Контроллер домена на debian 12

[ya]

Контроллер домена на debian 12

Обновим все пакеты

Код: Выделить всё

apt update

Присвоим ип-адрес сетевому интерфейсу, если таковой не был явно прописан в файле конфигурации сети

Код: Выделить всё

ip addr add адрес/префикс dev интерфейс

установим самбу и необходимые к ней пакеты

Код: Выделить всё

apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc bind9

Указываем домен в котором у нас будет находится samba и адрес сервера (в данном случае этот ip a)

Замаскируем ненужные установки и удалим лишние файлы

Код: Выделить всё

systemctl stop winbind smbd nmbd krb5-kdc
systemctl mask winbind smbd nmbd krb5-kdc

Удалим конфигурационный файл настройки самбы

Код: Выделить всё

rm /etc/samba/smb.conf

Настройка домен-контроллера (данная команда инициализирует нижеследующие запросы)

Код: Выделить всё

samba-tool domain provision

Realm: имя.домена.полностью
Domain [имя]: <Enter>
Server Role (dc, member, standalone) [dc]: <Enter>
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: <Enter>
DNS forwarder Ip address (write 'none' to disable forwarding) [ип_адрес_днс]: 1.0.0.2
Administrator password: пароль администратора домена
Retype password: повторить пароль администратора домена
INFO Установка контроллера домена

dc - основной сервер (самый главный сервер контроллера домена)
member - сервер в составе контроллера домена
standalone - самостоятельный сервер

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) выбрать какой днс-сервер использовать: встроенный в самбу или внешний
DNS forwarder Ip address (write 'none' to disable forwarding) [ип_адрес_днс] на какой днс-адрес пересылать запросы, если самба не справится с ними

Подключаем конфиг самбы-днс к днс-серверу

Код: Выделить всё

echo 'include "/var/lib/samba/bind-dns/named.conf";' | tee -a /etc/bind/named.conf

Выставляем владельца и группу для каталога (если не выставлена)

Код: Выделить всё

chown -R root:bind /var/lib/samba/bind-dns

Перезапускаем днс-сервер, затем перезапускаем контроллер домена

Код: Выделить всё

systemctl restart bind9 samba-ad-dc

Проверяем статус контроллера домена

Код: Выделить всё

systemctl status samba-ad-dc

Создание пользователя для контроллера домена

Код: Выделить всё

samba-tool user add пользователь1
New Password:
Retype Password:

Выдадим этому пользователю права администратора домена

Код: Выделить всё

samba-tool group addmembers 'Domain Admins' пользователь1

Заберём права администратора домена

Код: Выделить всё

samba-tool group removemembers 'Domain Admins' пользователь1

Далее переходим на винду и добавляем виндовый комп в контроллер домена
Параметры -> Переименовать ПК (для опытных пользователей) -> Является членом домена ->имя.домена.полностью

или добавляем на сервере

Код: Выделить всё

samba-tool computer add <имя_компьютера> --user=<имя_администратора> --password=<пароль>

или

Код: Выделить всё

samba-tool computer create <имя_компьютера> --user=<имя_администратора> --password=<пароль>

Список групп контроллера домена

Код: Выделить всё

samba-tool group list

В винде есть стандартные группы:
Администраторы домена
Администраторы предприятия
Администраторы системы
Администраторы политики
Администраторы днс
Компьютеры домена
Пользователи
Гости домена
Защищённые пользователи


Создание пользователя для контроллера домена с дополнительными параметрами для красивости отображения при входе пользователя в ситему (если пароль создавать не нужно, то в конец добавить два тире --)

Код: Выделить всё

samba-tool user add ivan --given-name=Ivan --surname=Ivanov
New Password:
Retype Password:

Добавление пароля пользователю

Код: Выделить всё

smbpasswd ivan
New SMB password:
Retype SMB password:

Посмотреть список всех зарегистрированных пользователей в домене

Код: Выделить всё

samba-tool user list

Очистка кеша домена для исключения конфликтов с самбой

Код: Выделить всё

control krb5-conf-ccache default

Список компьютеров, подключенных к домену

Код: Выделить всё

samba-tool computer list

Если нужно управлять пользователями и группами, используйте

Код: Выделить всё

samba-tool user create username password

[ya]

Подключение линукс-клиента к контроллеру домена

/etc/samba/smb.conf

Код: Выделить всё

[global]
workgroup = TESTDOMAIN
realm = TESTDOMAIN.NET

security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY

domain master = no
local master = no
prefferred master = no
domain logons = no

load printers = no
show add printers wizard = no
printcap name = /dev/null
disable spoolss = yes

Код: Выделить всё

net ads join -U пользователь1 -D имя.домена.полностью
Passowd for [имя\пользователь1]:

после этого запросит пароль пользователя для подключения к домену

[ya]

Управление Active Directory

Для ввода в домен необходимы пакеты:

Код: Выделить всё

apt install sssd-krb5 sssd-ldap

Подключение от администратора к контроллеру домена на сервере, где установлен контроллер домена. Эту команду вводить из-под пользователя, под которым авторизовались, с тем, чтобы именно ему дать доступ на управление контроллером домена

Код: Выделить всё

kinit Administator

Для управления в графическом интерфейсе контроллером домена, установить пакет admc и alterator

Код: Выделить всё

apt install admc alterator

Редактор групповых политик через графический интерфейс

Код: Выделить всё

apt install gpui

[ya]

Настройка Windows Server 2012 в качестве контроллера домена
https://www.youtube.com/watch?v=YEc7iq4NIRs

Создание новых пользователей и групп в ActiveDirectory
https://www.youtube.com/watch?v=Zn_-tNF8ecc

[ya]

Требования к паролю на контроллере домена Active Directory

Минимальная длина пароля в 1 символ

Код: Выделить всё

samba-tool domain passwordsettings set --min-pwd-length=1

Отключить сложность пароля

Код: Выделить всё

samba-tool domain passwordsettings set --complexity=disabled

Для сброса срока действия пароля (например, чтобы он не истекал

Код: Выделить всё

samba-tool domain passwordsettings set --max-pwd-age=0

Чтобы проверить текущие настройки политики паролей

Код: Выделить всё

samba-tool domain passwordsettings show

[ya]

Расшарить каталог

mkdir -p /path/to/shared_folder
chown -R youruser:yourgroup /path/to/shared_folder
chmod -R 770 /path/to/shared_folder

/etc/samba/smb.conf

Код: Выделить всё

[SharedFolder]
   path = /path/to/shared_folder
   browsable = yes
   writable = yes
   valid users = youruser
   read only = no

systemctl restart smbd