AbcLinuxu:/ Poradna / Linuxová poradna / Nastavení Samba AD DC

Štítky: ad, Debian, DHCP, distribuce, DNS, domény, Internet, IPv4, LAN, nastavení, návod, PC, pfSense, pod, problém, proxmox, Samba, server, sítě

Dotaz: Nastavení Samba AD DC

1.12.2020 17:12 Pepa006
Nastavení Samba AD DC

Přečteno: 652×

Odpovědět | Admin

Sestavil jsem si Proxmox server. Na jednom VM mám Pfsense, na druhém Debian se sambou jako klientem a file serverem, dále VM s WIN10 a poslední VM obsahuje Debian se ADDC sambou, která je nastavena SAMBA_INTERNAL back end, kde DNS resolver je na VM s PFsense. Všchny VM mají pevou IP. Dále je tam rozhraní LAN pro fyzické PC, které řídí DHCP server z PFsense.

Teď jsem ve stavu, kdy se všechny počítače pingují přes IPv4 adresu. Většina počítačů se zvládne napingovat i pod hostname. U některých to ale vypisuje, že adresa ke jménu nebyla přiřazena. No a do domény se připojí jenom PC s adresou od DHCP serveru. Pokud má pc pevnou adresu, tak to vyhodí chybu o nedostatku oprávnění k přístupu, i když to s DHCP jede hnedka.

Když nejsou schopny komunikovat VM s pevnými IP adresami, nemůžu ani spojit ty dva samba servery, což je problém. Určitě jsem tam něco přehlédl, ale už moc nevím, co bych ta přenastavil dalšího.

No a kdyby měl někdo stručný návod jak nastavit sambu jako DC, prosím o odkaz.

Nástroje: Začni sledovat (0) ?

Odpovědi

1.12.2020 18:24 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Aby ti fungovalo resolvování jen pomocí hostname, tak:
1) musíš mít automatickou registraci počítačů v dns
2) ve Win i v Linuxu musíš mít správně vyplněný dns suffix. Ve Windows se dns suffix vyplňuje automaticky v případě joinu do AD, v opačném případě lze nastavit ručně v nastavení síťovky. V linuxu se nastavuje v resolv.conf jako záznam, příklad: "search corp.devaine.cz"

Pokud distribuuješ nastavení sítě přes dhcp, lze přes dhcp posílat i jméno domény (option domain-name "corp.metrans.cz";) a není tím pádem nutné jej ručně vepisovat do resolv.conf apod.

Návodů, jak rozjet AD v rámci samba4 je celkem hodně, spíše napiš, podle kterého to děláš a v čem konkrétně máš problém.
Zdar Max

Měl jsem sen ... :(

3.12.2020 10:37 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Díky za tvoji reakci. Pokusím se to trochu shrnout. Za poslední dva jsem se dostal do bodu, kdy se mi do domény hned přihlásí všechny stanice win10. Hlásil sem mi tam i ten druhý linuxový VM se sambou v client modu. Dokonce se mi podařilo připojit se na doménu, ale když jsem zadal příkaz getent passwd, tak to vypsalo uživatele pouze toho VM clienta samby a nikoliv uživatele z DC serveru. Pokud byl vznesen dotaz na konkrétního uživatele, tak to nic ani nic nevypsalo.

Včera se mi navíc to rozpadlo i to propojení obou samba serverů s tím, že se při startu nepodařilo najít Kerberos databází a taky s nějakou cache. Předtím jsem tam podle návodu z wikisamba doinstaloval doporučené balíčky a soft webmin pro dálkovou správu, a to na oba servery. Je tam i nějaký rozhraní pro samba server, tak jsem to asi něčím zpra......

Nějakým zázrakem se mi povedlo nějak to rozchodit zpátky a ten client samba server se už aspoň znovu připojí na DC, ale vypíše to toto:

Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Enter administrator's password:Using short domain name -- MOJEDOMENAJoined 'DEBIAN' to dns domain 'mojedomena.lan'

V níže uvedeném návodu jsem ale četl, že je to normálně, ale stále nemůžu příkazem getent passwd dostat výpis uživatelů na DC.

Co se týče těch návodu, tak jsem hlavně vycházel z tohoto: https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member Defacto jsem dodržel předepsaný postup, akorát se mi nepodařilo vytvořit tu reverzní DNS zónu. A pak teda ten výpis klientů z DC, což je zásadní problém. Jako beckend jsem zvolil "RID", ale přemýšlím, jestli tam radší nedat "AD". Ten samba klient bude datový server.

Dnes to ještě zkusím projet podle tohoto návodu: https://wiki.spoje.net/doku.php/howto/samba/samba-memberdc myslím, že je tam někoil odlišností. Hlavně v tom Kerberovi.

Jinak mě napadlo, jestli to nemůže být nějaký DNS problém. Ten resolver v PFSENSE vypisuje nějakou chybu:

Dec 3 08:29:39																named																59583																not listening on any interfaces																								Dec 3 08:29:39																named																59583																unable to listen on any configured interfaces																								Dec 3 08:29:39																named																59583																additionally listening on IPv4 interface vtnet0, 192.168.100.1#53																								Dec 3 08:29:39																named																59583																could not listen on UDP socket: address in use																								Dec 3 08:29:39																named																59583																creating IPv4 interface vtnet0 failed; interface ignored																								Dec 3 08:29:39																named																59640																using default UDP/IPv4 port range: [49152, 65535]																								Dec 3 08:29:39																named																59640																using default UDP/IPv6 port range: [49152, 65535]																								Dec 3 08:29:39																named																59583																loading configuration: failure																								Dec 3 08:29:39																named																59583																exiting (due to fatal error)

Ale jinak to všechno v zásadě jede. Toto je log samba clienta

[2020/12/03 09:53:59.441851,  1] ../source3/winbindd/winbindd_cm.c:1164(cm_prepare_connection)  authenticated session setup to dc10.mojedomena.lan using MOJEDOMENA\DEBIAN$ failed with NT_STATUS_LOGON_FAILURE[2020/12/03 09:53:59.441933,  1] ../source3/winbindd/winbindd_cm.c:1304(cm_prepare_connection)  Failed to prepare SMB connection to dc10.mojedomena.lan: NT_STATUS_LOGON_FAILURE

Takže nevěděl by někdo, jak to dotáhnout do konce?

3.12.2020 12:22 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

cetl jsem puvodni pozadavek, ctu reakci a musim rict ze mas talent napsat mnoho ale nerict nic :-D

jenom bych se ohradil ke dvema tvym prohlasenim

Ignoring unknown parameter - V níže uvedeném návodu jsem ale četl, že je to normálně - ne neni, proste mas tam paramter ktery dana verze nezna, nebo vubec neexistuje, nebo je nejaka chyba v zapisu, napsat k tomu ze je to normalni je blbost, ono to nemusi mit vliv, protoze se parametr nepouzije.

Jinak mě napadlo, jestli to nemůže být nějaký DNS problém. Ten resolver v PFSENSE vypisuje nějakou chybu - named 59583 not listening on any interfaces - tak jestli posloucha dns lze snad zjistit jednoduse a ne se ptat jestli tam neni nejaky dns problem, posloucha tam neco? Vrati to odpoved?

3.12.2020 13:30 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Díky za reakci. Jak říkáš, ty problémy popisu jak umím. Nejsu totiž ajťák a naivně jsem si myslel, že to nějak spíchnu sám podle těch návodů. No ta chyba se v tom PFsense od rána neobjevila, ale přiznám se, že nevím jak zjistit, jestli tam něco poslouchá. Koukal jsem to statusu toho resolveru a je tam uvedená pouze spousta IP adres do netu. Jinak ty testy DNS z návodu na wikisamba to zvládlo v pohodě.

3.12.2020 13:48 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

tak dns by mela poslouchat vzdy na portu 53, takze muzes zkusit nejaky port nastroj na zjisteni otevrenych portu, nebo zkus, pises ze tam mas linux nastroj dig, ten se pokusi prelozit ziskat dns zaznamy a kdyz mu das parametr @ip.ad.re.sa tak se je pokusi ziskat prave z dns serveru ten konkretni zadane IP.

3.12.2020 13:50 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

ale taky pises ze mas DNS na sambe, to je pro AD potreba, ale jestli pro klienty pouzivas jako DNS PFsence, musis mu nastavit ze tu to tvoji lokalni domenu ma prekladat pres tu sambu, nebo nastav jako DNS klientum sambu, a pak bude mit ta samba jako resolver ten PFsence - ktery bude mit jako DNS nejake verejne DNS servery (ale to muze mit primo i ta samba)

3.12.2020 15:58 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Takže jsem si v tom PFsense našel složku sockets, což by asi mělo být ono. Vidím tam, že port 53 využívá localhost (127.0.0.1) pfsense a samotné IP PFsense. A pak ten port používá i localhost v IPv6 ::1, ale to nevím proč. Celá LAN část sítě by měla jet podle nastavení na IPv4.

3.12.2020 16:52 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

A abych nezapomněl, tak ta síť je udělaná tak, že samba DC má backend SAMBA_INTERNAL a míří na rosolver na PFsense. V resolveru je pak nastavený domain overdrive s lookup serverem, kde je samba DC. Resolver má nastavený jako interface a outgoing interface localhost a LAN, bez WAN. Dále je v něm zapnutá DHCP registrace pro statický i lease klienty.

V DHCP serveru v PFsense je pak nastavený jako primární DNS server a domain search list DC samba.

3.12.2020 17:14 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

tak ti nic nebrani ty dns jeden i druhej vyzkouset, a dns pripadne vyloucit. Pro beh domeny neni ptoreba aby stanice mely dns zaznamy, stejne to chodi veseljak divne, ale musi byt schopny prelozit DC a mojedomena.lan

3.12.2020 17:38 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Já si teda pří své minimální znalosti čehokoliv tady myslím, že v tom DNS chyba nebude, protože ty win10 klienti se normálně do domény připojí a žádný problém s nimi není. Teda je pravda, ze jsem u nic ještě nic nenastavoval...

Teď mám největší problém v tom jako propojit sambaDC a samba klienta. Jak jsem psal, už se mi podařilo se tou samba klient připojit do domény, ale nevidělo to žádný uživatele z DC.

Teď jsem navíc testnul tento návod: https://wiki.spoje.net/doku.php/howto/samba/samba-memberdc a zas se to ani nepřipojí na DC, a to ani vrácení původních konfiguráků. Hlasí to toto:

Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/dc10.mojedomena.lan with user[Administrator] realm[MOJEDOMENA.LAN]: Invalid credentialsADS join did not work, falling back to RPC...kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/dc10.mojedomena.lan with user[Administrator] realm[MOJEDOMENA.LAN]: Invalid credentialsFailed to join domain: failed to connect to AD: Invalid credentialsFailed to join domain: failed to connect to AD: Invalid credentials

Na toho Kerbera jsem zkoušel projíždět návody z několika diskusí, ale nikdy jsem se nedostal do fáze, kdy by mi to po připojení k doméně načetlo její uživatele. Jaká ten backend je lepší pro samba klienta využít "ad" nebo "rid" když se budou hlavně sdílet data? Podle toho bych pak zkusil přenastavit ten nsswitch.

Monentálně ho mám nastavená takto:

passwd: files winbind
group: files winbind
#passwd: files systemd
#group: files systemd
shadow: files
gshadow: files

hosts: files dns 
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

3.12.2020 17:59 j
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Z toho co neumis naformatovat:


Dec 3 08:29:39 named 59583 not listening on any interfaces 
Dec 3 08:29:39 named 59583 unable to listen on any configured interfaces 
Dec 3 08:29:39 named 59583 additionally listening on IPv4 interface vtnet0, 192.168.100.1#53 
Dec 3 08:29:39 named 59583 could not listen on UDP socket: address in use 
Dec 3 08:29:39 named 59583 creating IPv4 interface vtnet0 failed; interface ignored 
Dec 3 08:29:39 named 59640 using default UDP/IPv4 port range: [49152, 65535] 
Dec 3 08:29:39 named 59640 using default UDP/IPv6 port range: [49152, 65535] 
Dec 3 08:29:39 named 59583 loading configuration: failure 
Dec 3 08:29:39 named 59583 exiting (due to fatal error)

Je zjevny, ze ti ten bind vubec nenastartuje. A je tam i jasne napsany, ze na tom portu uz neco je.

A to co tam je zjistis pomoci nestat nebo ss, ne cumenim do nejaky slozky.


ss -tunlp |grep ":53"

---

Dete s tim guuglem dopice!

3.12.2020 18:26 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Podle mě ten Bind ani nemá jet, když je spuštění resolver, aspoň takto hlasí ten PFsense. V jeho službách je named vidět jako vypnutý a jede jenom ten rosolver. Ten příkaz jsem zkoušel a ten PFsense to nezná. Jak se to dá naistalovat?

3.12.2020 21:04 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Neznam pfsence, ale rozdil v tom jestli jenom resolvuje predpokladam ze akorat ma bind nastavenou jinak zonu.

Muzes na vypis otevrenych portu pouzit nestat, yen by tam asi mel byt.

Ale je fakt ze to dns vubec byt nemusi.

3.12.2020 21:41 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Běží tam Unbound jako resolver. Bind9 jsem tam musel z balíčku doinstalovat. Navíc ten Pfsense si hlídá to, aby v případě, že jede Ubound byl Bind vypnutej. Ale jak říkám, ta doména nějak jede a win klienti se tam hlasí.

4.12.2020 14:55 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC

Příloha:

Screenshot_2020-12-04 pfSense.png (179481 bytů)

V tom PFsesnse evidentně nejsou nainstalované ty diagnostické aplikace. Aspoň přidám výpis portu z toho webovýho rozhraní PFsense.

Založit nové vlákno • Nahoru

Tiskni Sdílej: