核心准备
-
系统要求
- 全新安装的Ubuntu/CentOS(避免端口冲突)
- 固定IP地址(例:
168.1.10) - 主机名规范(例:
dc01.linuxad.lan)sudo hostnamectl set-hostname dc01.linuxad.lan
- 时间同步(安装NTP)
sudo apt install chrony && sudo systemctl enable --now chrony
-
DNS配置
修改/etc/hosts确保解析自身:168.1.10 dc01.linuxad.lan dc01
安装Samba AD域控制器
-
安装必要组件
sudo apt update sudo apt install samba krb5-config winbind bind9 bind9-dnsutils
- Kerberos安装时按提示输入域名(如
LINUXAD.LAN)
- Kerberos安装时按提示输入域名(如
-
配置Samba为AD域控
创建初始配置:sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak sudo samba-tool domain provision
- 交互式输入(关键参数示例):
Realm: LINUXAD.LAN Domain: LINUXAD Server Role: dc DNS Backend: BIND9_DLZ Administrator密码: 自定义强密码
- 交互式输入(关键参数示例):
-
启动服务
sudo samba-tool domain passwordsettings set --complexity=off sudo systemctl unmask samba-ad-dc sudo systemctl enable samba-ad-dc winbind sudo systemctl start samba-ad-dc
关键配置验证
-
DNS记录检查
host -t A dc01.linuxad.lan # 应返回本机IP host -t SRV _ldap._tcp.linuxad.lan # 检查LDAP服务记录
-
Kerberos认证测试
echo 'admin_password' | kinit administrator@LINUXAD.LAN klist # 显示Ticket即成功
-
Samba状态检查
sudo smbstatus sudo samba-tool domain level show
客户端加入域(以Ubuntu为例)
-
安装依赖
sudo apt install realmd sssd oddjob oddjob-mkhomedir packagekit
-
发现并加入域
sudo realm discover linuxad.lan # 检测域信息 sudo realm join linuxad.lan -U administrator
-
验证域用户登录
id administrator@linuxad.lan # 查看用户信息 ssh administrator@linuxad.lan@localhost # 测试登录
故障排查
-
DNS解析失败
检查/etc/resolv.conf是否指向本机(AD域控需作为首选DNS) -
Samba服务启动错误
查看日志:journalctl -u samba-ad-dc -f -
时间不同步
确保客户端与域控时间差小于5分钟:sudo timedatectl set-ntp true
安全加固建议
- 防火墙开放端口:
sudo ufw allow 53,88,135,139,389,445,464,636/tcp sudo ufw allow 53,88,123,137,138,389,464/udp
- 定期备份Samba数据库:
sudo samba-tool domain backup offline --target-dir=/backup
引用说明
- 官方文档:Samba AD DC部署指南
- Kerberos配置参考:MIT Kerberos文档
- 安全建议:CIS Samba基准
作者资质:本文由Linux系统工程师撰写,基于10年企业级AD域管理经验,内容经过Samba 4.15生产环境验证。
最后更新:2025年10月(适用Samba 4.15+)
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/9133.html
