Samba4- und Kerberos-Konfiguration auf einem dedizierten Server

Question

Informationen zur Kerberos-Konfiguration

Samba als AD/DC verfügt über einen eigenen Kerberos-Server (KDC). Es sollte daher nicht erforderlich sein, den Kerberos-Server separat zu installieren und zu konfigurieren.

samba-tool domain provisionAußerdem erstellt das Bereitstellungstool von Samba ( ) krb5.confam Ende eine Beispieldatei. Sie sollten diese einfach nach kopieren können /etc/krb5.conf.

Zur DNS-Konfiguration

Sie haben sich für die Verwendung des internen DNS-Servers von Samba entschieden, was die sichere Standardwahl ist. Wenn Ihre resolv.confDatei bereits 127.0.0.1zuvor einen Nameserver-Eintrag enthielt, müssen Sie wahrscheinlich einige Änderungen vornehmen. Angenommen, Ihr Server warnichtresolv.confeinen DNS-Server, den Sie vor dem Ausführen nicht ändern sollten samba-tool domain provision. Dann würde von als DNS-Forwarder samba-toolvorgeschlagen , und das wäre die richtige Wahl. Dies ist der DNS-Server, an den Samba alle Anfragen weiterleitet, die nicht für seine eigene Domäne bestimmt sind.213.186.33.99resolv.conf

Nachdem die Bereitstellung von Samba abgeschlossen ist, sollten Sie Ihre resolv.conf Liste so ändern, dass sie nur 127.0.0.1als Nameserver aufgeführt wird. Außerdem sollten darin kimsufi.comDomänen- und Sucheinträge enthalten sein. Kommentare zur Verwendung dieser Domäne finden Sie weiter unten.

Zur Nutzung der Domain kimsufi.com

Dein Samba-Server muss autoritativ für die DNS-Domäne sein, die du als Realm/Domäne für die Bereitstellung verwendest. Das heißt, du solltest nicht die Domäne deines Hosters oder eine andere, extern vorhandene Domäne verwenden.

Ob Sie eine neue Domäne kaufen müssen, hängt davon ab, wie auf Ihre neue Samba AD-Domäne zugegriffen werden soll:

Wenn Sie es in einem isolierten Netzwerk verwenden möchten, können Sie einfach eine Domäne erstellen mydomain.private, diese Ihrem AD-Server zuordnen und von Ihren AD-Clients verwenden lassen.
Wenn Sie stattdessen möchten, dass Ihr AD-Server über eine offiziell bekannte Internetdomäne im Internet erreichbar ist, sollten Sie eine solche Domäne besitzen. Dazu ist keine vollständige Domäne erforderlich. Es könnte im Prinzip auch eine Subdomäne einer vorhandenen Domäne wie sein myaddom.somedomain.com, aber Sie müssen die Kontrolle darüber haben. Davon abgesehen ist es nicht sehr ratsam, einen AD-Server im Internet verfügbar zu machen, daher verwenden Sie hoffentlich den ersten Ansatz.

Mehr Informationen

Sehendas Samba AD DC HOWTOfür mehr Informationen.

Answer 1

Informationen zur Kerberos-Konfiguration

Samba als AD/DC verfügt über einen eigenen Kerberos-Server (KDC). Es sollte daher nicht erforderlich sein, den Kerberos-Server separat zu installieren und zu konfigurieren.

samba-tool domain provisionAußerdem erstellt das Bereitstellungstool von Samba ( ) krb5.confam Ende eine Beispieldatei. Sie sollten diese einfach nach kopieren können /etc/krb5.conf.

Zur DNS-Konfiguration

Sie haben sich für die Verwendung des internen DNS-Servers von Samba entschieden, was die sichere Standardwahl ist. Wenn Ihre resolv.confDatei bereits 127.0.0.1zuvor einen Nameserver-Eintrag enthielt, müssen Sie wahrscheinlich einige Änderungen vornehmen. Angenommen, Ihr Server warnichtresolv.confeinen DNS-Server, den Sie vor dem Ausführen nicht ändern sollten samba-tool domain provision. Dann würde von als DNS-Forwarder samba-toolvorgeschlagen , und das wäre die richtige Wahl. Dies ist der DNS-Server, an den Samba alle Anfragen weiterleitet, die nicht für seine eigene Domäne bestimmt sind.213.186.33.99resolv.conf

Nachdem die Bereitstellung von Samba abgeschlossen ist, sollten Sie Ihre resolv.conf Liste so ändern, dass sie nur 127.0.0.1als Nameserver aufgeführt wird. Außerdem sollten darin kimsufi.comDomänen- und Sucheinträge enthalten sein. Kommentare zur Verwendung dieser Domäne finden Sie weiter unten.

Zur Nutzung der Domain kimsufi.com

Dein Samba-Server muss autoritativ für die DNS-Domäne sein, die du als Realm/Domäne für die Bereitstellung verwendest. Das heißt, du solltest nicht die Domäne deines Hosters oder eine andere, extern vorhandene Domäne verwenden.

Ob Sie eine neue Domäne kaufen müssen, hängt davon ab, wie auf Ihre neue Samba AD-Domäne zugegriffen werden soll:

Wenn Sie es in einem isolierten Netzwerk verwenden möchten, können Sie einfach eine Domäne erstellen mydomain.private, diese Ihrem AD-Server zuordnen und von Ihren AD-Clients verwenden lassen.
Wenn Sie stattdessen möchten, dass Ihr AD-Server über eine offiziell bekannte Internetdomäne im Internet erreichbar ist, sollten Sie eine solche Domäne besitzen. Dazu ist keine vollständige Domäne erforderlich. Es könnte im Prinzip auch eine Subdomäne einer vorhandenen Domäne wie sein myaddom.somedomain.com, aber Sie müssen die Kontrolle darüber haben. Davon abgesehen ist es nicht sehr ratsam, einen AD-Server im Internet verfügbar zu machen, daher verwenden Sie hoffentlich den ersten Ansatz.

Mehr Informationen

Sehendas Samba AD DC HOWTOfür mehr Informationen.

Samba4- und Kerberos-Konfiguration auf einem dedizierten Server

Antwort1

Informationen zur Kerberos-Konfiguration

Zur DNS-Konfiguration

Zur Nutzung der Domain kimsufi.com

Mehr Informationen

verwandte Informationen