Развертывание домена

Для развертывания домена Эллес используется следующий формат вызова:

samba-tool domain provision [options]

Развертывание может проводиться в неинтерактивном (по умолчанию) или в интерактивном (при передаче параметра --interactive) режиме.

При выполнении подкоманды в неинтерактивном режиме требуется явно передать все необходимые параметры. Интерактивный режим поддерживает изменение дополнительных параметров, не входящих в стандартный диалог.

Для добавления параметров в конфигурационный файл smb.conf на этапе развертывания используйте формат --option="<parameter name> = <parameter value>".

Для запуска подкоманды требуются права суперпользователя (root/sudo).

Параметры

Параметры вызова:

  • --interactive — запуск развертывания в интерактивном режиме с запросом ввода значений для обязательных параметров;

  • --domain=DOMAIN — NetBIOS-имя домена;

  • --domain-guid=GUID — уникальный 128-битный идентификатор домена (если не задан, генерируется случайным образом);

  • --domain-sid=SID — уникальный идентификатор безопасности домена (если не задан, генерируется случайным образом);

  • --ntds-guid=GUID — уникальный 128-битный идентификатор объекта NTDS (если не задан, генерируется случайным образом);

  • --invocationid=GUID — код обращения (если не задан, генерируется случайным образом);

  • --host-name=HOSTNAME — имя хоста;

  • --host-ip=IPADDRESS — IPv4-адрес хоста;

  • --host-ip6=IP6ADDRESS — IPv6-адрес хоста;

  • --site=SITENAME — имя сайта;

  • --adminpass=PASSWORD — пароль для учетной записи администратора (если не указан, генерируется случайным образом);

  • --krbtgtpass=PASSWORD — пароль для учетной записи KRBTGT (если не указан, генерируется случайным образом);

  • --dns-backend=NAMESERVER-BACKEND — DNS-сервер; возможные значения:

    • SAMBA_INTERNAL — встроенный DNS-сервер (значение по умолчанию);

    • BIND9_FLATFILE — использование текстовой БД BIND9 для хранения информации о зонах DNS;

    • BIND9_DLZ — использование Эллес для хранения информации о зонах DNS;

    • NONE — отсутствие настройки DNS (при использовании выделенного DNS-сервера);

  • --dnspass=PASSWORD — пароль для доступа к DNS-серверу (если не указан, генерируется случайным образом);

  • --root=USERNAME — пользователь с правами root;

  • --nobody=USERNAME — пользователь с правами nobody;

  • --users=GROUPNAME — группа пользователей;

  • --blank — не добавлять пользователей или группы пользователей;

  • --server-role=ROLE — роль сервера в домене; возможные значения: domain controller | dc | member server | member | standalone; значение по умолчанию – domain controller (контроллер домена);

  • --function-level=FUNСTONLEVEL — функциональный уровень (режим работы) домена и леса; возможные значения: 2008_R2 | 2012 | 2012_R2 | 2016; значение по умолчанию — 2016;

  • --next-rid=NEXTRID — начальное значение атрибута Next-Rid (используется только при обновлении); значение по умолчанию — 1000;

  • --partitions-only — настройка партиций Эллес без их изменения;

  • --use-rfc2307 — добавление в схему AD POSIX-атрибутов (UID/GID); по умолчанию данная опция отключена;

  • --machinepass=PASSWORD — пароль учетной записи компьютера (если не указан, генерируется случайным образом);

  • --plaintext-secrets — хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование;

  • --backend-store=BACKENDSTORE — тип базы данных каталога; возможные значения: tdb | mdb; значение по умолчанию — tdb;

  • --backend-store-size=SIZE — максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ;

  • --use-ntvfs — использовать NTVFS в качестве файлового сервера; значение по умолчанию — False;

  • --use-xattrs=YES|NO|AUTO — использование возможностей файловой системы или файла tdb для хранения таких атрибутов, как ntacl, при --use-ntvfs; значение по умолчанию — auto (решение принимается системой);

  • --targetdir=DIR — каталог для выполнения инициализации;

  • -q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Для обеспечения совместимости с существующим программным обеспечением в Эллес по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в раздел [global] конфигурационного файла smb.conf с помощью ключа --option:

[global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

Примеры

Пример развертывания в интерактивном режиме с указанием необходимости использования LMDB в качестве БД:

samba-tool domain provision \
    --use-rfc2307 \
    --interactive \
    --backend-store=mdb \
    --backend-store-size=16Gb

Пример развертывания в неинтерактивном режиме с указанием необходимости использования LMDB в качестве БД и модуля BIND9_DLZ:

samba-tool domain provision \
    --server-role=dc \
    --use-rfc2307 \
    --dns-backend=BIND9_DLZ \
    --realm=SAMDOM.EXAMPLE.COM \
    --domain=SAMDOM \
    --backend-store=mdb \
    --backend-store-size=16Gb

Пример развертывания в неинтерактивном режиме с указанием функционального уровня:

samba-tool domain provision \
    --server-role=dc \
    --use-rfc2307 \
    --dns-backend=BIND9_DLZ \
    --realm=SAMDOM.EXAMPLE.COM \
    --domain=SAMDOM \
    --backend-store=mdb \
    --backend-store-size=16Gb \
    --function-level=2012_R2

Пример развертывания с указанием IP-адреса хоста и добавлением параметров в конфигурационный файл smb.conf:

samba-tool domain provision \
    --use-rfc2307 \
    --realm=SAMDOM.EXAMPLE.COM \
    --domain=SAMDOM \
    --server-role=dc \
    --host-ip=10.0.9.55 \
    --host-name=dc1 \
    --option="interfaces = lo eth1" \
    --option="bind interfaces only = yes" \
    --option="tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA"