{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "timsa.ru: заметки с тегом domain", "_rss_description": "Моя записная книжка. Комментарии отключены из-за спама. Для вопросов используйте эту страничку", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/timsa.ru\/tags\/domain\/", "feed_url": "https:\/\/timsa.ru\/tags\/domain\/json\/", "icon": false, "authors": [ { "name": "timsa", "url": "https:\/\/timsa.ru\/", "avatar": false } ], "items": [ { "id": "246", "url": "https:\/\/timsa.ru\/all\/ad-na-samba4\/", "title": "AD на SAMBA4", "content_html": "

обновляем и ставим необходимые пакеты<\/p>\n

apt update\r\napt install samba samba-dsdb-modules krb5-config krb5-user winbind libpam-winbind libnss-winbind smbclient acl ldap-client net-tools iftop htop<\/code><\/pre>
по идее можно вообще удалить<\/p>\n
mv \/etc\/samba\/smb.conf \/etc\/samba\/smb.conf.orig\r\nmv \/etc\/krb5.conf \/etc\/krb5.conf.orig<\/code><\/pre>
эти службы самба запустит сама если ей будет надо<\/p>\n
systemctl stop smbd nmbd winbind\r\nsystemctl disable smbd nmbd winbind<\/code><\/pre>
Разворачиваем домен<\/p>\n
samba-tool domain provision --use-rfc2307 --interactive<\/code><\/pre>
3221.RU
\n3221
\ndc
\nSAMBA_INTERNAL
\n192.168.1.2   ! не свой, а реальный днс или шлюз
\nP@ssw0rd<\/p>\n
выдал SID \/\/ записал, вдруг пригодится<\/p>\n
вот теперь меняем в \/etc\/resolv.conf на свой ip<\/p>\n
в \/etc\/krb5.conf<\/p>\n
[libdefaults]\r\n        default_realm = 3221.RU\r\n\t\tdns_lookup_realm = false\r\n\t\tdns_lookup_kdc = true\r\n\r\n[realms]\r\n        3221.RU = {\r\n                kdc = dc.3221.ru\r\n                admin_server = dc.3221.ru\r\n        }<\/code><\/pre>
в \/etc\/samba\/smb.conf<\/p>\n
# Global parameters\r\n[global]\r\n        dns forwarder = 192.168.1.2\r\n        netbios name = DC\r\n        realm = 3221.RU\r\n        server role = active directory domain controller\r\n        workgroup = 3221\r\n        idmap_ldb:use rfc2307 = yes\r\n        map to guest = Bad User\r\n\r\n        dos charset = 866\r\n        unix charset = UTF-8\r\n        preserve case = yes\r\n        short preserve case = yes\r\n\r\n        ldap server require strong auth = yes\r\n        tls enabled  = yes\r\n        tls keyfile  = tls\/dc.3221.ru.key\r\n        tls certfile = tls\/dc.3221.ru.crt\r\n        tls cafile   = tls\/rootCA.crt\r\n\r\n[sysvol]\r\n        path = \/var\/lib\/samba\/sysvol\r\n        read only = No\r\n\r\n[netlogon]\r\n        path = \/var\/lib\/samba\/sysvol\/3221.ru\/scripts\r\n        read only = No\r\n\r\n[share]\r\n        path = \/home\/share\r\n        read only = no\r\n        guest ok = yes\r\n        create mask = 0777\r\n        browseable = yes\r\n        comment = Общий доступ<\/code><\/pre>
ненужное блочим, нужное запускаем<\/p>\n
systemctl stop smbd nmbd winbind\r\nsystemctl disable smbd nmbd winbind\r\nsystemctl enable samba-ad-dc\r\nsystemctl start samba-ad-dc<\/code><\/pre>",
            "date_published": "2025-11-25T10:13:12+05:00",
            "date_modified": "2025-11-25T10:44:38+05:00",
            "tags": [
                "domain",
                "linux"
            ],
            "_date_published_rfc2822": "Tue, 25 Nov 2025 10:13:12 +0500",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "246",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/highlight\/highlight.js",
                    "system\/library\/highlight\/highlight.css"
                ],
                "og_images": []
            }
        },
        {
            "id": "245",
            "url": "https:\/\/timsa.ru\/all\/ldaps-na-samba4\/",
            "title": "LDAPS на SAMBA4",
            "content_html": "
Генерация корневой пары ключ-сертификат:<\/h2>\n
openssl genrsa -out rootCA.key 2048\r\nopenssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt<\/code><\/pre>
обязательно заполнить
\nOrganizational Unit Name (eg, section) []:3221 CA
\nи указать сервер
\nCommon Name (e. g. server FQDN or YOUR name) []:dc.3221.ru<\/p>\n
Генерация приватного ключа и сертификата, подписанного корневым сертификатом:<\/h2>\n
openssl genrsa -out dc.3221.ru.key 2048\r\nopenssl req -new -key dc.3221.ru.key -out dc.3221.ru.csr<\/code><\/pre>
обязательно заполнить и указать ОТЛИЧНЫМ<\/b> от предыдущего
\nOrganizational Unit Name (eg, section) []:3221 AD
\nи указать сервер (в большинстве случаев тот же самый)
\nCommon Name (e. g. server FQDN or YOUR name) []:dc.3221.ru<\/p>\n
Далее<\/p>\n
openssl x509 -req -in dc.3221.ru.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out dc.3221.ru.crt -days 5000<\/code><\/pre>
и копируем в папку самбы<\/p>\n
cp dc.3221.ru.crt dc.3221.ru.key rootCA.crt \/var\/lib\/samba\/private\/tls\/<\/code><\/pre>
рестартим самбу<\/p>\n
systemctl restart samba<\/code><\/pre>
файлик rootCA.crt закинуть на виндовые машины и поместить в доверенные корневые центры сертификации<\/p>\n
результат работы под виндой можно проверить с помощью утилиты ldp (указать имя сервера, порт 636, поставить SSL)<\/p>\n",
            "date_published": "2025-11-24T11:36:04+05:00",
            "date_modified": "2025-11-25T10:10:20+05:00",
            "tags": [
                "ad",
                "domain",
                "linux",
                "windows"
            ],
            "_date_published_rfc2822": "Mon, 24 Nov 2025 11:36:04 +0500",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "245",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/highlight\/highlight.js",
                    "system\/library\/highlight\/highlight.css"
                ],
                "og_images": []
            }
        }
    ],
    "_e2_version": 4079,
    "_e2_ua_string": "Aegea 11.0 (v4079)"
}