Режимы работы Samba

В Samba есть несколько способов работы или «роли», которые определяют, как сервер будет взаимодействовать с сетью и где будут храниться учётные данные, политики и т. д. Основные режимы — это DC (Domain Controller), Member (Член домена) и Standalone (Автономный). Ниже краткое описание каждого из них:

1. DC (Domain Controller) – контроллер домена

   • В этом режиме Samba выступает в роли контроллера домена (может быть как Active Directory DC, так и старый NT4-style PDC).
   • DC отвечает за аутентификацию и авторизацию пользователей, хранит базу учетных записей и обеспечивает работу служб (например, Group Policy в случае AD).
   • Если Samba настроен как AD DC, он фактически заменяет или дополняет Windows Server Active Directory.

2. Member (Член домена)

   • Samba работает как обычный сервер в существующем домене (Windows или Samba).
   • Все аутентификационные запросы и управление правами пользователей передаются контроллеру домена.
   • На таком сервере обычно размещают сетевые ресурсы (папки, принтеры и т. п.), но учётные записи и политики берутся из домена (AD или NT4).
   • Удобно, когда нужно, чтобы все пользователи домена имели доступ к общим ресурсам на Samba без создания локальных учётных записей.

3. Standalone (Автономный сервер)

   • Samba не привязана к домену, все учётные записи и права доступа хранятся локально на самом сервере.
   • Пользователи проходят аутентификацию на самом Samba-сервере, используя локальные учётные записи, которые созданы в файле smbpasswd, tdb или LDAP (при этом он всё равно не «член домена», а просто использует LDAP/tdb как локальное хранилище).
   • Подходит для небольших сетей или отдельных серверов, где нет необходимости в централизованном управлении.

Если обобщить:

• DC — вы сами разворачиваете домен на базе Samba и используете Samba в качестве «центра аутентификации» (или AD, или NT4-style).
• Member — ваш сервер лишь «член домена», и все функции контроля, политики и учётных данных лежат на другом сервере (обычно на Windows Server или другом Samba DC).
• Standalone — у вас нет интеграции с доменом, все учётные записи и права локальные, каждый сервер сам по себе.

Если вы хотите настроить «резервный» сервер (иначе говоря, дополнительный контроллер домена, который продолжал бы выполнять функции аутентификации в случае недоступности основного), то вам нужен именно DC (Domain Controller), а не Member или Standalone.

В контексте Samba Active Directory термин «резервный» обычно подразумевает дополнительный (replica) контроллер домена:

• Все контроллеры домена в среде Active Directory (включая Samba) равноправны и хранят копию базы Active Directory, синхронизируясь между собой.
• При выходе из строя одного из контроллеров остальные продолжают обслуживать пользователей и выполнять аутентификацию.

Ниже кратко изложен общий алгоритм и ключевые моменты настроек при добавлении второго контроллера домена (Samba AD DC) для «резервирования»:

---

1. Подготовка сервера

1. Установка необходимых пакетов

   • Обычно требуются пакеты samba, samba-dsdb-modules, samba-vfs-modules и пр. (название пакетов может отличаться в разных дистрибутивах).
   • Желательно установить также средства администрирования вроде samba-tool.

2. Проверка DNS

   • Контроллеры домена в AD критически зависят от корректного DNS.
   • Обычно на каждом DC поднимается служба DNS (либо Bind9, либо встроенный внутренний DNS от Samba).

3. Синхронизация времени

   • Active Directory требует точной синхронизации времени между контроллерами и клиентами (разница обычно не более 5 минут).
   • Обычно используют NTP-сервер (либо поднимают локальный).

---

2. Присоединение нового контроллера домена к уже существующему домену

1. Проверка доступности действующего (основного) контроллера

   • Убедитесь, что основной контроллер и его DNS доступны по сети.
   • Например, ping domaincontroller.example.local (или имя хоста).

2. Команда для присоединения

   • Основной инструмент — samba-tool.
   • Пример команды (запускается на новом сервере):

     bash
     samba-tool domain join yourdomain.local DC -U "Administrator"

   • Здесь:
     • yourdomain.local — это DNS-имя домена (FQDN), который вы уже создали ранее.
     • DC — говорит, что мы хотим поднять именно контроллер домена (а не просто член домена).
     • -U "Administrator" — учётная запись с правами админа в домене.

3. Пароль и дополнительные параметры

   • При запросе пароля введите пароль администратора домена.
   • В некоторых случаях добавляют дополнительные флаги (например, --realm=YOURDOMAIN.LOCAL, --dns-backend=SAMBA_INTERNAL или --dns-backend=BIND9_DLZ и т.п.), чтобы указать тип DNS.

4. Автоматическая генерация конфигурационных файлов

   • После выполнения команды domain join Samba автоматически сгенерирует нужные файлы, включая smb.conf, и создаст в AD-реестре записи о новом контроллере.

---

3. Проверка и настройка DNS

• Если вы выбрали внутренний DNS Samba (SAMBA_INTERNAL), то в smb.conf будет указано dns forwarder = <адрес_внешнего_DNS> — это DNS-сервер провайдера или локальный Bind9 и т. д.

• Если решили использовать Bind9 DLZ:

  1. Нужно установить и настроить Bind9,
  2. Настроить динамические зоны (DLZ) и проверить, что Samba может вносить изменения в зону.

• Убедитесь, что новая запись для контроллера появилась в DNS-зоне (SRV-записи, A-записи и т. д.).

---

4. Синхронизация реплик AD (проверка Directory Replication)

• В Samba есть команда для проверки состояния репликации:

  bash
  samba-tool drs showrepl

  Она покажет, как новый DC реплицирует каталоги с основным.

• При корректно настроенной репликации вы должны видеть статусы «Success» или аналогичные уведомления об успешном обмене данными.

---

5. Синхронизация Sysvol

• Для корректного функционирования групповых политик (GPO) и сценариев входа (логон-скриптов) требуется репликация содержимого sysvol.
• Samba по умолчанию использует rsync-базированную или любую другую вручную настроенную репликацию (в отличие от Windows, где есть DFS-R).
• Нужно либо настроить rsync (или другой метод) между двумя контроллерами, либо использовать сторонние решения (например, csync2, Syncthing и т. п.).
• Содержимое, которое нужно реплицировать, обычно лежит в /var/lib/samba/sysvol/ (путь может отличаться в разных ОС).

Пример настроек для rsync:

• На основном DC:

  bash
  rsync --archive --delete /var/lib/samba/sysvol/ root@backup-dc:/var/lib/samba/sysvol/

• Дополнительно можно поставить это в cron или настроить триггер при изменениях.
• Важно, чтобы права и ACL при копировании не терялись (используйте ключи -A, -X, -S и т. д. в зависимости от ОС).

---

6. Проверка и «подготовка к отказу» основного DC

1. DNS

   • Убедитесь, что в настройках DNS (как на уровне DHCP, так и на рабочих станциях) прописаны оба контроллера. Тогда клиенты смогут автоматически переключаться на резервный.

2. Завершение работы (или отключение сети) основного DC

   • После этого проверьте, могут ли пользователи по-прежнему входить в домен, получать доступ к ресурсам и т. д.
   • Параллельно можно проверять логи Samba, чтобы увидеть, что аутентификация идёт через новый DC.

3. Возврат основного DC в сеть

   • Если всё работает, значит настройка дополнительного контроллера завершена успешно.

---

Итого

1. Резервный сервер в смысле контроллера домена — это такая же роль DC в Samba AD, просто он не «основной», а «дополнительный».
2. Member-сервером обычно называют Samba, которая присоединена к домену, но не держит у себя базу AD (репликацию), а просто выполняет функции файлового/принт-сервера, ссылаясь на внешний DC.
3. Standalone (автономный) — это вообще не доменная модель.

Для отказоустойчивости (High Availability) AD-доменов нужно минимум 2 контроллера. С точки зрения Samba-конфигурации — это просто несколько DC, каждый из которых является «равноправным» в рамках одного домена. Вы добавляете второй сервер через samba-tool domain join ... DC -U "Administrator", проверяете репликацию и настраиваете репликацию Sysvol, после чего получаете рабочую «резервную» конфигурацию.