Instalasi & Konfigurasi Samba 4 Sebagai Active Directory Server-Bagian 4-Dynamic DNS & Konfigurasi Kerberos

Artikel sebelumnya :

1. Membangun Active Directory Server, Domain Controller & File Server Menggunakan Excellent Samba 4 Appliance
2. Instalasi & Konfigurasi Samba 4 Sebagai Active Directory Server-Bagian 1-Instalasi & Kompilasi
3. Instalasi & Konfigurasi Samba 4 Sebagai Active Directory Server-Bagian 2-Konfigurasi DNS Server
4. Instalasi & Konfigurasi Samba 4 Sebagai Active Directory Server-Bagian 3-Provisioning Samba4

Setelah proses provisioning Samba4 sebagai Active Directory berhasil, tahap selanjutnya adalah melakukan setting Dynamic DNS Server dan Kerberos. Dynamic DNS diperlukan agar saat klien melakukan join domain, otomatis alamat IP dan hostname-nya terdaftar di server. Perilaku ini persis sama dengan apa yang berlaku di Windows server.

KONFIGURASI DYNAMIC DNS SERVER

1. Edit file /etc/named.conf . Samba memiliki file named.conf sendiri untuk konfigurasi dns dengan metode DLZ (Dynamically Loadable Zone). Tambahkan baris :
   [code lang=”bash”] include “/usr/local/samba/private/named.conf”;
   [/code] di baris paling bawah pada named.conf (vi /etc/named.conf)
2. Disable AppArmor (jika di CentOS/RedHat, disable SELinux). Pada Excellent Samba4 Appliance, AppArmor memang tidak diinstall. Pada sistem yang diinstall manual dan mengikutsertakan AppArmor, AppArmor dapat didisable/dihilangkan dengan perintah : zypper rm apparmor.Apa sih AppArmor itu?
   

   AppArmor (“Application Armor”) is a security module for the Linux kernel, released under the GNU General Public License. AppArmor allows the system administrator to associate with each program a security profile that restricts the capabilities of that program.

   Alasan utama mengapa AppArmor atau SELinux dihilangkan adalah karena menimbulkan conflict dengan Dynamic DNS. Pada versi Samba 4 berikutnya mungkin saja kedua aplikasi security ini tidak dihilangkan tanpa menimbulkan conflict.

3. Disable CHROOT DNS. Dynamic DNS pada samba4 tidak dapat berjalan jika menggunakan chroot dns, maka kita harus disable chroot dns terlebih dahulu pada file /etc/sysconfig/named dengan mengubah baris :
   [code lang=”bash”] NAMED_RUN_CHROOTED=”yes”
   [/code] menjadi
   [code lang=”bash”] NAMED_RUN_CHROOTED=”no”
   [/code]
4. Check versi aplikasi DNS Server (Bind) yang dipergunakan dengan perintah : zypper if bind. Informasi versi ini berguna untuk memastikan agar Samba4 menggunakan bind versi 9.8.x keatas yang sudah mendukung model dynamic dns. Excellent Samba4 Appliance menggunakan Bind versi 9.9 seperti terlihat pada hasil pengecekan berikut ini :
   `
   
5. Edit/buka file /usr/local/samba/private/named.conf dan pastikan bahwa DNS yang digunakan sesuai dengan versi yang diinstall. Versi yang tidak digunakan ditanda dengan tanda komentar # :
   [code lang=”bash”] dlz “AD DNS Zone” {
   # For BIND 9.8.0
   #database “dlopen /usr/local/samba/lib/bind9/dlz_bind9.so”;# For BIND 9.9.0
   database “dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so”;
   };
   [/code] pada contoh diatas, saya menggunakan BIND 9.9.x
6. Karena menggunakan Dynamic DNS, kita perlu menonaktifkan nama zone yang sebelumnya dibuat secara manual. Edit file /etc/named.conf dan berikan tanda komentar (#) pada baris seperti contoh berikut ini :
   `
   Jika lupa menonaktifkan baris zone diatas, pada saat restart DNS, service akan failed dan akan muncul pesan :

   Sep 30 15:30:10 samba4 named[5517]: samba_dlz: Failed to configure zone ‘excellent.co.id’
   Sep 30 15:30:10 samba4 named[5517]: loading configuration: already exists
   Sep 30 15:30:10 samba4 named[5517]: exiting (due to fatal error)

7. Restart service DNS dengan perintah : service named restart
   `
   
8. Jalankan 3 perintah berikut untuk memastikan bahwa konfigurasi Dynamic DNS sudah sesuai (perhatikan respon dari masing-masing perintah) :
   [code lang=”bash”] host -t SRV _ldap._tcp.excellent.co.id.
   host -t SRV _kerberos._udp.excellent.co.id.
   host -t A excellent.co.id.
   [/code] Respon yang benar akan merujuk pada IP dan host server yang sedang kita konfigurasi seperti contoh berikut ini :
   
9. Lakukan konfigurasi Kerberos dengan cara menyesuaikan file  /etc/krb5.conf hingga menjadi seperti berikut ini :
   `
   
10. Test hasil konfigurasi Kerberos dengan menjalankan perintah berikut :
    [code lang=”bash”] kinit administrator@EXCELLENT.CO.ID
    klist -e
    [/code]
11. lakukan konfigurasi kerberos DNS dynamic updates dengan cara menambahkan paramater :
    [code lang=”bash”] tkey-gssapi-keytab “/usr/local/samba/private/dns.keytab”;
    [/code] pada bagian options di file /etc/named.conf
12. Setelah selesai semua, lakukan perintah restart DNS Server sekali lagi dan check apakah Dynamic DNS update sudah berjalan sebagaimana mestinya atau belum dengan perintah :
    [code lang=”bash”] service named restart
    /usr/local/samba/sbin/samba_dnsupdate –verbose
    [/code]

Kita sudah selesai melakukan konfigurasi Dynamic DNS dan Kerberos. Konfigurasi DNS merupakan hal yang vital bagi keberhasilan konfigurasi Active Directory jadi jika masih menemui masalah pada konfigurasi DNS, lakukan proses pengecekan konfigurasi dan jangan melanjutkan proses setup ke tahap berikutnya jika masih belum berhasil.

Pada artikel berikutnya saya akan membahas konfigurasi server sebagai NTP server dan menggunakan Windows Client untuk join domain ke Active Directory berbasis Linux Server Samba 4 yang baru saja kita konfigurasikan.