Создание домена / присоединение к домену

В общем случае процесс развертывания на сервере Эллес (provision) в качестве первого контроллера в домене либо присоединения сервера (join) к существующему домену в роли дополнительного контроллера домена или рядового участника состоит из следующих этапов:

  1. Первоначальная настройка и подготовка (настройка сетевого интерфейса, удаление ненужных файлов и пакетов, остановка конфликтующих служб, установка DNS-сервера BIND 9, настройка службы синхронизации времени).

  2. Установка пакета inno-samba (см. подробнее в разделе «Установка пакета inno-samba») и других пакетов, требуемых для выбранного варианта развертывания.

  3. Выполнение команды развертывания или присоединения.

  4. Проверка корректности развертывания или присоединения.

В примерах в данном разделе используются следующие параметры:

  • домен верхнего уровня (TLD) — EXAMPLE.COM;

  • DNS-имя домена — samdom.example.com;

  • NetBIOS-имя домена — SAMDOM;

  • область безопасности Kerberos (realm) — SAMDOM.EXAMPLE.COM.

  • имя хоста первого контроллера домена — DC1;

  • статический IP-адрес первого контроллера домена — 10.0.9.100.

Для обеспечения совместимости с существующим программным обеспечением в Эллес по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в конфигурационный файл smb.conf:

[global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).