Início / server / Perguntas / 1167532
Accepted
somenxavier
Asked: 2024-11-08 00:37:26 +0800 CST

Não é possível ingressar em um novo Samba Active Directory do Windows 11 e Linux

  • 772

Tenho uma rede com servidor Active Directory Windows Server 2003 e computadores Windows 11. Meu plano é substituir o Windows Server 2003 pelo Fedora Linux Server Edition - fedora 40. Eu poderia testá-lo com clientes Windows 11 e um cliente Fedora Linux 40.

O antigo reino é SONCANALS. O novo reino é SCNG.

Eu segui o guia da Revista Fedora .

Configurações

  • O IP do servidor é 10.216.1.16e o domínio éscng.educaib

  • O nome do host do servidor él1.scng.educaib

  • samba.conf:

    cat /etc/samba/smb.conf
# Global parameters
[global]
        dns forwarder = 1.1.1.1
        netbios name = L1
        realm = SCNG.EDUCAIB
        server role = active directory domain controller
        workgroup = SCNG
        idmap_ldb:use rfc2307 = yes
        ldap server require strong auth = no 

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/scng/scripts
        read only = No

  • Configuração do Kerberos:

    # cat /etc/krb5.conf.d/samba-dc 
[libdefaults]
        default_realm = SCNG.EDUCAIB
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
SCNG.EDUCAIB = {
        default_domain = SCNG
}

[domain_realm]
        l1.scng.educaib = SCNG.EDUCAIB

  • /etc/systemd/resolved.conf.d/custom.conf:

    [Resolve]
DNSStubListener=no
Domains=scng.educaib
DNS=10.216.1.16

Tenho uma máquina com Fedora 40 que uso para testar o samba. Quando testo, tudo fica bem (seção "Testing" no guia do tutorial). Quando executo realm discover, só obtenho o realm antigo, não o novo:

realm discover -v
 * Resolving: _ldap._tcp.soncanals
 * Performing LDAP DSE lookup on: 10.216.1.2
 * Performing LDAP DSE lookup on: 10.216.1.10
 * Performing LDAP DSE lookup on: 10.216.1.4
 * Successfully discovered: soncanals
soncanals
  type: kerberos
  realm-name: SONCANALS
  domain-name: soncanals
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-common
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd-ad
  required-package: adcli
  required-package: samba-common-tools

No Windows, quando tento entrar SCNG, sou solicitado a fazer logon de administrador, mas quando coloco credenciais, demora muito e sai uma caixa de diálogo.

imagem

Como posso fazer a triagem do problema aqui? Por exemplo, quais logs posso ver (tenho muitos em /var/log/samba/). Minha versão do samba é 4.20.5.

Minha prioridade é ingressar em um novo domínio e fazer login no Windows como usuário regular neste domínio. Descarto, por enquanto, compartilhar diretórios.

Editar (2024-11-11): Os testes no guia da revista Fedora foram aprovados corretamente:

Testando

Teste de conectividade

$ smbclient -L localhost -N
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        sysvol          Disk      
        netlogon        Disk      
        IPC$            IPC       IPC Service (Samba 4.21.1)
SMB1 disabled -- no workgroup available

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Password for [SCNG\Administrator]:
  .                                   D        0  Thu Oct 31 10:17:05 2024
  ..                                  D        0  Thu Oct 31 10:17:05 2024

                15663104 blocks of size 1024. 12979380 blocks available

Teste DNS

$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib has SRV record 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib has SRV record 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib has address 10.216.1.16

Teste Kerberos

$  kinit administrator
Password for [email protected]: 
ladmin@l1:~$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting     Expires            Service principal
11/11/24 10:15:10  11/11/24 20:15:10  krbtgt/[email protected]
        renew until 18/11/24 10:15:06
active-directory

2 respostas

  1. Você quase definitivamente precisa adicionar os registros DNS para seu novo domínio. A revista fedora tem subtítulos "Teste DNS" que mostram como saber se você fez certo.

    • 0
  2. Best Answer

    O problema é que o servidor e os clientes precisam estar no mesmo domínio . Como precisamos de Full Qualified Domain, precisamos SCNG.LOCALapenas de SCNGou SCNG.EDUCAIB.

    No meu caso o servidor Samba tem nome de host l1.scng.locale IP estático 10.216.1.16. Meu gateway é10.216.1.1

    • No lado do servidor, siga as instruções no guia . Eu mudei o samba-tool domain provisionpasso para este:

      samba-tool domain provision --server-role=dc --use-rfc2307 --interactive

      porque permite digitar a senha do administrador interativamente. Minha configuração é:

       # cat /etc/samba/smb.conf
 # Global parameters
 [global]
         dns forwarder = 1.1.1.1
         netbios name = L1
         realm = SCNG.LOCAL
         server role = active directory domain controller
         workgroup = SCNG
         idmap_ldb:use rfc2307 = yes

 [sysvol]
         path = /var/lib/samba/sysvol
         read only = No

 [netlogon]
         path = /var/lib/samba/sysvol/scng.local/scripts
         read only = No

  # cat /etc/krb5.conf.d/samba-dc
  [libdefaults]
          default_realm = SCNG.LOCAL
          dns_lookup_realm = false
          dns_lookup_kdc = true

  [realms]
         SCNG.LOCAL = {
            default_domain = SCNG
         }

  [domain_realm]
         l1.scng.local = SCNG.LOCAL

      Outra configuração importante é:

       # cat /etc/systemd/resolved.conf.d/custom.conf 
 [Resolve]
 DNSStubListener=no
 Domains=scng.local
 DNS=10.216.1.16

 root@l1:/home/ladmin# cat /etc/hostname 
 l1.scng.local

 root@l1:/home/ladmin# cat /etc/resolv.conf 
 # This is /run/systemd/resolve/resolv.conf managed by man:systemd-resolved(8).
 # Do not edit.
 #
 # This file might be symlinked as /etc/resolv.conf. If you're looking at
 # /etc/resolv.conf and seeing this text, you have followed the symlink.
 #
 # This is a dynamic resolv.conf file for connecting local clients directly to
 # all known uplink DNS servers. This file lists all configured search domains.
 #
 # Third party programs should typically not access this file directly, but only
 # through the symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a
 # different way, replace this symlink by a static file or a different symlink.
 #
 # See man:systemd-resolved.service(8) for details about the supported modes of
 # operation for /etc/resolv.conf.

 nameserver 10.216.1.16
 nameserver 10.216.1.4
 nameserver 1.1.1.1
 search scng.local

      Este 10.216.1.4é o meu DNS da minha rede local. É opcional colocá-lo. Eu substituo 8.8.8.8por 1.1.1.1no Fedora Guide.

    • No lado do cliente, precisamos definir o DNS do cliente como o IP do servidor. Essa configuração de DNS é crucial . No meu caso, o cliente tem IP estático 10.216.1.192. Então, preciso configurar a rede com gateway 10.216.1.1e IP DNS 10.216.1.16:

      1. Defina o nome do host com a mesma rede do servidor:hostnamectl hostname l192.scng.local

      2. Configurando o servidor DNS como servidor Samba. Repita o mesmo passo do guia do servidor: criar /etc/systemd/resolved.conf.d/custom.confcom conteúdo:

         [Resolve]
 DNSStubListener=no
 Domains=scng.local
 DNS=10.216.1.16

      e execute systemctl restart systemd-resolved. Então a configuração é:

          cat /etc/resolv.conf 
    nameserver 10.216.1.16
    nameserver 10.216.1.16
    search scng.local

    E então realm discover -vfunciona ( scng.localaparece). E você pode entrar no cliente para scng.local: realm join scng.local. Agora você pode fazer login com <your username>@scng.local.

    • 0

relate perguntas