Pengontrol domain di server Linux?! Mustahil! Reaksi tersebut sah-sah saja, terutama bagi mereka yang baru pertama kali mendengar konsep tersebut. Ternyata Anda tidak hanya dapat mengatur server Linux pengontrol domain, tetapi Anda juga dapat melakukannya secara gratis!
Baik Anda memilih Linux untuk biaya, standarisasi, atau tumpukan teknologi yang lebih ramah lingkungan dan lebih ramping, mempelajari cara menyiapkan Linux DC adalah keterampilan yang baik untuk setiap administrator.
Baca terus untuk mempelajari cara menggunakan Samba sebagai server Linux pengontrol domain yang andal.
Prasyarat
Tutorial ini akan menjadi demonstrasi langsung. Jika Anda ingin mengikuti, pastikan Anda memiliki Server Ubuntu. Tutorial ini akan menggunakan Ubuntu Server 22.04 LTS dengan konfigurasi sebagai berikut.
- Nama Inang:
oddjobs-dc
- Alamat IP:
192.168.8.10
- Domain:
OJI.COM
- FQDN:
oddjobs-dc.oji.com
Menyiapkan Pengontrol Domain di Server Linux
Setelah memenuhi semua prasyarat, Anda harus memastikan tidak ada pengaturan sistem operasi default yang dapat menghambat fungsi DC. Jangan khawatir. Langkah ini tidak serumit kedengarannya. Ikuti langkah-langkah di bawah ini untuk menyelesaikan tugas ini.
Mengatur Entri File Host
Tugas pertama adalah menambahkan nama host server Anda dan entri FQDN di host lokal (/etc/hosts
) berkas.
1. Pertama, buka klien SSH pilihan Anda dan masuk ke server Ubuntu Anda.
2. Buka host your Anda (/etc/hosts) file dalam editor teks, seperti nano.
sudo nano /etc/hosts
3. Hapus entri yang memetakan nama host atau FQDN Anda ke IP apa pun selain IP statis. Misalnya, alamat IP statis server ini adalah 192.168.8.10, jadi tinggalkan entri ini jika ada. Lihat contoh di bawah.
4. Selanjutnya, tambahkan entri untuk memetakan FQDN host Anda dan alamat IP statis. Dalam tutorial ini, server FQDN adalah oddjobs-dc.oji.com, jadi entri yang ditambahkan adalah:
192.168.8.10 oddjobs-dc.oji.com oddjobs-dc
5. Simpan host (/etc/hosts) file dan keluar dari editor.
Konfirmasi Nama Inang dan Resolusi FQDN
Jalankan perintah di bawah ini untuk mengonfirmasi nama host server dan bahwa FQDN diselesaikan ke alamat IP yang benar.
# verify server FQDN
hostname -A
# verify FQDN resolves to your server IP address
ping -c1 oddjobs-dc.oji.com
Seperti yang Anda lihat di bawah, perintah mengembalikan FQDN dan alamat IP yang diharapkan.
Nonaktifkan Layanan Resolusi Nama Jaringan
Ubuntu memiliki layanan yang disebut systemd-resolved
, yang menangani permintaan resolusi DNS. Layanan ini tidak cocok untuk Samba, dan Anda harus menonaktifkannya dan mengkonfigurasi DNS resolver secara manual.
1. Nonaktifkan layanan yang diselesaikan systemd dengan menjalankan perintah di bawah ini.
sudo systemctl disable --now systemd-resolved
2. Selanjutnya, hapus tautan simbolik ke file /etc/resolv.conf.
sudo unlink /etc/resolv.conf
3. Buat file /etc/resolv.conf baru di editor teks Anda. Contoh ini menggunakan nano.
sudo nano /etc/resolv.conf
4. Isi file /etc/resolv.conf dengan informasi berikut. Ganti 192.168.8.10 dengan alamat IP server Anda dan oji.com dengan domain Anda. Biarkan server nama 1.1.1.1 sebagai resolver DNS fallback, yang merupakan resolver DNS publik oleh Cloudflare.
# your Samba server IP Address
nameserver 192.168.8.10
# fallback resolver
nameserver 1.1.1.1
# your Samba domain
search oji.com
/etc/resolv.conf Anda akan terlihat seperti screenshot di bawah ini.
5. Simpan file dan keluar dari editor.
Menginstal Samba
Setelah menyelesaikan persiapan server, sekarang saatnya untuk menginstal Samba dan paket lain yang diperlukan untuk menyediakan pengontrol domain.
1. Pertama, pastikan cache repositori sudah diperbarui dengan menjalankan perintah di bawah ini.
sudo apt-get update
2. Jalankan perintah di bawah ini untuk menginstal paket yang diperlukan untuk pengontrol domain yang berfungsi penuh.
sudo apt install -y acl attr samba samba-dsdb-modules samba-vfs-modules smbclient winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user dnsutils chrony net-tools
3. Pada langkah Mengonfigurasi Otentikasi Kerberos, ketik domain DNS dalam huruf besar. Dalam contoh ini, domain ranah default adalah OJI.COM. Sorot Ok, dan tekan Enter untuk menerima nilainya.
4. Pada layar berikutnya menanyakan server Kerberos untuk ranah Anda, ketik nama host server dan tekan Enter.
5. Pada layar berikutnya meminta server Administratif untuk ranah Kerberos Anda, ketik nama host server dan tekan Enter.
6. Setelah konfigurasi, nonaktifkan layanan yang tidak perlu (winbind, smbd, dan nmbd).
sudo systemctl disable --now smbd nmbd winbind
7. Aktifkan dan aktifkan layanan samba-ad-dc. Layanan inilah yang dibutuhkan Samba untuk bertindak sebagai server Linux pengontrol domain Active Directory.
# unmask the samba-ad-dc service
sudo systemctl unmask samba-ad-dc
# enable samba-ad-dc service
sudo systemctl enable samba-ad-dc
Menyediakan Server Linux Pengontrol Domain
Dengan menggunakan biner samba-tool, Anda sekarang dapat menyediakan pengontrol domain pada instalasi Samba Anda. Samba-juga l adalah alat konfigurasi untuk berinteraksi dengan dan mengonfigurasi berbagai aspek AD berbasis Samba.
1. Untuk ukuran yang baik, buat cadangan file /etc/samba/smb.conf dan /etc/krb5.conf yang ada.
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
sudo mv /etc/krb5.conf /etc/krb5.conf.bak
2. Jalankan perintah di bawah ini untuk mempromosikan Samba ke server Linux pengontrol domain Active Directory.
Switch –use-rfc2307 mengaktifkan ekstensi Network Information Service (NIS), yang memungkinkan DC untuk mengelola akun pengguna berbasis UNIX dengan tepat.
sudo samba-tool domain provision --use-rfc2307 --interactive
3. Jawab perintah sebagai berikut.
- Alam – alat ini secara otomatis mendeteksi ranah Kerberos Anda. Dalam contoh ini, ranahnya adalah
OJI.COM
. Tekan Enter untuk menerima default.
- Domain – alat ini secara otomatis mendeteksi nama domain NetBIOS. Dalam contoh ini, NetBIOS adalah
OJI
. Tekan Enter untuk melanjutkan.
- Peran server – alat ini secara otomatis mengisi peran server sebagai pengontrol domain (
dc
). Tekan Enter untuk melanjutkan.
- Backend DNS – defaultnya adalah
SAMBA_INTERNAL
. Tekan Enter untuk menerima default.
- Alamat IP penerusan DNS – ketik alamat resolver fallback yang Anda tentukan di
resolve.conf
sebelumnya, yaitu1.1.1.1
. Tekan Enter untuk melanjutkan.
- Kata sandi administrator – atur kata sandi administrator domain default. Kata sandi yang Anda tentukan harus memenuhi persyaratan kompleksitas minimum Microsoft. Tekan Enter untuk melanjutkan.
- Ketik ulang sandi – ketik ulang sandi administrator domain default dan tekan Enter.
Di akhir konfigurasi, Anda akan melihat informasi berikut.
4. Perintah samba-tool menghasilkan file konfigurasi Samba AD Kerberos di /var/lib/samba/private/krb5.conf. Anda harus menyalin file ini ke /etc/krb5.conf. Untuk melakukannya, jalankan perintah berikut.
sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
5. Terakhir, jalankan layanan samba-ad-dc.
sudo systemctl start samba-ad-dc
sudo systemctl status samba-ad-dc
Seperti yang Anda lihat di bawah, status layanan sekarang aktif (berjalan).
Menguji Server Linux Pengontrol Domain
Server Samba AD DC sekarang berjalan. Di bagian ini, Anda akan melakukan beberapa tes pasca-instalasi untuk memastikan komponen utama berfungsi seperti yang diinginkan. Salah satu tes tersebut adalah mencoba masuk ke jaringan default yang dibagikan di DC.
Jalankan perintah smbclient untuk masuk sebagai akun administrator default dan daftar (ls) isi dari netlogon yang dibagikan.
smbclient //localhost/netlogon -U Administrator -c 'ls'
Masukkan kata sandi admin default. Bagian harus dapat diakses tanpa kesalahan jika DC dalam keadaan baik. Seperti yang Anda lihat di bawah, perintah tersebut mencantumkan direktori share netlogon.
Memverifikasi Resolusi DNS untuk Catatan Domain Utama
Jalankan perintah di bawah ini untuk mencari data DNS berikut.
- Data SRV LDAP berbasis TCP untuk domain.
- Data SRV Kerberos berbasis UDP untuk domain.
- Catatan pengontrol domain.
host -t SRV _ldap._tcp.oji.com
host -t SRV _kerberos._udp.oji.com
host -t A oddjobs-dc.oji.com
Setiap perintah akan menampilkan hasil berikut, yang menunjukkan bahwa resolusi DNS berfungsi.
Menguji Kerberos
Tes terakhir adalah mencoba mengeluarkan tiket Kerberos dengan sukses.
1. Jalankan perintah kinit untuk pengguna administrator. Perintah secara otomatis menambahkan ranah ke akun pengguna. Misalnya, administrator akan menjadi [email protected], di mana OJI.com adalah ranahnya.
kinit administrator
2. Ketik kata sandi administrator pada prompt dan tekan Enter. Jika sandi benar, Anda akan melihat pesan Peringatan tentang kedaluwarsa sandi, seperti yang ditunjukkan di bawah ini.
3. Jalankan perintah klist di bawah ini untuk menampilkan semua tiket di cache tiket.
klist
Tangkapan layar di bawah ini menunjukkan bahwa tiket Kerberos untuk akun administrator ada di cache tiket. Hasil ini menunjukkan bahwa otentikasi Kerberos berfungsi di server Linux pengontrol domain Anda.
Kesimpulan
Selamat telah mencapai akhir tutorial ini. Anda sekarang telah belajar untuk membuat server Linux pengontrol domain Active Directory dengan cepat. Perdalam pengetahuan Anda tentang subjek dengan belajar membuat pengguna dan bergabung dengan komputer klien di domain.