Tips Instalasi dan Konfigurasi Excellent Samba4 Appliance Sebagai Active Directory Server Bagian 2

Artikel sebelumnya : Persiapan instalasi Samba4 pada Excellent Samba4 Appliance

# Provisioning Samba4

Setelah samba4 di compile dan install, lanjut proses provisioning samba4 dan menjadikannya sebagai Active Directory Server. Provisioning seperti dcpromo pada Windows Server. Jalankan perintah berikut pada Excellent Samba4 Appliance
[code lang=’plain’]
/usr/local/samba/bin/samba-tool domain provision –use-rfc2307 –interactive
[/code]
Sesuaikan pertanyaan seperti contoh berikut :

Realm : Nama domain. Contohnya IMANUDIN.NET
Domain : Nama Workgroup (Biasanya nama domain tanpa TLD). Contoh IMANUDIN
Server Role : dc
DNS backend : BIND9_DLZ
Password : VerySecret123 (isi password dengan minimum panjang 8 karakter, 1 huruf besar, 1 huruf kecil dan 1 nomor)

Jika melihat proses/info seperti berikut, Samba4 telah sukses diprovisioning/dijadikan Active Directory Server

# Menjalankan Samba4

Untuk menghidupkan/mematikan service samba4,  sudah disediakan sebuah init script pada folder /srv/ai. Cukup tambahkan pada systemctl/sysinit.
[code lang=’plain’]
cp /srv/ai/samba4 /etc/init.d/samba4
chmod 755 /etc/init.d/samba4
chmod +x /etc/init.d/samba4
chkconfig samba4 on
service samba4 restart
service samba4 status
[/code]
# Test masuk ke folder share
[code lang=’plain’]
/usr/local/samba/bin/smbclient //localhost/netlogon -Uadministrator%VerySecret123
[/code]
VerySecret123 adalah password yang dimasukkan ketika provisioning samba4. Jika sukses, konsol akan berubah menjadi seperti : smb: \> :

# Konfigurasi Dynamic DNS Server

Konfigurasi named.conf untuk melakukan query DNS dari samba server (BIND9_DLZ) yang telah dipilih pada proses provisioning
[code lang=’plain’]
vi /etc/named.conf
[/code]
tambah dan sesuaikan baris berikut pada baris paling bawah

include "/usr/local/samba/private/named.conf";

Buka file /etc/sysconfig/named dan ubah NAMED_RUN_CHROOTED=”yes” menjadi no

NAMED_RUN_CHROOTED="no"

Ubah owner folder /var/lib/named menjadi named
[code lang=’plain’]
chown named /var/lib/named/
[/code]
Buka file /usr/local/samba/private/named.conf dan pastikan sudah menggunakan bind 9.9.x

dlz "AD DNS Zone" {
    # For BIND 9.8.0
    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";

    # For BIND 9.9.0
     database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
};

restart service dns dan testing
[code lang=’plain’]
systemctl restart named
systemctl status named
systemctl enable named
[/code]
[code lang=’plain’]
host -t SRV _ldap._tcp.imanudin.net.
host -t SRV _kerberos._udp.imanudin.net.
host -t A imanudin.net.
[/code]
Hasilnya harus seperti berikut. Jika hasilnya berbeda, ada kemungkinan konfigurasi dns nya masih bermasalah

[root@samba4 ~]# host -t SRV _ldap._tcp.imanudin.net.
_ldap._tcp.imanudin.net has SRV record 0 100 389 samba4.imanudin.net.
[root@samba4 ~]# host -t SRV _kerberos._udp.imanudin.net.
_kerberos._udp.imanudin.net has SRV record 0 100 88 samba4.imanudin.net.
[root@samba4 ~]# host -t A imanudin.net.
imanudin.net has address 192.168.1.111

# Konfigurasi Kerberos
[code lang=’plain’]
cp /etc/krb5.conf /etc/krb5.conf.ori
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf
[/code]
# Testing Kerberos
[code lang=’plain’]
kinit administrator
klist -e
[/code]
Berikut adalah output hasil dari perintah diatas

[root@samba4 ~]# kinit administrator
Password for administrator@IMANUDIN.NET: 
Warning: Your password will expire in 41 days on Sat Mar 12 23:41:47 2016
[root@samba4 ~]# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@IMANUDIN.NET

Valid starting     Expires            Service principal
03/12/16 23:41:04  03/12/16 10:57:04  krbtgt/IMANUDIN.NET@IMANUDIN.NET
        renew until 03/12/16 00:57:01, Etype (skey, tkt): arcfour-hmac, arcfour-hmac

# Konfigurasi kerberos DNS dynamic updates (Opsional)

Konfigurasi ini sifatnya opsional. Konfigurasi ini bisa diapply atau diskip. Untuk konfigurasi, tambahkan baris tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf pada bagian options. Lihat contoh berikut
[code lang=’plain’]
vi /etc/named.conf
[/code]

options {
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";

Jalankan perintah berikut untuk merubah owner dan akses pada file dns.keytab
[code lang=’plain’]
chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab
[/code]
Cek apakah ada update tentang dynamic DNS dengan perintah berikut
[code lang=’plain’]
/usr/local/samba/sbin/samba_dnsupdate –verbose
[/code]
# Konfigurasi NTP Server (Opsional)

Buka file /etc/ntp.conf dan tambahkan baris berikut pada baris paling bawah

server 0.id.pool.ntp.org
server 1.id.pool.ntp.org
server 2.id.pool.ntp.org
server 3.id.pool.ntp.org

Restart service NTP
[code lang=’plain’]
systemctl restart ntpd
systemctl enable ntpd
systemctl status ntpd
ntpq -p
[/code]
Selamat, sekarang Excellent Samba4 Appliance sudah berhasil dijadikan Active Directory Server dan bisa dilakukan join Windows client pada Samba4.

Berikut beberapa informasi terkait integrasi dengan Samba4

– https://imanudin.net/2014/11/18/tips-join-windows-client-to-samba4-active-directory/
– https://imanudin.net/2016/03/06/how-to-movemigrate-user-profile-on-windows/
– https://imanudin.net/2015/12/19/samba-tips-how-to-configure-automatic-mapping-drive-when-login/
– https://imanudin.net/2015/02/03/how-to-change-password-users-active-directorysamba4-via-web-using-ldap-toolbox/
– https://imanudin.net/2014/12/07/zimbra-tips-integration-of-active-directorysamba4-with-zimbra-mail-server/

Silakan dicoba dan semoga bermanfaat 😀