Colegas, disculpen la demora por responder este correo (estaba fuera de
la empresa). A continuación les expongo los pasos que seguí para la
correcta implementación del samba4 con el dns externo bind9_dlz:
Lo primero es tener en cuenta la distribución que usas (Debian x.x,
Ubuntu x.x, etc), por qué?...,
pues por ejemplo en Ubuntu es necesario antes de nada ver si tienes
habilitada alguna regla iptables en su servidor y además (aconsejo que
sea así) DESINSTALAR el apparmor
# service apparmor stop
# /etc/init.d/apparmor teardown
# update-rc.d -f apparmor remove
# apt-get --purge remove apparmor apparmor-utils libapparmor-perl
libapparmor1
Bien ahora, necesitamos cambiar algunas cositas en el sistema de
archivos, o sea, agregar lo siguiente a /etc/fstab
# nano /etc/fstab
UUID=d24a1b4e-c691-49a2-ab3f-d294d5e8038c / ext4
user_xattr,acl,barrier=1 1 1
UUID=d24a1b4e-c691-49a2-ab3f-d294d5e8038c /home ext4
user_xattr,acl,barrier=1 1 1
En consola:
# mount -a
Dependencias necesarias para que esto funcione bien
# apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev
libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config
libpopt-dev libldap2-dev dnsutils libbsd-dev attr docbook-xsl
libcups2-dev acl chkconfig gcc
comprobando lo que hicimos anteriormente (después de reiniciar el server)
# touch testando.txt
# setfattr -n user.test -v test testando.txt
# setfattr -n security.test -v test2 testando.txt
# getfattr -d testando.txt
# getfattr -n security.test -d testando.txt
Si se obtiene estos resultados en las 2 últimas ordenes es que está OK:
# file: test.txt
user.test="test"
# file: test.txt
security.test="test2"
Luego seguimos configurando la red de nuestro servidor PDC:
# nano /etc/network/interfaces
auto eth0
iface eth0 inet static
address 10.10.24.212 # utilizaremos la IP 10.10.24.212 como PDC
netmask 255.255.0.0
gateway 10.10.24.1
dns-nameservers 10.10.24.212 8.8.8.8
dns-search dominio.local
Nótese que como primer servidor de nombres (DNS principal), se ha
establecido al mismo PDC, como secundario elegimos alguno que nos
permita acceder a Internet (podría ser el que provee el ISP o uno
público de Google en este caso), y que la búsqueda dns se hace sobre el
nombre de dominio de ejemplo DOMINIO.LOCAL
vamos a /etc/hosts quedando así
127.0.0.1 localhost
10.10.24.212 dc1 dc1.prueba.local
Revisamos en /etc/resolv.conf si los records de los dns están correctos
domain dominio.local
nameserver ip_servidor
search localdomain
Reiniciamos la red
# invoke-rc.d networking restart
A continuación procederemos a instalar | compilar Samba 4:
lo primero lo primero, instalar el cliente kerberos
# apt-get install krb5-user
Reino kerberos: DOMINIO.LOCAL # en mayúscula
Servidores Kerberos para su reino: nombre_servidor_minúscula
Servidor administrativo para su reino kerbero:
nombre_servidor_minúscula.dominio.local
Compilación del samba4
Descompacte el samba4:
# tar -zxvf samba-4.1.12.tar.gz
# cd samba-4.1.12
# ./configure --enable-debug --enable-selftest
# make
# make install
Se debe poner en .bashrc la runa del path donde se instala el samba4
export PATH=$PATH:/usr/local/samba/sbin/:/usr/local/samba/bin/
Se procederá a configurar ahora el Controlador de Dominio, para ello
haga un reinicio de la máquina, y a continuación escriba:
# samba-tool domain provision --use-rfc2307 --interactive
(Poner Realm y Domain en mayúscula, ya debe aparecer por todas la
configuraciones que hicimos anteriormente)
(OJO)--> Se debe especificar en el DNS_BACKEND: BIND9_DLZ
Bien a partir de aquí ATENCIÓN!!!, Instalación del DNS_BACKEND como
BIND9_DLZ:
dependencias muy necesarias...
# apt-get install autotools-dev bison debhelper geoip-bin
hardening-wrapper html2text libcap-dev libdb-dev libgeoip-dev libtool
libxml2-dev m4
# tar -zxvf bind9.9.3.tar.gz
# cd bind9.9.3
# ./configure --prefix=/usr/local/bind9 --sysconfdir=/etc/bind
--with-gssapi=/usr/include/gssapi --with-dlopen=yes --disable-isc-spnego
--with-randomdev=/dev/urandom
# make
# make install
Agregar a .bashrc (a continuación de las líneas pertenecientes a samba4;
o sea, al lado, no debajo)
:/usr/local/bind9/sbin:/usr/local/bind9/bin/
Apply changes:
# source .bashrc
Agregar grupo y usuario para bind9 en el sistema:
# groupadd -g 47 named
# useradd -g named -u 47 -d /usr/local/bind9/var/named -M -s
/sbin/nologin named
Ahora deben buscar en internet algún script de inicio para bind y
copiarlo para /etc/init.d/
# chmod 755 /etc/init.d/bind
# update-rc.d bind defaults
# /etc/init.d/bind start
# ps aux | egrep named
Debe dar una salida así:
root 1501 0.0 0.0 3320 800 pts/0 S+ 15:54 0:00 egrep named
Bien, ahora, deben copiar los archivos de zonas creadas por ti para
/etc/bind/
Generar las key:
# /usr/local/bind9/sbin/rndc-confgen -a -r /dev/urandom
OJO:
Permisos:
# chown named:named /etc/bind/db.*
# chmod 640 /etc/bind/db.*
# chown named:named /usr/local/samba/private/dns
# chown named:named /usr/local/samba/private/dns.keytab
# chmod 775 /usr/local/samba/private/dns
# mkdir /var/cache/bind
# chown named:named /var/cache/bind
# chmod 755 /var/cache/bind
crear en /usr/local/samba/private/named.conf.update.static y agregarle
lo siguiente:
grant *.LOCAL wildcard *.24.10.10.in-addr.arpa. PTR TXT;
aclarar aquí que se debe poner (*.LOCAL) según el fqdn del su dominio,
ejemplo para tvc.co (*.CO) y claro la zona inversa según el bloque ip
que usted use (*.24.10.10.in-addr.arpa)
Es hora de ir arrancando y probando el bind. Si este da error ir a
/var/log/syslog y LEER y aplicar soluciones
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
AL FINAL DEBE QUEDAR ASÍ MÁS O MENOS:
Oct 9 19:03:51 dc1 named[16749]: starting BIND 9.9.3 -u named
Oct 9 19:03:51 dc1 named[16749]: built with '--prefix=/usr/local/bind9'
'--sysconfdir=/etc/bind' '--with-gssapi=/usr/include/gssapi'
'--with-dlopen=yes' '--disable-isc-spnego' '--with-randomdev=/dev/urandom'
Oct 9 19:03:51 dc1 named[16749]:
----------------------------------------------------
Oct 9 19:03:51 dc1 named[16749]: BIND 9 is maintained by Internet
Systems Consortium,
Oct 9 19:03:51 dc1 named[16749]: Inc. (ISC), a non-profit 501(c)(3)
public-benefit
Oct 9 19:03:51 dc1 named[16749]: corporation. Support and training for
BIND 9 are
Oct 9 19:03:51 dc1 named[16749]: available at https://www.isc.org/support
Oct 9 19:03:51 dc1 named[16749]:
----------------------------------------------------
Oct 9 19:03:51 dc1 named[16749]: using 1 UDP listener per interface
Oct 9 19:03:51 dc1 named[16749]: using up to 4096 sockets
Oct 9 19:03:51 dc1 named[16749]: loading configuration from
'/etc/bind/named.conf'
Oct 9 19:03:51 dc1 named[16749]: reading built-in trusted keys from
file '/etc/bind/bind.keys'
Oct 9 19:03:51 dc1 named[16749]: using default UDP/IPv4 port range:
[1024, 65535]
Oct 9 19:03:51 dc1 named[16749]: using default UDP/IPv6 port range:
[1024, 65535]
Oct 9 19:03:51 dc1 named[16749]: listening on IPv4 interface lo,
127.0.0.1#53
Oct 9 19:03:51 dc1 named[16749]: listening on IPv4 interface eth0,
10.10.24.212#53
Oct 9 19:03:51 dc1 named[16749]: generating session key for dynamic DNS
Oct 9 19:03:51 dc1 named[16749]: sizing zone task pool based on 24 zones
Oct 9 19:03:51 dc1 named[16749]: Loading 'AD DNS Zone' using driver dlopen
Oct 9 19:03:51 dc1 named[16749]: samba_dlz: started for DN
DC=prueba,DC=local
Oct 9 19:03:51 dc1 named[16749]: samba_dlz: starting configure
Oct 9 19:03:51 dc1 named[16749]: samba_dlz: configured writeable zone
'prueba.local'
Oct 9 19:03:51 dc1 named[16749]: samba_dlz: configured writeable zone
'_msdcs.prueba.local'
Oct 9 19:03:51 dc1 named[16749]: set up managed keys zone for view
_default, file 'managed-keys.bind'
Oct 9 19:03:51 dc1 named[16749]: automatic empty zone: 64.100.IN-ADDR.ARPA
Oct 9 19:03:51 dc1 named[16749]: automatic empty zone: 65.100.IN-ADDR.ARPA
Oct 9 19:03:51 dc1 named[16749]: zone 255.in-addr.arpa/IN: loaded serial 1
Oct 9 19:03:51 dc1 named[16749]: zone localhost/IN: loaded serial 2
Oct 9 19:03:51 dc1 named[16749]: all zones loaded
Oct 9 19:03:51 dc1 named[16749]: running
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
Faltaría crear en el servidor DC la zona inversa a través de adminpack
Rsat, etc
1- Creas la zona 24.10.10.in-addr.arpa como dynamic update --> secure only
2- y agregas a dicha zona en puntero PTR para tu servidor DC
# samba-tool dns zonecreate dominio.local 24.10.10.in-addr.arpa
# samba-tool dns add dominio.local 24.10.10.in-addr.arpa 55 PTR
dc1.prueba.local
el 55 es la ip del server samba dc es decir, 10.10.24.55
Probando samba4:
# testparm
Dns:
# host localhost. 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
localhost has address 127.0.0.1
# host 127.0.0.1 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
1.0.0.127.in-addr.arpa domain name pointer localhost.
# nslookup DOMINIO.LOCAL 10.10.24.212
Server: 10.10.24.212
Address: 10.10.24.212#53
Name: DOMINIO.LOCAL
Address: 10.10.24.212
# netstat -pntl|grep :53
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 1109/samba
tcp6 0 0 :::53 :::* LISTEN 1109/samba
A continuación debemos afinar Kerberos
# cp /etc/krb5.conf /etc/krb5.conf_bkp
# ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf
# kinit administrator@DOMINIO.LOCAL
# samba-tool user setexpiry administrator --noexpiry
# klist
# nslookup -type=srv _kerberos._tcp.PRUEBA.LOCAL
Server: 10.10.24.212
Address: 10.10.24.212#53
_kerberos._tcp.DOMINIO.LOCAL service = 0 100 88 dc1.DOMINIO.LOCAL.
# nslookup -type=srv _kerberos._udp.DOMINIO.LOCAL
Server: 10.10.24.212
Address: 10.10.24.212#53
_kerberos._udp.DOMINIO.LOCAL service = 0 100 88 dc1.DOMINIO.LOCAL.
Lo que quedaría para tener un Controlador de dominio como es sería
instalar un servidor de tiempo NTP (queda pendiente)
Más lo esencial para las actualizaciones dinámicas que es el servidor
DHCP (instalación del mismo con su scope de su red)
ahh, se me quedaba buscar en internet script de inicio automático de SAMBA4
hasta aquí la guía, saludos
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
