Bug 50576

Summary: Настройка DNS-прокси и траста между Samba AD и MS AD
Product: Infrastructure Reporter: rsrs <rstaganrog>
Component: docs.altlinux.orgAssignee: Artem Zolochevskiy <azol>
Status: NEW --- QA Contact:
Severity: normal    
Priority: P5    
Version: unspecified   
Hardware: x86   
OS: Linux   

Description rsrs 2024-06-07 21:55:09 MSK
Здравствуйте.

Сейчас наша организация готовится к миграции из MS Active Directory в Samba AD.

В процессе подготовки к миграции очень помогает тщательно проработанная и детальная пошаговая инструкция, описывающая процесс разворачивания тестового стенда:
https://docs.altlinux.org/ru-RU/domain/10.2/html-single/samba/index.html
Каждый шаг этого руководства содержит хорошие пояснения.

Пошагово следуя указаниям разделов 2.2-2.4, 2.6, 3, этого руководства, мы успешно развернули тестовый стенд, состоящий из основного и дополнительного контроллеров домена Samba (dc1.test.alt и dc2.test.alt), настроили синхронизацию контроллеров. Всё работает так, как и запланировано.

Однако, в разделе описывающем организацию трастов (доверительных отношений между Samba AD и MS AD) "5. Доверительные отношения (Трасты)", мы столкнулись с трудностью.

В частности, в разделе руководства "5.2.2.3. Samba DC с SAMBA_INTERNAL" говорится:
"В примере, в качестве DNS-прокси используется отдельный сервер (IP-адрес 192.168.0.150) с настроенным bind9". 

Но в документе
https://docs.altlinux.org/ru-RU/domain/10.2/html-single/samba/index.html
к сожалению, нет такой же полной и законченной пошаговой инструкции с пояснениями по настройке отдельного сервера с ролью DNS-прокси (192.168.0.150) с настроенным bind9 - аналогичной тому, как это имеется в разделах 2.2-2.4, 2.6, 3.

В описании тестового стенда в разделе "1.2. Схема стенда" сервер с адресом 192.168.0.150 упоминается, но нет в документе раздела с названием "Отдельный сервер с ролью DNS-прокси", следуя которой можно было бы на отдельно стоящий сервер развернуть Альт Сервер 10.2 (профиль "Минимальный" при установке). 
Так, чтобы следуя подробным инструкциям такого раздела, можно было бы развернуть работающий "отдельный сервер (192.168.0.150) с настроенным bind9", который можно было бы использовать на тестовом стенде как DNS-прокси для организации доверительных отношений между Samba AD и MS AD.
Т.е. в руководстве очень хорошо описана последовательность для разворачивания элементов стенда dc1.test.alt и dc2.test.alt, но только лишь вскользь упоминается DNS-прокси без аналогичного описания его настройки.

--

Мы пробовали, по нашему пониманию, настроить отдельный сервер с ролью DNS-прокси (192.168.0.150) и почти все проверки, предлагаемые в разделе "5.2.2.4. Проверка конфигурации DNS" вроде бы завершались успехом - за исключением двух проверок выполненных на dc1.test.alt:
 dig +short -t SRV _kerberos._udp.test.alt
 dig +short -t SRV _ldap._tcp.test.alt
На dc1.test.alt эти проверки вернули пустой результат, в то время как на dc2.test.alt эти проверки точно соответствовали результату, описанному в инструкции.

Далее, следуя указаниям раздела "5.3. Создание двухстороннего транзитивного подключения" настроили отношения с доменом MS AD с успешным завершением всех проверок этого раздела с результатом полностью совпадающим с описанным в руководстве.

При этом dc1.test.alt и dc2.test.alt видят и пользователей MS AD, и успешно проходят тестирование аутентификации, описанное в разделе 5.4.2.
Но тем не менее, контроллер MS AD как-то периодически и неустойчиво видит пользователей домена test.alt, и попытка включения пользователей домена test.alt в группу в домене MS AD завершается ошибкой.

Можно предположить, что это происходит вследствие не вполне корректно выполненной нами настройки отдельного сервера с ролью DNS-прокси (192.168.0.150).

--

Поэтому очень большая просьба к разработчикам сделать руководство
https://docs.altlinux.org/ru-RU/domain/10.2/html-single/samba/index.html
более полным и законченным, дополнив его разделом с аналогичной подробной пошаговой настройке DNS-прокси с нуля на отдельном сервере сразу после установки в профиле "Минимальный".

С тем чтобы руководство "Доменная инфраструктура на базе Samba" приобрело более целостный и взаимоувязанный вид. И, следуя хорошо описанным последовательным инструкциям из этого руководства, можно было развернуть РАБОТАЮЩИМИ все упоминаемые в руководстве элементы тестового стенда - dc1, dc2, DNS-прокси для организации трастов.

Это очень помогло бы отечественным компаниям в процессе непростой;) миграции доменной инфраструктуры MS AD в Samba AD.

--

Благодарю за понимание.