Bergabunglah dengan Ubuntu DC Tambahan ke Samba4 AD DC untuk Replikasi FailOver - Bagian 5
Tutorial ini akan menunjukkan kepada Anda cara menambahkan pengontrol domain Samba4 kedua, yang disediakan di server Ubuntu 16.04, ke forest Samba AD DC yang ada secara berurutan untuk memberikan tingkat penyeimbangan beban/failover untuk beberapa layanan AD DC penting, terutama untuk layanan seperti DNS dan skema LDAP AD DC dengan database SAM.
Persyaratan
- Buat Infrastruktur Direktori Aktif dengan Samba4 di Ubuntu – Bagian 1
Artikel ini merupakan Bagian-5 dari seri Samba4 AD DC sebagai berikut:
Langkah 1: Konfigurasi Awal untuk Pengaturan Samba4
1. Sebelum Anda mulai melakukan penggabungan domain untuk DC kedua, Anda perlu melakukan beberapa pengaturan awal. Pertama, pastikan nama host sistem yang akan diintegrasikan ke dalam Samba4 AD DC berisi nama deskriptif.
Dengan asumsi bahwa nama host dari ranah pertama yang disediakan disebut adc1, Anda dapat memberi nama DC kedua dengan adc2 untuk memberikan skema penamaan yang konsisten di seluruh Pengontrol Domain Anda.
Untuk mengubah nama host sistem Anda dapat menjalankan perintah di bawah ini.
hostnamectl set-hostname adc2
jika tidak, Anda dapat mengedit file /etc/hostname secara manual dan menambahkan baris baru dengan nama yang diinginkan.
nano /etc/hostname
Di sini tambahkan nama host.
adc2
2. Selanjutnya, buka file resolusi sistem lokal dan tambahkan entri dengan titik penyihir alamat IP ke nama pendek dan FQDN pengontrol domain utama, seperti yang diilustrasikan di bawah tangkapan layar.
Melalui tutorial ini, nama DC utama adalah adc1.tecmint.lan dan ditetapkan menjadi alamat IP 192.168.1.254.
nano /etc/hosts
Tambahkan baris berikut:
IP_of_main_DC FQDN_of_main_DC short_name_of_main_DC
3. Pada langkah berikutnya, buka /etc/network/interfaces dan tetapkan alamat IP statis untuk sistem Anda seperti yang diilustrasikan pada tangkapan layar di bawah.
Perhatikan variabel dns-nameservers dan dns-search. Nilai-nilai ini harus dikonfigurasi agar mengarah kembali ke alamat IP Samba4 AD DC dan realm utama agar resolusi DNS dapat berfungsi dengan benar.
Mulai ulang daemon jaringan untuk mencerminkan perubahan. Verifikasi file /etc/resolv.conf untuk memastikan bahwa kedua nilai DNS dari antarmuka jaringan Anda diperbarui ke file ini.
nano /etc/network/interfaces
Edit dan ganti dengan pengaturan IP khusus Anda:
auto ens33
iface ens33 inet static
address 192.168.1.253
netmask 255.255.255.0
brodcast 192.168.1.1
gateway 192.168.1.1
dns-nameservers 192.168.1.254
dns-search tecmint.lan
Mulai ulang layanan jaringan dan konfirmasi perubahan.
systemctl restart networking.service
cat /etc/resolv.conf
Nilai dns-search akan secara otomatis menambahkan nama domain ketika Anda menanyakan host berdasarkan nama pendeknya (akan membentuk FQDN).
4. Untuk menguji apakah resolusi DNS berfungsi seperti yang diharapkan, jalankan serangkaian perintah ping terhadap nama pendek domain Anda, FQDN, dan ranah seperti yang ditunjukkan pada tangkapan layar di bawah.
Dalam semua kasus ini, server Samba4 AD DC DNS harus membalas dengan alamat IP DC utama Anda.
5. Langkah tambahan terakhir yang perlu Anda lakukan adalah sinkronisasi waktu dengan Pengontrol Domain utama Anda. Hal ini dapat dilakukan dengan menginstal utilitas klien NTP pada sistem Anda dengan mengeluarkan perintah di bawah ini:
apt-get install ntpdate
6. Dengan asumsi Anda ingin memaksakan sinkronisasi waktu secara manual dengan samba4 AD DC, jalankan perintah ntpdate pada DC utama dengan mengeluarkan perintah berikut.
ntpdate adc1
Langkah 2: Instal Samba4 dengan Dependensi yang Diperlukan
7. Untuk mendaftarkan sistem Ubuntu 16.04 ke domain Anda, pertama-tama instal Samba4, klien Kerberos dan beberapa paket penting lainnya untuk digunakan nanti dari repositori resmi Ubuntu dengan mengeluarkan perintah di bawah ini:
apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
8. Selama instalasi, Anda perlu memberikan nama ranah Kerberos. Tulis nama domain Anda dengan huruf besar dan tekan tombol [Enter] untuk menyelesaikan proses instalasi.
9. Setelah instalasi paket selesai, verifikasi pengaturan dengan meminta tiket Kerberos untuk administrator domain menggunakan perintah kinit. Gunakan perintah klist untuk mencantumkan tiket Kerberos yang diberikan.
kinit domain-admin-user@YOUR_DOMAIN.TLD
klist
Langkah 3: Bergabunglah ke Samba4 AD DC sebagai Pengontrol Domain
10. Sebelum mengintegrasikan mesin Anda ke Samba4 DC, pertama-tama pastikan semua daemon Samba4 yang berjalan di sistem Anda dihentikan dan, juga, ganti nama file konfigurasi Samba default untuk memulai membersihkan. Saat menyediakan pengontrol domain, samba akan membuat file konfigurasi baru dari awal.
systemctl stop samba-ad-dc smbd nmbd winbind
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
11. Untuk memulai proses penggabungan domain, pertama-tama jalankan daemon samba-ad-dc saja, setelah itu Anda akan menjalankan samba-tool perintah untuk bergabung dengan ranah menggunakan akun dengan hak administratif di domain Anda.
samba-tool domain join your_domain DC -U "your_domain_admin"
Kutipan integrasi domain:
samba-tool domain join tecmint.lan DC -U"tecmint_user"
Contoh Keluaran
Finding a writeable DC for domain 'tecmint.lan'
Found DC adc1.tecmint.lan
Password for [WORKGROUP\tecmint_user]:
workgroup is TECMINT
realm is tecmint.lan
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC=tecmint,DC=lan
Adding CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Adding CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tecmint,DC=lan
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC=tecmint,DC=lan
Setting account password for ADC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Provision OK for domain DN DC=tecmint,DC=lan
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=tecmint,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[402/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[804/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1206/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1608/1614] linked_values[0/0]
Partition[CN=Configuration,DC=tecmint,DC=lan] objects[1614/1614] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=tecmint,DC=lan] objects[97/97] linked_values[24/0]
Partition[DC=tecmint,DC=lan] objects[380/283] linked_values[27/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=tecmint,DC=lan
Partition[DC=DomainDnsZones,DC=tecmint,DC=lan] objects[45/45] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=tecmint,DC=lan
Partition[DC=ForestDnsZones,DC=tecmint,DC=lan] objects[18/18] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TECMINT (SID S-1-5-21-715537322-3397311598-55032968) as a DC
12. Setelah Ubuntu dengan perangkat lunak samba4 diintegrasikan ke dalam domain, buka file konfigurasi utama samba dan tambahkan baris berikut:
nano /etc/samba/smb.conf
Tambahkan kutipan berikut ke file smb.conf.
dns forwarder = 192.168.1.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
Ganti alamat IP penerus DNS dengan IP penerus DNS Anda sendiri. Samba akan meneruskan semua permintaan resolusi DNS yang berada di luar zona otoritatif domain Anda ke alamat IP ini.
13. Terakhir, restart daemon samba untuk mencerminkan perubahan dan periksa replikasi direktori aktif dengan menjalankan perintah berikut.
systemctl restart samba-ad-dc
samba-tool drs showrepl
14. Selain itu, ganti nama file konfigurasi Kerberos awal dari jalur /etc dan ganti dengan file konfigurasi krb5.conf baru yang dihasilkan oleh samba saat melakukan provisi domainnya.
File terletak di direktori /var/lib/samba/private. Gunakan symlink Linux untuk menghubungkan file ini ke direktori /etc.
mv /etc/krb5.conf /etc/krb5.conf.initial
ln -s /var/lib/samba/private/krb5.conf /etc/
cat /etc/krb5.conf
15. Juga, verifikasi otentikasi Kerberos dengan file samba krb5.conf. Minta tiket untuk pengguna administrator dan daftarkan tiket yang di-cache dengan mengeluarkan perintah di bawah ini.
kinit administrator
klist
Langkah 4: Validasi Layanan Domain Tambahan
16. Pengujian pertama yang perlu Anda lakukan adalah resolusi Samba4 DC DNS. Untuk memvalidasi resolusi DNS domain Anda, kueri nama domain menggunakan perintah host terhadap beberapa data DNS AD penting seperti yang ditunjukkan pada tangkapan layar di bawah.
Server DNS sekarang seharusnya memutar ulang dengan sepasang dua alamat IP untuk setiap kueri.
host your_domain.tld
host -t SRV _kerberos._udp.your_domain.tld # UDP Kerberos SRV record
host -t SRV _ldap._tcp.your_domain.tld # TCP LDAP SRV record
17. Catatan DNS ini juga harus terlihat dari mesin Windows terdaftar dengan alat RSAT terpasang. Buka Manajer DNS dan perluas catatan tcp domain Anda seperti yang ditunjukkan pada gambar di bawah.
18. Pengujian berikutnya akan menunjukkan apakah replikasi LDAP domain berfungsi seperti yang diharapkan. Dengan menggunakan samba-tool, buat akun di pengontrol domain kedua dan verifikasi apakah akun tersebut secara otomatis direplikasi di Samba4 AD DC pertama.
Di adc2:
samba-tool user add test_user
Di adc1:
samba-tool user list | grep test_user
19. Anda juga dapat membuat akun dari konsol Microsoft AD UC dan memverifikasi apakah akun tersebut muncul di kedua pengontrol domain.
Secara default, akun harus dibuat secara otomatis di kedua pengontrol domain samba. Kueri nama akun dari adc1 menggunakan perintah wbinfo.
20. Faktanya, buka konsol AD UC dari Windows, perluas ke Pengontrol Domain dan Anda akan melihat kedua mesin DC terdaftar.
Langkah 5: Aktifkan Layanan Samba4 AD DC
21. Untuk mengaktifkan layanan samba4 AD DC di seluruh sistem, pertama-tama nonaktifkan beberapa daemon Samba lama dan yang tidak digunakan dan aktifkan hanya layanan samba-ad-dc dengan menjalankan perintah di bawah ini :
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
22. Jika Anda mengelola pengontrol domain Samba4 dari klien Microsoft atau Anda memiliki klien Linux atau Windows lain yang terintegrasi ke dalam domain Anda, pastikan Anda menyebutkan alamat IP adc2 mesin ke pengaturan IP server DNS antarmuka jaringan mereka untuk mendapatkan tingkat redundansi.
Tangkapan layar di bawah mengilustrasikan konfigurasi yang diperlukan untuk klien Windows atau Debian/Ubuntu.
Dengan asumsi bahwa DC pertama dengan 192.168.1.254 offline, balikkan urutan alamat IP server DNS dalam file konfigurasi sehingga tidak akan mencoba menanyakan terlebih dahulu alamat IP yang tidak tersedia server DNS.
Terakhir, jika Anda ingin melakukan autentikasi lokal pada sistem Linux dengan akun Direktori Aktif Samba4 atau memberikan hak akses root untuk akun LDAP AD di Linux, baca langkah 2 dan 3 dari tutorial Mengelola Infrastruktur AD Samba4 dari Baris Perintah Linux.