Artikel sebelumnya : Persiapan instalasi Samba4 pada Excellent Samba4 Appliance
# Provisioning Samba4
Setelah samba4 di compile dan install, lanjut proses provisioning samba4 dan menjadikannya sebagai Active Directory Server. Provisioning seperti dcpromo pada Windows Server. Jalankan perintah berikut pada Excellent Samba4 Appliance
[code lang=’plain’]
/usr/local/samba/bin/samba-tool domain provision –use-rfc2307 –interactive
[/code]
Sesuaikan pertanyaan seperti contoh berikut :
Realm : Nama domain. Contohnya IMANUDIN.NET Domain : Nama Workgroup (Biasanya nama domain tanpa TLD). Contoh IMANUDIN Server Role : dc DNS backend : BIND9_DLZ Password : VerySecret123 (isi password dengan minimum panjang 8 karakter, 1 huruf besar, 1 huruf kecil dan 1 nomor)
Jika melihat proses/info seperti berikut, Samba4 telah sukses diprovisioning/dijadikan Active Directory Server
# Menjalankan Samba4
Untuk menghidupkan/mematikan service samba4, sudah disediakan sebuah init script pada folder /srv/ai. Cukup tambahkan pada systemctl/sysinit.
[code lang=’plain’]
cp /srv/ai/samba4 /etc/init.d/samba4
chmod 755 /etc/init.d/samba4
chmod +x /etc/init.d/samba4
chkconfig samba4 on
service samba4 restart
service samba4 status
[/code]
# Test masuk ke folder share
[code lang=’plain’]
/usr/local/samba/bin/smbclient //localhost/netlogon -Uadministrator%VerySecret123
[/code]
VerySecret123 adalah password yang dimasukkan ketika provisioning samba4. Jika sukses, konsol akan berubah menjadi seperti : smb: \> :
# Konfigurasi Dynamic DNS Server
Konfigurasi named.conf untuk melakukan query DNS dari samba server (BIND9_DLZ) yang telah dipilih pada proses provisioning
[code lang=’plain’]
vi /etc/named.conf
[/code]
tambah dan sesuaikan baris berikut pada baris paling bawah
include "/usr/local/samba/private/named.conf";
Buka file /etc/sysconfig/named dan ubah NAMED_RUN_CHROOTED=”yes” menjadi no
NAMED_RUN_CHROOTED="no"
Ubah owner folder /var/lib/named menjadi named
[code lang=’plain’]
chown named /var/lib/named/
[/code]
Buka file /usr/local/samba/private/named.conf dan pastikan sudah menggunakan bind 9.9.x
dlz "AD DNS Zone" { # For BIND 9.8.0 # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so"; # For BIND 9.9.0 database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so"; };
restart service dns dan testing
[code lang=’plain’]
systemctl restart named
systemctl status named
systemctl enable named
[/code]
[code lang=’plain’]
host -t SRV _ldap._tcp.imanudin.net.
host -t SRV _kerberos._udp.imanudin.net.
host -t A imanudin.net.
[/code]
Hasilnya harus seperti berikut. Jika hasilnya berbeda, ada kemungkinan konfigurasi dns nya masih bermasalah
[root@samba4 ~]# host -t SRV _ldap._tcp.imanudin.net. _ldap._tcp.imanudin.net has SRV record 0 100 389 samba4.imanudin.net. [root@samba4 ~]# host -t SRV _kerberos._udp.imanudin.net. _kerberos._udp.imanudin.net has SRV record 0 100 88 samba4.imanudin.net. [root@samba4 ~]# host -t A imanudin.net. imanudin.net has address 192.168.1.111
# Konfigurasi Kerberos
[code lang=’plain’]
cp /etc/krb5.conf /etc/krb5.conf.ori
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
[/code]
# Testing Kerberos
[code lang=’plain’]
kinit administrator
klist -e
[/code]
Berikut adalah output hasil dari perintah diatas
[root@samba4 ~]# kinit administrator Password for administrator@IMANUDIN.NET: Warning: Your password will expire in 41 days on Sat Mar 12 23:41:47 2016 [root@samba4 ~]# klist -e Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@IMANUDIN.NET Valid starting Expires Service principal 03/12/16 23:41:04 03/12/16 10:57:04 krbtgt/IMANUDIN.NET@IMANUDIN.NET renew until 03/12/16 00:57:01, Etype (skey, tkt): arcfour-hmac, arcfour-hmac
# Konfigurasi kerberos DNS dynamic updates (Opsional)
Konfigurasi ini sifatnya opsional. Konfigurasi ini bisa diapply atau diskip. Untuk konfigurasi, tambahkan baris tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf pada bagian options. Lihat contoh berikut
[code lang=’plain’]
vi /etc/named.conf
[/code]
options { tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
Jalankan perintah berikut untuk merubah owner dan akses pada file dns.keytab
[code lang=’plain’]
chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab
[/code]
Cek apakah ada update tentang dynamic DNS dengan perintah berikut
[code lang=’plain’]
/usr/local/samba/sbin/samba_dnsupdate –verbose
[/code]
# Konfigurasi NTP Server (Opsional)
Buka file /etc/ntp.conf dan tambahkan baris berikut pada baris paling bawah
server 0.id.pool.ntp.org server 1.id.pool.ntp.org server 2.id.pool.ntp.org server 3.id.pool.ntp.org
Restart service NTP
[code lang=’plain’]
systemctl restart ntpd
systemctl enable ntpd
systemctl status ntpd
ntpq -p
[/code]
Selamat, sekarang Excellent Samba4 Appliance sudah berhasil dijadikan Active Directory Server dan bisa dilakukan join Windows client pada Samba4.
Berikut beberapa informasi terkait integrasi dengan Samba4
– https://imanudin.net/2014/11/18/tips-join-windows-client-to-samba4-active-directory/
– https://imanudin.net/2016/03/06/how-to-movemigrate-user-profile-on-windows/
– https://imanudin.net/2015/12/19/samba-tips-how-to-configure-automatic-mapping-drive-when-login/
– https://imanudin.net/2015/02/03/how-to-change-password-users-active-directorysamba4-via-web-using-ldap-toolbox/
– https://imanudin.net/2014/12/07/zimbra-tips-integration-of-active-directorysamba4-with-zimbra-mail-server/
Silakan dicoba dan semoga bermanfaat 😀
Hallo Mas Ahmad..
Mas sori mau nanya, saya sehabis upgrade ke samba4 yang terbaru jadi tidak bisa untuk authentication ke squid 2.7.. sebelumnya di versi 4.1.16 berjalan lancar.. apakah ada perbedaan konfignya Mas ?
berikut konfiguasri authen to squid 2.7 :
/usr/sbin/squid_ldap_auth -R -D “cn=Administrator,cn=Users,dc=aswata,dc=co,dc=id” -w “passwordadministrator” -b “dc=aswata,dc=co,dc=id” -f sAMAccountName=%s -h xxx.xxx.xxx.xxx -p 389
Mohon pencerahannya Mas , hehehe
Thanks,
Andika
Hi mas Andika,
Mungkin koneksinya harus menggunakan TLS/SSL. Coba testing saja portnya diganti menjadi port 636 atau 3268
Hai Mas Ahmad,
Makasih responnya Mas,, masih error juga mas hehehe..
Saya lakukan update ke versi terbaru karena jika menggunakan samba4 4.1.16 di windows 10 email outlooknya error terus status reject 553 5.7.1 . Tapi kalo pake webmail dan thunderbird bisa login zimbra..
Thanks,
Andika