Настройка Samba4 и Kerberos на выделенном сервере

Question

Относительно конфигурации Kerberos

Samba как AD/DC поставляется и запускает свой собственный сервер Kerberos (KDC). Поэтому не должно быть необходимости в отдельной установке и настройке сервера Kerberos.

Кроме того, инструмент подготовки Samba ( samba-tool domain provision) создает пример krb5.confфайла в конце. Вы должны иметь возможность просто скопировать его в /etc/krb5.conf.

Относительно конфигурации DNS

Вы решили использовать внутренний DNS-сервер Samba, что является стандартным безопасным выбором. Если ваш resolv.confфайл уже содержался 127.0.0.1как запись сервера имен ранее, то вам, вероятно, нужно внести некоторые изменения. Предполагая, что ваш сервер былнетDNS-сервер, который вы не должны изменять resolv.confперед запуском samba-tool domain provision. Затем samba-toolбудет предложено 213.186.33.99от вашего resolv.confв качестве DNS-пересылки, и это будет правильным выбором. Это DNS-сервер, на который Samba будет пересылать все запросы, которые не относятся к ее собственному домену.

После завершения подготовки Samba вам следует изменить свой resolv.conf список на only 127.0.0.1как nameserver. И он должен содержать kimsufi.comзаписи domain и search. Но см. ниже комментарии по использованию этого домена.

Относительно использования домена kimsufi.com

Ваш сервер Samba должен быть авторитетным для домена DNS, который вы используете в качестве области/домена для предоставления. Это означает, что вы не должны использовать домен вашего хостера или любой другой домен, который существует снаружи.

Необходимость покупки нового домена зависит от того, как вы хотите получить доступ к новому домену Samba AD:

Если вы хотите использовать его в изолированной сети, то вы можете просто создать домен, например, mydomain.privateи сделать его владельцем вашего сервера AD, а ваши клиенты AD могут его использовать.
Если вместо этого вы хотите, чтобы ваш сервер AD был доступен через Интернет через официально известный интернет-домен, то вы должны владеть таким доменом. Для этого не требуется полный домен. В принципе, это может быть также поддомен существующего домена, например myaddom.somedomain.com, но вам нужен контроль над ним. При этом не очень рекомендуется выставлять сервер AD в Интернет, поэтому, надеюсь, вы используете первый подход.

Больше информации

ВидетьSamba AD DC HOWTOЧтобы получить больше информации.

Answer 1

Относительно конфигурации Kerberos

Samba как AD/DC поставляется и запускает свой собственный сервер Kerberos (KDC). Поэтому не должно быть необходимости в отдельной установке и настройке сервера Kerberos.

Кроме того, инструмент подготовки Samba ( samba-tool domain provision) создает пример krb5.confфайла в конце. Вы должны иметь возможность просто скопировать его в /etc/krb5.conf.

Относительно конфигурации DNS

Вы решили использовать внутренний DNS-сервер Samba, что является стандартным безопасным выбором. Если ваш resolv.confфайл уже содержался 127.0.0.1как запись сервера имен ранее, то вам, вероятно, нужно внести некоторые изменения. Предполагая, что ваш сервер былнетDNS-сервер, который вы не должны изменять resolv.confперед запуском samba-tool domain provision. Затем samba-toolбудет предложено 213.186.33.99от вашего resolv.confв качестве DNS-пересылки, и это будет правильным выбором. Это DNS-сервер, на который Samba будет пересылать все запросы, которые не относятся к ее собственному домену.

После завершения подготовки Samba вам следует изменить свой resolv.conf список на only 127.0.0.1как nameserver. И он должен содержать kimsufi.comзаписи domain и search. Но см. ниже комментарии по использованию этого домена.

Относительно использования домена kimsufi.com

Ваш сервер Samba должен быть авторитетным для домена DNS, который вы используете в качестве области/домена для предоставления. Это означает, что вы не должны использовать домен вашего хостера или любой другой домен, который существует снаружи.

Необходимость покупки нового домена зависит от того, как вы хотите получить доступ к новому домену Samba AD:

Если вы хотите использовать его в изолированной сети, то вы можете просто создать домен, например, mydomain.privateи сделать его владельцем вашего сервера AD, а ваши клиенты AD могут его использовать.
Если вместо этого вы хотите, чтобы ваш сервер AD был доступен через Интернет через официально известный интернет-домен, то вы должны владеть таким доменом. Для этого не требуется полный домен. В принципе, это может быть также поддомен существующего домена, например myaddom.somedomain.com, но вам нужен контроль над ним. При этом не очень рекомендуется выставлять сервер AD в Интернет, поэтому, надеюсь, вы используете первый подход.

Больше информации

ВидетьSamba AD DC HOWTOЧтобы получить больше информации.

Настройка Samba4 и Kerberos на выделенном сервере

решение1

Относительно конфигурации Kerberos

Относительно конфигурации DNS

Относительно использования домена kimsufi.com

Больше информации

Связанный контент