Turnkey linux domain controller

Присоединение Turnkey Linux Fileserver к домену AD

Конфигурационные файлы

Регистр символов имеет значение!

/etc/nsswitch.conf
first 3 lines are most important, other vary according to the system

Синхронизация времени с AD

kerberos is dependent on “the clock”
its recommended to sync with the active directory

gotcha: on win2ksrv the ntp server is disabled (use regedit)

System Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Value Name: LocalNTP
Data Type: REG_DWORD (DWORD Value)
Value Data: (0 = disabled, 1 = enabled)

tips:
— timezones are calculated, including daylight saving
— ntp is 123/udp
— win2ksrv will deny NTP service if its clock hasn’t sync’ed with a
NTP server in a while

net (stop|start) w32time
net time /setsntp:pool.ntp.org

— ntpdate -d (debug)

Перезапуск служб

Опытным путем установлено, что winbind надо запускать перед samba, хотя документация утверждает обратное.

Аутентификация kerberos

Присоединение к домену

— its recommended to change the Administrator password on win2k after
first joining (regenerates the kerberos settings or something, not
sure…)

Автоматизируем вход

Запускаем kutil. Она позволит создать keytab — файл, в котором будут храниться данные для входа.

username.keytab — это имя файла, созданного в текущей директории, в котором хранятся данные для входа.
Сам вход:

Чтобы все правильно работало в rc.local лучше всего дописать так:

Проверка

и контролируем его работу:

Если это не так, заглядываем в логи winbind и разбираемся в чем дело.

Еще сообщают вот что:

Добавление пользователей из AD в локальные группы

В разделе global в smb.conf был указан параметр username map = /etc/samba/smbusers. Данный параметр очень удобен, т.к. позволяет присоединить пользователей Windows к локальным пользователям UNIX. Например, можно назначить root’ом Вашего пользователя в домене и управлять всеми общими ресурсами с полными правами:

При внесении доменных пользователей в данный файл необходимо указывать полное имя в независимости от параметра winbind use default domain. Так же, возможно указать несколько пользователей или доменную группу разделенные пробелами.

Для сопоставления доменных групп по-умолчанию (т.е. таких как Domain Admins, Domain Users и др, которые создаются в SAMBA автоматом, их еще можно просмотреть командой net groupmap list или getent group) и групп UNIX, необходимо выполнить:

Для сопоставления новых доменных групп и групп UNIX, необходимо выполнить:

При этом, сопоставление сохраняется в одном из tdb файлов SAMBA.

Но! username map не работает, если в конфиге SAMBA на ресурс задан параметр valid users и пользователь, указанный в файле username map не входит в членов параметра valiud users. Чтобы обойти эту проблему, необходимо указать параметр admin users, который синтаксически аналогичен valid users, и определяет указанному пользователю работать с ресурсом в качестве пользователя root.

Раздача прав на папки.

Есть два варианта раздачи прав — стандартная девятибитная rwx система UNIX и система принятая в Windows — ACL .
Для использования ACL файловую систему надо монтировать с параметром acl.

даем группе права:

Если дать права только group::r, то не будет читаться каталог. Поэтому надо давать group::rx
Сбросить все права ACL можно командой

Для работы с поддиректориями и вложенными файлами надо использовать ключ -R, но указывать его надо перед -m

Например, настраиваем чтобы в папку /var/lib/vz/shared/files/exchange/ могли писать все, но не могли читать, а для пользователей владельцев папок сделаем разрешения и на чтение:

Права по-умолчанию применяемые к вновь создаваемым файлам:

Дальше даем конкретным пользователям права:

setfacl -R -m user:van:rwx /var/lib/vz/shared/files/exchange/van/

Тут все просто. Раздавайте себе права на уровне Юникса, но прописывайте сразу доменных юзеров и группы. Например,

Или с использованием ACL

Да и еще, у тебя включены директивы наследования не забудь про них

Вход доменных пользователей в linux

ЧТобы можно было менять права на папки из проводника Windows надо чтобы пользователи домена логинились в линукс.
Для этого:

Файл /etc/pam.d/common-account

Файл /etc/pam.d/common-auth

Файл /etc/pam.d/common-session

Для того чтобы работали права доступа из Windows и можно было менять права на папки из проводника надо раздел, на котором лежит шара монтировать с с опцией acl

пример файла /etc/fstab

Русские символы в именах

Для того чтобы работали русские символы в именах нужно правильно прописать ресурсы в файле /etc/samba/smbd.conf. У меня получалось правильно прописывать так:

Устанавливал локаль RU.UTF-8 с помощью:

Потом в свойствах сесии putty тоже устанавливал Window→Translation→UTF-8

Потом оформлял файл в блокноте и потом просто в nano — копировать-вставить… Nano почему-то не работает с UTF-8… Говорят надо перекомпилить…

Или просто расшаривал /etc/samba/ и Блокнотом правил smbd.conf — блокнот делает все идеально 🙂

Пользователи из Active Directory в ajaxplorer

Для того чтобы увидеть пользователей из Active Directory в ajaxplorer есть плагин auth.ldap.
Сначала надо установить поддержку LDAP для php:

ПОтом редактируем файл с настройками плагинов:

Раздел “AUTH_DRIVER” целиком комментируем и заменяем на:

Тут задаются параметры:
“ip”’: адрес контроллера домена (не обязательно IP)
“userorganisationalunit”: подразделение (OU) в котором находятся импортируемые пользователи
“admin”: логин админа
“adminou”: OU админа (указание CN обязательно)
“adminpassword”: пароль админа

Кавычки бывает нужно убрать, но не обязательно.

Узнать так называемые Distinguished Names можно в на машине с Windows запросом:

Квотирование диска.

Квоты раздаются на уровне ОС FreeBSD в файле /etc/fstab:

проверяем работает ли квота:

, а уже потом создаются/меняются для группы и ли пользователя:

редактируем тектстовый файл и записываем его.
Все квота изменена.

Источник

TurnKey Linux — сервер для разработчика под ключ

Сегодня мне бы хотелось поделиться с уважаемым хабрасообществом проектом под названием TurnKey Linux, который однажды мне очень помог.

Что это и зачем нам это?

Как нам ясно из перевода turnkey linux — это линукс под ключ, т.е. в нашем случае дистрибутив с интегрированным в него каким-либо сервисом или приложением, которое можно развернуть и начать работать за считанные минуты.
Вариантов применения такого дистрибутива великое множество: начиная от простого желания посмотреть то или иное приложение в живую перед развертыванием на боевом сервере и заканчивая использованием его в качестве сервера разработки, обкатки или даже как локального боевого сервера для небольшой компании.
Идея такого продукта не нова и TurnKey Linux не является монополистом на рынке, на хабре уже писали про довольно схожий проект BitNami. Поэтому мне бы хотелось рассказать подробнее про преимущества и возможности TurnKey Linux, так как в своей работе я выбрал именно его.

Что нам предлагают?

TurnKey Linux предлагает нам 40 ready-to-use решений, которые условно делятся на 8 категорий:

1. Specials: File Server, Domain Controller;
2. Web development: LAMP, Django, Ruby, Tomcat, etc;
3. Content management: Drupal, Joomla!, Wiki, etc;
4. Messaging: phpBB, etc;
5. Issue tracking: Bugzilla, etc;
6. Datese: MySQL, PostgreSQL;
7. SDK: Google App Engine, etc.

Все эти так называемые virtual appliances доступны нам в виде iso-образов совершенно бесплатно на условиях GPL. В этом как мне кажется и заключается основное отличие и преимущество против BitNami, который предоставляет либо нативные установщики либо уже готовые vmware-образы для работы под OpenSUSE и Ubuntu. Несмотря на примерно одинаковое количество готовых решений у BitNami, TurnKey вырывается вперед в плане удобства использования и развертывания, а так же по оснащенности дистрибутивов.

Как это работает?

Как я уже сказал выше, нам предлагают для скачивания iso-образ, который мы можем использовать на любой виртуальной машине, под любой ОС и даже записать на диск или флешку. Мне кажется это очень удобным.
Рассмотрим типовую установку системы на виртуальной машине, но перед этим пару слов о том что входит дистрибутив системы. Все virtual appliances от TurnKey построены на базе Ubuntu Server 10.04.1, включают в себя web-панель для администрирования системы Webmin, подключенный SSH и AJAX web shell.

Сейчас немного картинок.

Приятная особенность, можно сэкономить свое время и попробовать продукт перед установкой.

Дальше идет обычный текстовый debian установщик.

Нам предлагают установить пароль root

Небольшое графическое меню уже работающей системы, которое так же позволяет настроить сеть и перезагрузить\выключить систему.

Так выглядит пустой сайт.

Небольшое резюме

Мне нравится TurnKey Linux по многим причинам, например за их политику «100% Open Source», а так же постоянное расширение «ассортимента», обновление и тестирование своих продуктов. Их дистрибутивы действительно удобны, быстро развертываются, легко кастомизируются.

everything that can be easy, should be easy (с) TurnKey Linux

Источник

Turnkey linux domain controller

Domain Controller — free Active Directory server

A Samba4-based Active Directory-compatible domain controller that supports printing services and centralized Netlogon authentication for Windows systems, without requiring Windows Server. Since 1992, Samba has provided a secure and stable free software re-implementation of standard Windows services and protocols (SMB/CIFS).

This appliance includes all the standard features in TurnKey Core, and on top of that:

SSL support out of the box.

Webmin modules for configuring Samba.

Domain controller (Samba) configurations:

Preconfigured NetBIOS name: DC1

Sets domain/realm names on first boot

Create new AD domain, or join existing AD domain

Created administrator account is pre-set as Domain User/Admin

Domain Admins have full permissions on the domain.

• Default permissions: owner full permissions.

Configured plug-and-play printing support:

• Installed PDF printer (drops printed docs to $HOME/PDF).
• Configured cups web interface to bind to all interfaces and support SSL.

Includes flip to convert text file endings between UNIX and DOS formats.

Includes TurnKey web control panel (convenience).

• See the Domain Controller documentation for limitations and requirements.

Credentials (passwords set at first boot)

Источник

Domain Controller

Recent versions of TurnKey’s Domain-Controller (DC) appliance uses Samba4 to provide a Microsoft Active Directory domain.

However, it should be noted that the current appliance is a fairly bare-bones AD server. It is provided as a «better starting point» for those that wish to use Samba4 as an AD DC but is far from being feature complete.

Steps that need to be taken when first launched:

• Set a static IP on your domain-controller
  • If running on AWS (e.g. TurnKey Hub) then connect an «Elastic IP» (AWS equivalent of a static IP).
  • Otherwise; easiest via confconsole
  • if not using the DHCP assigned IP please re-run the domain provision inithook — copy/paste the following into commandline:
• (optional) Create the DNS reverse lookup zone and PTR records.
  example details:
  hostname: dc1
  domain/realm: domain.lan
  ip address: 192.168.1.50
• (optional) Adjust DNS forwarder in /etc/samba/smb.conf
  • currently hardcoded to Google DNS (8.8.8.8)
    edit /etc/samba/smb.conf and adjust the field that is currently «dns forwarder = 8.8.8.8»

To join a Windows Desktop to a Samba AD domain see the Samba Wiki: https://wiki.samba.org/index.php/Joining_a_Windows_client_to_a_domain

Administer your AD: install RSAT

To administer your AD please install Microsoft RSAT (Remote Server Administration Tools) onto a Windows member of your Domain. Note RSAT should already be pre-installed in the latest versions of Windows 10.

Some simple administration tasks, such as adding new AD/Samba users; can be completed via samba-tool from your TurnKey Domain-Controller commandline. For more info please see the Samba Wiki — Add Users to Samba AD.

Features to be added in the future:

• Option to provision a fileserver AD member server
  • not yet sure on how this will be implemented.
  • see «Best Practice» notes below
• Support for Roaming Profiles(?)
  • will require AD member fileserver
• Configuration of PTR records for domain controller
  • strictly speaking they’re not required but would be good
• documentation on including a DHCP server

Backups

Currently TKLBAM won’t properly backup a domain. If you wish to use TKLBAM hooks to script it there is info on the Samba Wiki: https://wiki.samba.org/index.php/Backup_and_restore_an_Samba_AD_DC

Note: if you have multiple AD DCs then rather than restore from backup; just rejoin the server to the domain. Restoring a backup to a server that is already a member of a domain will likely cause DB corruption and/or multiple identical domain objects.

General best practice recommendations

Running AD DC in a container

For best experience it is recommended that TurnKey Domain Controller is run within a «proper» VM (or bare metal; rather than within a LXC or Docker container). However, Samba4 should generally function ok within a «privileged» container (although no guarantees that there will be no issues). Some functionality may work within a «unprivileged» container, but strange unexpected issues will likely occur, including (but not limited to) failures when running ‘samba-tool’.

General DC Notes

In production it is recommended that you have a minimum of 2 domain controllers in an AD domain.

File storage/fileserver

Samba advise against using a (Samba4) domain controller as a fileserver as well. Instead it is recommended that you create a dedicated fileserver (as a domain member server). The current TurnKey fileserver appliance is NOT useful for this with it’s default config. See notes on the Samba wiki on setting up a member server: https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member

Please note, that the TurnKey Fileserver appliance includes the same version of Sambas as the DC appliance, but is configured as «stand-alone» by default. You are welcome to reconfigure it to join an existing domain and that should work fine. Please post on the forums if you do that and would like to share your experience and/or need a hand.

Further domain configuration e.g. DNS

As noted above, Samba recommend using Microsoft RSAT (from within a Windows workstation) to do additional AD (Samba4) configuration.

Realm/TLD

For production usage it is recommended to use a domain name that you have registered with a domain registrar as the realm. If you plan to use a domain that you already own (e.g. «example.com») as your realm then add a unique subdomain to avoid potential problems (e.g. «ad.example.com»)

Do not use «.local» realms/tlds as they can conflict with Apple (bonjour) and zeroconf type networked devices.

Integration with LDAP

Samba4 includes it’s own custom AD user database. As a general rule, you should just use this built-in service. However, there is some limited support for integration with LDAP. For more info, please see these Samba Wiki links:

Источник