Membangun Linux Active Directory Dengan Samba4 Pada Redhat/CentOS Part 5 : Konfigurasi Dynamic DNS & Kerberos

Agar Samba 4 yang sudah di compile dan install dapat digunakan oleh Windows klien, maka kita harus setup terlebih dahulu DNS server untuk komunikasi dengan klien Windows. Sama halnya dengan Windows Server pada umumnya yang membutuhkan DNS agar Windows klien dapat join terhadap AD yang ada pada Windows Server. Berikut adalah tahapan instalasi yang dilakukan :
[code lang=’bash’]
yum install bind bind-sdb
[/code]
Samba4 yang dicompile dan install memiliki database dns sendiri yang harus dimasukkan kedalam konfigurasi dns server yang sudah ada agar samba4 berjalan dengan semestinya

Konfigurasi named.conf

Samba memiliki file named.conf sendiri untuk konfigurasi dns dengan metode DLZ (Dynamically Loadable Zone). Tambahkan include “/usr/local/samba/private/named.conf”; di baris paling bawah pada named.conf. Selain itu, tambahkan juga ip address server pada bagian listen-on port 53 dan any pada allow-query.
[code lang=’bash’]
vi /etc/named.conf
[/code]
dns_query_imanudin.com

dns_include_imanudin.com

Disable SELinux

SELinux merupakan security yang digunakan yang ada pada CentOS seperti halnya Apparmor pada Debian/Ubuntu. Agar konfigurasi dns dapat diload oleh DLZ, maka selinux harus di disable. Berikut cara disable selinux :
[code lang=’bash’]
vi /etc/sysconfig/selinux
[/code]
selinux_imanudin.com
Kemudian jalankan perintah berikut :
[code lang=’bash’]
setenforce 0
[/code]

Disable chroot directory

DNS pada samba4 tidak dapat berjalan jika menggunakan chroot dns, maka kita harus disable chroot dns terlebih dahulu pada file /etc/sysconfig/named dan berikan comment (#) pada ROOTDIR=/var/named/chroot
[code lang=’bash’]
vi /etc/sysconfig/named
[/code]
disable_chrootdns_imanudin.com
Konfigurasi named.conf samba4

Check versi bind yang digunakan :
[code lang=’bash’]
yum info bind
[/code]
bind_info_imanudin.com

Ubah database dlz agar menggunakan bind sesuai dengan versi yang dihasilkan dari perintah diatas :
[code lang=’bash’]
vi /usr/local/samba/private/named.conf
[/code]
dlz_bind_imanudin.com

Jika semua tahapan konfigurasi diatas sudah dilakukan, restart service dns server dan chek log untuk melihat beberapa masalah apabila dns gagal start
[code lang=’bash’]
chown named.named /var/named/
service named restart
[/code]
Testing konfigurasi DNS
[code lang=’bash’]
host -t SRV _ldap._tcp.imanudin.com.
host -t SRV _kerberos._udp.imanudin.com.
host -t A imanudin.com.
[/code]
testing_bind_imanudin.com

Konfigurasi Kerberos
[code lang=’bash’]
cp /etc/krb5.conf /etc/krb5.conf.asli
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
[/code]
Testing Kerberos
[code lang=’bash’]
kinit administrator
klist -e
[/code]
testing_kerberos_imanudin.com

Konfigurasi kerberos DNS dynamic updates (Optional)

Untuk melakukan konfigurasi kerberos dynamic DNS updates, rekomendasi versi bind yang digunakan adalah versi 9.8 atau latest version, karena pada versi tersebut terdapat patches dari samba team secara langsung yang membuat DNS dynamic updates lebih bagus dan mudah dikonfigurasi. Tambahkan tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf dan berada dalam konfigurasi options {…}.
[code lang=’bash’]
vi /etc/named.conf
[/code]
keytab_dns_imanudin.com

Setelah melakukan penambahan pada named.conf, ubah kepemilikannya
[code lang=’bash’]
chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab
chkconfig named on
[/code]
check apakah ada update terbaru mengenai dynamic DNS updates
[code lang=’bash’]
/usr/local/samba/sbin/samba_dnsupdate –verbose
[/code]
Artikel berikut nya adalah konfigurasi NTP Server dan Windows Klien.

Silakan dicoba dan semoga bermanfaat 😀

Artikel sebelumnya :

Ahmad Imanudin, Tinggal di Bekasi. Bekerja sebagai salah satu staff di PT. Excellent Infotama Kreasindo. Dapat dihubungi pada alamat surel ahmad [at] imanudin.com

51 thoughts on “Membangun Linux Active Directory Dengan Samba4 Pada Redhat/CentOS Part 5 : Konfigurasi Dynamic DNS & Kerberos

    • Halo mas,
      Jika untuk DNS yang lain bisa mas. Install Webmin dan konfigurasi, kalo untuk Samba 4 kebetulan Samba punya DNS dengan modul DLZ sendiri dan tidak bisa dilihat via Webmin

  • artikelnya mantab banget euy., thx berat. boleh kontak personnya. mau nanya2 yg lain berkaitan dengan samba4 AD. boleh gak..?

      • Terima kasih Mas Bro,
        Saya sudah implmentasikan artikel part 1 hingga prt 7 dan saya logon lewat xp jalan.
        Mohon infonya bedanya ketika saya provision menggunakan BIND9_DLZ dengan menggunakan SAMBA_INTERNAL

        salam,
        Yogi

          • Terima kasih responnya Mas Bro,
            kapan ada artikel tentang samba 3 atau 4 sebagai member domain yang menggunakan autentifikasi dari AD artikel ini Mas..?

            regards
            Yogi

      • kalo liat dari manul mas ahmad, ini sudah pake ldap belom yah, kalo saudah alamat ldap nya apayah ?? terus kalo belom bagai mana jika saya mau menggunakan ldap adagr bisa SSO dengan aplikasi di tempat saya

    • Maksud saya bukan BDC mas Bro, tapi Samba4 sebagai Domain Member untuk sharing folder menggunakan athentifikasi dari ADnya. dah banyak nyoba gatot terus sampai sutris euy…
      regards
      Yogi

  • Mas Ahmad,

    Saya ada kendala kembali saat “Testing konfigurasi DNS”

    1.host -t SRV _ldap._tcp.imanudin.com.
    2.host -t SRV _kerberos._udp.imanudin.com.
    3.host -t A imanudin.com.

    muncul error :
    “connection time out; trying next origin”

    Sedangkan jika di set (contoh) :
    host -t SRV _ldap._tcp.imanudin.com. localhost
    hasilnya : sukses (dns record seperti contoh di atas)

    Mohon pencerahannya mas
    thx

  • Halo Mas,

    Saya sudah coba masukkan IP samba4-nya tapi hasilnya :
    host -t SRV _ldap._tcp.namadomain.com.
    Host _ldap._tcp.namadomain.com. not found: 3(NXDOMAIN)

    *namadoin.com adalah domain yang saya tes

    Sedangkan untuk masalah listen-port sudah ada iptables off

    Mohon pencerahannya.
    Thx.

  • Halo, Mas Ahmad
    minta sedikit tipsnya ya, saya sudah coba di buku modul yang dari Mas.
    Saya waktu bikin user di OU nya, yang lewat windows itu kenapa ada tulisannya “windows canot verify that the user name is inique because the
    following error is occured while contacting the global catalog”
    Mohon dibantu….
    Thanks.

  • Halo, Mas Ahmad
    Saya sudah berhasil buat user di OU nya Mas
    ternyata kurang di complexitas user Mas.
    buku modulnya ajib……….!
    Thanks

  • Halo Mas Ahmad
    tolong dibantu ya Mas….
    saya ada kendala pindah folder my document dan sharing folder Mas
    proses konfigurasi OU pindah foldernya berjalan lancar, tapi pas di cek di direktorinya, user yang loginnya 0. user windows seperti tidak terbaca di samba.
    Mohon dibantu,Mas Ahmad
    Thanks…….

  • @Ahmad Imanudin
    kalo liat dari manul mas ahmad, ini sudah pake ldap belom yah, kalo saudah alamat ldap nya apayah ?? terus kalo belom bagai mana jika saya mau menggunakan ldap agar bisa SSO dengan aplikasi yang lainnya. makasih banyak mas

  • Hallo Kang bro Ahmad,
    Saya udah jalan dengan artikel ini dan gak ada masalah selama ini,
    tapi ketika hari ini saya restart named ada masalah di konfigurasi /etc/named.conf.
    keluar error :
    /etc/named.conf:11: unknown option ‘tkey-gssapi-ketab’

    apa ada perubahan pada paket bind9 kang, kok tiba2 option tersebut gak dikenal ya..?
    mohon pencerahannya Kang, terima kasih sebelumnya kang.
    regards
    Yogi

  • Sore mas Ahmad,

    saya ada kendala, sebelumnya semuanya berjalan normal sesuai dengan step2 yang diberikan tetapi saat saya restore datanya ke server yang baru (data ini dari server samba4 yang lama, saya sedang buat server ke2 untuk backup) mendadak service DNS-nya tidak berjalan..

    bisa infokan pencerahannya mas, kira2 fix kendala dimana dan solusinya apa ya?

    Thank you

  • mas , ini kenapa ya? saya sudah ikuti tutornya, cm error ini :

    “kinit: Cannot contact any KDC for realm ‘XXXXXX.NET’ while getting initial credentials

  • mas, kenapa kalo saya pakai domain TLD (.com , co.id , .net )
    tidak mau pada saat join windows client.

    tetapi kalo saya pakai domain Non TLD bisa , misal domain.local

    • Hi mas Fahry,

      Pastikan DNS yang pertama pada Windows Klien mengarah pada server Samba4. Cek juga via ping atau yang lainnya untuk memastikan bahwa nama domain Samba4 dapat diakses

  • Ini manstabb banget tutorialnya, kalau yang sering ngoprek Linux pasti waktu hands on ada beberapa kendala. Tapi bisa diatasi 🙂

    Terima kasih Pak Ahmad sharing ilmunya, semoga bermanfaat…

  • dear Mas, ketika service named retart
    itu failed mas.
    dan saya cek di log.
    samba_dlz: Failed to connect to /usr/local/samba/private/dns/sam.ldb

    dan saya coba cek ke dir /usr/local/samba/private/
    ternyata directory DNS nya tidak ada.

    bagaimana ya mas apakah ada yg miss
    thank you

    • Hi mas Setian,

      Pada saat melakukan provisioning, apakah memilih BIND9_DLZ atau tipe DNS yang lain? coba upgrade tipe DNS nya menjadi DLZ dan testing kembali

      /usr/local/samba/sbin/samba_upgradedns –dns-backend=BIND9_DLZ
      
  • Mas Ahmad, saya mau tanya pada step knit administrator hasilnya “Cannot contact any KDC for realm ‘XXXXX.COM’ while getting initial credentials”
    errornya di file mana ya mas?

    thanks b4

  • mas manage samaba 4 dari windows RSAT untuk active directoy dan group polcy jalan cuma untuk manage dns dari rsat muncul error ” the server could not be contacted “

  • Hi mas imalludin just info tambahan untuk yang baca artikel ini ternyata probem ” gagal conect ke dns dan update polecy ” itu ada di versi samba 4.7.5 dan 4.8.0 mungkin ada action tambahan agar versi ini bisa running well

  • kang imalludin ini kalo dns samba internal kita domain name nya sama dengan website internet cara ngakalinnya gmn ya mas supaya dari internal tetap bisa akses website internet ?

  • Hallo Mas,
    setelah semua tahapan saya jalankan, pada saat restart ada failed /etc/named.conf:43: expected quoted string near ‘“’ , saya sudah samakan versi db nya, tapi tetap saja masih failed, mohon saranya…

    Terima Kasih,

  • hallo mas,
    saya punya pertanyaan, semoga mas mau membantu.
    – Saya sudah sukses install samba4 ad seperti yang saya inginkan, Configurasi Samba4 AD dengan RSAT juga sudah sukses. Pertanyaannya bagaimana caranya saya tidak perlu menabahkan secara manual DNS IP server samba di tiap client. Saya menggunakan DCHP dari router dmn DNS static untuk IP Server Samba sudah saya tambahkan. Client dengan DHCP dari router bisa ping baik IP, Domain, dan hostname server semua OK tidak ada kendala, tetapi ketika Join Domain selalu gagal. Mohon bantuannya
    Terima kasih sebelumnya.

  • hallo mas,
    versi bind saya 9.11, namun database dlz di server saya hanya ada versi 9.8 dan 9.9, saya harus download dlz yang versi 9.11 atau seperti apa ya mas? ,atau harus saya downgrade versi bindnya? terimakasih

  • Hallo mas iman,
    Mohon solusinya, mas saya ada kendalah saat menjalankan perintah service named restart, berikut pesan errornya :
    ● named.service – Berkeley Internet Name Domain (DNS)
    Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
    Active: failed (Result: exit-code) since Thu 2021-04-01 14:52:03 WIB; 11s ago
    Process: 14005 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=1/FAILURE)
    Process: 14003 ExecStartPre=/bin/bash -c if [ ! “$DISABLE_ZONE_CHECKING” == “yes” ]; then /usr/sbin/named-checkconf -z “$NAMEDCONF”; else echo “Checking of zone files is disabled”; fi (code=exited, status=0/SUCCESS)

    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: listening on IPv6 interface lo, ::1#53
    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: generating session key for dynamic DNS
    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: sizing zone task pool based on 6 zones
    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: Loading ‘AD DNS Zone’ using driver dlopen
    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: dlz_dlopen: /usr/local/samba/lib/bind9/dlz_bind9_11.so: incorrect driver API version 2, requires 3
    Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: dlz_dlopen of ‘AD DNS Zone’ failed
    Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: named.service: control process exited, code=exited status=1
    Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: Failed to start Berkeley Internet Name Domain (DNS).
    Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: Unit named.service entered failed state.
    Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: named.service failed.
    [root@localhost bind9]# Failed to start Berkel

    Terima kasih.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

You might also like
Cara Membuat WhatsApp Gateway Sendiri dengan go-whatsapp-web-multidevice

Cara Membuat WhatsApp Gateway Sendiri dengan go-whatsapp-web-multidevice

Panduan Konfigurasi Network dengan systemd-networkd di Ubuntu/Debian

Panduan Konfigurasi Network dengan systemd-networkd di Ubuntu/Debian

Panduan Lengkap Setup Ceph Cluster Multi-Node (GUI)

Panduan Lengkap Setup Ceph Cluster Multi-Node (GUI)

Stay Connected
Tips Mengganti Tampilan Background di Zimbra Webmail
Menambahkan Modul Set Flag Moderated melalui CLI pada Mailman
Panduan Instalasi Zextras Carbonio Community Edition (CE) pada Oracle Linux 8
Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Join 1,863 other subscribers
Categories