Turnkey file server connect domain

TurnKey File Server adalah distro spesifik yang bisa digunakan untuk file server.
Tapi untuk mengkonfigurasikannya agar bisa join dengan domain, perlu konfigurasi tambahan, sudah kurang lebih 3-4 hari ini saya membuat koneksi antara turnkey ini dengan samba domain, tapi belum berhasil, hingga akhirnya sekarang bisa juga ada progress melihat group dan user domain di interface turnkey.

Berikut beberapa langkah yang saya tambahkan (anda mungkin perlu mencoba-coba lagi mencari setting yang pas jika tidak berhasil untuk anda)

Download dan install turnkey disini
untuk instalasi tidak akan saya jelaskan disini, tapi langkah-langkah untuk join domain saja.

Timezone sudah benar
$ dpkg-reconfigure tzdata
pilih Asia/Makassar atau sesuaikan dengan GMT anda

Install paket tambahan
$ apt install winbind krb5-user ntpdate smbclient

Cek konfigurasi

$ nano /etc/resolv.conf

search mydomain.net
nameserver 192.168.0.1

$ nano /etc/network/interfaces

auto eth0
iface eth0 inet static
address 192.168.0.5
netmask 255.255.0.0
gateway 192.168.0.1
dns-nameservers 192.168.0.1
dns-search mydomain.net

Setting kerberos

nano /etc/krb5.conf 
setting dibawah saya ambil dari referensi, menyesuaikan dengan konfigurasi saya

[libdefaults]
  ticket_lifetime = 24h
  default_realm = EXAMPLE.ORG
  forwardable = true

[realms]
  EXAMPLE.ORG = {
  kdc = 10.0.23.1
  default_domain = EXAMPLE.ORG
  }

[domain_realm]
  .example.org = EXAMPLE.ORG
  example.org = EXAMPLE.ORG

[kdc]
  profile = /etc/krb5kdc/kdc.conf

[appdefaults]
  pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
  }

[logging]
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmin.log
  default = FILE:/var/log/krb5lib.log

Test koneksi
$ kinit adminme@MYDOMAIN.NET
cek validitas dengan
$ klist

Config nsswitch
$ nano /etc/nsswitch.conf

passwd: files winbind
group: files winbind
shadow: files winbind

Config Samba
nano /etc/samba/smb.conf

[global]
  # No .tld
  workgroup = MYDOMAIN
  # Active Directory System
  security = ads
  # With .tld
  realm = MYDOMAIN.NET
  # Just a member server
  domain master = no
  local master = no
  preferred master = no
  # Disable printing error log messages when CUPS is not installed.
  printcap name = /etc/printcap
  load printers = no
  # Works both in samba 3.2 and 3.6.
  idmap backend = tdb
 # idmap backend = rid
  idmap uid = 10000-99999
  idmap gid = 10000-99999
  # no .tld
  idmap config MYDOMAIN:backend = rid
 # idmap config MYDOMAIN:backend = ad
  idmap config MYDOMAIN:range = 10000-9999
  winbind enum users = yes
  winbind enum groups = yes
  # This way users log in with username instead of username@example.org
 winbind use default domain = yes
  # Inherit groups in groups
  winbind nested groups = yes
  winbind refresh tickets = yes
  winbind offline logon = true

# Becomes /home/example/username
  template homedir = /home/%D/%U
  # No shell access
  template shell = /bin/false
  client use spnego = yes
  client ntlmv2 auth = yes
  encrypt passwords = yes
  restrict anonymous = 2
  log file = /var/log/samba/samba.log
  log level = 2

#password server = dc.mydomain.net

#tambahan fixes 21-07
 map untrusted to domain = Yes

restart service
$ /etc/init.d/winbind restart; /etc/init.d/nmbd restart; /etc/init.d/smbd restart

Join domain
$ net ads join -U adminme

restart service lagi

update pam
$ pam-auth-update

Test koneksi user dan group
$ wbinfo -u #lists all the users in the domain
$ wbinfo -g #lists all the groups in the domain

$ net ads info #mengeluarkan info domain yang terkoneksi
#$ smbclient -L localhost -U Administrator #mengeluarkan list share folder

terkadang getent tidak berhasil. – more
solusinya:
$ apt install libnss-winbind libpam-winbind

$ getent passwd #should return a list with all users on the local system and from the active directory
$ getent group #should return a list with all groups and their members, both from the local system and the active directory

Test folder di smb.conf

[test] 
  create mask = 0777 
  path = /srv/test 
  access based share enum = yes 
  directory mask = 0777 
  force create mode = 0660 
  writeable = yes 
  force directory mode = 0770 
  valid users = @"MYDOMAINdomain users" 
  force group = ithelp 
  hide unreadable = yes
  comment = testing only

Referensi

 

Membuat share yang tersedia untuk semua users domain – more

saatnya sekarang membuat share folder untuk semua user domain.

tampilkan group
$ wbinfo -g
MYDOMAIN\domain admins

buat foldernya dan berikan domain admin akses
$ mkdir -p /srv/demo/
$ chown root:”MYDOMAIN\domain admins” /srv/demo/
$ chmod 0770 /srv/demo/

Edit file smb.conf
[Demo]
path = /srv/demo/
writeable = yes
read only = no

test konfig samba
$ testparm

reload konfigurasi samba
$ smbcontrol all reload-config

Remote dengan windows management agar lebih mudah

remote salah satu client windows dengan user domain admins,
buka “Computer Management”, Action / Connect to another computer
masukkan nama komputer, contoh “fileserver.mydomain.net”
buka “System Tools” / Shared Folders / Shares
klik kanan share folder > Properties
buka tab “share permissions”, sesuaiakan dengan keperluan anda
buka tab “security”, sesuaikan juga

Sayang sekali konfigurasi dari remote diatas tidak berhasil karena error RPC unavailable dll, jadi kita gunakan aja metode klasik yaitu terminal

update 30-05-2017

Setelah mencoba beberapa kali tapi share tidak berhasil akhirnya mencoba lagi dan dapat petunjuk disini

$ chmod -R 777 /myshare

[myshare]
comment = folder to share
path = /srv/share
# valid users = +DOMAIN\Domain-Group
valid users = @group1,@group2,@”domain admins”
writable = yes

update 21-07-2017

entah kenapa beberapa hari yang lalu saya iseng update turnkey server, dan setelah itu, saya tidak bisa login dengan sukses.
di log samba saya dapatkan : FAILED with error NT_STATUS_NO_SUCH_USER

akhirnya setelah googling, saya mendapatkan solusinya, yaitu penambahan
map untrusted to domain = Yes
pada setting samba global

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Powered by WordPress.com.

Up ↑

%d bloggers like this: