Создание Samba-домена в ALT Linux

Samba Domain Controller в ALT Linux позволяет развернуть собственный домен Active Directory без необходимости использовать Windows Server. Такой вариант удобен в небольших и средних инфраструктурах, где нужно централизованно управлять пользователями, DNS, политиками и аутентификацией, но при этом важно оставаться в экосистеме Linux.

В связке Samba DC и Kerberos можно получить полноценную доменную среду, в которой клиентские машины смогут проходить аутентификацию через домен, а администратор — управлять объектами и DNS-записями с помощью samba-tool.

Подготовка сервера

Первым шагом устанавливают пакет с ролью контроллера домена:

apt-get install task-samba-dc

Перед созданием домена важно правильно настроить имя сервера и DNS. Обычно для этого редактируют /etc/resolv.conf, чтобы система могла корректно разрешать имена во время provision и последующей работы домена.

Также перед созданием нового домена удаляют старую конфигурацию Samba, если она мешает чистой установке:

rm -rf /etc/samba/smb.conf

Это позволяет samba-tool domain provision создать конфигурацию с нуля, без конфликтов со старыми параметрами.

Создание домена

Основная команда инициализации домена выглядит так:

samba-tool domain provision

Во время процедуры задаются имя домена, realm, пароль администратора и параметры DNS. В документации и практических гайдах для ALT Linux этот шаг считается центральным, потому что именно он разворачивает структуру Active Directory, базу пользователей, встроенный DNS и каталог домена.

После выполнения provision нужно включить сервис Samba:

systemctl enable --now samba.service

На некоторых системах после создания домена также полезно перезапустить службу вручную:

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

systemctl restart samba.service

Если конфигурация создана корректно, служба запускается без ошибок и начинает обслуживать доменные запросы.

Kerberos и проверка доступа

Для корректной работы доменной аутентификации обычно копируют Kerberos-конфигурацию, созданную Samba:

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

systemctl restart samba.service

После этого можно проверить получение Kerberos-билета:

kinit administrator

Эта проверка важна, потому что она показывает, что домен создан правильно, Kerberos работает, а учетная запись администратора доступна для аутентификации.

Управление DNS

После развёртывания домена часто требуется добавить записи в DNS вручную, особенно если нужно сразу подготовить хосты или обслуживать обратные зоны. Для этого используется samba-tool dns add.

Пример A-записи:

samba-tool dns add localhost goida.ru hq-rtr A 192.168.1.1

Это создает запись hq-rtr.goida.ru с IP-адресом 192.168.1.1. Такой подход удобен, когда серверы и рабочие станции должны иметь понятные доменные имена.

Пример PTR-записи:

samba-tool dns add localhost 1.168.192.in-addr.arpa 2 PTR server1.goida.ru

Однако в этом месте стоит быть внимательнее: PTR-запись должна соответствовать конкретному IP-адресу и корректной обратной зоне. На практике перед добавлением PTR-записей часто сначала создают саму reverse-зону.

Создание зоны обратного DNS:

samba-tool dns zonecreate localhost 17.168.192.in-addr.arpa

Это позволяет дальше добавлять PTR-записи для адресов из соответствующей подсети.

Добавление клиента в домен

На клиентской машине нужно установить пакет для интеграции с доменом:

apt-get install task-auth-ad-sssd admc

Пакет task-auth-ad-sssd устанавливает набор компонентов для подключения Linux-клиента к Active Directory через SSSD, а admc помогает администрировать доменную среду из графического интерфейса.