Rocky Samba ADS Member

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Samba ADS Client unter Rocky Linux 9 (Domain: sec-labs.de)

Voraussetzungen

  • DNS zeigt auf den Domain Controller von sec-labs.de
  • Uhrzeit ist synchron (Chrony aktiv)
  • FQDN ist korrekt gesetzt
  • Realm wird in GROSSBUCHSTABEN verwendet (SEC-LABS.DE)

Hostname setzen

  • hostnamectl set-hostname rocky-client.sec-labs.de
  • hostname -f

DNS prüfen

  • cat /etc/resolv.conf
  • dig sec-labs.de
  • dig _kerberos._tcp.sec-labs.de SRV

Pakete installieren

  • dnf install samba samba-winbind samba-winbind-clients krb5-workstation oddjob oddjob-mkhomedir sssd realmd

Zeitdienst prüfen

  • systemctl enable --now chronyd
  • chronyc sources

Kerberos testen

  • kinit Administrator@SEC-LABS.DE
  • klist

Domain Join

  • realm join SEC-LABS.DE -U Administrator

Alternativ klassisch:

  • net ads join -U Administrator

Dienste aktivieren

  • systemctl enable --now smb
  • systemctl enable --now winbind

NSS konfigurieren

  • cat /etc/nsswitch.conf

Folgende Zeilen müssen enthalten sein: 

passwd:     files winbind
group:      files winbind

Home-Verzeichnisse automatisch erstellen

  • authselect select winbind with-mkhomedir --force

SELinux Anpassung

  • setsebool -P samba_enable_home_dirs on

Funktionstest

  • wbinfo -u
  • wbinfo -g
  • getent passwd "SEC-LABS\\administrator"
  • id "SEC-LABS\\administrator"

Login testen

  • su - "SEC-LABS\\administrator"

Wichtige Konfigurationsdatei

  • cat /etc/samba/smb.conf

Minimale ADS Konfiguration: 

[global]
   workgroup = SEC-LABS
   security = ADS
   realm = SEC-LABS.DE

   winbind use default domain = yes
   winbind offline logon = yes

   idmap config * : backend = tdb
   idmap config * : range = 10000-19999

   idmap config SEC-LABS : backend = rid
   idmap config SEC-LABS : range = 20000-999999

   template shell = /bin/bash

Firewall öffnen

  • firewall-cmd --permanent --add-service=samba
  • firewall-cmd --reload

Fehleranalyse

  • journalctl -xe
  • journalctl -u winbind
  • testparm
  • net ads testjoin

Hinweise

  • DNS und Zeit sind die häufigsten Fehlerquellen
  • Realm immer in Großbuchstaben (SEC-LABS.DE)
  • Bei Kerberos-Fehlern zuerst kinit testen
Abgerufen von „http://wiki.ixheim.de/index.php?title=Rocky_Samba_ADS_Member&oldid=66884