Active Directory Domain Controller con Samba4+Bind9 y Delegación de zona #Actualizado

Instalar un PDC con delegación de zona con Samba4 es tan fácil como seguir el siguiente procedimiento:

Nota: Asumimos que usted posee una máquina virtual/contenedor de proxmox actualizado con dist-upgrade, si no es así, por favor hágalo antes de comenzar.

Nota2: En este entorno se utilizará como ejemplo el dominio: "INUTIL.CU", y el password de administración será: "Admin*123"

0 → Instalar utilitarios necesarios

1 → Editar el archivo /etc/hosts y dejarlo de la siguiente manera, en dependencia de los nombres de host que tengamos.

2 → Configuración de la red

Y el resolv.conf:

3 → Instalar servicio DHCP

Editar /etc/default/isc-dhcp-server de la siguiente manera:

Guardar los cambios, y hacer un backup de dhcpd.conf.

Crear archivo nuevo dhcpd.conf y dejarlo de la siguiente manera:

Para probar que la configuración está bien ejecutamos:

Debe decir algo así:

Si el mensaje es distinto, tenemos algún error en la configuración y debemos revisarla nuevamente.

Reiniciando el servicio y chequear su estado:

4 → Instalar servicio NTP

Editar el archivo de configuración y adaptarlo a nuestras necesidades, pero debemos poner obligatoriamente:

Guardamos y reiniciamos el servicio ntp. Recordemos que después de compilar samba debemos hacer algunos ajustes a ntp, lo cual veremos más adelante.

Antes de continuar debemos deshabilitar IPv6 añadiendo al final del fichero /etc/sysctl.conf:

Deshabilitando IPv6

Ejecutar:

Y reiniciamos el sistema.

Ahora necesitaremos algunos paquetes que intervienen en el proceso de compilación de Samba 4 y Bind 9.

Imágenes de kerberos:

5 → Compilando y configurando Bind 9

Creamos el archivo named.conf con el siguiente contenido:

Para chequear que la configuración esta bien:

Y pasamos a compilar Samba4 pues necesitaremos hacer algunos arreglos a bind contra samba antes de continuar.

6 → Compilando y configurando Samba 4

Descargar:

Probando las configuraciones:

Provisionamos el directorio

O podemos usar:

Permisos a la configuración de bind en la carpeta de samba:

Copiar el krb5.conf del samba4 al sistema

Creamos el archivo:

Con el siguiente contenido:

Creamos la carpeta de samba:

Cambiamos el propietario y el grupo a /var/lib/samba/bind-dns:

Y la carpeta de NTP:

Ahora copiamos a /etc/init.d/ los scripts de inicio de bind9 y samba. Los cuales extraeremos de los respectivos paquetes en el repositorio.
Después de copiarlos a /etc/init.d debemos hacerlos ejecutables y ponerlos a que inicien con el sistema.

7 → Adaptando un poco más el servicio NTP a trabajar con Samba4

Editar el archivo de configuración y adaptarlo a nuestras necesidades, pero debemos poner obligatoriamente:

Y reiniciamos el sistema, para comprobar de que iniciaron todos los scripts bien:

Ahora probaremos si funciona:

Ejecutamos klist:

Ahora crearemos la zona inversa del DNS:

Record del servidor dns:

Record del servidor de correo:

Record del servidor proxy:

Record del servidor jabber:

Podemos añadir cuantos records necesitemos, por ahora solo añadiremos dns, correo, proxy y jabber por ahora.

Y probamos:

Ahora debemos actualizar el fichero de configuración de Samba 4, y dejarlo de la siguiente manera:

La directiva “nsupdate command” lo que hace es utilizar el dns dinámico. Ahora comprobamos si actualiza dinámicamente el dns:

Después de reiniciar ejecutamos netstat para ver si todo ocurrió bien:

8 → Ahora veamos algunas opciones

Nivel funcional del dominio:

Si deseamos eliminar la complejidad de la contraseña:

Cantidad de caractéres mínimos para la contraseña

Añadir un usuario al AD de samba es tan sencillo como:

Creando un usuario como ejemplo:

Si por alguna razon necesitamos deshabilitar a algún usuario:

O habilitarlo:

Ahora crearemos un usuario que manejará las conexiones entre el AD y los servicios:

Que la cuenta no expire:

Lo agregamos a todos los grupos del AD:

Para los que requieran acceso a internet crearemos un grupo:

Para los que no requieran acceso a internet crearemos otro grupo:

Lo mismo realizaremos para el correo:

Otras opciones

Si deseamos cambiar el password del usuario y que él lo defina en el próximo login:

Para ver todos los usuarios del dominio:

Para ver todos los grupos del dominio:

Y listo, a unir máquinas de windows/linux al dominio.

(Visited 266 times, 1 visits today)

5 Comentarios

  1. Hola Leslie muy bueno el manual pero seria bueno poner tambien como upgradear de samba 4.8.8 a samba 4.9.0 o superior pues a la hora de upgradear te pide instalar lmdb esto esta en los Features de la version 4.9.0 asi New experimental LMDB LDB backend y como ya tengo samba montado, lo logico es ugradear no hacerlo desde cero, saludos.

  2. Me da este error despues de compilar, cuando doy smbd -b | grep “CONFIGFILE”

    [email protected]:~# smbd -b | grep “CONFIGFILE”
    smbd: /usr/lib/x86_64-linux-gnu/libndr.so.0: version NDR_0.0.9' not found (required by /usr/lib/samba/libndr-samba-samba4.so)
    smbd: /usr/lib/x86_64-linux-gnu/libsamba-passdb.so.0: version
    SAMBA_PASSDB_0.27.1′ not found (required by /usr/lib/samba/libauth-samba4.so)

    [email protected]:~# uname -a
    Linux dc1 4.9.0-8-amd64 #1 SMP Debian 4.9.144-3 (2019-02-02) x86_64 GNU/Linux

    [email protected]:~# lsb_release -a
    No LSB modules are available.
    Distributor ID: Debian
    Description: Debian GNU/Linux 9.8 (stretch)
    Release: 9.8
    Codename: stretch

  3. Fantástico tutorial, enhorabuena, quería hacerte una consulta, he tenido asi funcionando mi dominio Ubuntu+samba4, tengo dos dc en mi oficina y ahora he desplegado dos delegaciones mas, iba todo bien y de repente desde hace unos 5 días ha empezado a pararse el servicio, dice: “no se puede poner en contacto con el siguiente controlador de dominio:xx.domain.loc. El servidor no es funcional”
    el caso es que si reinicio los servicios samba-ad-dc empieza a funcionar de nuevo, otros 20 min que vuelve a hacer lo mismo, a ver si me das una pista

    Gracias
    Oscar

    • Hola leslie encontre esta ayuda y probando me encontre que cuando compilo el bind9 me dice que la libreria de python faltan y que se puede deshabilitar con –disable-python ya probe eso y no resuelvo. Que otra cosa puedo hacer.

      Saludos

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*