Развертывание контроллера домена samba на примере debian 12.
HTML-код
- Опубликовано: 19 янв 2024
- В данном видео мы рассмотрим вопрос о том как поднять контроллер домена ActiveDirectory на Linux. Поднимать будем на платформе virtualbox. Воспользуемся инструментом samba для организации данной функции. Плюсы данной платформы: открытость, доступность, безопасность.
Команды из видео:
ip a - посмотреть ip адрес
sudo ip addr add 192.168.3.34/24 dev enp0s3 - назначить ip адрес 192.168.3.34 на интерфейс enp0s3
sudo nano /etc/network/interfaces - в этом файле пропишем наш ip для последующих работ
код ниже нужно прописать в файл:
auto enp0s3
iface enp0s3 inet static
address 192.168.3.34
netmask 255.255.255.0
gateway 192.168.3.34
dns-nameservers 8.8.8.8,8.8.4.4
НАСТРОЙКА SAMBA AD-DC
sudo apt install samba
sudo apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc bind9
Назначение Samba на роль AD DC
sudo systemctl stop winbind smbd nmbd krb5-kdc
sudo systemctl mask winbind smbd nmbd krb5-kdc
sudo rm /etc/samba/smb.conf
samba-tool domain provision (При создании нового домена AD рекомендуется сразу включить так называемые расширения NIS (NIS extensions), передав инструменту samba-tool domain provision параметр --use-rfc2307.)
Настройка автоматического запуска доменной службы Samba
sudo systemctl unmask samba-ad-dc
sudo systemctl enable samba-ad-dc
Перед запуском доменной службы samba настраиваем службу DNS
echo 'include "/var/lib/samba/bind-dns/named.conf";' | sudo tee -a /etc/bind/named.conf
sudo chown -R root:bind /var/lib/samba/bind-dns
sudo systemctl restart bind9
Запуск доменной службы Samba
sudo systemctl start samba-ad-dc
РАБОТА С ПОЛЬЗОВАТЕЛЯМИ
samba-tool user add ivan --given-name=Ivan --surname=Ivanov
sudo samba-tool group list -- список групп
sudo samba-tool user list -- список пользователей
samba-tool user create ehot -- создание пользователей
samba-tool group addmembers 'Domain Admins' ivan
sudo samba-tool user setpassword ivan --смена пароля
###################### Групповая Политика ######################
samba-tool domain passwordsettings set --complexity=off -- требование к паролю отключено (вкл - on)
samba-tool domain passwordsettings set --min-pwd-length=1 -- минимальная длина пароля =1
САМЫЙ ПОНЯТНЫЙ ГАЙД ПО ПОДНЯТИЮ КОНТРОЛЛЕРА ДОМЕНА НА ЛИНУХЕ, СПАСИБО ОГРОМЕННОЕ. Так же хочу добавить, что управлять доменом можно через пакет программ RSAT (WIN10/11)
Спасибо! Я так и делаю, полезная штука, в основном использую "Пользователи и компьютеры" и "Управление ГП"
я изучил все , спасибо сенсей!🙏
Великолепно.
Сделайте дополнительное второе видео о том как делать развёртку ПО на удалённые машины, деинсталяцию, менять настройки системы и т.д.
Это можно реализовать через УГП средствами администрирования виндовс на домене линукс, или же использовать диспетчер ADMC в линукс (в случае графической установки ОС)
LDAPS интересно как прикручивать?
Сделайте видео как можно через связку ( vps -- VPN -- управлять EVE-NG) HTTP запросы на EVE-NG перенапрявлять через VPN c выделенного сервера в инете на домашнюю машину с EVE-NG!
расскажи на опыте, как со стабильностью дела обстоят, часто ли бывают сбои и пользователи не могут зайти в учетку?
Здравствуйте! Со стабильностью порядок, работает такая схема у меня уже 1,5 года без сбоев, перезагрузку делал ну раза 2 максимум, и то один раз из-за отключения электричества, а так все стабильно (если конечно сам не накосячишь)
Подскажите, а что значит замаскировать установку и зачем это нужно?
Допустим у нас есть определнный пакет (А), этот пакет имеет свой набор зависимостей, и ему еще нужны некоторые доп.пакеты, которые устанавливает пакет (Б), напрямую между собой пакеты (А) и (Б) не могут работать, т.е. уонфликтуют (как например samba-ad-dc с днс сервером samba и bind параллельно, должно работать что-то одно инча ничего не запустится), но набор зависимостей поттягивают, так вот, чтобы не тянуть зависимости вручную и избежать подоных ошибок и есть эта самая "маска"; она скрывает сам сервис, при этом не удаляет его зависимости, что упрощает работу админу и устаняет конфликты.
Глаза ушли из чата
Подскажи пожалуйста насчет этого, include "/var/lib/samba/bind-dns/named.conf, почему ты указываешь на конфиг для samba которого впринципе там нет, и bind на него ругается. И что самое интересное без него AD будто не хочет работать, хост не вводит в домен. И у тебя на 23:39 тоже самое
А тут такая тема, что этот конфиг он дает возможность бинду создавать dns записи домена, без него АДшка может сбоить, и выдавать ошибку, такое частенько бывает. А если нет файла, то следует его вручную создать и прописать в него конфиг. Там конфига на 3-4 строки всего, оригинальный файл побольше из-за большого количества комментариев в нем
@@oksion88а какой конфиг нужно прописывать? Можешь пожалуйста подсказать
Вот у меня нет этого файла, клиентская машина не находит домен samba
Получилось решить, подскажите пожалуйста как?
Конфиг данного файла зависит от вашей версии bind
показывайте пожалуйста адаптер и на винде очень долго мучались из за этого🥲
На данном видео в качестве адаптера стоит «сетевой мост», его поставил для того, чтобы машинка была видна в моей локальной сети, а так же имела доступ в Интернет, тк для настроек нужно обеспечить работу менеджера пакетов apt.
Позорно делать контроллер домена на линуксе с помощью Windows
Читайте внимательно название ролика, это всего лишь пример
@@oksion88 сделайте с помощью только линукса
@@baikalit.online ТЗ данного ролика было выполнено, пока съёмки из под линукса не предвидется)