インフラ構築手順書

はじめてのインフラ、サーバ構築時に役に立つように構築手順情報をまとめました。

HOME » » SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる AD連携 » SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる

[PR]

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる

SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる

WindowsでActiveDirectoryを構築したが、予算の関係で２台目のDCサーバをCentOS6.5のSAMBA4で構築した際の導入手順です。 SAMBA4だけでもActiveDirecoryを構築できますし、Windowsサーバと混在環境でも構築可能です。

■想定システム構成

　・ActiveDirectoryはWindowsServer2012サーバで下記内容で構築済み
　　　フォレストの機能レベル：Windows Server 2008 R2
　　　ドメインの機能レベル：Windows Server 2008 R2
　・既存ActiveDirectoryに２台目(BDC)のDCサーバとしてSAMBA4を導入する

　※2014年6月14日現在のSAMBA4は、WindowsServer2012R2で構築したActiveDirectoryには対応しておりません。「フォレストの機能レベル」および「ドメインの機能レベル」をWindowsServer2008R2以下にしてもエラーがでます。

■ActiveDirectory情報

フォレストの機能レベル	Windows Server 2008 R2
ドメインの機能レベル	Windows Server 2008 R2
ドメイン名	ad.hogehoge.jp
NetBiosドメイン名	ad
１台目DCサーバIP	172.20.1.203
１台目DCサーバ名	dc01.ad.hogehoge.jp
２台目DCサーバIP	172.29.1.204
２台目DCサーバ名	dc02.ad.hogehoge.jp

SAMBA4のDC構築手順(2台目以降)

PDCがWindowsでもSAMBAでも、２台目以降のSAMBA4の構築手順は同じである。
DNSはbindではなくSAMBAのDNS機能を利用するので、BINDを起動している場合は停止する必要がある
CentOS6の標準Sambaパッケージでは、ActiveDirectoryドメインコントローラー機能が含まれていない。
今回の手順は、Samba4のソースコードからインストールする手順である。

SAMBA4で２台目以降のDCサーバ構築前の事前作業

■不要パッケージを削除
　SAMBA3がインストールされている場合は、アウンインストールする。

 # yum remove samba-client samba-winbind samba-winbind-clients samba-common

■リゾルバ設定

 # vi /etc/resolv.conf

#DC01(172.20.1.203)
nameserver 172.20.1.203
domain=ad.hogehoge.jp

※DNSサーバIPとドメイン名は環境に合わせて変更する

SAMB4インストール

■SAMB4の依存関係パッケージインストール

# yum install gcc libacl-devel libblkid-devel gnutls-devel  \
 python-devel pkgconfig krb5-workstation zlib-devel libaio-devel  \
 policycoreutils-python libsemanage-python setools-libs-python  \
 setools-libs popt-devel libpcap-devel sqlite-devel libidn-devel \
 libxml2-devel libsepol-devel keyutils-libs-devel \
  cyrus-sasl-devel bind-utils

■Samba4最新版ダウンロード

# cd /usr/local/src
# wget http://ftp.samba.org/pub/samba/samba-latest.tar.gz

■Samba4展開

# tar zxvf samba-latest.tar.gz
# cd samba-4.1.6/

■Samba4インストール
SAMBAインストール先：/opt/app/samba4

# ./configure --prefix=/opt/app/samba4/ --enable-selftest

※赤字のインストール先は環境に合わせること。

# make
   :
Waf: Leaving directory `/usr/local/src/samba-4.1.6/bin'
'build' finished successfully (14m45.145s)

# make install 
   :
Waf: Leaving directory `/usr/local/src/samba-4.1.6/bin'
'install' finished successfully (3m12.883s)

■Samba起動スクリプト作成

# vi /etc/init.d/samba4

Samba起動スクリプト作成内容はこちらを参照。

■Samba標準パッケージのインストール除外
CentOSの標準SAMBAパッケージがインストールきされないように、yumのインストール除外設定をしておく。

# vi /etc/yum.conf

[main]
   exclude=kernel* samba* bind-utils

SAMBA4のDC昇格

■kerberos関連設定

# cp /etc/krb5.conf /etc/krb5.conf.org

# vi /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AD.HOGEHOGE.JP
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AD.HOGEHOGE.JP = {
  kdc = dc01.ad.hogehoge.jp
 }

[domain_realm]
 .ad.hogehoge.jp = AD.HOGEHOGE.JP
 ad.hogehoge.jp = AD.HOGEHOGE.JP

※大文字小文字の区別があるので注意を！！
※赤文字は環境に合わせて変更すること

■Kerberos設定の確認

# kinit administrator@AD.HOGEHOGE.JP

・エラーメモ

kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials	ドメインが存在しない
kinit(v5): Client not found in Kerberos database while getting initial credentials	ユーザーが存在しない
kinit(v5): KDC reply did not match expectations while getting initial credentials	ドメインが小文字を指定している
kinit(v5): Preauthentication failed while getting initial credentials	パスワードが違う
kinit(v5): Clock skew too great while getting initial credentials	Linuxと ActiveDirectoryの DCの時刻が 5分以上ずれている

■ドメインへの参加
sambaを起動し、ドメイン参加する

# /etc/rc.d/init.d/samba4 start

# /opt/app/samba4/bin/samba-tool domain join ad.hogehoge.jp DC -U administrator --realm=AD.HOGEHOGE.JP
Committing SAM database
descriptor_sd_propagation_recursive: DC=DomainDnsZones,DC=ad,DC=hogehoge,DC=jp not found under DC=ad,DC=hogehoge,DC=jp
descriptor_sd_propagation_recursive: DC=ForestDnsZones,DC=ad,DC=hogehoge,DC=jp not found under DC=ad,DC=hogehoge,DC=jp
Sending DsReplicateUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain AD(SID S-1-5-xx-3469xxxxxx-26xxxxxxx-249xxxxxxxxx) as a DC

※赤文字は環境に合わせて変更すること

■DCの動作確認
・共有ディレクトリの確認
作業ターミナルウィンドと別にSambaサーバにログインし、netlogon,sysvol が表示されることを確認する

# /opt/app/samba4/bin/smbclient -L localhost -U%

Domain=[AD] OS=[Unix] Server=[Samba 4.1.6]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.1.6)
Domain=[AD] OS=[Unix] Server=[Samba 4.1.6]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

・レプリケーションの確認

# /opt/app/samba4/bin/samba-tool drs showrepl

■Samba４の自動起動設定

# chmod 755 /etc/init.d/samba4
# chkconfig --add samba4
# chkconfig --level 345 samba4 on

DC構築後の環境整備

■Samabサーバのリゾルバ設定

# vi /etc/resolv.conf

nameserver 127.0.0.1 nameserver 172.20.1.203
Samba4にはADの機能を実現するためにDNSが必要ですが、Samba4でDNSを利用するためには2つの方法があります。

・SAMBA4のDNS利用方法１
1つめは内部DNSの使用でSamba4にDNSサーバを取り込んだものでデフォルトではこの内部DNSが使用されます。この場合、特別な設定を実施せずともコンピュータやDCの名前解決ができます。また、DNSのゾーン情報はSamba4のデータベースに登録されるため別のDCにレプリケーションされます。これにより複数のサーバでDNSのゾーン情報を更新可能となります。
・SAMBA4のDNS利用方法２
2つ目の方法はBINDと連携する方法でこの場合、BINDを通常のDNSサーバとして設定しSamba4用のゾーン情報を追記すれば連携が可能となります。

■名前解決のForword設定
ADのドメイン以外の名前解決をさせるために、smb.confファイルに「dns forwarder」を設定する。

# vi /opt/app/samba4/etc/smb.conf

[global] workgroup = AD realm = ad.hogehoge.jp netbios name = DC02 server role = active directory domain controller dns forwarder = 8.8.8.8

・設定反映

# /etc/init.d/samba4 restart

※8.8.8.8はGOOGLEのDNSサーバです。

■NTP設定
・NTP_SIGND_SOCKET_DIRを調べる
Sambaが作るntp_signdの場所は、sambaのビルド情報のNTP_SIGND_SOCKET_DIRに示されている。

# /opt/app/samba4/sbin/samba -b | grep NTP_SIGND_SOCKET_DIR
   NTP_SIGND_SOCKET_DIR: /opt/app/samba4/var/lib/ntp_signd

# chgrp ntp /opt/app/samba4/var/lib/ntp_signd

・NTP設定
ntp_signdの場所をntpsigndsocketとして反映させたntpの設定ファイル(/etc/ntp.conf)を作成して、ntpを起動させる

# vi /etc/ntp.conf

#NTP Server
#アクセス許可
restrict 127.0.0.1
restrict 172.20.1.0 mask 255.255.255.0
restrict 172.20.2.0 mask 255.255.255.0

# 同期サーバとのアクセス許可
restrict 172.20.1.203 noquery
restrict 133.100.11.8 noquery
#同期するNTPServer指定
# DC01(172.20.1.203)
server 172.20.1.203
# clock.tl.fukuoka-u.ac.jp
server 133.100.11.8
ntpsigndsocket /opt/app/samba4/var/lib/ntp_signd
restrict default mssntp

includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys

・NTP起動

# /etc/init.d/ntpd start
# chkconfig ntpd on

・NTP同期確認

# grep MS-SNTP /var/log/messages
May 15 18:38:17 dc02 ntpd[25887]: MS-SNTP signd operations currently block ntpd degrading service to all clients.
May 15 18:43:46 dc02 ntpd[25917]: MS-SNTP signd operations currently block ntpd degrading service to all clients.

[13回]