Обсуждение:ActiveDirectory/DC

Материал из ALT Linux Wiki
# apt-repo list
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/x86_64 classic
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/x86_64-i586 classic
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/noarch classic
# samba -V
Version 4.6.2

# samba-tool domain provision --realm=eter.localdomain --domain eter --adminpass='simsimopen' --dns-backend=SAMBA_INTERNAL --server-role=dc --use-rfc2307 --use-xattrs=yes
Usage: samba-tool domain provision [options]

samba-tool domain provision: error: no such option: --use-xattrs

Выяснилось что параметр --use-xattrs теперь используется по-умолчанию:

https://lists.samba.org/archive/samba-technical/2016-September/115980.html

> > > > > This isn't for 4.5 (we don't change this kind of thing during
> > > > > an RC), but should help simplify things for 4.6, and make it
> > > > > clear to others that the default of --use-xattr is and has
> > > > > always been perfectly correct.

Установка

После выполения команды

 for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done

невозможно что-либо установить потому что пропадет связь с внешним миром:

 
[root@host-58 ~]# apt-get update
Ошибка http://ftp.altlinux.org p8/branch/x86_64 release
  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Ошибка http://ftp.altlinux.org p8/branch/x86_64-i586 release
  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Ошибка http://ftp.altlinux.org p8/branch/noarch release
  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Невозможно получить http://ftp.altlinux.org/pub/distributions/ALTLinux/p8/branch/x86_64/base/release  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Невозможно получить http://ftp.altlinux.org/pub/distributions/ALTLinux/p8/branch/x86_64-i586/base/release  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Невозможно получить http://ftp.altlinux.org/pub/distributions/ALTLinux/p8/branch/noarch/base/release  Something wicked happened resolving 'ftp.altlinux.org:http' (-5)
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
W: Невозможно получить или проверить файлы описания некоторых репозиториев. Эти репозитории будут игнорироваться.
W: Возможно, Вам потребуется запустить `apt-get update' для исправления.
E: Некоторые индексные файлы не удалось скачать, они либо были проигнорированы, либо вместо них были использованы старые версии.
[root@host-58 ~]# ping ftp.altlinux.org
ping: unknown host ftp.altlinux.org

Из чего можно сделать вывод что сначала: apt-get update && apt-get install task-samba-dc, а затем: for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done

Sysvol: ACL и репликация

First, set this in both shares. 
        acl_xattr:ignore system acls = yes
Restart samba-ad 
.. Why add : acl_xattr:ignore system acls because better ACL rights, less windows problems with GPO's.

If you have multiple DC's, read : https://wiki.samba.org/index.php/SysVol_replication_(DFS-R)

Перезагрузка после настройки

Сделал все по инструкции (установку и первичную настройку). А вот рабочая станция (Альт Рабочая станция) подключилась в домен и начала пинговать домен по доменному имени только после того, как я перезагрузил сервер. Это действительно так всегда или я "счастливчик"? Может стоить добавить об этом информацию?

--Petr-akhlamov (обсуждение) 15:32, 6 ноября 2019 (UTC)

Работа с паролями

На контроллере домена c253.test.alt

# samba-tool user create --must-change-at-next-login ex_test1
# rpcclient -c "lookupnames ex_test1" -P c253.test.alt | sed 's/^.*-\([0-9]*\) .*$/\1/'
1228
# rpcclient -c "queryuser 1228" -P c253.test.alt
        User Name   :   ex_test1
        Full Name   :
        Home Drive  :
        Dir Drive   :
        Profile Path:
        Logon Script:
        Description :
        Workstations:
        Comment     :
        Remote Dial :
        Logon Time               :      Чт, 01 янв 1970 03:00:00 MSK
        Logoff Time              :      Чт, 01 янв 1970 03:00:00 MSK
        Kickoff Time             :      Чт, 14 сен 30828 05:48:05 MSK
        Password last set Time   :      Чт, 01 янв 1970 03:00:00 MSK
        Password can change Time :      Чт, 01 янв 1970 03:00:00 MSK
        Password must change Time:      Чт, 01 янв 1970 03:00:00 MSK
        unknown_2[0..31]...
        user_rid :      0x4cc
        group_rid:      0x201
        acb_info :      0x00020010
        fields_present: 0x08ffffff
        logon_divs:     168
        bad_password_count:     0x00000000
        logon_count:    0x00000000
        padding1[0..7]...
        logon_hrs[0..21]...