Membangun Linux Active Directory Dengan Samba4 Pada Redhat/CentOS Part 5 : Konfigurasi Dynamic DNS & Kerberos
Agar Samba 4 yang sudah di compile dan install dapat digunakan oleh Windows klien, maka kita harus setup terlebih dahulu DNS server untuk komunikasi dengan klien Windows. Sama halnya dengan Windows Server pada umumnya yang membutuhkan DNS agar Windows klien dapat join terhadap AD yang ada pada Windows Server. Berikut adalah tahapan instalasi yang dilakukan :
[code lang=’bash’]
yum install bind bind-sdb
[/code]
Samba4 yang dicompile dan install memiliki database dns sendiri yang harus dimasukkan kedalam konfigurasi dns server yang sudah ada agar samba4 berjalan dengan semestinya
Konfigurasi named.conf
Samba memiliki file named.conf sendiri untuk konfigurasi dns dengan metode DLZ (Dynamically Loadable Zone). Tambahkan include “/usr/local/samba/private/named.conf”; di baris paling bawah pada named.conf. Selain itu, tambahkan juga ip address server pada bagian listen-on port 53 dan any pada allow-query.
[code lang=’bash’]
vi /etc/named.conf
[/code]
Disable SELinux
SELinux merupakan security yang digunakan yang ada pada CentOS seperti halnya Apparmor pada Debian/Ubuntu. Agar konfigurasi dns dapat diload oleh DLZ, maka selinux harus di disable. Berikut cara disable selinux :
[code lang=’bash’]
vi /etc/sysconfig/selinux
[/code]
Kemudian jalankan perintah berikut :
[code lang=’bash’]
setenforce 0
[/code]
Disable chroot directory
DNS pada samba4 tidak dapat berjalan jika menggunakan chroot dns, maka kita harus disable chroot dns terlebih dahulu pada file /etc/sysconfig/named dan berikan comment (#) pada ROOTDIR=/var/named/chroot
[code lang=’bash’]
vi /etc/sysconfig/named
[/code]
Konfigurasi named.conf samba4
Check versi bind yang digunakan :
[code lang=’bash’]
yum info bind
[/code]
Ubah database dlz agar menggunakan bind sesuai dengan versi yang dihasilkan dari perintah diatas :
[code lang=’bash’]
vi /usr/local/samba/private/named.conf
[/code]
Jika semua tahapan konfigurasi diatas sudah dilakukan, restart service dns server dan chek log untuk melihat beberapa masalah apabila dns gagal start
[code lang=’bash’]
chown named.named /var/named/
service named restart
[/code]
Testing konfigurasi DNS
[code lang=’bash’]
host -t SRV _ldap._tcp.imanudin.com.
host -t SRV _kerberos._udp.imanudin.com.
host -t A imanudin.com.
[/code]
Konfigurasi Kerberos
[code lang=’bash’]
cp /etc/krb5.conf /etc/krb5.conf.asli
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
[/code]
Testing Kerberos
[code lang=’bash’]
kinit administrator
klist -e
[/code]
Konfigurasi kerberos DNS dynamic updates (Optional)
Untuk melakukan konfigurasi kerberos dynamic DNS updates, rekomendasi versi bind yang digunakan adalah versi 9.8 atau latest version, karena pada versi tersebut terdapat patches dari samba team secara langsung yang membuat DNS dynamic updates lebih bagus dan mudah dikonfigurasi. Tambahkan tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf dan berada dalam konfigurasi options {…}.
[code lang=’bash’]
vi /etc/named.conf
[/code]
Setelah melakukan penambahan pada named.conf, ubah kepemilikannya
[code lang=’bash’]
chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab
chkconfig named on
[/code]
check apakah ada update terbaru mengenai dynamic DNS updates
[code lang=’bash’]
/usr/local/samba/sbin/samba_dnsupdate –verbose
[/code]
Artikel berikut nya adalah konfigurasi NTP Server dan Windows Klien.
Silakan dicoba dan semoga bermanfaat 😀
Artikel sebelumnya :
- https://imanudin.com/2013/05/10/membangun-linux-active-directory-dengan-samba4-pada-redhatcentos-part-1-introduction/
- https://imanudin.com/2013/05/11/membangun-linux-active-directory-dengan-samba4-pada-redhatcentos-part-2-instalasi-sistem-operasi/
- https://imanudin.com/2013/05/12/membangun-linux-active-directory-dengan-samba4-pada-redhatcentos-part-3-konfigurasi-network-dan-repositori/
- https://imanudin.com/2013/05/13/membangun-linux-active-directory-dengan-samba4-pada-redhatcentos-part-4-compile-install-provisioning-samba-4/
Tagged with:
Active DirectoryAplikasiCentOSDomain ControllerExcellentExcellent Infotama KreasindoGPOKreasindoLogin DomainPDCRedhatSamba4Software
Ahmad Imanudin, Tinggal di Bekasi. Bekerja sebagai salah satu staff di PT. Excellent Infotama Kreasindo. Dapat dihubungi pada alamat surel ahmad [at] imanudin.com
hebat euy si iman jago coding ” vi ”
gw aja mash pake ” vim “
@tongsamconge : vi jeung vim sami bae, cuma lamun vim kan aya warnaan 😀
mas iman cara seting dns server gimana sih mas bikin domainnya apa bisa pake webmin mas
Halo mas,
Jika untuk DNS yang lain bisa mas. Install Webmin dan konfigurasi, kalo untuk Samba 4 kebetulan Samba punya DNS dengan modul DLZ sendiri dan tidak bisa dilihat via Webmin
artikelnya mantab banget euy., thx berat. boleh kontak personnya. mau nanya2 yg lain berkaitan dengan samba4 AD. boleh gak..?
Hi mas,
Untuk kontak email saya ini mas [email protected] 😀
Terima kasih Mas Bro,
Saya sudah implmentasikan artikel part 1 hingga prt 7 dan saya logon lewat xp jalan.
Mohon infonya bedanya ketika saya provision menggunakan BIND9_DLZ dengan menggunakan SAMBA_INTERNAL
salam,
Yogi
Sebenarnya tidak ada bedanya. Dulu waktu saya pake SAMBA_INTERNAL, klien yang login tidak bisa akses internet dan akhirnya pake BIND9_DLZ saja
Terima kasih responnya Mas Bro,
kapan ada artikel tentang samba 3 atau 4 sebagai member domain yang menggunakan autentifikasi dari AD artikel ini Mas..?
regards
Yogi
kalo liat dari manul mas ahmad, ini sudah pake ldap belom yah, kalo saudah alamat ldap nya apayah ?? terus kalo belom bagai mana jika saya mau menggunakan ldap adagr bisa SSO dengan aplikasi di tempat saya
@Yogi : Sudah ada ko mas, ini salah satu artikel-nya : https://www.imanudin.com/2013/05/21/tips-samba-membuat-bdcjoin-a-domain-as-a-dc-pada-samba-4/
Maksud saya bukan BDC mas Bro, tapi Samba4 sebagai Domain Member untuk sharing folder menggunakan athentifikasi dari ADnya. dah banyak nyoba gatot terus sampai sutris euy…
regards
Yogi
Mas Ahmad,
Saya ada kendala kembali saat “Testing konfigurasi DNS”
1.host -t SRV _ldap._tcp.imanudin.com.
2.host -t SRV _kerberos._udp.imanudin.com.
3.host -t A imanudin.com.
muncul error :
“connection time out; trying next origin”
Sedangkan jika di set (contoh) :
host -t SRV _ldap._tcp.imanudin.com. localhost
hasilnya : sukses (dns record seperti contoh di atas)
Mohon pencerahannya mas
thx
apakah untuk samba4 ini bisa kita tambahin gui, jika bisa apa yang perlu saya install?
thnks mas
@ Jaro : Untuk isian resolv.conf-nya sudah merujuk pada IP Samba4 itu sendiri belum? sudah di masukkan pada listen-port?
@ Rahmad : Untuk GUI penambahan user dan yang lain-lain yang biasa dilakukan pada Windows Server bisa menggunakan RSAT yang dapat di download dan install : http://ahmad.imanudin.com/2013/05/18/membangun-linux-active-directory-dengan-samba4-pada-redhatcentos-part-7-manajemen-samba-4-ad-object-dari-windows/
Halo Mas,
Saya sudah coba masukkan IP samba4-nya tapi hasilnya :
host -t SRV _ldap._tcp.namadomain.com.
Host _ldap._tcp.namadomain.com. not found: 3(NXDOMAIN)
*namadoin.com adalah domain yang saya tes
Sedangkan untuk masalah listen-port sudah ada iptables off
Mohon pencerahannya.
Thx.
@Jaro : Halo mas,
Sudah dipastikan service named-nya jalan? Coba kalo isian resolv.conf -nya diisi 127.0.0.1.
Halo, Mas Ahmad
minta sedikit tipsnya ya, saya sudah coba di buku modul yang dari Mas.
Saya waktu bikin user di OU nya, yang lewat windows itu kenapa ada tulisannya “windows canot verify that the user name is inique because the
following error is occured while contacting the global catalog”
Mohon dibantu….
Thanks.
Halo, Mas Ahmad
Saya sudah berhasil buat user di OU nya Mas
ternyata kurang di complexitas user Mas.
buku modulnya ajib……….!
Thanks
Halo Mas Ahmad
tolong dibantu ya Mas….
saya ada kendala pindah folder my document dan sharing folder Mas
proses konfigurasi OU pindah foldernya berjalan lancar, tapi pas di cek di direktorinya, user yang loginnya 0. user windows seperti tidak terbaca di samba.
Mohon dibantu,Mas Ahmad
Thanks…….
@Ahmad Imanudin
kalo liat dari manul mas ahmad, ini sudah pake ldap belom yah, kalo saudah alamat ldap nya apayah ?? terus kalo belom bagai mana jika saya mau menggunakan ldap agar bisa SSO dengan aplikasi yang lainnya. makasih banyak mas
Mas, klo pakai SAMBA_INTERNAL memang clientnya tidak bisa internet,, tapi klo menggunakan proxy bisa tidak mas?
Tq
Hallo Kang bro Ahmad,
Saya udah jalan dengan artikel ini dan gak ada masalah selama ini,
tapi ketika hari ini saya restart named ada masalah di konfigurasi /etc/named.conf.
keluar error :
/etc/named.conf:11: unknown option ‘tkey-gssapi-ketab’
apa ada perubahan pada paket bind9 kang, kok tiba2 option tersebut gak dikenal ya..?
mohon pencerahannya Kang, terima kasih sebelumnya kang.
regards
Yogi
Sore mas Ahmad,
saya ada kendala, sebelumnya semuanya berjalan normal sesuai dengan step2 yang diberikan tetapi saat saya restore datanya ke server yang baru (data ini dari server samba4 yang lama, saya sedang buat server ke2 untuk backup) mendadak service DNS-nya tidak berjalan..
bisa infokan pencerahannya mas, kira2 fix kendala dimana dan solusinya apa ya?
Thank you
Halo mas,
Ini service DNS yang mana yang tidak jalan? apakah yang server lama atau server backup/baru?
mas , ini kenapa ya? saya sudah ikuti tutornya, cm error ini :
“kinit: Cannot contact any KDC for realm ‘XXXXXX.NET’ while getting initial credentials
mas, kenapa kalo saya pakai domain TLD (.com , co.id , .net )
tidak mau pada saat join windows client.
tetapi kalo saya pakai domain Non TLD bisa , misal domain.local
Hi mas Fahry,
Pastikan DNS yang pertama pada Windows Klien mengarah pada server Samba4. Cek juga via ping atau yang lainnya untuk memastikan bahwa nama domain Samba4 dapat diakses
Ini manstabb banget tutorialnya, kalau yang sering ngoprek Linux pasti waktu hands on ada beberapa kendala. Tapi bisa diatasi 🙂
Terima kasih Pak Ahmad sharing ilmunya, semoga bermanfaat…
Terima kasih mas,
Semoga bermanfaat
dear Mas, ketika service named retart
itu failed mas.
dan saya cek di log.
samba_dlz: Failed to connect to /usr/local/samba/private/dns/sam.ldb
dan saya coba cek ke dir /usr/local/samba/private/
ternyata directory DNS nya tidak ada.
bagaimana ya mas apakah ada yg miss
thank you
Hi mas Setian,
Pada saat melakukan provisioning, apakah memilih BIND9_DLZ atau tipe DNS yang lain? coba upgrade tipe DNS nya menjadi DLZ dan testing kembali
Ok mas bisa, dan 1 lagi untuk services named nya biar otomatis di masukan ke chkconfig on dulu.
Untuk manage DNS bind agar mudah Webinterfaces atau GUI bisa ga mas?
Thanks berat mas
Hi mas,
Bisa menggunakan menu DNS-nya Windows yang terdapat pada package RSAT
Mas Ahmad, saya mau tanya pada step knit administrator hasilnya “Cannot contact any KDC for realm ‘XXXXX.COM’ while getting initial credentials”
errornya di file mana ya mas?
thanks b4
Hi mas,
Jika koneksi kinit gagal, biasanya salah konfigurasi pada file /etc/krb5.conf. Silakan dicek kembali dan disesuaikan.
Pastikan juga service DNS nya jalan
mas manage samaba 4 dari windows RSAT untuk active directoy dan group polcy jalan cuma untuk manage dns dari rsat muncul error ” the server could not be contacted “
Hi mas imalludin just info tambahan untuk yang baca artikel ini ternyata probem ” gagal conect ke dns dan update polecy ” itu ada di versi samba 4.7.5 dan 4.8.0 mungkin ada action tambahan agar versi ini bisa running well
Hi mas Ozan,
Coba tambahkan baris berikut pada bagian global file smb.conf
Saya belum coba apakah berhasil atau tidaknya 🙂
kang imalludin ini kalo dns samba internal kita domain name nya sama dengan website internet cara ngakalinnya gmn ya mas supaya dari internal tetap bisa akses website internet ?
bisa mas tinggal ditambahin www di dns internalnya
Siip mas. Mantaps
Hallo Mas,
setelah semua tahapan saya jalankan, pada saat restart ada failed /etc/named.conf:43: expected quoted string near ‘“’ , saya sudah samakan versi db nya, tapi tetap saja masih failed, mohon saranya…
Terima Kasih,
Hi mas,
Coba lihat baris ke 43 dari file named.conf. Caranya bisa langsung dibuka via vi
hallo mas,
saya punya pertanyaan, semoga mas mau membantu.
– Saya sudah sukses install samba4 ad seperti yang saya inginkan, Configurasi Samba4 AD dengan RSAT juga sudah sukses. Pertanyaannya bagaimana caranya saya tidak perlu menabahkan secara manual DNS IP server samba di tiap client. Saya menggunakan DCHP dari router dmn DNS static untuk IP Server Samba sudah saya tambahkan. Client dengan DHCP dari router bisa ping baik IP, Domain, dan hostname server semua OK tidak ada kendala, tetapi ketika Join Domain selalu gagal. Mohon bantuannya
Terima kasih sebelumnya.
Hi mas,
Pada isian DNS disisi DHCP, coba isi 1 IP saja. Yaitu IP nya si Samba4.
hallo mas,
versi bind saya 9.11, namun database dlz di server saya hanya ada versi 9.8 dan 9.9, saya harus download dlz yang versi 9.11 atau seperti apa ya mas? ,atau harus saya downgrade versi bindnya? terimakasih
Hi mas Irwan,
Bisa coba di downgrade versinya mas. Atau bisa juga pakai DNS tipe INTERNAL bawaan dari Samba4 nya.
Hallo mas iman,
Mohon solusinya, mas saya ada kendalah saat menjalankan perintah service named restart, berikut pesan errornya :
● named.service – Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Thu 2021-04-01 14:52:03 WIB; 11s ago
Process: 14005 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=1/FAILURE)
Process: 14003 ExecStartPre=/bin/bash -c if [ ! “$DISABLE_ZONE_CHECKING” == “yes” ]; then /usr/sbin/named-checkconf -z “$NAMEDCONF”; else echo “Checking of zone files is disabled”; fi (code=exited, status=0/SUCCESS)
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: listening on IPv6 interface lo, ::1#53
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: generating session key for dynamic DNS
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: sizing zone task pool based on 6 zones
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: Loading ‘AD DNS Zone’ using driver dlopen
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: dlz_dlopen: /usr/local/samba/lib/bind9/dlz_bind9_11.so: incorrect driver API version 2, requires 3
Apr 01 14:52:03 MAINSERVER.LOCAL named[14007]: dlz_dlopen of ‘AD DNS Zone’ failed
Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: named.service: control process exited, code=exited status=1
Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: Failed to start Berkeley Internet Name Domain (DNS).
Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: Unit named.service entered failed state.
Apr 01 14:52:03 MAINSERVER.LOCAL systemd[1]: named.service failed.
[root@localhost bind9]# Failed to start Berkel
Terima kasih.