🏨 Как настроить Samba в качестве основного контроллера домена — Information Security Squad

🏨 Как настроить Samba в качестве основного контроллера домена

Контроллер домена — это сервер, который группирует несколько компьютеров для централизации своей системы аутентификации.

Когда вы используете контроллер домена, вы не входите на свой компьютер, а вместо этого входите в контроллер домена.

Каждый запрос аутентификации обрабатывается первичным контроллером домена (PDC).

Обычно вы слышите о PDC, используя сервер на базе Windows.

В этом уроке я опишу, как настроить PDC с помощью Samba, которая основана на Linux.

Существует четыре основных шага для настройки Samba в качестве PDC:

  • Установка самбы
  • Настройка /etc/samba/smb.conf
  • Добавление пользователей домена
  • Регистрация всех компьютеров Windows с помощью Samba PDC.

1. Установка Samba

Если вы используете Linux на основе Debian, выполните следующую команду в окне терминала для установки Samba:

 $ sudo apt-get install samba
$ sudo apt-get install samba-common
$ sudo apt-get install samba-common-bin 

2. Конфигурация Samba

Основная конфигурация сервера Samba находится в /etc/samba/smb.conf.

Для сервера PDC есть три части файла, которые необходимо настроить: global, netlogon, и homes.

Перед тем, как вы начнете изменять файл конфигурации, я предлагаю вам сделать резервную копию существующего файла конфигурации Samba.

Настройка секции [global]

[global]
	workgroup = sambadomain 
	netbios name = sambapdc 
	server string = Samba PDC 
	domain master = yes 
	preferred master = yes 
	domain logons = yes 
	add machine script = /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false %u 
	security = user 
	encrypt passwords = yes 
	wins support = yes 
	name resolve order = wins lmhosts hosts bcast 

	logon path = \\%N\%U\profile 
	logon drive = H: 
	logon home = \\%N\%U

 

Измените имена рабочей группы и PDC в соответствии с вашей средой, чтобы они соответствовали фактическим значениям в вашей сети.

Если в вашей сети есть другой сервер Wins, удалите «wins support = yes», потому что наличие более одного вызывает проблему. «wins support = yes» означает, что Samba выступает в роли сервера Netbios.

Создание файла LMHOSTS

Не забудьте зарегистрировать IP-адрес вашего домена в файле LMHOSTS.

Файл LMHOSTS является отображением между IP-адресом контроллера домена и именем Netbios.

Когда вы добавляете компьютер Windows в SAMBADOMAIN, Windows пытается найти IP-адрес PDC. Если Windows не может найти IP-адрес PDC, вы не сможете зарегистрировать компьютер на PDC.

Файл LMHOSTS должен быть создан и помещен в /etc/samba/lmhosts.

Содержимое файла LMHOSTS аналогично файлу /etc/resolv.conf, за исключением того, что вам нужно зарегистрировать имя Netbios вместо имени хоста.

Например, если ваш PDC имеет IP-адрес 10.10.101.1 с sambadomain в качестве имени рабочей группы и sambapdc в качестве имени Netbios, содержимое файла lmhosts должно выглядеть следующим образом:

10.10.101.1 sambadomain
10.10.101.1 sambapdc

После создания /etc/samba/lmhosts перезапустите демон nmbd следующим образом:

 $ sudo nmbd -H /etc/samba/lmhosts -D 

Настройка параметров [netlogon]

[netlogon]
	path = /var/lib/samba/netlogon 
	browseable = no 
	read only = no 
	create mask = 0700 
	directory mask = 0700 
	valid users = %S
/var/lib/samba/netlogon — это каталог запуска для входа в PDC.
Когда пользователи входят в Samba PDC, в каталоге будет запущен скрипт netlogon.bat.
  $ sudo mkdir -m 0755 /var/lib/samba/netlogon 
Например, если вы хотите автоматически смонтировать сетевой диск с PDC, создайте следующий скрипт netlogon.bat в /var/lib/samba/netlogon
## Samba Logon Script
net use x: \\sambapdc\share

Настройка параметров [homes]

Это файл конфигурации для домашнего каталога пользователя PDC.

[homes]
	valid users = %S 
	guest ok = yes 
   	read only = yes

Тестирование файла конфигурации

После сохранения всех файлов конфигурации протестируйте свою конфигурацию с помощью следующей команды:

 $ sudo testparm 
Если обнаружена какая-либо синтаксическая ошибка, исправьте ее и перезапустите Samba.

3. Добавление пользователей домена

Добавление администратора и группы для PDC
В Linux пользователь admin является пользователем root.
Поэтому вам нужно выполнить следующую команду, чтобы добавить пользователя root в качестве администратора Samba:
 $ sudo smbpasswd root 

Вы не должны использовать тот же пароль, что и пользователь root.

Создать группу machines

Следующим шагом является создание группы под названием «machines».

 $ sudo groupadd -g machines 
Samba автоматически добавит пользователей в эту группу, если вы правильно настроите add machine script в разделе [global] в /etc/samba/smb.conf.

Создать учетную запись Linux для входа в PDC

Вам необходимо создать пользователя на PDC для входа в домен.

В этом примере я создам учетную запись, которая отключает вход в Linux.

Таким образом, каждый доступ к PDC должен осуществляться через Samba.

Например, создание пользователя «dan»:

 $ sudo smbpasswd -a dan 
Введите один и тот же пароль дважды.

Вам необходимо активировать пользователя с помощью следующей команды:

 $ sudo smbpasswd -e dan 
Предоставьте пользователю «dan» доступ к PDC:
 $ sudo net rpc rights grant "SAMBADOMAIN\dan" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege 
 $ sudo net groupmap add ntgroup="Administrator" unixgroup=root rid=512 type=d 

4. Зарегистрируйте компьютеры Windows с помощью Samba PDC.

В свойствах компьютера Windows измените имя домена на sambadomain.
Перезагрузите компьютер с Windows и попробуйте войти с SAMBADOMAIN/dan.
Если вы успешно вошли в систему, ваш Samba PDC готов.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40