Tips Instalasi dan Konfigurasi Excellent Samba4 Appliance Sebagai Active Directory Server Bagian 2

Posted by

Artikel sebelumnya : Persiapan instalasi Samba4 pada Excellent Samba4 Appliance

# Provisioning Samba4

Setelah samba4 di compile dan install, lanjut proses provisioning samba4 dan menjadikannya sebagai Active Directory Server. Provisioning seperti dcpromo pada Windows Server. Jalankan perintah berikut pada Excellent Samba4 Appliance

/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive

Sesuaikan pertanyaan seperti contoh berikut :

Realm : Nama domain. Contohnya IMANUDIN.NET
Domain : Nama Workgroup (Biasanya nama domain tanpa TLD). Contoh IMANUDIN
Server Role : dc
DNS backend : BIND9_DLZ
Password : VerySecret123 (isi password dengan minimum panjang 8 karakter, 1 huruf besar, 1 huruf kecil dan 1 nomor)

Jika melihat proses/info seperti berikut, Samba4 telah sukses diprovisioning/dijadikan Active Directory Server

provisioning-samba4

# Menjalankan Samba4

Untuk menghidupkan/mematikan service samba4,  sudah disediakan sebuah init script pada folder /srv/ai. Cukup tambahkan pada systemctl/sysinit.

cp /srv/ai/samba4 /etc/init.d/samba4
chmod 755 /etc/init.d/samba4
chmod +x /etc/init.d/samba4
chkconfig samba4 on
service samba4 restart
service samba4 status

# Test masuk ke folder share

/usr/local/samba/bin/smbclient //localhost/netlogon -Uadministrator%VerySecret123

VerySecret123 adalah password yang dimasukkan ketika provisioning samba4. Jika sukses, konsol akan berubah menjadi seperti : smb: \> :

# Konfigurasi Dynamic DNS Server

Konfigurasi named.conf untuk melakukan query DNS dari samba server (BIND9_DLZ) yang telah dipilih pada proses provisioning

vi /etc/named.conf

tambah dan sesuaikan baris berikut pada baris paling bawah

include "/usr/local/samba/private/named.conf";

Buka file /etc/sysconfig/named dan ubah NAMED_RUN_CHROOTED=”yes” menjadi no

NAMED_RUN_CHROOTED="no"

Ubah owner folder /var/lib/named menjadi named

chown named /var/lib/named/

Buka file /usr/local/samba/private/named.conf dan pastikan sudah menggunakan bind 9.9.x

dlz "AD DNS Zone" {
    # For BIND 9.8.0
    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";

    # For BIND 9.9.0
     database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
};

restart service dns dan testing

systemctl restart named
systemctl status named
systemctl enable named
host -t SRV _ldap._tcp.imanudin.net.
host -t SRV _kerberos._udp.imanudin.net.
host -t A imanudin.net.

Hasilnya harus seperti berikut. Jika hasilnya berbeda, ada kemungkinan konfigurasi dns nya masih bermasalah

[root@samba4 ~]# host -t SRV _ldap._tcp.imanudin.net.
_ldap._tcp.imanudin.net has SRV record 0 100 389 samba4.imanudin.net.
[root@samba4 ~]# host -t SRV _kerberos._udp.imanudin.net.
_kerberos._udp.imanudin.net has SRV record 0 100 88 samba4.imanudin.net.
[root@samba4 ~]# host -t A imanudin.net.
imanudin.net has address 192.168.1.111

# Konfigurasi Kerberos

cp /etc/krb5.conf /etc/krb5.conf.ori
cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

# Testing Kerberos

kinit administrator
klist -e

Berikut adalah output hasil dari perintah diatas

[root@samba4 ~]# kinit administrator
Password for administrator@IMANUDIN.NET: 
Warning: Your password will expire in 41 days on Sat Mar 12 23:41:47 2016
[root@samba4 ~]# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@IMANUDIN.NET

Valid starting     Expires            Service principal
03/12/16 23:41:04  03/12/16 10:57:04  krbtgt/IMANUDIN.NET@IMANUDIN.NET
        renew until 03/12/16 00:57:01, Etype (skey, tkt): arcfour-hmac, arcfour-hmac

# Konfigurasi kerberos DNS dynamic updates (Opsional)

Konfigurasi ini sifatnya opsional. Konfigurasi ini bisa diapply atau diskip. Untuk konfigurasi, tambahkan baris tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”; pada named.conf pada bagian options. Lihat contoh berikut

vi /etc/named.conf
options {
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";

Jalankan perintah berikut untuk merubah owner dan akses pada file dns.keytab

chgrp named /usr/local/samba/private/dns.keytab
chmod g+r /usr/local/samba/private/dns.keytab

Cek apakah ada update tentang dynamic DNS dengan perintah berikut

/usr/local/samba/sbin/samba_dnsupdate --verbose

# Konfigurasi NTP Server (Opsional)

Buka file /etc/ntp.conf dan tambahkan baris berikut pada baris paling bawah

server 0.id.pool.ntp.org
server 1.id.pool.ntp.org
server 2.id.pool.ntp.org
server 3.id.pool.ntp.org

Restart service NTP

systemctl restart ntpd
systemctl enable ntpd
systemctl status ntpd
ntpq -p

Selamat, sekarang Excellent Samba4 Appliance sudah berhasil dijadikan Active Directory Server dan bisa dilakukan join Windows client pada Samba4.

Berikut beberapa informasi terkait integrasi dengan Samba4

https://imanudin.net/2014/11/18/tips-join-windows-client-to-samba4-active-directory/
https://imanudin.net/2016/03/06/how-to-movemigrate-user-profile-on-windows/
https://imanudin.net/2015/12/19/samba-tips-how-to-configure-automatic-mapping-drive-when-login/
https://imanudin.net/2015/02/03/how-to-change-password-users-active-directorysamba4-via-web-using-ldap-toolbox/
https://imanudin.net/2014/12/07/zimbra-tips-integration-of-active-directorysamba4-with-zimbra-mail-server/

Silakan dicoba dan semoga bermanfaat 😀

3 comments

  1. Hallo Mas Ahmad..

    Mas sori mau nanya, saya sehabis upgrade ke samba4 yang terbaru jadi tidak bisa untuk authentication ke squid 2.7.. sebelumnya di versi 4.1.16 berjalan lancar.. apakah ada perbedaan konfignya Mas ?

    berikut konfiguasri authen to squid 2.7 :
    /usr/sbin/squid_ldap_auth -R -D “cn=Administrator,cn=Users,dc=aswata,dc=co,dc=id” -w “passwordadministrator” -b “dc=aswata,dc=co,dc=id” -f sAMAccountName=%s -h xxx.xxx.xxx.xxx -p 389

    Mohon pencerahannya Mas , hehehe

    Thanks,
    Andika

  2. Hai Mas Ahmad,

    Makasih responnya Mas,, masih error juga mas hehehe..

    Saya lakukan update ke versi terbaru karena jika menggunakan samba4 4.1.16 di windows 10 email outlooknya error terus status reject 553 5.7.1 . Tapi kalo pake webmail dan thunderbird bisa login zimbra..

    Thanks,
    Andika

Leave a Reply

Your email address will not be published. Required fields are marked *