Aprovisionando o primeiro servidor DSfW em uma árvore do eDirectory

O cenário é composto pelas tarefas a seguir. Selecione uma opção para exibir detalhes da tarefa.

Pré-verificação do aprovisionamento

Esta tarefa verifica o estado dos servidores para garantir que estão prontos para o aprovisionamento.

Como parte da atividade de pré-verificação do aprovisionamento, uma verificação de integridade é executado em segundo plano para validar o estado do sistema para evitar um estado obsoleto. Não validar o estado do sistema pode causar falhas irrecuperáveis. Por isso, a verificação de integridade é muito importante.

A verificação de integridade executa as seguintes ações:

  • Verifica se serviços importantes para a instalação, como Kerberos, Samba e NMB, estão sendo executados no servidor remoto.

  • Verifica se o serviço DNS está ativo no servidor configurado como servidor DNS.

  • Verifica se todos os servidores que fazem parte do anel de réplicas estão ativos e se a hora está sincronizada entre os servidores.

  • Verifica se a versão do eDirectory no servidor no qual a instalação foi feita é a versão 8.8 SP2 ou posterior.

  • Em um cenário de instalação mapeado por nome, a verificação de integridade verifica o servidor para saber se ele contém quaisquer objetos específicos do DSfW.

  • Aciona uma purgação no servidor remoto para limpar objetos apagados.

Configuração de DNS e WINS

Essa tarefa configura o DNS e WINS no servidor DSfW. O DSfW usa o DNS como o seu serviço de localização, permitindo que computadores localizem os controladores de domínio. Também é possível configurar um servidor DSfW como servidor WINS. O WINS é um servidor de nomes e serviços para nomes de computadores NetBIOS. Ele fornece o nome NetBIOS ao mapeamento de endereço IP para as estações de trabalho clientes em diferentes sub-redes.

Como parte da configuração do DNS, as seguintes ações serão executadas:

  • As zonas Encaminhar Pesquisa são configuradas para que o domínio resolva as consultas na pesquisa de nome de domínio.

  • As Zonas de Reversão são configuradas para que o domínio resolva solicitações que precisam associar um nome de DNS a um endereço IP.

  • São criados recursos dos tipos NS, SRV, A, PTR.

  • As referências de zona são adicionadas ao Servidor DNS, ao Objeto de grupo DNS e ao Objeto localizador DNS.

    Atualmente, o DSfW funciona com o Novell® DNS e precisa de pelo menos um servidor DNS para ser executado em um controlador de domínio, mas, no futuro, pretendemos oferecer suporte a qualquer servidor DNS que possa oferecer suporte a atualizações seguras de DNS.

Por padrão, o servidor DNS é configurado no primeiro controlador de domínio em uma floresta. Para qualquer controlador de domínio adicional em uma floresta, você pode usar o servidor DNS existente na floresta ou configurar este servidor como um servidor DNS. Antes de configurar qualquer controlador adicional no domínio, certifique-se de que a entrada do servidor de nomes no arquivo /etc/resolv.conf aponta para o servidor DNS que o primeiro controlador do domínio está usando.

Como parte da configuração do WINS, as seguintes ações serão executadas:

  • A entrada de DNS é criada no objeto de zona correspondente.

  • O arquivo /etc/samba/smb.conf é atualizado com os parâmetros necessários para que os serviços Samba atuem como um servidor WINS.

  • O processo nmb é reiniciado.

A operação de pós-verificação da tarefa verifica se a entrada DNS e os arquivos de dados correspondentes ao WINS foram criados.

Adição de réplicas de domínio

Esta tarefa adiciona a réplica ao servidor local.

NOTA:Esta tarefa é executada em todos cenários de aprovisionamento, exceto em instalações que não são mapeadas por nome e na instalação do domínio de raiz da floresta.

Configuração do plug-in do SLAPI

Esta tarefa carrega os plug-ins do SLAPI. Os plug-ins SLAPI fazem a manutenção do modelo de informações do Active Directory. Isso garante que a estrutura do SLAPI estará pronta antes que qualquer dado específico do domínio seja adicionado.

Durante o processo de configuração, as seguintes tarefas são executadas:

  • Atributos e Classes serão mapeados entre os objetos do esquema do Active Directory e do eDirectory.

  • O servidor NLDAP será atualizado e os plug-ins SLAPI serão carregados.

  • Será verificado se o plug-in NAD está carregado.

Adição de objetos de domínio

Esta tarefa adiciona os objetos de domínio que representam as informações específicas do domínio na partição do domínio.

A partição de domínio só replica dados para controladores de domínio localizados dentro do domínio. Além disso, containers também são criados para partições de configuração e esquema que serão particionadas posteriormente.

Criação da partição de configuração

Esta tarefa particiona o container de configuração (cn=configuração) criado como parte da tarefa Adição de objetos de domínio. Esta partição de configuração contém informações sobre a estrutura física e sobre a configuração da floresta (como a topologia do site).

Em uma instalação de domínio filho, a réplica do container de configuração é adicionada ao servidor local.

A partição de configuração é específica da floresta e, por padrão, o primeiro controlador de todo domínio recebe uma réplica. O Domínio Adicional receberá a réplica dessa partição se você selecionar a opção Replicar partições de esquema e configuração no YaST durante a instalação.

Criação de partição de esquema

Esta tarefa particiona o container de esquema (cn=esquema) criado durante a tarefa Adição de objetos de domínio.

A partição de esquema contém a definição de classes e atributos de objetos na floresta. Se houver um domínio filho ou um controlador de domínio adicional, a réplica do container de esquema será adicionada ao servidor local.

A partição de configuração é específica da floresta e, por padrão, o primeiro controlador de todo domínio recebe uma réplica. O Domínio Adicional receberá a réplica dessa partição se você selecionar a opção Replicar partições de esquema e configuração no YaST durante a instalação.

Adição de objetos de configuração

Esta tarefa adiciona os objetos da partição de configuração e esquema.

Além disso, ajuda a manter a integridade do modelo de informações do Active Directory.

Atribuição de direitos

Esta tarefa configura direitos de acesso a diretórios específicos e o administrador de domínio que está sendo aprovisionado.

Esta tarefa executa as seguintes atividades:

  • Computa ACLs efetivas.

  • Importa ACLs de direitos do NDS Super e configura direitos para o administrador no nível do container.

  • Importa ACLs de administração do NDS.

Configurar Sites

Esta tarefa particiona o objeto controlador de domínio (mSDS:Server), que é representado como um objeto de container no eDirectory. Esse objeto controlador de domínio está localizado em cn=Servidores,cn=<nome do site>,cn=Sites,cn=Configuração,dc=<nome do domínio>

Esta tarefa realiza as seguintes ações:

  • Pré-verifica o ambiente DSfW antes de particionar o objeto.

  • Particiona o objeto controlador de domínio.

  • Pós-verifica o ambiente DSfW depois do particionamento do objeto.

Reiniciar serviços do DSfW

Esta tarefa reinicia serviços em ordem de dependência.

A reinicialização é essencial para que as mudanças sejam efetuadas. Estes são os serviços que são reiniciados como parte desta tarefa:

  1. ndsd (eDirectory)

  2. nomeado pela Novell (DNS)

  3. nscd (Name Server cache daemon)

  4. rpcd (Servidor RPC)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd (daemon do XAD)

  8. nmb (servidor NMB, pesquisa do NETBIOS)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

Depois que os serviços forem reiniciados, seu domínio estará pronto para uso. Antes de usá-lo, é preciso executar outras tarefas.

Configurar credenciais das contas

Esta tarefa configura a senha e usa o protocolo Kerberos para modificar contas de administrador, krbgt e convidado.

Habilitar Kerberos

No DSfW, o Kerberos é o principal protocolo de segurança para autenticação dentro de um domínio. O mecanismo de autenticação do Kerberos emite tickets para acessar serviços da rede.

Como parte desta tarefa, o arquivo krb5.conf é atualizado e a entidade principal do administrador recebe um ticket.

Essas mudanças geram mudanças nos arquivos da Política do Kerberos, que são armazenados em sysvol. Essa mudança exige uma atualização de sincronização para o eDirectory. Isso é feito pelo utilitário gpo2nmas.

Objetos Samify

Esta tarefa estende todos os usuários e grupos existentes que se tornam parte do domínio que está sendo aprovisionado com atributos específicos do Active Directory.

Esta tarefa é específica da instalação mapeada por nome. O usuário e os objetos de grupo existentes são estendidos para que façam parte do domínio que está sendo aprovisionado. Alguns desses atributos estendidos são supplementoryCredentials, objectSid e samAccountName.

Limpeza

Esta tarefa modifica a configuração de serviços, como sshd, rsync e krb5. Ela configura as políticas do sysvol, sincroniza as políticas de grupo com o NMAS™ e adiciona uma entrada de crontab para a sincronização posterior de políticas.

Esta tarefa remove arquivos de uma instalação parcial ou com falha. Além disso, remove os diretórios temporários e os arquivos de ponto de verificação criados durante o aprovisionamento.

Para obter mais informações, consulte Informações legais.