्देशिकाओं / usr / स्थानीय / samba / निजी / और / usr / स्थानीय / samba / etc / की सामग्री को हटाना होगा
यदि आपको पासवर्ड जटिलता बदलने की आवश्यकता है, तो यह कमांड के साथ किया जा सकता है

 samba-tool domain passwordsettings set --min-pwd-length=6 --complexity=off --max-pwd-age=0 --min-pwd-age=0

यह आदेश जटिलता की आवश्यकता को अक्षम करता है, पासवर्ड समाप्ति की तारीखों को निष्क्रिय करता है, न्यूनतम पासवर्ड की लंबाई 6 वर्णों को निर्धारित करता है

इसके बाद, आपको सांबा सेटिंग्स को ट्विक करने की जरूरत है और [ग्लोबल] सेक्शन में निम्नलिखित लाइनें जोड़ें

 nano /usr/local/samba/etc/smb.conf

dns अपडेट = बकवास और सुरक्षित करने की अनुमति दें
छपाई करना = बी.एस.डी.
मुद्रित नाम = / देव / अशक्त

यह आपको सर्वर पर DNS रिकॉर्ड्स को गतिशील रूप से अपडेट करने की अनुमति देगा जब एक वर्कस्टेशन (विंडोज़ चल रहा है) डोमेन में प्रवेश करता है और मुद्रण समर्थन को अक्षम करता है, जो लगातार लॉग में त्रुटियों को फेंकता है।

/Etc/resolvconf/resolv.conf.d/head फ़ाइल में, आपको हमारा Samba 127.0.0.1 DNS सर्वर निर्दिष्ट करना होगा

 echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head

और resolvconf सेवा को पुनः आरंभ करें

 service resolvconf restart

कर्बेरॉस क्लाइंट भी इंस्टॉल करें

 apt-get install krb5-user

और सांबा-उपकरण डोमेन प्रावधान चरण में बनाई गई फ़ाइल का उपयोग करके AD पर कॉन्फ़िगर करें

 mv /etc/krb5.conf /etc/krb5.conf.old cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

स्वचालित रूप से सांबा सेवा शुरू करने के लिए, आपको एक स्क्रिप्ट की आवश्यकता है:

 nano /etc/init.d/samba4

/etc/init.d/samba4

 #! /bin/sh ### BEGIN INIT INFO # Provides: samba4 # Required-Start: $network $local_fs $remote_fs # Required-Stop: $network $local_fs $remote_fs # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: start Samba daemons ### END INIT INFO # # Start/stops the Samba daemon (samba). # Adapted from the Samba 3 packages. # PIDDIR=/var/run/samba SAMBAPID=$PIDDIR/samba.pid # clear conflicting settings from the environment unset TMPDIR # See if the daemon and the config file are there test -x /usr/local/samba/sbin/samba -a -r /usr/local/samba/etc/smb.conf || exit 0 . /lib/lsb/init-functions case "$1" in start) log_daemon_msg "Starting Samba 4 daemon" "samba" # Make sure we have our PIDDIR, even if it's on a tmpfs install -o root -g root -m 755 -d $PIDDIR if ! start-stop-daemon --start --quiet --oknodo --exec /usr/local/samba/sbin/samba -- -D; then log_end_msg 1 exit 1 fi log_end_msg 0 ;; stop) log_daemon_msg "Stopping Samba 4 daemon" "samba" start-stop-daemon --stop --quiet --name samba $SAMBAPID # Wait a little and remove stale PID file sleep 1 if [ -f $SAMBAPID ] && ! ps h `cat $SAMBAPID` > /dev/null then # Stale PID file (samba was succesfully stopped), # remove it (should be removed by samba itself IMHO.) rm -f $SAMBAPID fi log_end_msg 0 ;; restart|force-reload) $0 stop sleep 1 $0 start ;; *) echo "Usage: /etc/init.d/samba4 {start|stop|restart|force-reload}" exit 1 ;; esac exit 0

इसे निष्पादन योग्य बनाया जाना चाहिए

 chmod 755 /etc/init.d/samba4

और डिफ़ॉल्ट सेटिंग्स बनाएँ

 update-rc.d samba4 defaults

रिबूट कंप्यूटर

 reboot

6. सर्वर प्रदर्शन की जाँच करना

हमें रिबूट के बाद सांबा दौड़ना चाहिए

 ps aux | grep samba

रूट 865 0.3 3.0 95408 31748? Ss 18:59 0:00 / usr / स्थानीय / सांबा / sbin / सांबा -D

DNS सर्वर काम करना चाहिए

 nslookup dc1

सर्वर: 127.0.0.1
पता: 127.0.0.1 # 53

नाम: dc1.domain.local
पता: 192.168.10.1

AD नेटवर्क संसाधन उपलब्ध होना चाहिए

 smbclient -L localhost -U%

डोमेन = [DOMAIN] OS = [यूनिक्स] सर्वर = [सांबा 4.1.6]
Sharename टाइप टिप्पणी
- - - नेटलॉगन डिस्क
sysvol डिस्क
IPC $ IPC IPC सेवा (सांबा 4.1.6)
डोमेन = [DOMAIN] OS = [यूनिक्स] सर्वर = [सांबा 4.1.6]
सर्वर टिप्पणी
- - वर्कग्रुप मास्टर
- -------

करबरोस कनेक्ट करना होगा

 kinit administrator

चेतावनी: आपका पासवर्ड 41 दिनों में समाप्त हो जाएगा Wed Apr 23 18:49:14 2014

टिकट केर्बरोस द्वारा रखा जाना चाहिए

 klist

समाप्ति की समय सीमा समाप्त होने के बाद सेवा प्रमुख
03/12/2014 19:17 03/13/2014 05:17 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

ब्रेटसन ऑथेंटिकेशन पास होना चाहिए

 smbclient //localhost/netlogon -UAdministrator -c 'ls'

डोमेन = [DOMAIN] OS = [यूनिक्स] सर्वर = [सांबा 4.1.6]
। D 0 बुध मार्च 12 18:46:48 2014
... D 0 बुध मार्च 12 18:49:15 2014

वह सब है।
आप ग्राहकों को डोमेन में दर्ज कर सकते हैं, उपयोगकर्ता बना सकते हैं।

आप विज्ञापन प्रबंधित कर सकते हैं:
Ubuntu पर सांबा-टूल का आंशिक रूप से उपयोग करना
Windows XP पर व्यवस्थापन उपकरण पैक का उपयोग करना
विंडोज 7 और बाद में रिमोट सर्वर एडमिनिस्ट्रेशन टूल्स (RSAT) का उपयोग करना

इस पद को आधिकारिक सांबा विकी का अनुवाद माना जा सकता है, जो यहां स्थित है:
wiki.samba.org/index.php/Samba_AD_DC_HOWTO , मेरे अतिरिक्त।

PS अगर किसी की दिलचस्पी होगी, तो मैं डोमेन में उबंटू पर बैकअप कंट्रोलर को शामिल करने के बारे में "मैनुअल" भी लिख सकता हूं।