Configuração Samba4 e Kerberos em um servidor dedicado

Question

Em relação à configuração Kerberos

O Samba como AD/DC é fornecido e executa seu próprio servidor Kerberos (KDC). Portanto, não deve haver necessidade de instalar e configurar separadamente o servidor Kerberos.

Além disso, a ferramenta de provisionamento do Samba ( samba-tool domain provision) produz um krb5.confarquivo de exemplo no final. Você deve ser capaz de simplesmente copiar isso para /etc/krb5.conf.

Em relação à configuração de DNS

Você optou por usar o servidor DNS interno do Samba, que é a opção segura padrão. Se o seu resolv.confarquivo já continha 127.0.0.1uma entrada de servidor de nomes antes, provavelmente você precisará fazer algumas alterações. Supondo que seu servidor fossenãoum servidor DNS antes, você não deve modificá-lo resolv.confantes de executar samba-tool domain provision. Então samba-toolproporia 213.186.33.99você resolv.confcomo encaminhador de DNS, e esta seria a escolha correta. Este é o servidor DNS para o qual o Samba encaminhará todas as solicitações que não sejam do seu próprio domínio.

Depois que o provisionamento do Samba for concluído, você deverá alterar sua resolv.conf lista para apenas listar 127.0.0.1como servidor de nomes. E deve conter kimsufi.comentradas de domínio e pesquisa. Mas veja abaixo os comentários sobre o uso deste domínio.

Sobre o uso do domínio kimsufi.com

Seu servidor Samba precisa ser autoritativo para o domínio DNS que você está usando como domínio/domínio para o provisionamento. Isso significa que você não deve usar o domínio do seu hoster ou qualquer outro domínio que exista externamente.

A necessidade de comprar um novo domínio depende de como você deseja que seu novo domínio Samba AD seja acessado:

Se quiser usá-lo em uma rede isolada, você pode simplesmente criar um domínio semelhante mydomain.privatee fazer com que seu servidor AD o possua e que seus clientes AD o utilizem.
Se, em vez disso, você deseja que seu servidor AD seja acessível pela Internet por meio de um domínio de Internet oficialmente conhecido, você deve possuir esse domínio. Isso não requer um domínio completo. em princípio, também poderia ser um subdomínio de um domínio existente como myaddom.somedomain.com, mas você precisa de controle sobre ele. Dito isto, não é muito aconselhável expor um servidor AD na Internet, por isso esperamos que você esteja usando a primeira abordagem.

Mais Informações

Vero Samba AD DC COMO FAZERPara maiores informações.

Answer 1

Em relação à configuração Kerberos

O Samba como AD/DC é fornecido e executa seu próprio servidor Kerberos (KDC). Portanto, não deve haver necessidade de instalar e configurar separadamente o servidor Kerberos.

Além disso, a ferramenta de provisionamento do Samba ( samba-tool domain provision) produz um krb5.confarquivo de exemplo no final. Você deve ser capaz de simplesmente copiar isso para /etc/krb5.conf.

Em relação à configuração de DNS

Você optou por usar o servidor DNS interno do Samba, que é a opção segura padrão. Se o seu resolv.confarquivo já continha 127.0.0.1uma entrada de servidor de nomes antes, provavelmente você precisará fazer algumas alterações. Supondo que seu servidor fossenãoum servidor DNS antes, você não deve modificá-lo resolv.confantes de executar samba-tool domain provision. Então samba-toolproporia 213.186.33.99você resolv.confcomo encaminhador de DNS, e esta seria a escolha correta. Este é o servidor DNS para o qual o Samba encaminhará todas as solicitações que não sejam do seu próprio domínio.

Depois que o provisionamento do Samba for concluído, você deverá alterar sua resolv.conf lista para apenas listar 127.0.0.1como servidor de nomes. E deve conter kimsufi.comentradas de domínio e pesquisa. Mas veja abaixo os comentários sobre o uso deste domínio.

Sobre o uso do domínio kimsufi.com

Seu servidor Samba precisa ser autoritativo para o domínio DNS que você está usando como domínio/domínio para o provisionamento. Isso significa que você não deve usar o domínio do seu hoster ou qualquer outro domínio que exista externamente.

A necessidade de comprar um novo domínio depende de como você deseja que seu novo domínio Samba AD seja acessado:

Se quiser usá-lo em uma rede isolada, você pode simplesmente criar um domínio semelhante mydomain.privatee fazer com que seu servidor AD o possua e que seus clientes AD o utilizem.
Se, em vez disso, você deseja que seu servidor AD seja acessível pela Internet por meio de um domínio de Internet oficialmente conhecido, você deve possuir esse domínio. Isso não requer um domínio completo. em princípio, também poderia ser um subdomínio de um domínio existente como myaddom.somedomain.com, mas você precisa de controle sobre ele. Dito isto, não é muito aconselhável expor um servidor AD na Internet, por isso esperamos que você esteja usando a primeira abordagem.

Mais Informações

Vero Samba AD DC COMO FAZERPara maiores informações.

Configuração Samba4 e Kerberos em um servidor dedicado

Responder1

Em relação à configuração Kerberos

Em relação à configuração de DNS

Sobre o uso do domínio kimsufi.com

Mais Informações

informação relacionada