kimsufi.com の専用サーバーに Samba 4 をセットアップしようとしていますが、Kerberos と Samba4 の構成が困難です。
Kerberos および Samba の IP、レルム、ドメイン、NetBIOS、DNS などについて非常に混乱しています。Google で見つけたチュートリアルはすべて、LAN 内のホームサーバーを扱っており、TEST.LOCAL などのドメインが表示されていますが、インターネット上の私のマシンの IP は 192.168... とは異なります。
私の質問は、私の特定のケースでの構成はどうなっているかということです。
私のサーバーの詳細 (Debian 7.8):
ホスト名: ks12345xxx.kimsufi.com
IP: 37.187.xx.xxx
/etc/ホスト:
127.0.0.1 ローカルホスト.ローカルドメイン ローカルホスト
37.187.xx.xxx ks12345xxx.kimsufi.com ks12345xxx
/etc/ホスト名:
ks12345xxx.kimsufi.com
/etc/sesolve.conf:
ネームサーバー 127.0.0.1
ネームサーバー 213.186.33.99
ovh.netを検索
その間ケルベロスインストールすると、次のデフォルトが取得されます。
Kerberos バージョン 5 レルム: KIMSUFI.COM
そうですか? kimsufi.com は私のホストのドメインなので、サーバーにアクセスできません
あなたのレルムの Kerberos サーバー:
デフォルトでは空です。何を入力すればいいでしょうか? 何も入力しないか、ホスト名 ks12345xxx を入力しますか?
Kerberos レルムの管理サーバー:
デフォルトでは空です。何を入力すればいいでしょうか? 何も入力しないか、ホスト名 ks12345xxx を入力しますか?
その間SAMBA4 プロビジョニング「samba-tool domain provision」によって、次のデフォルトが取得されます:
レルム[KIMSUFI.COM]:
Kerberosのインストールと同じ懸念事項: そうですか、kimsufi.comは私のサーバーを指していません
ドメイン[KIMSUFI]:
正しい?
サーバー ロール (dc、メンバー、スタンドアロン) [dc]:
DNSバックエンド[SAMBA_INTERNAL]:
これらは大丈夫です。
DNSフォワーダーIPアドレス[127.0.0.1]:
あれは正しいですか?
最後に、次の出力が得られます。
サーバーの役割: Active Directory ドメイン コントローラー
ホスト名: ks12345xxx
NetBIOS ドメイン: KIMSUFI
DNSドメイン: kimsufi.com
そしてsmb.conf は、
[グローバル]
ワークグループ = KIMSUFI
レルム = KIMSUFI.COM
netbios名 = KS12345xxx
サーバーの役割 = Active Directory ドメイン コントローラー
kimsufi.com が私のサーバーにつながらないにもかかわらず、この構成は正しいのでしょうか?
それとも、mysamba4server.net のような追加のドメインを購入する必要がありますか?
クリアリングに関するアドバイスや提案があれば、よろしくお願いします。
答え1
Kerberosの設定について
AD/DC としての Samba には、独自の Kerberos サーバー (KDC) が付属しており、実行されます。そのため、Kerberos サーバーを別途インストールして構成する必要はありません。
また、Samba のプロビジョニング ツール ( ) は、最後にsamba-tool domain provisionサンプル ファイルを生成します。それを にコピーするだけで済みます。krb5.conf/etc/krb5.conf
DNS設定について
Sambaの内部DNSサーバーを使用することを選択しました。これは標準的な安全な選択です。resolv.confファイルにネームサーバーエントリがすでに含まれている場合は127.0.0.1、おそらくいくつかの変更が必要です。サーバーがない以前に DNS サーバーを設定したことがある場合は、resolv.confを実行する前に変更しないでくださいsamba-tool domain provision。は をDNS フォワーダーとしてsamba-tool提案し、これが正しい選択になります。 これは、Samba が自身のドメイン宛ではないすべての要求を転送する DNS サーバーです。213.186.33.99resolv.conf
Samba のプロビジョニングが完了したら、ネームサーバーのみをresolv.conf
リストするように変更する必要があります127.0.0.1。また、ドメインと検索エントリを含める必要がありますkimsufi.com。ただし、このドメインの使用に関するコメントについては以下を参照してください。
ドメイン kimsufi.com の使用について
Samba サーバーは、プロビジョニングのレルム/ドメインとして使用している DNS ドメインに対して権限を持っている必要があります。つまり、ホスティング業者のドメインや外部に存在するその他のドメインは使用しないでください。
新しいドメインを購入する必要があるかどうかは、新しい Samba AD ドメインにどのようにアクセスするかによって異なります。
- 分離されたネットワークで使用したい場合は、次のようなドメインを作成し
mydomain.private、AD サーバーにそれを所有させて、AD クライアントに使用させるだけです。 - 代わりに、公式に知られているインターネット ドメインを介して AD サーバーにインターネット経由でアクセスできるようにする場合は、そのようなドメインを所有する必要があります。これには完全なドメインは必要ありません。原理的には、 などの既存のドメインのサブドメインでもかまいません
myaddom.somedomain.comが、それを制御する必要があります。そうは言っても、AD サーバーをインターネットに公開することはあまりお勧めできませんので、最初のアプローチを使用していることを願っています。
詳しくは
見るSamba AD DC HOWTO について詳細については。