Turnkey file server connect domain

TurnKey File Server adalah distro spesifik yang bisa digunakan untuk file server.
Tapi untuk mengkonfigurasikannya agar bisa join dengan domain, perlu konfigurasi tambahan, sudah kurang lebih 3-4 hari ini saya membuat koneksi antara turnkey ini dengan samba domain, tapi belum berhasil, hingga akhirnya sekarang bisa juga ada progress melihat group dan user domain di interface turnkey.

Berikut beberapa langkah yang saya tambahkan (anda mungkin perlu mencoba-coba lagi mencari setting yang pas jika tidak berhasil untuk anda)

Download dan install turnkey disini
untuk instalasi tidak akan saya jelaskan disini, tapi langkah-langkah untuk join domain saja.

Timezone sudah benar
$ dpkg-reconfigure tzdata
pilih Asia/Makassar atau sesuaikan dengan GMT anda

Install paket tambahan
$ apt-get install winbind krb5-user ntpdate smbclient

Cek konfigurasi

$ nano /etc/resolv.conf
search mydomain.net
nameserver 192.168.0.1

$ nano /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.0.5
netmask 255.255.0.0
gateway 192.168.0.1
dns-nameservers 192.168.0.1
dns-search mydomain.net

Setting kerberos

nano /etc/krb5.conf 
setting dibawah saya ambil dari referensi, menyesuaikan dengan konfigurasi saya

[libdefaults]
ticket_lifetime = 24h
default_realm = EXAMPLE.ORG
forwardable = true

[realms]
EXAMPLE.ORG = {
kdc = 10.0.23.1
default_domain = EXAMPLE.ORG
}

[domain_realm]
.example.org = EXAMPLE.ORG
example.org = EXAMPLE.ORG

[kdc]
profile = /etc/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

Test koneksi
$ kinit adminme@MYDOMAIN.NET
cek validitas dengan
$ klist

Config nsswitch
nano /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: files winbind

Config Samba
nano /etc/samba/smb.conf
[global]
# No .tld
workgroup = MYDOMAIN
# Active Directory System
security = ads
# With .tld
realm = MYDOMAIN.NET
# Just a member server
domain master = no
local master = no
preferred master = no
# Disable printing error log messages when CUPS is not installed.
printcap name = /etc/printcap
load printers = no
# Works both in samba 3.2 and 3.6.
idmap backend = tdb
# idmap backend = rid
idmap uid = 10000-99999
idmap gid = 10000-99999
# no .tld
idmap config MYDOMAIN:backend = rid
# idmap config MYDOMAIN:backend = ad
idmap config MYDOMAIN:range = 10000-9999
winbind enum users = yes
winbind enum groups = yes
# This way users log in with username instead of username@example.org
winbind use default domain = yes
# Inherit groups in groups
winbind nested groups = yes
winbind refresh tickets = yes
winbind offline logon = true

# Becomes /home/example/username
template homedir = /home/%D/%U
# No shell access
template shell = /bin/false
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba/samba.log
log level = 2

#password server = dc.mydomain.net

#tambahan fixes 21-07
map untrusted to domain = Yes

restart service
$ /etc/init.d/winbind restart; /etc/init.d/nmbd restart; /etc/init.d/smbd restart

Join domain
$ net ads join -U adminme

restart service lagi

update pam
$ pam-auth-update

Test koneksi user dan group
$ wbinfo -u #lists all the users in the domain
$ wbinfo -g #lists all the groups in the domain

$ net ads info #mengeluarkan info domain yang terkoneksi
#$ smbclient -L localhost -U Administrator #mengeluarkan list share folder

terkadang getent tidak berhasil. – more
solusinya:
$ apt install libnss-winbind libpam-winbind

$ getent passwd #should return a list with all users on the local system and from the active directory
$ getent group #should return a list with all groups and their members, both from the local system and the active directory

Test folder di smb.conf

[test]
create mask = 0777
path = /srv/test
access based share enum = yes
directory mask = 0777
force create mode = 0660
writeable = yes
force directory mode = 0770
valid users = @”MYDOMAINdomain users”
force group = ithelp 
hide unreadable = yes
comment = testing only

Referensi

 

Membuat share yang tersedia untuk semua users domain – more

saatnya sekarang membuat share folder untuk semua user domain.

tampilkan group
$ wbinfo -g
MYDOMAIN\domain admins

buat foldernya dan berikan domain admin akses
$ mkdir -p /srv/demo/
$ chown root:”MYDOMAIN\domain admins” /srv/demo/
$ chmod 0770 /srv/demo/

Edit file smb.conf
[Demo]
path = /srv/demo/
writeable = yes
read only = no

test konfig samba
$ testparm

reload konfigurasi samba
$ smbcontrol all reload-config

Remote dengan windows management agar lebih mudah

remote salah satu client windows dengan user domain admins,
buka “Computer Management”, Action / Connect to another computer
masukkan nama komputer, contoh “fileserver.mydomain.net”
buka “System Tools” / Shared Folders / Shares
klik kanan share folder > Properties
buka tab “share permissions”, sesuaiakan dengan keperluan anda
buka tab “security”, sesuaikan juga

Sayang sekali konfigurasi dari remote diatas tidak berhasil karena error RPC unavailable dll, jadi kita gunakan aja metode klasik yaitu terminal

update 30-05-2017

Setelah mencoba beberapa kali tapi share tidak berhasil akhirnya mencoba lagi dan dapat petunjuk disini

$ chmod -R 777 /myshare

[myshare]
comment = folder to share
path = /srv/share
# valid users = +DOMAIN\Domain-Group
valid users = @group1,@group2,@”domain admins”
writable = yes

update 21-07-2017

entah kenapa beberapa hari yang lalu saya iseng update turnkey server, dan setelah itu, saya tidak bisa login dengan sukses.
di log samba saya dapatkan : FAILED with error NT_STATUS_NO_SUCH_USER

akhirnya setelah googling, saya mendapatkan solusinya, yaitu penambahan
map untrusted to domain = Yes
pada setting samba global

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s