AD на SAMBA4

Tue, 25 Nov 2025 10:13:12 +0500

обновляем и ставим необходимые пакеты

apt update
apt install samba samba-dsdb-modules krb5-config krb5-user winbind libpam-winbind libnss-winbind smbclient acl ldap-client net-tools iftop htop

по идее можно вообще удалить

mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
mv /etc/krb5.conf /etc/krb5.conf.orig

эти службы самба запустит сама если ей будет надо

systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind

Разворачиваем домен

samba-tool domain provision --use-rfc2307 --interactive

3221.RU
3221
dc
SAMBA_INTERNAL
192.168.1.2 ! не свой, а реальный днс или шлюз
P@ssw0rd

выдал SID // записал, вдруг пригодится

вот теперь меняем в /etc/resolv.conf на свой ip

в /etc/krb5.conf

[libdefaults]
        default_realm = 3221.RU
		dns_lookup_realm = false
		dns_lookup_kdc = true

[realms]
        3221.RU = {
                kdc = dc.3221.ru
                admin_server = dc.3221.ru
        }

в /etc/samba/smb.conf

# Global parameters
[global]
        dns forwarder = 192.168.1.2
        netbios name = DC
        realm = 3221.RU
        server role = active directory domain controller
        workgroup = 3221
        idmap_ldb:use rfc2307 = yes
        map to guest = Bad User

        dos charset = 866
        unix charset = UTF-8
        preserve case = yes
        short preserve case = yes

        ldap server require strong auth = yes
        tls enabled  = yes
        tls keyfile  = tls/dc.3221.ru.key
        tls certfile = tls/dc.3221.ru.crt
        tls cafile   = tls/rootCA.crt

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/3221.ru/scripts
        read only = No

[share]
        path = /home/share
        read only = no
        guest ok = yes
        create mask = 0777
        browseable = yes
        comment = Общий доступ

ненужное блочим, нужное запускаем

systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl enable samba-ad-dc
systemctl start samba-ad-dc

LDAPS на SAMBA4

Mon, 24 Nov 2025 11:36:04 +0500

Генерация корневой пары ключ-сертификат:

openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt

обязательно заполнить
Organizational Unit Name (eg, section) []:3221 CA
и указать сервер
Common Name (e. g. server FQDN or YOUR name) []:dc.3221.ru

Генерация приватного ключа и сертификата, подписанного корневым сертификатом:

openssl genrsa -out dc.3221.ru.key 2048
openssl req -new -key dc.3221.ru.key -out dc.3221.ru.csr

обязательно заполнить и указать ОТЛИЧНЫМ от предыдущего
Organizational Unit Name (eg, section) []:3221 AD
и указать сервер (в большинстве случаев тот же самый)
Common Name (e. g. server FQDN or YOUR name) []:dc.3221.ru

openssl x509 -req -in dc.3221.ru.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out dc.3221.ru.crt -days 5000

и копируем в папку самбы

cp dc.3221.ru.crt dc.3221.ru.key rootCA.crt /var/lib/samba/private/tls/

рестартим самбу

systemctl restart samba

файлик rootCA.crt закинуть на виндовые машины и поместить в доверенные корневые центры сертификации

результат работы под виндой можно проверить с помощью утилиты ldp (указать имя сервера, порт 636, поставить SSL)

timsa.ru: заметки с тегом domain

AD на SAMBA4

LDAPS на SAMBA4

Генерация корневой пары ключ-сертификат:

Генерация приватного ключа и сертификата, подписанного корневым сертификатом: