Különbségek

A kiválasztott változat és az aktuális verzió közötti különbségek a következők.

--- linux:samba4 [2025/09/08 18:22] – [SSSD beállítások] riba.zoltan
+++ linux:samba4 [2025/09/13 05:05] (aktuális) – riba.zoltan
@@ Sor 130: / Sor 130: @@
 <code>
-# samba-tool domain provision --use-rfc2307 --domain=ADOMAIN --realm=ADOMAIN.LAN --server-role=dc --host-name=dc1.adomain.lan
+# samba-tool domain provision --use-rfc2307 --domain=ADOMAIN --realm=ADOMAIN.LAN
 INFO 2025-09-06 13:36:56,500 pid:17 /usr/lib64/python3.9/site-packages/samba/provision/__init__.py #2414: gkdi/gmsa root key added with guid 2a4c9b44-1396-beda-f6f7-b30e2970cf03
@@ Sor 179: / Sor 179: @@
 [global]
 	dns forwarder = 8.8.8.8
-	netbios name = DC1.ADOMAIN.LAN
+	netbios name = DC1
 	realm = ADOMAIN.LAN
 	server role = active directory domain controller
@@ Sor 213: / Sor 213: @@
 Aliases:
-_ldap._tcp.adomain.lan has SRV record 0 100 389 dc1.adomain.lan.adomain.lan.
+_ldap._tcp.adomain.lan has SRV record 0 100 389 dc1.adomain.lan.
 </code>
@@ Sor 670: / Sor 670: @@
 ===== Linux kliens beléptetése a tartományba =====
-Minimal telepítés után be kell állítani a hálózatot, hogy a névfeloldási kérelmek a Samb 4 DC szerver felé menjenek. A példa konfigurációban a kliens gép címe: 192.168.110.21/24, a DC szerver címe 192.168.110.11.
+Minimal telepítés után be kell állítani a hálózatot, hogy a névfeloldási kérelmek a Samba 4 DC szerver felé menjenek. A példa konfigurációban a kliens gép címe: 192.168.110.21/24, a DC szerver címe 192.168.110.11.
 <code>
@@ Sor 677: / Sor 677: @@
 nameserver 192.168.110.11
 </code>
+==== Kerberos + LADP (realmd) ====
 Telepíteni kell az alábbi csomagokat
@@ Sor 710: / Sor 712: @@
 Password for Administrator@ADOMAIN.LAN:
 Warning: Your password will expire in 179 days on Sat Mar  7 12:43:03 2026
+</code>
+Állítsuk be az SSSD-t mint hitelesítési forrást
+<code>
+# authselect select sssd --force
+Backup stored at /var/lib/authselect/backups/2025-09-13-04-46-03.QleGaH
+Profile "sssd" was selected.
+The following nsswitch maps are overwritten by the profile:
+- passwd
+- group
+- netgroup
+- automount
+- services
+Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
+</code>
+Engedélyezzük a home könyvtár létrehozását
+<code>
+# authselect enable-feature with-mkhomedir
+Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
+- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
+  is present and oddjobd service is enabled and active
+  - systemctl enable --now oddjobd.service
+</code>
+Engedélyezzük és indítsuk el az oddjobd és az sssd szolgáltatásokat
+<code>
+# systemctl enable oddjobd sssd
+# systemctl restart oddjobd sssd
 </code>
@@ Sor 779: / Sor 816: @@
 </code>
-==== SSSD beállítások ====
+Kliens oldalon a csatlakozás után létrejön a /etc/sssd/sssd.conf állomány az alábbi tartalommal
-Kliens oldalon a cstlakozás után létrejön a /etc/sssd/sssd.conf állomány az alábbi tartalommal
 <code>
@@ Sor 822: / Sor 857: @@
 # getent passwd teszt.elek@adomain.lan
 teszt.elek@adomain.lan:*:1930201104:1930200513:Teszt Elek:/home/teszt.elek@adomain.lan:/bin/bash
 </code>
@@ Sor 863: / Sor 896: @@
 $ exit
+</code>
+==== LDAP (sssd-ldap) ====
+DC szerveren érdemes létrehozni egy OU-t, amibe a szervíz hozzáférések kerülnek
+<code>
+# samba-tool ou add 'OU=ServiceUsers'
+Added ou "OU=ServiceUsers,DC=adomain,DC=lan"
+</code>
+Létre kell hozni az LDAP lekérésekhez egy felhasználót (jelszó ne járjon le)
+<code>
+# samba-tool user add ldapbind '12345678' --userou='OU=ServiceUsers'
+User 'ldapbind' added successfully
+# samba-tool user setexpiry ldapbind --noexpiry
+Expiry for user 'ldapbind' disabled.
+</code>
+Kliens oldalon telepíteni kell az alábbi csomagokat
+<code>
+# dnf install authselect sssd-ldap oddjob-mkhomedir
+</code>
+Be kell állítani az SSSD konfigurációs állományát
+<code>
+# cat > /etc/sssd/sssd.conf <<'EOF'
+[sssd]
+domains = adomain.lan
+config_file_version = 2
+services = nss, pam
+[domain/adomain.lan]
+id_provider = ldap
+auth_provider = ldap
+chpass_provider = ldap
+access_provider = ldap
+ldap_uri = ldaps://dc1.adomain.lan, ldaps://dc2.adomain.lan
+ldap_search_base = DC=adomain,DC=lan
+ldap_schema = ad
+ldap_default_bind_dn = CN=ldapbind,OU=ServiceUsers,DC=adomain,DC=lan
+ldap_default_authtok = 12345678
+ldap_id_mapping = True
+ldap_referrals = False
+ldap_user_search_base = CN=Users,DC=adomain,DC=lan
+ldap_group_search_base = CN=Groups,DC=adomain,DC=lan
+# SSL / TLS
+ldap_tls_reqcert = never
+EOF
+</code>
+Állítsuk be az SSSD-t mint hitelesítési forrást
+<code>
+# authselect select sssd --force
+Backup stored at /var/lib/authselect/backups/2025-09-13-04-46-03.QleGaH
+Profile "sssd" was selected.
+The following nsswitch maps are overwritten by the profile:
+- passwd
+- group
+- netgroup
+- automount
+- services
+Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
+</code>
+Engedélyezzük a home könyvtár létrehozását
+<code>
+# authselect enable-feature with-mkhomedir
+Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
+- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
+  is present and oddjobd service is enabled and active
+  - systemctl enable --now oddjobd.service
+</code>
+Engedélyezzük és indítsuk el az oddjobd és az sssd szolgáltatásokat
+<code>
+# systemctl enable oddjobd sssd
+# systemctl restart oddjobd sssd
+</code>
+Tesztelni kell a beállításokat
+<code>
+# id teszt.elek
+uid=1930201104(teszt.elek) gid=1930200513(Domain Users) groups=1930200513(Domain Users)
+# id teszt.elek@adomain
+uid=1930201104(teszt.elek) gid=1930200513(Domain Users) groups=1930200513(Domain Users)
+[root@client1 sssd]# id teszt.elek@adomain.lan
+uid=1930201104(teszt.elek) gid=1930200513(Domain Users) groups=1930200513(Domain Users)
+</code>
+Új csoport létrehozása a DC szerveren
+<code>
+# samba-tool group add logread --description 'Naplókat ellenőrző felhasználók'
+Added group logread
+</code>
+Felhasználó hozzáadása a csoporthoz
+<code>
+# samba-tool group addmembers logread teszt.elek
+Added members to group logread
+</code>
+Ellenőrzés a kliens oldalon
+<code>
+# sss_cache -E
+# id teszt.elek
+uid=1930201104(teszt.elek) gid=1930200513(Domain Users) groups=1930200513(Domain Users),1930201118(logread)
+# getent group logread
+logread:*:1930201118:teszt.elek
+# getent group 'Domain Users'
+Domain Users:*:1930200513:
+</code>
+===== Új tartományvezérlő hozzáadása =====
+Az új tartományvezérlő telepítése és beállítása a provision műveletig megegyezik.
+==== Beállítások mindkét gépen ====
+A replikációs környezet mindkét gépét fel kell venni a /etc/hosts állományba
+<code>
+# cat /etc/hosts
+.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
+::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
+.168.110.11 dc1.adomain.lan dc1
+.168.110.12 dc2.adomain.lan dc2
+</code>
+Mindkét gépen működnie kell az időszinkron szolgáltatásnak
+<code>
+# timedatectl
+               Local time: Tue 2025-09-09 20:55:34 CEST
+           Universal time: Tue 2025-09-09 18:55:34 UTC
+                 RTC time: n/a
+                Time zone: Europe/Budapest (CEST, +0200)
+System clock synchronized: yes
+              NTP service: active
+          RTC in local TZ: no
+</code>
+Midkét gépnek azonos nyelvi környezettel kell rendelkeznie
+<code>
+# localectl
+System Locale: LANG=en_US.UTF-8
+    VC Keymap: (unset)
+   X11 Layout: (unset)
+</code>
+==== Beállítások a replikán ====
+Az elsődleges névszerver a forrás gépre mutasson
+<code>
+# cat /etc/resolv.conf
+# Generated by NetworkManager
+search adomain.lan
+nameserver 192.168.110.11
+</code>
+Csatlakozni kell a meglévő DC-hez
+<code>
+# samba-tool domain join adomain.lan DC -U administrator@ADOMAIN.LAN
+INFO 2025-09-09 20:22:01,103 pid:308 /usr/lib64/python3.9/site-packages/samba/join.py #1622: Joined domain ADOMAIN (SID S-1-5-21-3005407612-655364726-173448620) as a DC
+</code>
+Hasonlítsuk össze a forrás és a cél DC samba konfigurációját
+<code>
+# cat /etc/samba/smb.conf
+# Global parameters
+[global]
+    dns forwarder = 8.8.8.8, 8.8.4.4
+    netbios name = DC2
+    realm = ADOMAIN.LAN
+    server role = active directory domain controller
+    workgroup = ADOMAIN
+    idmap_ldb:use rfc2307 = yes
+    ad dc functional level = 2016
+[sysvol]
+    path = /var/lib/samba/sysvol
+    read only = No
+[netlogon]
+    path = /var/lib/samba/sysvol/adomain.lan/scripts
+    read only = No
+</code>
+El kell indítani a samba szolgáltatást
+<code>
+# systemctl --now enable samba
+</code>
+Ellenőrizni kell a replikációt
+<code>
+# host -t SRV _ldap._tcp.adomain.lan
+_ldap._tcp.adomain.lan has SRV record 0 100 389 dc1.adomain.lan.
+_ldap._tcp.adomain.lan has SRV record 0 100 389 dc2.adomain.lan.
+# host -t SRV _kerberos._tcp.adomain.lan
+_kerberos._tcp.adomain.lan has SRV record 0 100 88 dc1.adomain.lan.
+_kerberos._tcp.adomain.lan has SRV record 0 100 88 dc2.adomain.lan.
+</code>
+Utolsó lépésként módosítsuk a névszerver beállításokat
+<code>
+# cat /etc/resolv.conf
+# Generated by NetworkManager
+search adomain.lan
+nameserver 192.168.110.11
+nameserver 192.168.110.12
+</code>
+==== Beállítások a forrás gépen ====
+Ellenőrizzük a replikációt
+<code>
+# samba-tool drs showrepl
+Default-First-Site-Name\DC1
+DSA Options: 0x00000001
+DSA object GUID: 1d002858-83a4-4629-8de8-af0d62cf1cff
+DSA invocationId: 7d083a57-9c70-48a5-bdc2-b0ca1b7344a1
+==== INBOUND NEIGHBORS ====
+DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ Tue Sep  9 21:06:01 2025 CEST was successful
+consecutive failure(s).
+		Last success @ Tue Sep  9 21:06:01 2025 CEST
+DC=DomainDnsZones,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ Tue Sep  9 21:06:01 2025 CEST was successful
+consecutive failure(s).
+		Last success @ Tue Sep  9 21:06:01 2025 CEST
+DC=ForestDnsZones,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ Tue Sep  9 21:06:01 2025 CEST was successful
+consecutive failure(s).
+		Last success @ Tue Sep  9 21:06:01 2025 CEST
+CN=Configuration,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ Tue Sep  9 21:06:01 2025 CEST was successful
+consecutive failure(s).
+		Last success @ Tue Sep  9 21:06:01 2025 CEST
+CN=Schema,CN=Configuration,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ Tue Sep  9 21:06:01 2025 CEST was successful
+consecutive failure(s).
+		Last success @ Tue Sep  9 21:06:01 2025 CEST
+==== OUTBOUND NEIGHBORS ====
+DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ NTTIME(0) was successful
+consecutive failure(s).
+		Last success @ NTTIME(0)
+DC=DomainDnsZones,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ NTTIME(0) was successful
+consecutive failure(s).
+		Last success @ NTTIME(0)
+DC=ForestDnsZones,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ NTTIME(0) was successful
+consecutive failure(s).
+		Last success @ NTTIME(0)
+CN=Configuration,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ NTTIME(0) was successful
+consecutive failure(s).
+		Last success @ NTTIME(0)
+CN=Schema,CN=Configuration,DC=adomain,DC=lan
+	Default-First-Site-Name\DC2 via RPC
+		DSA object GUID: 45997a6c-ae6d-4350-affc-b42b182fd457
+		Last attempt @ NTTIME(0) was successful
+consecutive failure(s).
+		Last success @ NTTIME(0)
+==== KCC CONNECTION OBJECTS ====
+Connection --
+	Connection name: 73416208-dc03-4633-9d5b-4bbe13aba35c
+	Enabled        : TRUE
+	Server DNS name : dc2.adomain.lan
+	Server DN name  : CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+		TransportType: RPC
+		options: 0x00000001
+Warning: No NC replicated for Connection!
+</code>
+Végezzük el az adatbázisok ellenőrzését
+<code>
+# samba-tool dbcheck --cross-ncs
+Checking 3863 objects
+WARNING: target DN is deleted for msDS-NC-Replica-Locations in object CN=536ea47c-3ac9-47b5-a87c-7eb4c03be986,CN=Partitions,CN=Configuration,DC=adomain,DC=lan - <GUID=062d4bfc-1978-467b-b2a1-0639f8db632c>;<RMD_ADDTIME=134019156350000000>;<RMD_CHANGETIME=134019156350000000>;<RMD_FLAGS=0>;<RMD_INVOCID=7d083a57-9c70-48a5-bdc2-b0ca1b7344a1>;<RMD_LOCAL_USN=4346>;<RMD_ORIGINATING_USN=4346>;<RMD_VERSION=1>;CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Target GUID points at deleted DN 'CN=NTDS Settings\\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan'
+Not removing
+WARNING: target DN is deleted for msDS-NC-Replica-Locations in object CN=c508580e-94dd-48fe-b75c-2d860812cd11,CN=Partitions,CN=Configuration,DC=adomain,DC=lan - <GUID=062d4bfc-1978-467b-b2a1-0639f8db632c>;<RMD_ADDTIME=134019156350000000>;<RMD_CHANGETIME=134019156350000000>;<RMD_FLAGS=0>;<RMD_INVOCID=7d083a57-9c70-48a5-bdc2-b0ca1b7344a1>;<RMD_LOCAL_USN=4347>;<RMD_ORIGINATING_USN=4347>;<RMD_VERSION=1>;CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Target GUID points at deleted DN 'CN=NTDS Settings\\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan'
+Not removing
+NOTE: old (due to rename or delete) DN string component for lastKnownParent in object CN=NTDS Settings\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Not fixing old string component
+Checked 3863 objects (2 errors)
+Please use 'samba-tool dbcheck --fix' to fix 2 errors
+</code>
+Hiba esetén javítsuk és ellenőrizzük újra
+<code>
+# samba-tool dbcheck --cross-ncs --fix
+Checking 3863 objects
+WARNING: target DN is deleted for msDS-NC-Replica-Locations in object CN=536ea47c-3ac9-47b5-a87c-7eb4c03be986,CN=Partitions,CN=Configuration,DC=adomain,DC=lan - <GUID=062d4bfc-1978-467b-b2a1-0639f8db632c>;<RMD_ADDTIME=134019156350000000>;<RMD_CHANGETIME=134019156350000000>;<RMD_FLAGS=0>;<RMD_INVOCID=7d083a57-9c70-48a5-bdc2-b0ca1b7344a1>;<RMD_LOCAL_USN=4346>;<RMD_ORIGINATING_USN=4346>;<RMD_VERSION=1>;CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Target GUID points at deleted DN 'CN=NTDS Settings\\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan'
+Remove stale DN link? [y/N/all/none] y
+Removed deleted DN on attribute msDS-NC-Replica-Locations
+WARNING: target DN is deleted for msDS-NC-Replica-Locations in object CN=c508580e-94dd-48fe-b75c-2d860812cd11,CN=Partitions,CN=Configuration,DC=adomain,DC=lan - <GUID=062d4bfc-1978-467b-b2a1-0639f8db632c>;<RMD_ADDTIME=134019156350000000>;<RMD_CHANGETIME=134019156350000000>;<RMD_FLAGS=0>;<RMD_INVOCID=7d083a57-9c70-48a5-bdc2-b0ca1b7344a1>;<RMD_LOCAL_USN=4347>;<RMD_ORIGINATING_USN=4347>;<RMD_VERSION=1>;CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Target GUID points at deleted DN 'CN=NTDS Settings\\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan'
+Remove stale DN link? [y/N/all/none] y
+Removed deleted DN on attribute msDS-NC-Replica-Locations
+NOTE: old (due to rename or delete) DN string component for lastKnownParent in object CN=NTDS Settings\0ADEL:062d4bfc-1978-467b-b2a1-0639f8db632c,CN=DC2\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan
+Change DN to <GUID=8739b696-5032-4daf-818a-f69abae1af65>;CN=DC2\0ADEL:8739b696-5032-4daf-818a-f69abae1af65,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adomain,DC=lan? [y/N/all/none] y
+Fixed old DN string on attribute lastKnownParent
+Checked 3863 objects (2 errors)
+# samba-tool dbcheck --cross-ncs
+Checking 3863 objects
+Checked 3863 objects (0 errors)
+</code>
+Állítsuk be a névszervereket
+<code>
+# cat /etc/resolv.conf
+# Generated by NetworkManager
+search adomain.lan
+nameserver 192.168.110.12
+nameserver 192.168.110.11
 </code>