Vyhledávání na webu

Správa DNS a zásad skupiny Samba4 AD Domain Controller z Windows – část 4

V návaznosti na předchozí tutoriál o tom, jak spravovat Samba4 z Windows 10 přes RSAT, v této části uvidíme, jak vzdáleně spravovat náš server DNS řadiče domény Samba AD z Microsoft DNS Manager, jak vytvořit záznamy DNS, jak vytvořit zpětné vyhledávání Zóna a jak vytvořit doménovou politiku pomocí nástroje Group Policy Management.

Požadavky

  1. Vytvořte infrastrukturu AD pomocí Samba4 na Ubuntu 16.04 – část 1
  2. Správa infrastruktury Samba4 AD z příkazového řádku systému Linux – část 2
  3. Správa Samba4 Active Directory Infrastructure z Windows 10 přes RSAT – část 3

Krok 1: Správa serveru Samba DNS

Samba4 AD DC používá interní modul DNS resolveru, který je vytvořen během počátečního poskytování domény (pokud není konkrétně použit modul BIND9 DLZ).

Interní DNS modul Samba4 podporuje základní funkce potřebné pro AD Domain Controller. Doménový DNS server lze spravovat dvěma způsoby, přímo z příkazového řádku přes rozhraní samba-tool nebo vzdáleně z pracovní stanice Microsoft, která je součástí domény pomocí RSAT DNS Manager.

Zde se budeme zabývat druhou metodou, protože je intuitivnější a není tak náchylná k chybám.

1. Chcete-li spravovat službu DNS pro váš řadič domény prostřednictvím RSAT, přejděte do počítače se systémem Windows a otevřete Ovládací panely ->< Systém a zabezpečení -> Nástroje pro správu a spusťte nástroj Správce DNS.

Jakmile se nástroj otevře, zeptá se vás, ke kterému běžícímu DNS serveru se chcete připojit. Vyberte následující počítač, do pole zadejte název domény (nebo lze použít i IP adresu nebo FQDN), zaškrtněte políčko říká „Připojit se k určenému počítači nyní“ a kliknutím na OK otevřete službu Samba DNS.

2. Chcete-li přidat záznam DNS (jako příklad přidáme záznam A, který bude ukazovat na naši bránu LAN), přejděte na doménu Forward Lookup Zóna, klikněte pravým tlačítkem na pravou rovinu a vyberte Nový hostitel (A nebo AAA).

3. V otevřeném okně Nový hostitel zadejte název a IP adresu vašeho zdroje DNS. FQDN za vás automaticky zapíše nástroj DNS. Po dokončení stiskněte tlačítko Přidat hostitele a vyskakovací okno vás informuje, že váš záznam DNS A byl úspěšně vytvořen.

Ujistěte se, že přidáváte záznamy DNS A pouze pro zdroje ve vaší síti nakonfigurované se statickými adresami IP. Nepřidávejte záznamy DNS A pro hostitele, kteří jsou nakonfigurováni k získávání síťových konfigurací ze serveru DHCP nebo se jejich adresy IP často mění.

Chcete-li aktualizovat záznam DNS, stačí na něj dvakrát kliknout a napsat své úpravy. Chcete-li záznam odstranit, klikněte pravým tlačítkem na záznam a z nabídky vyberte možnost smazat.

Stejným způsobem můžete přidat další typy DNS záznamů pro vaši doménu, jako je CNAME (také známý jako DNS alias záznam) MX záznamy (velmi užitečné pro poštovní servery) nebo jiné typy záznamů (SPF, TXT, SRV atd.).

Krok 2: Vytvořte zónu zpětného vyhledávání

Ve výchozím nastavení Samba4 Ad DC automaticky nepřidává zónu zpětného vyhledávání a záznamy PTR pro vaši doménu, protože tyto typy záznamů nejsou pro správné fungování řadiče domény klíčové.

Místo toho je reverzní zóna DNS a její záznamy PTR klíčové pro funkčnost některých důležitých síťových služeb, jako je e-mailová služba, protože tyto typy záznamů lze použít k ověření identity klientů požadujících službu.

Prakticky jsou záznamy PTR pravým opakem standardních DNS záznamů. Klienti znají IP adresu zdroje a dotazují se DNS serveru, aby zjistili jejich registrovaný DNS název.

4. Chcete-li vytvořit zónu zpětného vyhledávání pro Samba AD DC, otevřete Správce DNS, klikněte pravým tlačítkem na Zónu zpětného vyhledávání z levé roviny a z nabídky vyberte Nová zóna.

5. Dále stiskněte tlačítko Další a vyberte Primární zónu z Průvodce typem zóny.

6. Dále v části Ad Zone Replication Scope vyberte možnost Na všechny DNS servery běžící na řadičích domény v této doméně a vyberte možnost IPv4 Reverse Vyhledávací zóna a pokračujte kliknutím na Další.

7. Dále zadejte síťovou IP adresu vaší LAN do pole ID sítě a pokračujte stisknutím Další.

Všechny záznamy PTR přidané do této zóny pro vaše zdroje budou ukazovat zpět pouze na část sítě 192.168.1.0/24. Pokud chcete vytvořit záznam PTR pro server, který se nenachází v tomto segmentu sítě (například poštovní server, který se nachází v síti 10.0.0.0/24), budete muset vytvořit novou zónu zpětného vyhledávání pro tento segment sítě.

8. Na další obrazovce vyberte možnost Povolit pouze zabezpečené dynamické aktualizace, pokračujte stisknutím tlačítka Další a nakonec klepnutím na tlačítko Dokončit dokončete vytváření zóny.

9. V tomto okamžiku máte pro vaši doménu nakonfigurovanou platnou zónu zpětného vyhledávání DNS. Chcete-li do této zóny přidat záznam PTR, klikněte pravým tlačítkem na pravou rovinu a zvolte vytvoření záznamu PTR pro síťový prostředek.

V tomto případě jsme vytvořili ukazatel pro naši bránu. Chcete-li otestovat, zda byl záznam správně přidán a funguje podle očekávání z pohledu klienta, otevřete Příkazový řádek a zadejte dotaz nslookup na název zdroje a další dotaz na jeho IP adresu.

Oba dotazy by měly vrátit správnou odpověď pro váš prostředek DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Krok 3: Správa zásad skupiny domény

10. Důležitým aspektem řadiče domény je jeho schopnost řídit systémové prostředky a zabezpečení z jednoho centrálního bodu. Tento typ úlohy lze snadno provést v řadiči domény pomocí Zásad skupiny domén.

Jediným způsobem, jak upravit nebo spravovat zásady skupiny v řadiči domény samba, je bohužel konzola RSAT GPM od společnosti Microsoft.

V níže uvedeném příkladu uvidíme, jak jednoduché může být manipulace se zásadami skupiny pro naši doménu samba za účelem vytvoření interaktivního přihlašovacího banneru pro uživatele naší domény.

Chcete-li získat přístup ke konzole zásad skupiny, přejděte na Ovládací panely -> Systém a zabezpečení -> Nástroje pro správu a otevřete konzolu Správa zásad skupiny.

Rozbalte pole pro vaši doménu a klikněte pravým tlačítkem na Výchozí zásady domény. Z nabídky vyberte Upravit a mělo by se objevit nové okno.

11. V okně Editor správy zásad skupiny přejděte na Konfigurace počítače -> Zásady -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení a ve správné rovině by se měl objevit nový seznam možností.

V pravé rovině vyhledejte a upravte pomocí vlastních nastavení podle dvou položek uvedených na níže uvedeném snímku obrazovky.

12. Po dokončení úprav dvou položek zavřete všechna okna, otevřete příkazový řádek se zvýšenými oprávněními a vynuťte použití zásad skupiny na vašem počítači pomocí následujícího příkazu:

gpupdate /force

13. Nakonec restartujte počítač a při pokusu o přihlášení uvidíte přihlašovací banner v akci.

To je vše! Zásady skupiny jsou velmi složité a citlivé téma a správci systému by s nimi měli zacházet s maximální péčí. Mějte také na paměti, že nastavení skupinových zásad se žádným způsobem nevztahuje na systémy Linux integrované do sféry.