Integruokite „Ubuntu 16.04“ į AD kaip domeno narį su „Samba“ ir „Winbind“ - 8 dalis
Šioje pamokoje aprašoma, kaip prisijungti prie „Ubuntu“ kompiuterio prie „Samba4 Active Directory“ domeno, norint autentifikuoti failų ir katalogų AD paskyras su vietiniu ACL arba sukurti ir susieti domeno valdiklio naudotojų tomas (veikti kaip failų serveris).
- Sukurkite „Active Directory“ infrastruktūrą naudodami „Samba4“ sistemoje „Ubuntu“
1 veiksmas: pradinės konfigūracijos prisijungti prie „Ubuntu“ prie „Samba4 AD“
1. Prieš pradėdami prisijungti prie „Ubuntu“ pagrindinio kompiuterio prie „Active Directory DC“, turite įsitikinti, kad kai kurios paslaugos yra tinkamai sukonfigūruotos vietiniame kompiuteryje.
Svarbus jūsų mašinos aspektas atspindi pagrindinio kompiuterio pavadinimą. Prieš prisijungdami prie domeno naudodami komandą hostnamectl arba rankiniu būdu redaguodami failą/etc/hostname, nustatykite tinkamą mašinos pavadinimą.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Atlikdami kitą veiksmą, atidarykite ir rankiniu būdu redaguokite kompiuterio tinklo nustatymus naudodami tinkamas IP konfigūracijas. Čia svarbiausi nustatymai yra DNS IP adresai, nukreipiantys atgal į jūsų domeno valdiklį.
Redaguokite/etc/network/interfaces failą ir pridėkite dns-nameservers sakinį su savo tinkamais AD IP adresais ir domeno pavadinimu, kaip parodyta toliau pateiktoje ekrano kopijoje.
Taip pat įsitikinkite, kad tie patys DNS IP adresai ir domeno vardas yra pridėti prie /etc/resolv.conf failo.
Pirmiau pateiktoje ekrano kopijoje 192.168.1.254 ir 192.168.1.253 yra „Samba4 AD DC“ IP adresai, o „Tecmint.lan“ reiškia AD domeno pavadinimą, kurio klausia visos į sferą integruotos mašinos.
3. Norėdami pritaikyti naujas tinklo konfigūracijas, iš naujo paleiskite tinklo paslaugas arba perkraukite įrenginį. Išduokite ping komandą prieš savo domeno vardą, kad patikrintumėte, ar DNS skiriamoji geba veikia taip, kaip tikėtasi.
AD DC turėtų pakartoti savo FQDN. Jei savo tinkle sukonfigūravote DHCP serverį, kad jis automatiškai priskirtų LAN parametrus IP parametrams, būtinai pridėkite AD DC IP adresus prie DHCP serverio DNS konfigūracijų.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Paskutinę svarbią konfigūraciją reikalauja laiko sinchronizavimas. Įdiekite „NTpdate“ paketą, pateikite užklausą ir sinchronizuokite laiką su „AD DC“, pateikdami toliau nurodytas komandas.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Kitame etape įdiekite programinę įrangą, reikalingą „Ubuntu“ mašinai, kad ji būtų visiškai integruota į domeną, vykdydami žemiau esančią komandą.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Kol „Kerberos“ paketai diegiami, jūsų reikia paprašyti įvesti numatytosios srities pavadinimą. Norėdami tęsti diegimą, naudokite domeno pavadinimą su didžiosiomis raidėmis ir paspauskite klavišą Enter.
6. Baigę diegti visus paketus, patikrinkite „Kerberos“ autentifikavimą pagal AD administracinę paskyrą ir nurodykite bilietą pateikdami toliau nurodytas komandas.
# kinit ad_admin_user # klist
2 žingsnis: Prisijunkite prie „Ubuntu“ prie „Samba4 AD DC“
7. Pirmasis „Ubuntu“ kompiuterio integravimo į „Samba4 Active Directory“ domeną žingsnis yra „Samba“ konfigūracijos failo redagavimas.
Sukurkite numatytąjį „Samba“ konfigūracijos failą, kurį pateikia paketų tvarkyklė, kad galėtumėte pradėti nuo švarios konfigūracijos vykdydami šias komandas.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Naujame „Samba“ konfigūracijos faile pridėkite šias eilutes:
[global] workgroup = TECMINT realm = TECMINT.LAN netbios name = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config * : backend = tdb idmap config *:range = 50000-1000000 template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl inherit = Yes store dos attributes = Yes
Pakeiskite darbo grupės, srities, tinklo pavadinimo ir DNS ekspeditoriaus kintamuosius savo pasirinktiniais nustatymais.
„Winbind“ naudojimo numatytasis domeno parametras verčia „winbind“ paslaugą visus nekvalifikuotus AD naudotojo vardus laikyti AD vartotojais. Turėtumėte praleisti šį parametrą, jei turite vietinės sistemos abonementų pavadinimus, kurie sutampa su AD abonementais.
8. Dabar turėtumėte iš naujo paleisti visus „Samba“ demonus ir sustabdyti bei pašalinti nereikalingas paslaugas ir įgalinti „Samba“ paslaugas visoje sistemoje, pateikdami toliau nurodytas komandas.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Prisijunkite prie „Ubuntu“ kompiuterio prie „Samba4 AD DC“, pateikdami šią komandą. Kad susiejimas su sritimi veiktų taip, kaip tikėtasi, naudokite „AD DC“ paskyros, turinčios administratoriaus teises, pavadinimą.
$ sudo net ads join -U ad_admin_user
10. Iš „Windows“ mašinos su įdiegtais RSAT įrankiais galite atidaryti „AD UC“ ir pereiti prie „Computers“ konteinerio. Čia turėtų būti pateiktas jūsų „Ubuntu“ prijungtas kompiuteris.
3 žingsnis: konfigūruokite AD abonementų autentifikavimą
11. Norėdami atlikti AD paskyrų autentifikavimą vietiniame kompiuteryje, turite modifikuoti kai kurias paslaugas ir failus vietiniame kompiuteryje.
Pirmiausia atidarykite ir redaguokite „Name Service Switch“ (NSS) konfigūracijos failą.
$ sudo nano /etc/nsswitch.conf
Kitas pridėkite „winbind“ reikšmę „passwd“ ir grupės linijoms, kaip parodyta toliau pateiktoje ištraukoje.
passwd: compat winbind group: compat winbind
12. Norėdami patikrinti, ar Ubuntu mašina buvo sėkmingai integruota į sritį, vykdykite komandą wbinfo, kad būtų išvardytos domeno paskyros ir grupės.
$ wbinfo -u $ wbinfo -g
13. Taip pat patikrinkite „Winbind nsswitch“ modulį išleisdami komandą „getent“ ir perkelkite rezultatus per filtrą, pvz., „Grep“, kad susiaurintumėte išvestį tik konkretiems domeno vartotojams ar grupėms.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Norėdami autentifikuoti „Ubuntu“ kompiuteryje su domeno abonementais, turite paleisti komandą pam-auth-update su pagrindinėmis teisėmis ir pridėti visus „Winbind“ paslaugai reikalingus įrašus bei automatiškai sukurti kiekvienos domeno abonemento namų katalogus pirmą kartą prisijungus.
Patikrinkite visus įrašus paspausdami klavišą [tarpas]
ir paspauskite OK, kad pritaikytumėte konfigūraciją.
$ sudo pam-auth-update
15. „Debian“ sistemose turite rankiniu būdu redaguoti /etc/pam.d/common-account failą ir šią eilutę, kad automatiškai sukurtumėte namus patvirtintiems domeno vartotojams.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Kad „Active Directory“ vartotojai galėtų pakeisti slaptažodį iš komandinės eilutės „Linux“, atidarykite /etc/pam.d/common-password failą ir pašalinkite „use_authtok“ sakinį iš slaptažodžio eilutės, kad galiausiai atrodytų taip, kaip nurodyta toliau pateiktoje ištraukoje.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Norėdami autentifikuoti Ubuntu pagrindiniame kompiuteryje naudodami „Samba4 AD“ paskyrą, naudokite domeno vartotojo vardo parametrą po komandos su -. Paleiskite komandą id norėdami gauti papildomos informacijos apie AD paskyrą.
$ su - your_ad_user
Jei norite pakeisti slaptažodį, naudokite komandą „pwd“, kad pamatytumėte dabartinį domeno vartotojo katalogą, ir komandą „passwd“.
18. Norėdami naudoti domeno abonementą su pagrindinėmis teisėmis savo „Ubuntu“ kompiuteryje, turite pridėti AD vartotojo vardą prie „sudo“ sistemos grupės, išleisdami šią komandą:
$ sudo usermod -aG sudo your_domain_user
Prisijunkite prie „Ubuntu“ naudodami domeno abonementą ir atnaujinkite savo sistemą vykdydami apt-get update komandą, kad patikrintumėte, ar domeno vartotojas turi root teises.
19. Norėdami pridėti domeno grupės šaknines teises, atidarykite failo redagavimo/etc/sudoers failą naudodami komandą visudo ir pridėkite šią eilutę, kaip parodyta žemiau esančiame ekrano kopija.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Norėdami išvengti tarpų, esančių jūsų domeno grupės pavadinime, arba norint išvengti pirmojo atgalinio brūkšnio, naudokite atgalinį brūkšnį. Aukščiau pateiktame pavyzdyje TECMINT srities domenų grupė pavadinta „domeno administratoriai“.
Ankstesnis procentinio ženklo (%)
simbolis rodo, kad turime omenyje grupę, o ne vartotojo vardą.
20. Jei naudojate grafinę „Ubuntu“ versiją ir norite prisijungti prie sistemos su domeno vartotoju, turite modifikuoti „LightDM“ ekrano tvarkyklę redaguodami /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf failą, pridėkite šias eilutes ir perkraukite mašiną, kad atspindėtų pakeitimus.
greeter-show-manual-login=true greeter-hide-users=true
Dabar jis turėtų galėti prisijungti prie „Ubuntu Desktop“ naudodamas domeno abonementą naudodamas jūsų_domeno_vardas arba [saugomas el. Paštas] _domain.tld arba jūsų_domenas\jūsų_domenas_naudotojo vardas formatą.