LINUX.ORG.RU
ФорумAdmin

Samba4 AD на компьютере с двумя сетевыми (локальном шлюзе)

 


0

1

Здравствуйте!

Имеется локальная сеть, в которой выделяется несколько независимых подсетей сверхмалого размера (зачем это нужно уточнять не буду, скажу лишь что так исторически сложилось). И до недавнего времени все это хозяйство жило в рабочих группах.

Сейчас планомерно собираюсь перевести все на Active Directory под управлением samba4. Но реального опыта развертывания и администрирования AD у меня нет, не считая курса лекций в универе. Потому видимо и не особо получается.

Решил начать с подсетей, потому как они все равно независимые, к тому же у них шлюз и контроллер домена на одной машине. Показалось что начать с них будет проще, но похоже на деле все наоборот. Samba4 отказывается нормально работать с двумя сетевыми интерфейсами. Хотя, если поднять её по инструкции (в качестве шлюза роутер DIR-655, потому как поднимал дома на виртуалке, а роутер дал провайдер), то домен нормально поднимается и вроде работает.

Шлюз я поднимал по инструкции, не устанавливая DNS сервер (машины внутри сети сразу на 8.8.8.8 направил). Возможно дело в этом, если не в том что samba4 нужно иначе сконфигурировать на машине с двумя сетевыми (только одна из которых должна быть собственно с поднимаемым доменом, а вторая предоставлять связь с внешним миром).

В итоге должно получиться что-то вроде этого. То подсети должны эмулировать эту схему.

Подскажите что я сделал не так?
Или скажите как нужно было действовать что бы поднять на одной машине и шлюз (полноценный) и AD на samba4?



Последнее исправление: T1nK (всего исправлений: 1)

поднять на одной машине и шлюз (полноценный) и AD на samba4?

Имхо, этого как раз делать не нужно. Зачем такой бубен? От нищебродства? Лучше раздобудь еще один тазик, и сделай отдельно AD и отдельно шлюз. Так будет правильней со всех точек зрения кроме экономической.

afanasiy ★★★★
()

на одной машине и шлюз (полноценный) и AD на samba4?

зачем все яйца в одну корзину? есть же виртуалки.

машины внутри сети сразу на 8.8.8.8 направил

за каким?

Samba4 отказывается нормально работать с двумя сетевыми интерфейсами.

man - Multiple IP addresses on One Interface

vxzvxz ★★★
()
Ответ на: комментарий от afanasiy

Знаю, что правильно их разносить, но нет такой возможности - нужно именно на одной машине их поднять.
Теоретически можно поднять шлюз и виртуалку на той же машине с AD, но из консоли под ubuntu 12.04 server я вообще не представляю как поднимать виртуалки. Да и это, по-моему, ещё хуже, чем шлюз b AD на одной машине.

T1nK
() автор топика

Samba4 отказывается нормально работать с двумя сетевыми интерфейсами

Как именно отказывается? Давай логи?

машины внутри сети сразу на 8.8.8.8 направил

Чтобы ввести машину в домен, нужно чтобы она могла найти твой AD. А гугловский днс ничего не знает про него.

afanasiy ★★★★
()
Последнее исправление: afanasiy (всего исправлений: 1)

Покажи конфиг самбы4

Xa0s
()
Ответ на: комментарий от T1nK

я вообще не представляю как поднимать виртуалки.

жесть. если нет опыта не тронь то что работает!

vxzvxz ★★★
()

машины внутри сети сразу на 8.8.8.8 направил

здорово. а как машины друг о друге узнают?

stave ★★★★★
()
Ответ на: комментарий от stave

Конфиг samba и все действия до него

Ну вообще запозорили...
Да, опыта нет - но это дело же наживное.
С чего-то начинать все равно нужно. А жизнь - самый лучший учитель... Вон какую задачку подкинула - врагу не пожелаешь (в моём случае, по крайней мере).
С 8.8.8.8 я не правильно выразился, виноват. Поскольку я dnsmasq не ставил, то в момент тестирования шлюза DNS у меня был гугловский. А уже после того как я перешел к установке samba поменял на ip внутреннего интерфейса.

Работа другая была, не успел днем конфиг кинуть, да и снёс я на железе уже все.
Сейчас вот дома в VMware поднял Ubuntu 12.04. Одна сетевая Bridged (replicate), вторая LAN Segment 1. К тому же сегменту подключена и Win7, как тестовая машина. Не быстро к сожалению с моим интернетом получилось поставить...

Имя сервера - mainad
Получившийся /etc/network/interfaces

auto eth0
iface eth0 inet static
        address 192.168.0.182
        netmask 255.255.255.0
        #network 192.168.0.0
        #broadcast 192.168.0.255
        gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 8.8.8.8
        # dns-search test.lan

auto eth1
iface eth1 inet static
        address 192.168.14.1
        netmask 255.255.255.0
        #gateway 192.168.14.1
        dns-nameservers 192.168.14.1
        dns-search test.lan
Кстати, у меня после команды 
/usr/local/samba/bin/samba-tool domain provision
Realm не определил сам домен, как в примере в приведенной инструкции - вбил вручную.
Далее по инструкции до команды 
/usr/local/samba/sbin/samba -i -M single
вывод которой, как мне кажется, с ошибкой (критичной или нет - судить не могу):
samba version 4.2.0pre1-GIT-41ff0f4 started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
samba: using 'single' process model
Attempting to autogenerate TLS self-signed keys for https for hostname 'MAINAD.test.lan'
TLS self-signed keys generated OK
invalid permissions on file '/usr/local/samba/private/tls/key.pem': has 0600 should be 0400
/usr/local/samba/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
/usr/local/samba/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
/usr/local/samba/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
../source4/dsdb/dns/dns_update.c:294: Failed DNS update - NT_STATUS_UNSUCCESSFUL
Calling samba_kcc script
Сделал автозапуск демона, как рекомендовали в комментариях к статьи.
Но как команда 
/usr/local/samba/bin/smbclient -L localhost -U%
выдавала ошибку
session setup failed: NT_STATUS_OBJECT_NAME_NOT_FOUND
, так и выдаёт, даже после перезапуска.

При этом Win7 после старта samba увидела интернет (у неё прописан DNS 192.168.14.1 - адрес внутреннего интерфейса сервера).
В списке процессов до перезагрузки samba видна:
# ps ax | grep samba
 1810 ?        Ss     0:00 /usr/local/samba/sbin/samba -D
 1811 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1812 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1813 ?        Ss     0:00 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
 1814 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1815 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1816 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1817 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1818 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1819 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1820 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1821 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1822 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1823 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1824 ?        S      0:00 /usr/local/samba/sbin/samba -D
 1827 ?        S      0:00 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
 1849 pts/0    D+     0:00 grep --color=auto samba
[/bash]
и как это не странно, после перезагрузки то же. Хотя на реальном компьютере до этого в течении недели после перезагрузки процессов я не видел.[br]
Тем не менее команда 

/usr/local/samba/bin/smbclient -L localhost -U%

попрежнему выдаёт ту же ошибку, что и до перезагрузки.
Впрочем как и следующая в инструкции команда.
А вот далее уже как в инструкции:

# host -t SRV _ldap._tcp.test.lan.
_ldap._tcp.test.lan has SRV record 0 100 389 mainad.test.lan.
# host -t SRV _kerberos._udp.test.lan.
_kerberos._udp.test.lan has SRV record 0 100 88 mainad.test.lan.
# host -t A mainad.test.lan.
mainad.test.lan has address 192.168.0.182
mainad.test.lan has address 192.168.14.1
# kinit Administrator@TEST.LAN
Password for Administrator@TEST.LAN:
Warning: Your password will expire in 41 days on Tue Mar 25 21:30:06 2014
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@TEST.LAN
Valid starting       Expires              Service principal
11.02.2014 22:09:08  12.02.2014 08:09:08  krbtgt/TEST.LAN@TEST.LAN
        renew until 12.02.2014 22:09:00
А вот далее грустно. Папки не расшариваются, хотя при пытке доступа к шаре из Win7 запрашивается авторизация, но после выдается ошибка. Присоединиться к домену то не получается - ошибка.
Что, думаю, естественно, если samba4 работает не правильно (ну или недонастроена, что вероятнее).

Конфиг /usr/local/samba/etc/smb.conf: 
# Global parameters
[global]
        workgroup = TEST
        realm = TEST.LAN
        netbios name = MAINAD
        server role = active directory domain controller
        dns forwarder = 8.8.8.8

[netlogon]
        path = /usr/local/samba/var/locks/sysvol/test.lan/scripts
        read only = No

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No

[test]
        path = /data/test
        comment = Test Share
        read only = no

[printers]
        comment = All Printers
        path = /usr/local/samba/var/spool
        browseable = Yes
        read only = No
        printable = Yes
[print$]
        comment = Point and Print Printer Drivers
        path = /usr/local/samba/var/print
        read only = No
По моему, описал всё что только мог...
По крайней мере всё чего касался.

Что ещё нужно сделать что бы самба наконец завелась?

T1nK
() автор топика
Ответ на: комментарий от vxzvxz

man - Multiple IP addresses on One Interface

Поясните пожалуйста...
Не совсем понимаю в какую сторону копать.

T1nK
() автор топика
Ответ на: комментарий от T1nK

smb.conf: interfaces = 127.0.0.1 192.168.0.182 192.168.1.1

/etc/network/interfaces auto eth1 iface eth1 inet static address 192.168.0.182 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255

auto eth1:0 iface eth1:0 inet static address 192.168.14.1 netmask 255.255.255.0 network 192.168.14.0 broadcast 192.168.14.255

ну и остальное

Xa0s
()

не ставь на шлюз ничего кроме непосредственно относящегося к перекладыванию пакетов из одной сети в другую. Что именно в длинке неполноценно?

anonymous
()
Ответ на: комментарий от anonymous

вот согласен, без разницы кто с опсосом работает, длинк или недогейт.

Xa0s
()
Ответ на: комментарий от anonymous

не ставь на шлюз ничего кроме непосредственно относящегося к перекладыванию пакетов из одной сети в другую. Что именно в длинке неполноценно?

На работе в сетке нужно сделать пару тестовых локалок с индивидуальной конфигурацией. Но машин выделили мало - их под тесты то едва хватает, поэтому шлюз и домен нужно умудриться поднять на одной машине. Уже вторую неделю вожусь, но ничего не получается... Пока с горем пополам одну поднял как положено - с шлюзом и контроллером домена на разных машинах. Но нужно поднимать ещё несколько и тут уже лишние машины не светят.

smb.conf: interfaces = 127.0.0.1 192.168.0.182 192.168.1.1

/etc/network/interfaces auto eth1 iface eth1 inet static address 192.168.0.182 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255

auto eth1:0 iface eth1:0 inet static address 192.168.14.1 netmask 255.255.255.0 network 192.168.14.0 broadcast 192.168.14.255

ну и остальное

Не совсем понял что за eth1:0 ?..
Разве сетевые интерфейсы не нумеруются eth0, eth1, ... ?
Попробовал добавить в smb.conf: interfaces = 127.0.0.1 192.168.14.1 (на 192.168.0.182 не нужно что бы распространялся домен).
С /etc/network/interfaces попытался заменить eth0 на eth1, а eth1 на eth1:0 но после этого интернет на Win7 пропал - потому вернул все обратно.

T1nK
() автор топика
Ответ на: комментарий от T1nK

Есть идея, что нужно настроить samba4, с использованием настроенного Bind9, а не внутреннего DNS-сервера. Возможно в этом случае картина поменяется. Попробую, но уже завтра.

Если я не прав, прошу поправьте...

T1nK
() автор топика
Ответ на: комментарий от T1nK 
../source4/dsdb/dns/dns_update.c:294: Failed DNS update - NT_STATUS_UNSUCCESSFUL

по скромному опыту скажу,что проблема с днс зонами. нужно настроить еще сам бинд, с обратными и прямыми зонами. Это так в теории. У меня в локалке ни одна самба не заработала корректно, пока не настроил нормальный днс.

Aborigen1020
()
Ответ на: комментарий от T1nK

На работе в сетке нужно сделать пару тестовых локалок с индивидуальной конфигурацией.

зашейте в длинк нормальную прошивку и делите сеть на вланы

Не совсем понял что за eth1:0 ?..

это алиасы, они тебе тоже ненужны

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin