LINUX.ORG.RU
ФорумAdmin

SAMBA как домен контроллер в интернете

 


0

1

добрый день, имеется проблема с samba цель: реализовать возможность введения в домен ПК из интернета

первым делом подготовил домен. в интерактивном режиме выбрал DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:NONE

вот содержимое smb.conf

# Global parameters
[global]
        netbios name = dc1
        realm = DNS.CORP2.NET
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbi$
        workgroup = CORP2
        server role = active directory domain controller
        idmap_ldb:use rfc2307 = yes
        dns forwarder = 8.8.8.8
[netlogon]
        path = /usr/local/samba/var/locks/sysvol/dns.corp2.net/scripts
        read only = No

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No

вот файл krb5.conf

[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

[libdefaults]
    default_realm = DNS.CORP2.NET
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    default_ccache_name = KEYRING:persistent:%{uid}

[realms]
    DNS.CORP2.NET = {
        kdc = dc1.dns.corp2.net
        admin_server = dc1.dns.corp2.net
    }

[domain_realm]
    .dns.corp2.net = DNS.CORP2.NET
    dns.corp2.net = DNS.CORP2.NET

так же настроил SRV записи на хостинге

dns.corp2.net A ip
*.dns.corp2.net A ip
dc1.dns.corp2.net A ip

_ldap._tcp.dc._msdcs.dc1.dns 	        SRV dc1.dns.corp2.net
_kerberos._tcp.dc._msdcs.dc1.dns 	SRV dc1.dns.corp2.net
_ldap._tcp.dc._msdcs.dc1.dns 	        SRV dc1.dns.corp2.net
_kerberos._tcp.dc._msdcs.dc1.dns	SRV dc1.dns.corp2.net

пробую подключится с windows 10 , домен dc1.dns.corp2.net в ответ пишет

DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «DC1.DNS.CORP2.NET»:

Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.DC1.DNS.CORP2.NET

Этим запросом были идентифицированы следующие контроллеры домена Active Directory:

dc1.dns.corp2.net

К возможным причинам этой ошибки относятся:

  • Записи узлов (A) или (AAAA) , которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.

  • Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.



Последнее исправление: cheater1 (всего исправлений: 3)
Ответ на: комментарий от zimniy

порты открыл, на микротике так же все норм, есть сомнения что не правильно ввел запись в SRV так как у меня полное имя хоста на сервере dc1.dns.corp2.net я решил его ввести, правильно ли это?

cheater1
() автор топика
Ответ на: комментарий от cheater1

Проблема кроется тут:

введения в домен ПК из интернета

Дело не в том, что вы не открыли какой-то порт, дело в том, что любой уважающий себя интернет провайдер блокирует порты 135-139, 445 на маршрутизаторах.

Если хотите ПК в домен из любой точки мира - сначала постройте vpn до микротика, затем действуйте как в локальной сети.

keir ★★
()
Ответ на: комментарий от keir

хм, странно я порты совсем не эти выбирал, возможно и в этом проблема? вот к примеру SRV запись _ldap._tcp.dc._msdcs.dc1.dns SRV dc1.dns.corp2.net port 389 _kerberos._tcp.dc._msdcs.dc1 SRV dc1.dns.corp2.net port 88

вот, к примеру:telnet dc1.dns.corp2.net 389 telnet dc1.dns.corp2.net 88

говорит, что вроде как все гуд

повторюсь, Samba нужна только в качестве контроллера домена

cheater1
() автор топика
Ответ на: комментарий от cheater1

поему это бред , можете пояснить?

1. Вся эта шин хня костыль на костыле, дырок было найдено чуть больше чем дофига, как следствие минимум вас задолбают всякие боты.
2. Вас просто задолбают всякие боты.
3. Со стороны клиента. Вроде как при недоступности контроллера домена и закэшированном локально пароле машинка должна залогинится, но бывают случаи что «счастья» не происходит... И вот где-то между вашим сервером и клиентом что-то пошло не так... клиенту надо работать, а он даже залогинится не может.

anc ★★★★★
()

Если не желаете бороться с эзотерическими проблемами с которыми вам никто не поможет (потому что никто так как вы не делает), делайте правильно. Настраивайте VPN, от клиентов в локалку, к серверу, и уже внутри тоннеля настраивайте как внутри локалки.

Так как вы не делают потому что все эти Микрософтовские доменные протоколы не предназначены для работы в интернете, они для изолированных локальных сетей. Они слишком уязвимы, чувствительны к потерям пакетов и задержкам.

Нужные для них порты многие провайдеры фильтруют на пограничном оборудовании, дабы не позволять вирусам, троянам и криворуким пользователям, выставляющим свои Виндоус серверы и рабочие станции голой попой в интернет, умножать масштабы катастрофы со спамом и ботнетами.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Нужные для них порты многие провайдеры фильтруют на пограничном оборудовании

Серверные да, и это не только про m$, попросить/самому-через-ЛК открыть в одной точке скорее всего можно.

Они слишком уязвимы, чувствительны к потерям пакетов и задержкам.

Смотря с чем сравнивать. NFS гораздо хуже.

и рабочие станциин голой попой в интернет

А рабочие станции тут причём?

anc ★★★★★
()

нда. всю самбу в интернете блочат провайдеры, как профилактика распространения всякой заразы. Если открыть там начинаются массовые заражения и блекауты. Особено у домашних провайдеров с миллионами клиентов где 99% это венда без обновлений. Поэтому там эти порты намертво заколочены гвоздями, ни через какое лк нинакаких условиях он это не откроют. Возможно даже используется аппаратное решение по блокировки этих портов впаяное прямо в сетевое оборудование как защита от дурака.

antech
()
Последнее исправление: antech (всего исправлений: 2)
Ответ на: комментарий от antech

нда. всю самбу в интернете блочат провайдеры,

За всех не говорите.

Особено у домашних провайдеров с миллионами клиентов где 99% это венда без обновлений.

Блокируют входящие, а не исходяшие, так что мимо.

anc ★★★★★
()
Ответ на: комментарий от Jameson

спасибо

порылся в интернете нет ни одной рабочей статьи , как ввести в домен линукс, с виндовс 10 проблем нет,на линукс после команды kinit Administrator пишет что все путём, как доходит до-команды login пишет не правильный пароль , хотя с тем де паролем логинюс в виндовс 10

cheater1
() автор топика
Ответ на: комментарий от anc

За всех не говорите.

вот да. проверил у себя ради интереса:

# tcpdump -i eth2 -n 'tcp and (port 139 or 445)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
15:47:17.882423 IP 198.199.113.98.40738 > 176.46.x.x.139: Flags [S], seq 683835699, win 65535, length 0
15:54:09.776298 IP 45.148.10.81.24568 > 176.46.x.x.445: Flags [S], seq 45, win 65535, options [mss 21565,sackOK,TS val 7760482 ecr 36989538,nop,wscale 9], length 0

внезапно :)

правда когда я только подлючался, у меня были заблочены все входящие, но после звонка в саппорт мне открыли вообще все порты без исключений (только узнал). может и у автора прокатит. вот только смысл не понятен - все равно придется брандмауэр настраивать, чтобы не лезли все кому не лень.

Rost ★★★★★
()
Ответ на: комментарий от cheater1

порылся в интернете нет ни одной рабочей статьи , как ввести в домен линукс

Плохо гуглите.

с виндовс 10 проблем нет

Нука введите в домен хомку.

anc ★★★★★
()
Ответ на: комментарий от Rost

правда когда я только подлючался, у меня были заблочены все входящие

Это бывает.

все равно придется брандмауэр настраивать, чтобы не лезли все кому не лень.

А fw настраивать надо в независимости от того белый или серый у вас ip.

anc ★★★★★
()