apt-get install task-samba-dc
rm -rf /etc/samba/smb.conf
hostnamectl hostname srv1.test.ad
samba-tool domain provision #интерактивная установка
В режиме интерактивной установки спрашивает параметры. Пароль администратора. Выбор DNS, самое простое и удобное - SAMBA_INTERNAL, Можно выбрать BIND*, там всё труднее, сервисные DNS Записи все добавляются сами, если не выбрать NONE.
samba-tool user create aduser
samba-tool user setexpiry aduser --noexpiry
samba-tool group addmembers GROUPNAME USERNAME
#Можно установить admc и там в графике тыкать Можно установить admc и gpui. admc - Просто управление пользователями, в некоторой мере сервисами. gpui - управление групповыми политиками.
vim /etc/samba/smb.conf[share1] path = /opt/share1 writable = yes # valid users = @"TEST\adusers" #adusers - группа, TEST - REALM
Монтировать на клиентах можно как в fstab, так и некими костыликами, по типу стандартной команды mount, записанной в /etc/net/ifaces/ens18/ifup-post.
vim /etc/pam.d/system-authsession [success=1 default=ignore] pam_success_if.so service = systemd-user quiet session optional pam_mount.so disable_interactive
vim /etc/pam.d/system-authsession [success=1 default=ignore] pam_success_if.so service = systemd-user quiet session optional pam_mount.so disable_interactive
vim /etc/security/pam_mount.conf.xml# После <!-- Volume definitions --> <volume uid="aduser" fstype="cifs" server="srv1.test.ad" #Если использовать несколько DC, то можно написать просто TEST.AD path="share1" mountpoint="/mnt/files" options="sec=krb5i,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID)"/>
На первом DC:
Добавляем dns запись
samba-tool dns add 192.168.1.101 test.ad srv2 A 192.168.1.102 -U administrator192.168.1.101 - мастер
192.168.1.102 - вторичный сервер
На втором DC:
apt-get install task-samba-dcНастраиваем kerberos:
vim /etc/krb5.confdefault_realm = TEST.AD dns_lookup_realm = false dns_lookup_kdc = true
Указать в качестве dns samba ad master
vim /etc/resolv.confsearch test.ad nameserver 192.168.1.101
Для проверки - запросить kerberos тикет
kinit administratorУдаляем автоматически сгенерированный, при установке task-samba-dc, файл
rm -rf /etc/samba/smb.confДобавление в домен:
samba-tool domain join test.ad DC -U administrator --option="dns forwarder=1.1.1.1" #DC - контроллер в режиме RW, RODC - в режиме ROПосле установки поменять dns на slave на локальный, например 127.0.0.1
systemctl enable --now samba
apt-get install task-auth-ad-sssd cifs-utils sambaПереключаемся на доменный dns:
vim /etc/net/ifaces/ens33/resolv.confnameserver 192.168.1.101 #ip samba dc search test.ad
Входим в домен:
system-auth write ad test.ad <hostname> test 'administrator' 'password'
samba-tool user create squid
samba-tool squid setexpiry squid --noexpiry
samba-tool spn add HTTP/samba.test.ad@TEST.AD squidУстановить admc
apt-get install admc
kinit administrator
admcИзменить имя для входа со squid на HTTP/samba.test.ad
Поставить галочку на разрешение Делегирования с помощью kerberos
Получить кейтаб:
kinit -5 -V -k -t ./squid.keytab HTTP/samba.test.ad