Integruokite „Ubuntu 16.04“ į AD kaip domeno narį su „Samba“ ir „Winbind“ - 8 dalis

Šioje pamokoje aprašoma, kaip prisijungti prie „Ubuntu“ kompiuterio prie „Samba4 Active Directory“ domeno, norint autentifikuoti failų ir katalogų AD paskyras su vietiniu ACL arba sukurti ir susieti domeno valdiklio naudotojų tomas (veikti kaip failų serveris).

  1. Sukurkite „Active Directory“ infrastruktūrą naudodami „Samba4“ sistemoje „Ubuntu“

1 veiksmas: pradinės konfigūracijos prisijungti prie „Ubuntu“ prie „Samba4 AD“

1. Prieš pradėdami prisijungti prie „Ubuntu“ pagrindinio kompiuterio prie „Active Directory DC“, turite įsitikinti, kad kai kurios paslaugos yra tinkamai sukonfigūruotos vietiniame kompiuteryje.

Svarbus jūsų mašinos aspektas atspindi pagrindinio kompiuterio pavadinimą. Prieš prisijungdami prie domeno naudodami komandą hostnamectl arba rankiniu būdu redaguodami failą/etc/hostname, nustatykite tinkamą mašinos pavadinimą.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. Atlikdami kitą veiksmą, atidarykite ir rankiniu būdu redaguokite kompiuterio tinklo nustatymus naudodami tinkamas IP konfigūracijas. Čia svarbiausi nustatymai yra DNS IP adresai, nukreipiantys atgal į jūsų domeno valdiklį.

Redaguokite/etc/network/interfaces failą ir pridėkite dns-nameservers sakinį su savo tinkamais AD IP adresais ir domeno pavadinimu, kaip parodyta toliau pateiktoje ekrano kopijoje.

Taip pat įsitikinkite, kad tie patys DNS IP adresai ir domeno vardas yra pridėti prie /etc/resolv.conf failo.

Pirmiau pateiktoje ekrano kopijoje 192.168.1.254 ir 192.168.1.253 yra „Samba4 AD DC“ IP adresai, o „Tecmint.lan“ reiškia AD domeno pavadinimą, kurio klausia visos į sferą integruotos mašinos.

3. Norėdami pritaikyti naujas tinklo konfigūracijas, iš naujo paleiskite tinklo paslaugas arba perkraukite įrenginį. Išduokite ping komandą prieš savo domeno vardą, kad patikrintumėte, ar DNS skiriamoji geba veikia taip, kaip tikėtasi.

AD DC turėtų pakartoti savo FQDN. Jei savo tinkle sukonfigūravote DHCP serverį, kad jis automatiškai priskirtų LAN parametrus IP parametrams, būtinai pridėkite AD DC IP adresus prie DHCP serverio DNS konfigūracijų.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. Paskutinę svarbią konfigūraciją reikalauja laiko sinchronizavimas. Įdiekite „NTpdate“ paketą, pateikite užklausą ir sinchronizuokite laiką su „AD DC“, pateikdami toliau nurodytas komandas.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. Kitame etape įdiekite programinę įrangą, reikalingą „Ubuntu“ mašinai, kad ji būtų visiškai integruota į domeną, vykdydami žemiau esančią komandą.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kol „Kerberos“ paketai diegiami, jūsų reikia paprašyti įvesti numatytosios srities pavadinimą. Norėdami tęsti diegimą, naudokite domeno pavadinimą su didžiosiomis raidėmis ir paspauskite klavišą Enter.

6. Baigę diegti visus paketus, patikrinkite „Kerberos“ autentifikavimą pagal AD administracinę paskyrą ir nurodykite bilietą pateikdami toliau nurodytas komandas.

# kinit ad_admin_user
# klist

2 žingsnis: Prisijunkite prie „Ubuntu“ prie „Samba4 AD DC“

7. Pirmasis „Ubuntu“ kompiuterio integravimo į „Samba4 Active Directory“ domeną žingsnis yra „Samba“ konfigūracijos failo redagavimas.

Sukurkite numatytąjį „Samba“ konfigūracijos failą, kurį pateikia paketų tvarkyklė, kad galėtumėte pradėti nuo švarios konfigūracijos vykdydami šias komandas.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

Naujame „Samba“ konfigūracijos faile pridėkite šias eilutes:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Pakeiskite darbo grupės, srities, tinklo pavadinimo ir DNS ekspeditoriaus kintamuosius savo pasirinktiniais nustatymais.

„Winbind“ naudojimo numatytasis domeno parametras verčia „winbind“ paslaugą visus nekvalifikuotus AD naudotojo vardus laikyti AD vartotojais. Turėtumėte praleisti šį parametrą, jei turite vietinės sistemos abonementų pavadinimus, kurie sutampa su AD abonementais.

8. Dabar turėtumėte iš naujo paleisti visus „Samba“ demonus ir sustabdyti bei pašalinti nereikalingas paslaugas ir įgalinti „Samba“ paslaugas visoje sistemoje, pateikdami toliau nurodytas komandas.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Prisijunkite prie „Ubuntu“ kompiuterio prie „Samba4 AD DC“, pateikdami šią komandą. Kad susiejimas su sritimi veiktų taip, kaip tikėtasi, naudokite „AD DC“ paskyros, turinčios administratoriaus teises, pavadinimą.

$ sudo net ads join -U ad_admin_user

10. Iš „Windows“ mašinos su įdiegtais RSAT įrankiais galite atidaryti „AD UC“ ir pereiti prie „Computers“ konteinerio. Čia turėtų būti pateiktas jūsų „Ubuntu“ prijungtas kompiuteris.

3 žingsnis: konfigūruokite AD abonementų autentifikavimą

11. Norėdami atlikti AD paskyrų autentifikavimą vietiniame kompiuteryje, turite modifikuoti kai kurias paslaugas ir failus vietiniame kompiuteryje.

Pirmiausia atidarykite ir redaguokite „Name Service Switch“ (NSS) konfigūracijos failą.

$ sudo nano /etc/nsswitch.conf

Kitas pridėkite „winbind“ reikšmę „passwd“ ir grupės linijoms, kaip parodyta toliau pateiktoje ištraukoje.

passwd:         compat winbind
group:          compat winbind

12. Norėdami patikrinti, ar Ubuntu mašina buvo sėkmingai integruota į sritį, vykdykite komandą wbinfo, kad būtų išvardytos domeno paskyros ir grupės.

$ wbinfo -u
$ wbinfo -g

13. Taip pat patikrinkite „Winbind nsswitch“ modulį išleisdami komandą „getent“ ir perkelkite rezultatus per filtrą, pvz., „Grep“, kad susiaurintumėte išvestį tik konkretiems domeno vartotojams ar grupėms.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. Norėdami autentifikuoti „Ubuntu“ kompiuteryje su domeno abonementais, turite paleisti komandą pam-auth-update su pagrindinėmis teisėmis ir pridėti visus „Winbind“ paslaugai reikalingus įrašus bei automatiškai sukurti kiekvienos domeno abonemento namų katalogus pirmą kartą prisijungus.

Patikrinkite visus įrašus paspausdami klavišą [tarpas] ir paspauskite OK, kad pritaikytumėte konfigūraciją.

$ sudo pam-auth-update

15. „Debian“ sistemose turite rankiniu būdu redaguoti /etc/pam.d/common-account failą ir šią eilutę, kad automatiškai sukurtumėte namus patvirtintiems domeno vartotojams.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Kad „Active Directory“ vartotojai galėtų pakeisti slaptažodį iš komandinės eilutės „Linux“, atidarykite /etc/pam.d/common-password failą ir pašalinkite „use_authtok“ sakinį iš slaptažodžio eilutės, kad galiausiai atrodytų taip, kaip nurodyta toliau pateiktoje ištraukoje.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Norėdami autentifikuoti Ubuntu pagrindiniame kompiuteryje naudodami „Samba4 AD“ paskyrą, naudokite domeno vartotojo vardo parametrą po komandos su -. Paleiskite komandą id norėdami gauti papildomos informacijos apie AD paskyrą.

$ su - your_ad_user

Jei norite pakeisti slaptažodį, naudokite komandą „pwd“, kad pamatytumėte dabartinį domeno vartotojo katalogą, ir komandą „passwd“.

18. Norėdami naudoti domeno abonementą su pagrindinėmis teisėmis savo „Ubuntu“ kompiuteryje, turite pridėti AD vartotojo vardą prie „sudo“ sistemos grupės, išleisdami šią komandą:

$ sudo usermod -aG sudo your_domain_user

Prisijunkite prie „Ubuntu“ naudodami domeno abonementą ir atnaujinkite savo sistemą vykdydami apt-get update komandą, kad patikrintumėte, ar domeno vartotojas turi root teises.

19. Norėdami pridėti domeno grupės šaknines teises, atidarykite failo redagavimo/etc/sudoers failą naudodami komandą visudo ir pridėkite šią eilutę, kaip parodyta žemiau esančiame ekrano kopija.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Norėdami išvengti tarpų, esančių jūsų domeno grupės pavadinime, arba norint išvengti pirmojo atgalinio brūkšnio, naudokite atgalinį brūkšnį. Aukščiau pateiktame pavyzdyje TECMINT srities domenų grupė pavadinta „domeno administratoriai“.

Ankstesnis procentinio ženklo (%) simbolis rodo, kad turime omenyje grupę, o ne vartotojo vardą.

20. Jei naudojate grafinę „Ubuntu“ versiją ir norite prisijungti prie sistemos su domeno vartotoju, turite modifikuoti „LightDM“ ekrano tvarkyklę redaguodami /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf failą, pridėkite šias eilutes ir perkraukite mašiną, kad atspindėtų pakeitimus.

greeter-show-manual-login=true
greeter-hide-users=true

Dabar jis turėtų galėti prisijungti prie „Ubuntu Desktop“ naudodamas domeno abonementą naudodamas jūsų_domeno_vardas arba [saugomas el. Paštas] _domain.tld arba jūsų_domenas\jūsų_domenas_naudotojo vardas formatą.