Присоединение к домену

Для присоединения к домену используется следующий формат вызова:

samba-tool domain join <dns-domain> [DC|RODC|MEMBER] [options]

При присоединении указываются имя домена и роль, которую будет выполнять в домене присоединяемый сервер.

В связи с ограничением в реализации текущий версии при присоединении сервера к домену в многодоменном лесу требуется отключить внутренний глобальный каталог с помощью ключа --no-gc.

Параметры

Параметры вызова:

  • <dns-domain> — имя домена;

  • [DC|RODC|MEMBER] — роль, в которой требуется выполнить присоединение:

    • DC — контроллер домена;

    • RODC — контроллер домена с копией базы AD, доступной только для чтения;

      Присоединение к домену в роли RODC реализовано частично.

    • MEMBER — участник домена;

  • --server=SERVER – контроллер домена для присоединения;

  • --site=SITE — сайт для присоединения;

  • --domain-critical-only — включать в репликацию только критически важные доменные объекты;

  • --dns-backend=NAMESERVER-BACKEND — DNS-сервер; возможные значения: SAMBA_INTERNAL | BIND9_DLZ | NONE;

  • --machinepass=PASSWORD — пароль учетной записи компьютера (если не указан, генерируется случайным образом);

  • --plaintext-secrets — хранение секретов в незашифрованном виде на диске; по умолчанию используется шифрование;

  • --backend-store=BACKENDSTORE — тип базы данных каталога; возможные значения: tdb | mdb; значение по умолчанию — tdb;

  • --backend-store-size=SIZE — максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ;

  • --target-dir=DIR — каталог для выполнения инициализации;

  • --no-dns-updates — выключение обновления данных DNS при присоединении; значение по умолчанию — False;

  • --no-gc — выключение роли Global Catalog (GC) для нового контроллера при присоединении к домену;

    В связи с ограничением в реализации текущий версии использование данного ключа является обязательным при присоединении сервера к домену в многодоменном лесу.

  • -v|--verbose — вывод детальной информации;

  • -q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Для обеспечения совместимости с существующим программным обеспечением в Samba по умолчанию разрешено использование устаревших алгоритмов шифрования и обмена ключами при подключении к серверу LDAP.

Чтобы повысить уровень безопасности, рекомендуется их отключить, добавив следующий параметр в раздел [global] конфигурационного файла smb.conf с помощью ключа --option:

[global]
    tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA

Параметр изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

По умолчанию при присоединении на контроллере домена включается функциональность автоматического покрытия сайтов без контроллеров домена (механизм Auto Site Coverage). Это означает, что контроллер домена может обслуживать не только тот сайт, в котором он находится, но и другие сайты в случае отсутствия в них собственных контроллеров домена.

Если в силу особенностей топологии сети присоединяемый сервер не должен использоваться службой каталогов для обслуживания других сайтов, функциональность может быть отключена. Для этого в раздел [global] конфигурационного файла smb.conf должен быть добавлен следующий параметр с помощью ключа --option:

[global]
    dns:auto site coverage = off

При необходимости данная функциональность может быть снова включена в процессе эксплуатации контроллера домена. Для этого достаточно удалить параметр из smb.conf либо явно задать в нем значение on. Применение изменения происходит без перезагрузки службы inno-samba: новое значение будет автоматически считано утилитой samba_dnsupdate, которая отвечает за запуск механизма автоматического покрытия сайтов, в ходе очередного цикла обновления записей DNS (по умолчанию интервал обновления составляет 10 минут).

Примеры

Пример присоединения в роли контроллера домена с указанием функционального уровня и отключением устаревших алгоритмов шифрования:

samba-tool domain join samdom.example.com DC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --backend-store=mdb \
    --backend-store-size=16Gb \
    --option="ad dc functional level = 2012_R2" \
    --option="tls priority = NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-RSA"

Пример присоединения в роли контроллера домена в многодоменном лесу с отключением функциональности глобального каталога:

samba-tool domain join multidomain.com DC -UAdministrator \
   --option="ad dc functional level=2016" \
   --server=ad-dc-server \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --domain-critical-only \
   --no-gc

Пример присоединения в роли контроллера домена с отключением механизма автоматического покрытия сайтов:

samba-tool domain join samdom.example.com DC -UAdministrator \
   --dns-backend=BIND9_DLZ \
   --backend-store=mdb \
   --option="dns:auto site coverage = off"

Пример присоединения в роли RODC:

samba-tool domain join samdom.example.com RODC -UAdministrator \
    --dns-backend=BIND9_DLZ \
    --site=Site2 \
    --server=dc2.samdom.example.com

Пример присоединения в роли участника:

samba-tool domain join samdom.example.com MEMBER -UAdministrator