Na początek przypomnienie kilku podstawowych komend linux:

– sprawdzanie błędów dysku (badblocks)
sudo badblocks -sv /dev/sda

sudo poweroff
sudo reboot

reset kolorów terminala
setterm –default
setterm –foreground green default

– montowanie pendrive
sprawdzam nazwę partycji za pomocą fdisk -l
montuje
mount /dev/sdb1 /mnt

umount
umount /dev/sdb1

– wykaz nazw wszystkich interfejsów sieciowych
ifconfig -a

Instalacja Samby jako kontrolera domeny pełniącego rolę rutera z serwerem DHCP

Poniższa instrukcja dotyczy instalacji na serwerze Ubuntu w wersji 16.04.

Instalujemy serwer domyślnie, ustaw nazwę komputera na taką jaką ma mieć ten kontroler domeny. Internet podłączamy do interfejsu, który później będzie interfejsem WAN serwera.

1. sudo passwd root
(od tej pory będzie działać su)

2. 0bowiązkowo upewnij się pingiem czy jest skonfigurowany internet, jeśli nie – popraw
Sprawdzenie nazw interfejsów sieciowych
ifconfig -a

Dopisujemy do pliku /etc/network/interfaces swój interfejs (na razie na auto)
sudo nano /etc/network/interfaces

# Pierwszy interfejs sieciowy – użyj DHCP
auto eno1
iface eno1 inet dhcp

Restart sieci – najpewniej -> reboot albo:
sudo /etc/init.d/networking restart

3. Dokonaj aktualizacji pakietów
$ sudo apt-get update
$ sudo apt-get upgrade
$ sudo apt-get dist-upgrade

4. Zainstaluj mc
sudo apt-get install mc

5. Ustaw nazwę hosta maszyny na taką jaką chcesz  (najlepiej ustaw to od razu przy instalacji)

$ sudo nano /etc/hostname
(Restart komputera jest niezbędny)

6. Instalacja wymaganych pakietów

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

Podczas instalacji samby pojawi się kilka pytań dotyczących nazw domenowych:

(w pytaniu pierwszym wpisujemy wielkimi literami DOMENA.LOCAL)
(w pytaniu drugim i trzecim domena.local)

7. USTAW STAŁE IP NA INTERFEJSIE, KTÓRY PÓŹNIEJ BĘDZIE LAN’em – drugiego interfejsu nie konfiguruj
nano /etc/network/interfaces
#interfejs LAN
auto eno1
iface eno1 inet static
address 192.168.1.2
gateway 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
#dns-nameservers 127.0.0.1  //zostaw komentarz – usuniesz to dopiero po uruchomieniu samby
dns-nameservers 192.168.1.1
dns-search domena.local

Następnie wykonaj reboot.

8. Zatrzymanie i zablokowanie samby do konfiguracji

$ sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
$ sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Przenosimy plik domyślnej konfiguracji samby
$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Przenosimy plik domyślnej konfiguracji kerberos
$ sudo mv /etc/krb5.conf /etc/krb5.conf.initial

11. Tworzymy symlink do konfiguracji kerberosa
$ sudo ln –s /var/lib/samba/private/krb5.conf /etc/

(sprawdzenieczy jest OK:        ls -l /etc/krb5.conf )

12. Provisionowanie domeny (przed use i przed interactive są po dwa „-„)
$ sudo samba-tool domain provision –use-rfc2307 –interactive

Podajemy w REALM: nazwę domeny WIELKIMI LITERAMI czyli DOMENA.LOCAL
dalej entery aż do hasła administratora (musi być silne)!

13. Uruchomienie i odblokowanie samba ad dc
$ sudo systemctl start samba-ad-dc.service
$ sudo systemctl status samba-ad-dc.service
$ sudo systemctl enable samba-ad-dc.service

14. Sprawdź czy samba pootwierała porty
$ sudo netstat –tulpn| egrep ‘smbd|samba’

15. Sprawdź jak samba emuluje Windows Server:
$ sudo samba-tool domain level show

16. Zmień ustawienia interfejsu – dodaj localhosta jako dns
nano /etc/network/interfaces
#interfejs LAN
auto eno1
iface eno1 inet static
address 10.0.0.1
gateway 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
dns-nameservers 127.0.0.1
dns-nameservers 192.168.1.1
dns-search domena.local

Następnie -> reboot

17. Sprawdź czy w pliku resolv.conf jest zapisany DNS 127.0.0.1 i czy ma opcję „search” ustawioną na domenę

18. sprawdź czy da się pingować domenę i serwer:

$ ping –c3 sbsmen.edu.pl       #Domain Name
$ ping –c3 sbs2008.sbsmen.edu.pl  #FQDN
$ ping –c3 sbs2008              #Host

19. Sprawdź czy samba prawidłowo widzi domenę

$ host –t A tecmint.lan
$ host –t A adc1.tecmint.lan
$ host –t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

20. Sprawdź czy Kerberos działa

$ kinit administrator@SBSMEN.EDU.PL
$ klist

Wstępna konfiguracja Samby

21. Sprawdzenie restrykcji haseł domenowych:
sudo samba-tool domain passwordsettings show

22. Usunięcie zbędnych restrykcji haseł:
sudo samba-tool domain passwordsettings set –complexity=off
sudo samba-tool domain passwordsettings set –history-length=0
sudo samba-tool domain passwordsettings set –min-pwd-age=0
sudo samba-tool domain passwordsettings set –max-pwd-age=0
sudo samba-tool domain passwordsettings set –min-pwd-length=5

23. Synchronizacja czasu – serwer ntp:

a. Instalujemy własny serwer ntp
$ sudo apt-get install ntp ntpdate

b. Otwieramy plik konfiguracyjny i ustawiamy najbliższe serwery czasu.

24.Instalujemy serwer DHCP

Instalacja serwera dhcp (trzeba zrobić jak jeszcze będzie dostęp do internetu)
sudo apt-get install isc-dhcp-server

25. Konfiguracja serwera DHCP dwa pliki:
edytujemy plik /etc/dhcp/dhcpd.conf

dodając / zmieniając wpisy:

ddns-updates on;
option domain-name „sbsmen.edu.pl”;
option domain-name-servers 192.168.2.200, 192.168.2.200;
option netbios-name-servers 192.168.2.200;
option ntp-servers 192.168.2.200;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet 192.168.2.0
netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.100;
option routers 192.168.2.200; }

następnie w pliku  /etc/default/isc-dhcp-server
dodajemy konkretny interfejs na którym będzie pracować serwer dhcp

INTERFACES=”eno1″

teraz testowanie:
Serwer uruchamiamy poleceniem: /etc/init.d/isc-dhcp-server start
Status serwera sprawdzamy poleceniem: /etc/init.d/isc-dhcp-server status
(jeżeli jest coś na czerwono – szukać literówki w konfiguracji)

Następnie można podłączyć stacje roboczą i sprawdzić czy otrzymuje prawidłowo dzierżawę.

26. Konfiguracja serwera jako router

FIREWALL i NAT

W pliku /etc/sysctl.conf trzeba odkomentować opcję:

net.ipv4.ip_forward=1

Utwórz nowy plik tekstowy  /etc/dowolny_katalog/firewall.sh

W środku wklej treść:

#!/bin/bash
INTIF=”eth1”
INTNET=”192.168.100.0/24”
INTIP=”192.168.100.254”
EXTIF=”eth0”
EXTIP=”`/sbin/ifconfig $EXTIF | grep ‚inet addr’ | awk ‚{print $2}’ | sed -e ‚s/.*://’`”
UNIVERSE=”0.0.0.0/0”

iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -F -t nat

if [ „`iptables -L | grep droplog`” ]; then
iptables -F droplog
fi
iptables -X
iptables -Z

# Włączenie routowania
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
iptables -A FORWARD -i $EXTIF -o $INTIF -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT

Nadajemy plikowi prawo do wykonania tego pliku:

sudo chmod a+x /etc/mojserwer/testf.sh

Teraz możemy już uruchomić przygotowany firewall:

sudo sh /etc/mojserwer/testf.sh

– i sprawdzić, czy hosty podpięte do interfejsu LAN mogą połączyć się z internetem.

Uwaga! Skrypt musi się wykonać bez żadnego błędu. Jeśli masz z tym problem sprawdź czy masz prawidłowe znaki końca linii (edytor vi -> znaki ^M trzeba pousuwać).

Uruchamianie firewall przy starcie systemu ->  w pliku /etc/rc.local dopisujemy linijkę:

/etc/nazwa_folderu_z_plikiem_firewall/firewall.sh

(przed exit 0)

27. Gdyby był problem z domyślną bramą (nie ma internetu na serwerze):
sprawdzanie reguł iptables
iptables -L -n -v

sprawdzenie domyślnego interfejsu na serwerze
ip route list

zmiana domyślnego interfejsu dla internetu
sudo ip route change to default dev usb0 via 192.168.1.1

Dodałem to do pliku firewalla – uruchamia się przy starcie systemu i działa!

Uwaga! Przy prawidłowej instalacji, gdy internet jest od początku na interfejsie WAN nie powinno być tego problemu.

Dodatek 1:

Zmiana adresu ip domeny:
Dodaj drugi, nowy IP do interfejsu sieciowego (eno1:1).
-> reboot
Sprawdź czy host -t A domena.local  pokazuje oba adresy.
Usuń stary adres IP interfejsu domeny.
-> reboot

Należy jeszcze raz na końcówkach dołączyć komputery do domeny! (z konta lokalnego).

Konfiguracja AD (użytkownicy, konta, GPO)

Konfigurację AD oraz restykcje polityk GPO ustawiamy poprzez narzędzia Microsoft z pakietu RSAT.

Ściągnij odpowiednią wersję ze stron Microsoft.

Uwaga! Wersja RSAT musi być dobrana do wersji kompilacji Windows 10 inaczej nie będzie działała prawidłowo (nie można nic dodawać ani zmieniać, nie ma komunikatów o błędach).

Następnie zaloguj się na komputerze podłączonym do domeny na konto administratora domeny i korzystaj z odpowiedniego narzędzia.

Logowanie na konto administratora domeny należy poprzedzić nazwą domeny,np.

domena\administrator

Konfiguracji można dokonywać również z innych kont z uprawnieniami administratora.