Configuración de Samba4 y Kerberos en un servidor dedicado

Question

Respecto a la configuración de Kerberos

Samba como AD/DC se envía y ejecuta su propio servidor Kerberos (KDC). Por lo tanto, no debería ser necesario instalar y configurar por separado el servidor Kerberos.

Además, la herramienta de aprovisionamiento de Samba ( samba-tool domain provision) produce un krb5.confarchivo de ejemplo al final. Deberías poder simplemente copiarlo a /etc/krb5.conf.

Respecto a la configuración de DNS

Elegiste utilizar el servidor DNS interno de Samba, que es la opción segura estándar. Si su resolv.confarchivo ya contenía 127.0.0.1una entrada de servidor de nombres anteriormente, entonces probablemente necesite hacer algunos cambios. Suponiendo que su servidor estuvieranoun servidor DNS antes, no debes modificarlo resolv.confantes de ejecutarlo samba-tool domain provision. Luego lo samba-toolpropondría como reenviador de DNS, y esta sería la elección correcta. Este es el servidor DNS al que Samba reenviará todas las solicitudes que no sean para su propio dominio.213.186.33.99resolv.conf

Una vez finalizado el aprovisionamiento de Samba, debe cambiar su resolv.conf lista para que solo 127.0.0.1aparezca como servidor de nombres. Y debe contener kimsufi.comentradas de dominio y búsqueda. Pero consulte a continuación los comentarios sobre el uso de este dominio.

Respecto al uso del dominio kimsufi.com

Su servidor Samba debe tener autoridad para el dominio DNS que está utilizando como reino/dominio para la provisión. Eso significa que no debes utilizar el dominio de tu proveedor de alojamiento ni ningún otro dominio que exista externamente.

Si necesita comprar un nuevo dominio depende de cómo desea que se acceda a su nuevo dominio Samba AD:

Si desea usarlo en una red aislada, simplemente puede crear un dominio como el suyo mydomain.privatey hacer que su servidor AD sea el propietario y que sus clientes AD lo usen.
Si, en cambio, desea que se pueda acceder a su servidor AD a través de Internet a través de un dominio de Internet conocido oficialmente, entonces debe poseer dicho dominio. Esto no requiere un dominio completo. En principio, también podría ser un subdominio de un dominio existente como myaddom.somedomain.com, pero necesitas controlarlo. Dicho esto, no es muy recomendable exponer un servidor AD en Internet, por lo que es de esperar que esté utilizando el primer enfoque.

Más información

Verel CÓMO de Samba AD DCpara más información.

Answer 1

Respecto a la configuración de Kerberos

Samba como AD/DC se envía y ejecuta su propio servidor Kerberos (KDC). Por lo tanto, no debería ser necesario instalar y configurar por separado el servidor Kerberos.

Además, la herramienta de aprovisionamiento de Samba ( samba-tool domain provision) produce un krb5.confarchivo de ejemplo al final. Deberías poder simplemente copiarlo a /etc/krb5.conf.

Respecto a la configuración de DNS

Elegiste utilizar el servidor DNS interno de Samba, que es la opción segura estándar. Si su resolv.confarchivo ya contenía 127.0.0.1una entrada de servidor de nombres anteriormente, entonces probablemente necesite hacer algunos cambios. Suponiendo que su servidor estuvieranoun servidor DNS antes, no debes modificarlo resolv.confantes de ejecutarlo samba-tool domain provision. Luego lo samba-toolpropondría como reenviador de DNS, y esta sería la elección correcta. Este es el servidor DNS al que Samba reenviará todas las solicitudes que no sean para su propio dominio.213.186.33.99resolv.conf

Una vez finalizado el aprovisionamiento de Samba, debe cambiar su resolv.conf lista para que solo 127.0.0.1aparezca como servidor de nombres. Y debe contener kimsufi.comentradas de dominio y búsqueda. Pero consulte a continuación los comentarios sobre el uso de este dominio.

Respecto al uso del dominio kimsufi.com

Su servidor Samba debe tener autoridad para el dominio DNS que está utilizando como reino/dominio para la provisión. Eso significa que no debes utilizar el dominio de tu proveedor de alojamiento ni ningún otro dominio que exista externamente.

Si necesita comprar un nuevo dominio depende de cómo desea que se acceda a su nuevo dominio Samba AD:

Si desea usarlo en una red aislada, simplemente puede crear un dominio como el suyo mydomain.privatey hacer que su servidor AD sea el propietario y que sus clientes AD lo usen.
Si, en cambio, desea que se pueda acceder a su servidor AD a través de Internet a través de un dominio de Internet conocido oficialmente, entonces debe poseer dicho dominio. Esto no requiere un dominio completo. En principio, también podría ser un subdominio de un dominio existente como myaddom.somedomain.com, pero necesitas controlarlo. Dicho esto, no es muy recomendable exponer un servidor AD en Internet, por lo que es de esperar que esté utilizando el primer enfoque.

Más información

Verel CÓMO de Samba AD DCpara más información.

Configuración de Samba4 y Kerberos en un servidor dedicado

Respuesta1

Respecto a la configuración de Kerberos

Respecto a la configuración de DNS

Respecto al uso del dominio kimsufi.com

Más información

información relacionada