Skip to content

Installation DC

Vorbereitung

  1. LF Starten
  2. LS starten Einloggen -> vmadmin Riethuesli>12345
  3. Internetverbindung/DNS auflösung testen -> ping google.com
  4. sudo passwd root (Aktiviert den Root benutzer, und gibt ihm ein passwort)
  5. reboot
  6. einloggen -> root -> gesetztes PW

Pakete Installieren

  1. apt update && apt upgrade -y
  2. Bei folgenden befehlen das Setup/Meldungen abbrechen, neustart am ende
  3. apt install samba -y
  4. apt install libpam-heimdal -y
  5. apt install heimdal-clients -y
  6. apt install ldb-tools -y
  7. apt install winbind -y
  8. apt install libpam-winbind -y
  9. apt install smbclient -y
  10. apt install libnss-winbind -y
  11. samba -V (Version 4.15.13-Ubuntu)
  12. reboot
  13. apt update (Alle pakete sind aktuell.)

Tip

Hier am besten ein Backup der bisherigen Installation machen, Am besten als zip um diese direkt auch für die Installation des Fileservers zu benutzen.

Vorkonfiguration

Netzwerk

  1. cp /etc/netplan/01-configVMAufbau.yaml /home/vmadmin
  2. mv /etc/netplan/01-configVMAufbau.yaml /etc/netplan/config.yaml
  3. nano /etc/netplan/config.yaml
  4. adresses zu .41 ändern, unter nameserver die search zeile hinzufügen und die dns server adressen ändern
/etc/netplan/config.yaml
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
# This file is generated from information provided by
# the datasource.  Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
    version: 2
    renderer: networkd
    ethernets:
        ens33:
            addresses:
              - 192.168.210.41/24
            gateway4: 192.168.210.1
            nameservers:
                search: [nachname.m300]
                addresses: [192.168.210.41,192.168.210.1]
  1. netplan apply (warnungen ignorieren)
  2. ip -color a zum überprüfen
  3. ping auf standardgateway (192.168.210.1 und eine url zum testen)
  4. nano /etc/ssh/sshd_config SSH Aktivieren(12)
    /etc/ssh/sshd_config
    ...
#LoginGraceTime 2m
#PermitRootLogin prohibit-passwordyes
#StrictMode yes
...

Rechnername

  1. hostnamectl set-hostname dc1
  2. nano /etc/cloud/cloud.cfg -> preserve_hostname: true
  3. reboot und mit hostname testen ob name immer noch korrekt

IP mit rechner koppeln

  1. echo 192.168.210.41 dc1.nachname.m300 dc1 >> /etc/hosts
  2. mit hostname -f testen

Daten über DNS Server nachführen

  1. rm /etc/resolv.conf
  2. ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf
  3. testen mit resolvectl status

DC Konfiguration

Samba Startskript

  1. nano /lib/systemd/system/samba-ad-dc.service anpassen
    /lib/systemd/system/samba-ad-dc.service
    1
2
3
4
5
6
7
8
9
    [Unit]
Description=Samba4 AD DC
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
ExecStart=/usr/sbin/samba -D --configfile=/etc/samba/smb.conf
PIDFile=/var/run/samba/samba.pid
[Install]
WantedBy=multi-user.target
  2. systemctl daemon-reload (9)
  3. systemctl unmask samba-ad-dc (10)
  4. systemctl enable samba-ad-dc (11)
  5. systemctl daemon-reload

Konfigurationsdatei Samba

  1. mv /etc/samba/smb.conf /home/vmadmin
  2. samba-tool domain provision (Alles auf default lassen/Enter drücke, Admin Passwort eingeben)
  3. nano /etc/samba/smb.conf anpassen
    /etc/samba/smb.conf
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
    # Global parameters
[global]
    dns forwarder = 192.168.210.1
    netbios name = DC1
    realm = NACHNAME.M300
    server role = active directory domain controller
    workgroup = NACHNAME
    interfaces = 192.168.210.41/24 ens33
    bind interfaces only = yes

[sysvol]
    path = /var/lib/samba/sysvol
    read only = No

[netlogon]
    path = /var/lib/samba/sysvol/steigmeier.m300/scripts
    read only = No

Erster Start

  1. systemctl stop smbd nmbd winbind (1)
  2. systemctl disable smbd nmbd winbind (2)
  3. systemctl start samba-ad-dc (3)
  4. mit systemctl status samba-ad-dc oder service samba-ad-dc statustesten ob der dienst läuft
  5. reboot
  6. systemctl status samba-ad-dc.service testen ob der dienst automatisch gestartet hat
  7. ps ax | grep samba Schauen ob die samba prozesse laufen
  8. prüfen, dass diese Services NICHT laufen (Active: inactive(dead))
    • service smbd status
    • service nmbd status
    • service winbind status

testen

  1. host dc1 -> dc1.nachname.m300 has address 192.168.210.41
  2. host -t SRV _kerberos._tcp.nachname.m300 -> _kerberos._tcp.nachname.m300 has SRV record 0 100 88 dc1.nachname.m300.
  3. host -t SRV _ldap._tcp.nachname.m300 -> _ldap._tcp.nachname.m300 has SRV record 0 100 389 dc1.nachname.m300.
  4. host -t SRV _gc._tcp.nachname.m300 -> _gc._tcp.nachname.m300 has SRV record 0 100 3268 dc1.nachname.m300.
  5. smbclient -L dc1

Kerberos config & test

  1. nano /etc/krb5.conf
  2. Kompletter inhalt löschen ausser:
    /etc/krb5.conf
    1
2
3
4
    [libdefaults]
    default_realm = NACHNAME.M300
    dns_lookup_realm = false
    dns_lookup_kdc = true
  3. kinit administrator (4)
  4. klist (5) -> Credentials sollten cached sein
  5. smbclient -L dc1 -U administrator (13)

LDAP test

  1. ldbsearch -H ldap://dc1 "cn=administrator" -k yes
  2. ldbsearch -H ldap://dc1 "cn=dc1" -k yes

Benutzer & Gruppen verwalten

  1. samba-tool user create vmuser (6) -> passwort eingeben
  2. samba-tool user create vmadmin -> passwort eingeben
  3. samba-tool user list (7) -> nutzer sollten aufgelistet sein
  4. samba-tool group listmembers administrators (8)

Windows VM in domäne einbinden

  1. IP auf 192.168.210.14/24 ändern
  2. Standardgatewas 192.168.210.1
  3. DNS 192.168.210.41
  4. computername auf cli123 ändern
  5. domäne joinen -> administrator@nachname.m300 > passwort
  6. Neustart und als domänennutzer anmelden
  7. RSAT, PuTTY, und WinSCP installieren für DC verwaltung vom Client aus
  8. reverse lookup zone auf DNS server konfigurieren (dc1.nachname.m300)
  9. SSH verbindung mit winscp und putty auf den DC testen
  1. Stoppt die services smbd, winbind, und nmbd
  2. Deaktiviert die serviecs smbd, winbind, und nmbd
  3. Startet den samba ad dc service
  4. Einloggen als Administrator
  5. Listet die aktuellen kerberos tickets auf
  6. Erstellt einen neuen AD Benutzer
  7. Listet die AD Benutzer auf
  8. Listet die Mitglieder der AD gruppe "administrators" auf
  9. Refreshed die daemon dienste auf dem server
  10. Unmaskiert den service, macht ihn start/editierbar
  11. startet den service
  12. SSH Verbindung funktioniert dann via ssh root@192.168.210.41 oder via WinSCP/PuTTy
  13. Listet die Shares auf dem System auf
  14. andre