ActiveDirectory/DC

Материал из ALT Linux Wiki
< ActiveDirectory
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)
Samba logo.png
Примечание: Кроме Wiki, читайте документацию к дистрибутиву, например: Глава "Samba 4 в роли контроллера домена Active Directory" в описании Альт Сервер 10.1


Использование Samba 4 в роли контроллера домена Active Directory. Такой способ позволяет вводить Windows 7/8 в домен безо всяких манипуляций с реестром.

Возможности

Поддерживаются базовые возможности Active Directory:

  • Аутентификация рабочих станций Windows и Linux и служб;
  • Авторизация и предоставление ресурсов;
  • Групповые политики (GPO);
  • Перемещаемые профили (Roaming Profiles);
  • Поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows (под WINE не работает);
  • Поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования);
  • Репликация с другими серверами (в том числе с Windows 2012).

Не поддерживается

Не поддерживаются следующие возможности[1]:

  • Не реплицируется хранилище SYSVOL (можно использовать osync[2][3]);
  • Доверительные отношения с некоторыми ограничениями[4]):
    • Правила SID filtering не реализованы;
    • Невозможно добавить пользователей и группы в доменные группы доверенного домена;
  • Не поддерживаются поддомены[5];
    • В Samba отсутствует полноценная поддержка фантомных объектов[6];
    • Проблемы при построении структуры AD (Active Directory browser), проблемы при поиске объектов в другом домене;
    • При применении групповых политик в многодоменной среде могут быть проблемы с определением, в каком домене находится компьютер;
  • DFS работает только в режиме одиночного сервера;
  • Не реализован протокол DFS-R[7];
  • Не полностью реализована поддержка контроллеров домена только на чтение[8] - RODC[9];
  • Ограничения размера базы TDB в 4 ГБ[10], приводит к невозможности перехода от леса доменов к плоской структуре с одним доменом (решено в samba-4.9 и старше с использованием бекенда LMDB[11]).
  • Не закончено тестирование поддержки CTDB (хранение данных в кластерной инфраструктуре);
  • Не закончено тестирование работы Winbind.

Смотрите также статью Возможности и ограничения Samba 4 как контроллера домена Active Directory на http://habrahabr.ru/.

Внимание! Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2. Вы можете ввести его в домен Windows 2012 как клиента, но не как контроллер домена.


Установка

1) Установите пакет task-samba-dc  с версии 4.3.1  для Samba DC на базе Heimdal Kerberos или task-samba-dc-mitkrb5  с версии 4.10.3-alt4  для Samba DC на базе MIT Kerberos, который установит необходимое.

Примечание: До версии 4.3.1 требовалось явно установить пакеты: samba-DC python-module-samba-DC samba-DC-common samba-DC-winbind-clients samba-DC-winbind samba-DC-client krb5-kinit


Примечание: Samba на базе Heimdal Kerberos использует KDC несовместимый с MIT Kerberos, поэтому на контроллере домена на базе Heimdal Kerberos из пакета samba-dc, для совместимости с клиентской библиотекой libkrb5, в krb5.conf (в блоке —- libdefaults) необходимо отключить использование ядерного кеша ключей — KEYRING:persistent:%{uid}:
# control krb5-conf-ccache default


2) Так как Samba в режиме контроллера домена (Domain Controller, DC) использует свой сервер LDAP, свой центр распределения ключей KDC (сервер Kerberos) и свой сервер DNS (если не включен плагин BIND9_DLZ), перед установкой остановите конфликтующие службы krb5kdc и slapd, а также bind:

# for service in bind krb5kdc nmb smb slapd; do chkconfig $service off; service $service stop; done

или

# systemctl disable --now bind krb5kdc nmb smb slapd
Примечание: Можно также отключить службы и выключить автозагрузку служб графическим способом в ЦУС. Например, в ALT Server зайдите в Система > Администрирование > ЦУС > Режим эксперта> Системные службы.
Примечание: При использовании плагина BIND9_DLZ службу bind после создания домена потребуется включить.


Создание нового домена

Восстановление к начальному состоянию samba

Очищаем базы и конфигурацию Samba (если уже создавался домен):

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
Внимание! Обязательно удаляйте /etc/samba/smb.conf перед созданием домена:
rm -f /etc/samba/smb.conf


Выбор имени домена и контроллера домена

Имя домена должно состоять минимум из двух компонентов, разделенных точкой, например, domain.alt. Если используется домен с суффиксом .local, потребуется отключить службу avahi-daemon на сервере и на подключаемых Linux-компьютерах.

Имя контроллера домена (DC) должно быть полным доменным именем (dc.domain.alt) и иметь имя узла (dc) длиной не более 15 символов.

Для установки постоянного имени машины используйте следующую команду:

hostnamectl set-hostname <name>

В системах, в которых управление сетью осуществляется через etcnet и используется SysVinit вместо systemd, полное доменное имя (FQDN) прописывается в конфигурационном файле /etc/sysconfig/network:

HOSTNAME=dc.domain.alt

Во все остальных случаях параметр HOSTNAME игнорируется.

Для временной установки имени машины (до перезагрузки системы) можно использовать следующие команды:

# hostname dc.domain.alt
# domainname domain.alt

Создание домена с SAMBA_INTERNAL

Создание домена одной командой

Создание контроллера домена domain.alt с паролем администратора Pa$$word:

# samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc
Примечание: В команду можно добавить параметр, который позволяет указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена:
--option="dns forwarder=xxx.xxx.xxx.xxx"


Интерактивное создание домена

Примечание: У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.

В примере показано создание домена domain.alt.

Запустите samba-tool domain provision:

# samba-tool domain provision
Realm [DOMAIN.ALT]: 
 Domain [DOMAIN]: 
 Server Role (dc, member, standalone) [dc]: 
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: 
 DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 
Administrator password: 
Retype password: 
Looking up IPv4 addresses
More than one IPv4 address found. Using 192.168.1.1
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=domain,DC=alt
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=domain,DC=alt
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              c228
NetBIOS Domain:        DOMAIN
DNS Domain:            domain.alt
DOMAIN SID:            S-1-5-21-80639820-2350372464-3293631772

При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).

Примечание: Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов.


Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.

Запуск службы

Установите службу по умолчанию и запустите её:

# systemctl enable --now samba
Примечание: Если служба после установки никаким способом не запускается, перезагрузите сервер


Конфликт между systemd-resolved и samba

Если перед запуском samba был настроен и запущен ресолвер systemd-resolved, то samba не запустится (или запустится с ошибками), так как происходит конфликт между systemd-resolved и samba из-за того, что обе службы пытаются прослушивать один и тот же порт 53. Systemd-resolved слушает DNS-запросы на интерфейсе 127.0.0.53:53, а samba требует доступ на всех интерфейсах *:53.

В логах Samba на это могут указать следующие ошибки:

  1. Ошибка при попытке занять порт 53 (DNS):
    stream_setup_socket: Failed to listen on 0.0.0.0:53 - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
    Failed to bind to 0.0.0.0:53 TCP - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
    
  2. Ошибка обновления DNS-зоны:
    Failed DNS update with exit code 1
    

Варианты решения конфликта:

  1. Ограничение интерфейсов Samba
    Если systemd-resolved необходим, Samba можно настроить так, чтобы она слушала только определённые интерфейсы. Например,чтобы настроить привязку всех сервисов Samba к интерфейсам eth0 и loopback (lo), необходимо добавить следующие параметры в секцию [global] конфигурационного файла smb.conf:
    bind interfaces only = yes
    interfaces = lo eth0
    
  2. Отключение systemd-resolved
    Если сервер предназначен для работы с DNS через Samba, можно отключить systemd-resolved:
    # systemctl disable --now systemd-resolved
    
    Затем убедитесь, что /etc/resolv.conf настроен правильно, то есть указывает на сервер DNS, которым управляет Samba.
    Для корректного отключения и настройки механизма преобразования имен хостов в адреса IP, необходимо ознакомиться со статьей Ресолвер.

Проверка процессов на порту 53

Для диагностики можно использовать команду:

# ss -nlp | grep 53

Она покажет, какие процессы используют порт 53. Например:

udp   UNCONN 0  0   127.0.0.53%lo:53   0.0.0.0:*   users:(("systemd-resolve",pid=1234,fd=12))
udp   UNCONN 0  0   192.168.1.1:53     0.0.0.0:*   users:(("named",pid=5678,fd=5))
Примечание: При использовании в качестве DNS-бэкенда BIND9_DLZ конфликт не возникает


Создание домена с BIND9_DLZ

По умолчанию в Samba используется dns-backend = SAMBA_INTERNAL, для возможности переключения режимов dns_backend для сервера SAMBA_INTERNAL/BIND9_DLZ требуется внести следующие изменения:

  1. Установить необходимые пакеты (bind и bind-utils) на сервер:
    # apt-get install bind bind-utils
    
  2. На сервере в файл /etc/samba/smb.conf в блок [global] добавить строку:
    server services = -dns
    
  3. Отключить chroot:
    # control bind-chroot disabled
    
  4. Отключить KRB5RCACHETYPE:
    # grep -q KRB5RCACHETYPE /etc/sysconfig/bind || echo 'KRB5RCACHETYPE="none"' >> /etc/sysconfig/bind
    
  5. Подключить плагин BIND_DLZ:
    # grep -q 'bind-dns' /etc/bind/named.conf || echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf
    
  6. Привести /etc/bind/options.conf к виду (вместо {} подставить свои параметры в ""):
    options {
            version "unknown";
            directory "/etc/bind/zone";
            pid-file "";
            dump-file "/var/run/named_dump.db";
            statistics-file "/var/run/named.stats";
            recursing-file "/var/run/recursing";
    
            tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
    
            forwarders { {{ samba_dns_forward }}; };
            allow-query { localnets; {{ samba_network }}; };
            allow-recursion { localnets; {{ samba_network }}; };
    
            max-cache-ttl 86400;
    };
    
    logging {
            category lame-servers {null;};
    };
    
    Например:
    options {
    	    version "unknown";
    	    directory "/etc/bind/zone";
    	    pid-file "";
    	    dump-file "/var/run/named_dump.db";
    	    statistics-file "/var/run/named.stats";
    	    recursing-file "/var/run/recursing";
    
    	    tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
            minimal-responses yes;
    
            //может понадобиться отключить dnssec
            //dnssec-enable no;
            //dnssec-validation no;
    	        
    	    allow-query { localnets; 192.168.0.0/24; };
    	    allow-recursion { localnets; 192.168.0.0/24; };
    	
    	    include "/etc/bind/resolvconf-options.conf";
    	    max-cache-ttl 86400;
    
    };
    
    logging {
            category lame-servers {null;};
    };
    
    zone "example.test" {
           type forward;
           forwarders { 192.168.0.113; };
    };
    
  7. Выполнить остановку bind:
    # systemctl stop bind
    
  8. При выполнении команды создания домена одной командой указать тип dns-backend = BIND9_DLZ:
    # samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=BIND9_DLZ --server-role=dc
    
  9. Далее произвести рестарт — samba, bind:
    # systemctl restart samba
    # systemctl restart bind
    

Настройка Kerberos

Откройте от имени суперпользователя на редактирование файл /etc/krb5.conf.

Параметру "dns_lookup_realm" присвойте значение false.

В секции [libdefaults] раскомментируйте строку "default realm" и введите название области заглавными буквами.

В секции [realms] вместо EXAMPLE.COM введите название области, а вместо example.com в "default domain" введите IP-адрес сервера с Samba.

В секции [domain_realm] замените example.com и EXAMPLE.COM на ваш домен с сохранением регистра.

Альтернативный вариант

В момент создания домена Samba автоматически конфигурирует шаблон файла /var/lib/samba/private/krb5.conf для вашего домена.

То есть, его можно просто скопировать с заменой:

# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

Проверка работоспособности

1. Общая информация о домене:

# samba-tool domain info 127.0.0.1
Forest           : domain.alt
Domain           : domain.alt
Netbios domain   : DOMAIN
DC name          : c228.domain.alt
DC netbios name  : C228
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

2. Просмотр предоставляемых служб:

# smbclient -L localhost -U administrator
Enter TEST\administrator's password: 

	Sharename       Type      Comment
	---------       ----      -------
	sysvol          Disk      
	netlogon        Disk      
	public          Disk      Public Stuff
	free            Disk      
	IPC$            IPC       IPC Service (Samba 4.14.10)
SMB1 disabled -- no workgroup available

3. Проверка конфигурации DNS

3.1 Убедитесь в наличии nameserver 127.0.0.1 в /etc/resolv.conf:

host domain.alt

3.2 Проверяем имена хостов:

  • адрес _kerberos._udp.*адрес домена с точкой
# host -t SRV _kerberos._udp.domain.alt.
_kerberos._udp.domain.alt has SRV record 0 100 88 c228.domain.alt.
  • адрес _ldap._tcp.*адрес домена с точкой
# host -t SRV _ldap._tcp.domain.alt.
_ldap._tcp.domain.alt has SRV record 0 100 389 c228.domain.alt.
  • адрес хоста.*адрес домена с точкой
# host -t A c228.domain.alt.
c228.domain.alt has address 192.168.1.1

Если имена не находятся, проверяйте выключение службы named.

  systemctl status named


4. Проверка Kerberos:

Внимание! Имя домена должно быть в верхнем регистре, иначе выдаст:
kinit: KDC reply did not match expectations while getting initial credentials
# kinit administrator
Password for administrator@DOMAIN.ALT: 
Warning: Your password will expire in 41 days on Вт 11 ноя 2014 08:58:30

Просмотр полученного билета:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@DOMAIN.ALT

Valid starting       Expires              Service principal
30.09.2014 10:23:54  30.09.2014 20:23:54  krbtgt/DOMAIN.ALT@DOMAIN.ALT
        renew until 01.10.2014 10:23:45
Внимание! Для серверов, не внесённых в зону обратного просмотра DNS, авторизация через nslcd по GSSAPI будет вылетать с диагностикой:
Local error: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)


Управление пользователями

Создать пользователя с паролем[12], :

samba-tool user create <имя пользователя>
samba-tool user setexpiry <имя пользователя>

Например,

samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@stand.alt'

Просмотреть доступных пользователей:

samba-tool user list

Удалить пользователя:

samba-tool user delete <имя пользователя>

Отключить пользователя:

samba-tool user disable <имя пользователя>

Включить пользователя:

samba-tool user enable <имя пользователя>

Изменить пароль пользователя:

samba-tool user setpassword <имя пользователя>

Не забудьте разблокировать пользователя:

samba-tool user setexpiry <имя пользователя> --noexpiry


Внимание! Не допускайте одинаковых имён для пользователя и компьютера, это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). [13]


Если компьютер с таким именем заведён, удалить его можно командой:

samba-tool computer delete <имя>

Добавить группу:

samba-tool group add groupname

Добавить UNIX-группу:

samba-tool group add groupname --nis-domain=samdom --gid-number=<next available GID>

Удалить группу:

samba-tool group delete groupname

Добавить пользователя в группу:

samba-tool group addmembers "Domain Users" user
samba-tool group addmembers "Domain Users" user,user1,user2

Удалить пользователя из группы:

samba-tool group removemembers "Domain Users" user
samba-tool group removemembers "Domain Users" user,user1,user2

Пользователи группы:

samba-tool group listmembers "Domain Users" | grep username

Группы пользователя:

samba-tool user show username

Смотрим значение memberOf.

Заведение дополнительного DC

Подробная инструкция на английском языке: https://wiki.samba.org/index.php/Join_a_domain_as_a_DC

Примечание: В дополнительных DC соблюдать те же правила, что и в основном DC)
Примечание: Для корректного взаимодействия обязательно проверить синхронизацию времени на серверах (актуально при использовании виртуальных машин, и снапшотов!)

Имя узла: dc2.domain.alt (192.168.1.106). Предполагается, что пакет task-samba-dc уже установлен.

1. Заводим IP-адрес для dc2 на PDC (с версии Samba 4.7 и выше запись вносится автоматически):

Внимание! Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
# samba-tool dns add 192.168.1.1 domain.alt DC2 A 192.168.1.106 -U administrator

2. На dc2.domain.alt правим файл /etc/krb5.conf:

[libdefaults]
default_realm = DOMAIN.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
Примечание: Перед вводом в домен в resolvconf обязательно должен быть добавлен PDC как nameserver.


3. Получаем билет и убеждаемся, что билет получен:

Внимание! Имя домена должно быть указано в верхнем регистре
# kinit administrator@DOMAIN.ALT
Password for administrator@DOMAIN.ALT: 
Warning: Your password will expire in 37 days on Пт 14 ноя 2014 14:31:40
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@DOMAIN.ALT

Valid starting       Expires              Service principal
07.10.2014 18:51:01  08.10.2014 04:51:01  krbtgt/DOMAIN.ALT@DOMAIN.ALT
        renew until 08.10.2014 18:50:51

4. Вводим в домен:

# samba-tool domain join domain.alt DC -Uadministrator --realm=domain.alt

Если всё нормально, в конце видим:

Joined domain DOMAIN (SID S-1-5-21-80639820-2350372464-3293631772) as a DC

5. После успешного ввода в домен в resolvconf необходимо сменить адрес PDC на адрес вторичного DC (в нашем примере 192.168.1.106).

6. Запускаем службу samba, сразу переводя её в запускаемую по умолчанию:

# systemctl enable --now samba

Репликация

Внимание! Помните, что без успешной двунаправленной репликации в течение 14 дней DC исключается из Active Directory
Внимание! Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
Примечание: Начиная с версии samba 3.5 топология репликации выстраивается автоматически, следовательно пункты 1. и 2. можно пропустить

1. Реплицируем на вторичном DC (с первичного):

# samba-tool drs replicate dc2.domain.alt c228.domain.alt dc=domain,dc=alt -Uadministrator

(сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP).

2. Реплицируем на вторичном DC (на первичный):

# samba-tool drs replicate с228.domain.alt dc2.domain.alt dc=domain,dc=alt -Uadministrator

(сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP).

Примечание: Имя домена в именах серверов можно опустить (если они одинаковые)


3. Просмотр статуса репликации на PDC:

# samba-tool drs showrepl
Примечание: Если репликация на Windows не работает, добавьте в Active Directory Sites and Services новое соединение Active Directory. Реплицируйте на DC, подождите минут 5 и пробуйте реплицировать с Samba на Windows


Доверительные отношения

Доверительные отношения позволяют аутентифицироваться под пользователями не только текущего домена, но и доверенных.

Подробнее:

Усиление безопасности КД

Возможность анонимного получения списка пользователей, групп и т.п.

Samba наследует поведение домена NT4, которое больше не требуется в режиме Active Directory. Например, следующая команда возвращает всех пользователей домена:

# rpcclient -U "" -c enumdomusers dc1.domain.alt

Для отключения этого внесите изменения в конфигурационный файл /etc/samba/smb.conf

[global]
restrict anonymous = 2

p.s. Также может потребоваться работа с полем dSHeuristics (подробно - http://support.microsoft.com/kb/326690).

samba-tool forest  directory_service dsheuristics 0000000

Отключение Netbios

Если конфигурация DNS выполнена правильно, старые протоколы NetBIOS, которые больше не нужны, могут быть отключены. Внесите изменения в конфигурационный файл /etc/samba/smb.conf в секцию global

[global]
disable netbios = yes
smb ports = 445

Отключение роли сервера печати

Контроллер домена не следует настраивать с ролью сервера печати. Сервер Samba, настроенный как файловый сервер, лучше подходит для этой функции.

[global]
printcap name = /dev/null
load printers = no
disable spoolss = yes
printing = bsd

Отключение NTLMv1

Протокол аутентификации NTLMv1 появился в начале 1990-х годов и был быстро заменен на NTLMv2 из-за недостатков безопасности. Он больше не полезен в современных сетях, за исключением случаев использования MS-CHAP-v2, который является протоколом по умолчанию для аутентификации 802.1x на рабочих станциях Windows (например, аутентификация Radius для подключений Wi-Fi). В этом случае MS-CHAP-v2 использование NTLMv1 можно до некоторой степени допустить, поскольку он инкапсулирован в другой, более надежный протокол.

В Samba есть возможность глобально отключить NTLMv1, если он не используется для аутентификации MS-CHAP-v2. Поэтому рекомендуется добавить следующий параметр в конфигурационный файл /etc/samba/smb.conf.

[global]
ntlm auth = mschapv2-and-ntlmv2-only

Генерация дополнительных хешей паролей

Чтобы разрешить передачу хешей в другую базу аутентификации, можно попросить Samba-AD генерировать дополнительные хеши, когда пользователь меняет свой пароль.

[global]
password hash userPassword schemes = CryptSHA256 CryptSHA512

Защита DNS-записей wpad и isatap

Серверы Windows AD имеют глобальный черный список запросов DNS с двумя записями:

  • wpad
  • isatap

В разделе реестра GlobalQueryBlockList перечислены эти две записи DNS, чтобы предотвратить создание таких записей и перенаправление сетевого трафика неавторизованным объектом, действующим в локальной сети. Протокол автоматического обнаружения веб-прокси (WPAD) по умолчанию настроен в браузерах WPAD, в частности в браузерах Internet Explorer.

Даже если конфигурации wpad и isatap не используются, все равно важно создать эти две записи, чтобы предотвратить их использование обходным путем, поскольку в Samba-AD нет способа заблокировать создание записей, как в Microsoft AD.

# samba-tool dns add `hostname -s` `hostname -d` wpad A 127.0.0.1 -P
# samba-tool dns add `hostname -s` `hostname -d` isatap A 127.0.0.1 -P

Больше информации по ссылке: https://technet.microsoft.com/en-us/library/cc794902%28v=ws.10%29.aspx

Ограничение диапазона динамических портов

По умолчанию Active Directory использует очень широкий динамический диапазон для вызовов MS-RPC. Рекомендуется ограничить этот диапазон. Для этого добавьте следующую строку в раздел [global] файла /etc/samba/smb.conf:

[global]
rpc server dynamic port range = 50000-55000

P.S. Не забудьте перенастроить фаервол, если он используется

Аудит запросов к папкам SYSVOL и NetLogon

Измнения в /etc/samba/smb.conf:

[global]
...
full_audit:failure = none
full_audit:success = pwrite write renameat
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE
...
[sysvol]
...
vfs objects = dfs_samba4, acl_xattr, full_audit
...
[netlogon]
...
vfs objects = dfs_samba4, acl_xattr, full_audit

Отправка логов аудита в rsyslog

Настройка [rsyslog]

rsyslog на том же хосте

/etc/samba/smb.conf

[global]
log level = 1 auth_json_audit:3@/var/log/samba/samba_audit.log

/etc/rsyslog.d/send_samba.conf

module(load="imfile" PollingInterval="10") #needs to be done just once
input(type="imfile"
     File="/var/log/samba/samba_audit.log"
     Tag="samba_auth"
     Severity="info"
     Facility="auth")
if ($syslogtag == "samba_auth") then {
   action(type="omfwd" target="dc1.domain.alt" port="514" protocol="tcp"
          action.resumeRetryCount="100"
          queue.type="linkedList" queue.size="10000")
}

rsyslog на вышестоящем хосте

/etc/rsyslog.d/recv_samba.conf

$ModLoad imtcp
$InputTCPServerRun 514
if ($syslogtag == "samba_auth")  then /var/log/samba/audit_auth.log

Ссылки

Советы

  • Введите в домен машину с Windows, установите на неё Remote Server Administration Tools и управляйте доменом из графического интерфейса.
  • Для того, чтобы посмотреть конфигурацию LDAP контроллера домена, получите билет Kerberos (через kinit) и выполните:
ldapsearch -LLL -b '' -s base -x
  • Для отключения проверки необходимой длины и стойкости паролей выполните:
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
  • Для просмотра всех записей DNS домена выполните:
samba-tool dns query localhost test.altlinux '@' ALL -U 'Administrator%Pa$$word'
  • Для удаления заведённого хоста выполните:
samba-tool dns delete localhost test.altlinux host-51 A 192.168.3.51 -U 'Administrator%Pa$$word'

Troubleshooting

Если домен не создаётся с ошибкой типа ERROR(ldb): uncaught exception - operations error at ../source4/dsdb/samdb/ldb_modules/password_hash.c:2241
Удалите директиву include или includedir в /etc/krb5.conf[14]