Samba4 и конфигурация Kerberos на выделенном сервере
Я пытаюсь настроить Samba 4 на выделенном сервере из kimsufi.com, но я испытываю затруднения при конфигурировании Kerberos и Samba4.
Я очень смущен IP, Областью, Доменом, NetBIOS, DNS и т.д. в Kerberos и Samba. Все учебные руководства, которые я нашел Google, кажется, имеют дело с homeservers в LAN и выставочных доменах как TEST.LOCAL, но моя машина в Интернете с IP, отличающимся от 192,168...
Мой вопрос: Как конфигурация в моем конкретном случае?
Детали моего сервера (Debian 7.8):
Имя хоста: ks12345xxx.kimsufi.com
IP: 37.187.xx.xxx
/ect/host:
127.0.0.1 localhost.localdomain localhost
37.187.xx.xxx ks12345xxx.kimsufi.com ks12345xxx
/ect/hostname:
ks12345xxx.kimsufi.com
/etc/sesolve.conf:
сервер имен 127.0.0.1
сервер имен 213.186.33.99
поисковый ovh.net
Во время установки Kerberos я получаю следующие значения по умолчанию:
Область версии 5 Kerberos: KIMSUFI.COM
Это правильно? Сервер не может быть достигнут kimsufi.com, поскольку это - домен моего hoster
Серверы Kerberos для Вашей области:
Пустой по умолчанию. Что я вставлю? Ничто или мое имя хоста ks12345xxx?
Административный сервер для Вашей области Kerberos:
Пустой по умолчанию. Что я вставлю? Ничто или мое имя хоста ks12345xxx?
Во время SAMBA4 provisoning согласно "условию домена инструмента самбы" я получаю эти значения по умолчанию:
Область [KIMSUFI.COM]:
То же беспокойство как с установкой Kerberos: то право, kimsufi.com НЕ указывает на мой сервер
Домен [KIMSUFI]:
Корректный?
Роль сервера (dc, участник, автономный) [dc]:
Бэкенд DNS [SAMBA_INTERNAL]:
Это хорошо.
IP-адрес [127.0.0.1] средства передачи DNS:
Это корректно?
В конце я получаю этот вывод:
Роль сервера: контроллер доменов Active Directory
Имя хоста: ks12345xxx
Домен NetBIOS: KIMSUFI
Домен DNS: kimsufi.com
и в/etc/samba/smb.conf
[глобальный]
рабочая группа = KIMSUFI
область = KIMSUFI.COM
netbios называют = KS12345xxx
роль сервера = контроллер доменов Active Directory
Эта конфигурация может быть правильной несмотря на то, что kimsufi.com не приводит к моему серверу?
Или я должен буду купить дополнительный домен как mysamba4server.net?
Спасибо за любой совет очистки или предложения.
Относительно конфигурации Kerberos
Samba как AD / DC поставляется и запускает свой собственный сервер Kerberos (KDC). Таким образом, нет необходимости отдельно устанавливать и настраивать сервер kerberos.
Кроме того, инструмент инициализации Samba ( samba-tool domain provision ) создает пример файла krb5.conf в конце. Вы должны иметь возможность просто скопировать это в /etc/krb5.conf .
Что касается конфигурации DNS
Вы выбрали использование внутреннего DNS-сервера Samba, что является стандартным безопасным выбором. Если ваш файл resolv.conf уже содержал 127.0.0.1 в качестве записи сервера имен раньше, то вам, вероятно, необходимо внести некоторые изменения. Предполагая, что ваш сервер был , а не DNS-сервером, вам не следует изменять resolv.conf перед запуском предоставления домена samba-tool . Тогда samba-tool предложит 213.186.33.99 из вашего resolv.conf в качестве сервера пересылки DNS, и это будет правильным выбором. Это DNS-сервер, на который Samba будет пересылать все запросы, не относящиеся к ее собственному домену.
После того, как Samba подготовит все необходимое, вам следует изменить свой resolv.conf
только указать 127.0.0.1 в качестве сервера имен. И он должен содержать kimsufi.com в качестве домена и записей поиска. Но см. Ниже комментарии по использованию этого домена.
Относительно использования домена kimsufi.com
Ваш сервер Samba должен быть авторитетным для домена DNS, который вы используете в качестве области / домена для предоставления. Это означает, что вам не следует использовать домен вашего хостера или любой другой домен, существующий за пределами сети.
Необходимость покупки нового домена зависит от того, как вы хотите, чтобы ваш новый домен Samba AD был доступен:
- Если вы Если вы хотите использовать его в изолированной сети, вы можете просто создать домен, например
mydomain.private, и передать его своему серверу AD, а клиенты AD будут его использовать. - Если вместо этого вы хотите использовать свой домен Чтобы сервер AD был доступен через Интернет через официально известный Интернет-домен, вы должны владеть таким доменом. Для этого не требуется полный домен. в принципе он также может быть поддоменом существующего домена, например
myaddom.somedomain.com, но вам нужен контроль над ним. При этом не рекомендуется размещать сервер AD в Интернете, поэтому, надеюсь, вы используете первый подход.
Дополнительная информация
См. Samba AD DC HOWTO для получения дополнительной информации .