Integruokite Ubuntu į Samba4 AD DC su SSSD ir „Realm“ – 15 dalis
Šioje pamokoje sužinosite, kaip prijungti Ubuntu Desktop įrenginį į Samba4 Active Directory domeną naudojant SSSD ir Realmd > paslaugas, kad būtų galima autentifikuoti vartotojus pagal „Active Directory“.
Reikalavimai:
- Sukurkite Active Directory infrastruktūrą naudodami Samba4 Ubuntu
1 veiksmas: pradinės konfigūracijos
1. Prieš pradėdami prisijungti prie Ubuntu prie „Active Directory“ įsitikinkite, kad prieglobos serverio pavadinimas tinkamai sukonfigūruotas. Naudokite komandą hostnamectl, kad nustatytumėte įrenginio pavadinimą arba rankiniu būdu redaguokite failą /etc/hostname.
sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl
2. Atlikdami kitą veiksmą, redaguokite įrenginio tinklo sąsajos nustatymus ir pridėkite tinkamas IP konfigūracijas bei teisingus DNS IP serverio adresus, kad nukreiptumėte į Samba AD domeno valdiklį, kaip parodyta toliau esančioje ekrano kopijoje.
Jei sukonfigūravote DHCP serverį savo patalpose, kad automatiškai priskirtų IP nustatymus jūsų LAN įrenginiams su tinkamais AD DNS IP adresais, galite praleisti šį veiksmą ir judėti pirmyn.
Aukščiau pateiktoje ekrano kopijoje 192.168.1.254 ir 192.168.1.253 reiškia „Samba4“ domeno valdiklių IP adresus.
3. Iš naujo paleiskite tinklo paslaugas, kad pritaikytumėte pakeitimus naudodami GUI arba komandų eilutę, ir išleiskite ping komandos seriją savo domeno pavadinimui, kad patikrintumėte, ar DNS skyra dirba kaip tikėtasi. Taip pat naudokite komandą host, kad patikrintumėte DNS skiriamąją gebą.
sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2
4. Galiausiai įsitikinkite, kad įrenginio laikas yra sinchronizuotas su Samba4 AD. Įdiekite ntpdate paketą ir sinchronizuokite laiką su AD, išduodami toliau pateiktas komandas.
sudo apt-get install ntpdate
sudo ntpdate your_domain_name
2 veiksmas: įdiekite reikiamus paketus
5. Atlikdami šį veiksmą, įdiekite reikiamą programinę įrangą ir reikiamas priklausomybes, kad prisijungtumėte prie Ubuntu prie Samba4 AD DC: Realmd ir SSSD paslaugų.
sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Įveskite numatytosios srities pavadinimą didžiosiomis raidėmis ir paspauskite klavišą Enter, kad tęstumėte diegimą.
7. Tada sukurkite SSSD konfigūracijos failą su šiuo turiniu.
sudo nano /etc/sssd/sssd.conf
Pridėkite šias eilutes prie sssd.conf failo.
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
Būtinai atitinkamai pakeiskite domeno pavadinimą šiais parametrais:
domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
8. Tada pridėkite tinkamus SSSD failo leidimus išduodami toliau pateiktą komandą:
sudo chmod 700 /etc/sssd/sssd.conf
9. Dabar atidarykite ir redaguokite Realmd konfigūracijos failą ir pridėkite šias eilutes.
sudo nano /etc/realmd.conf
Realmd.conf failo ištrauka:
[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no
10. Paskutinis failas, kurį reikia keisti, priklauso Samba demonui. Atidarykite /etc/samba/smb.conf failą, kad galėtumėte redaguoti, ir pridėkite šį kodo bloką failo pradžioje, po skyrelio [global], kaip parodyta paveikslėlis žemiau.
workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads
Būtinai pakeiskite domeno pavadinimo reikšmę, ypač domeno reikšmę, kad ji atitiktų jūsų domeno pavadinimą, ir paleiskite komandą testparm, kad patikrintumėte, ar konfigūracija faile nėra klaidų.
sudo testparm
11. Atlikę visus reikiamus pakeitimus, išbandykite „Kerberos“ autentifikavimą naudodami AD administratoriaus paskyrą ir nurodykite bilietą išduodami toliau pateiktas komandas.
sudo kinit [email
sudo klist
3 veiksmas: prisijunkite prie Ubuntu prie Samba4 Realm
12. Norėdami prisijungti prie Ubuntu įrenginio prie Samba4 Active Directory, išduokite vadovaudamiesi komandų serija, kaip parodyta toliau. Naudokite AD DC paskyros pavadinimą su administratoriaus teisėmis, kad susiejimas su sritimi veiktų taip, kaip tikėtasi, ir atitinkamai pakeiskite domeno vardo reikšmę.
sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k
13. Po domeno susiejimo paleiskite toliau pateiktą komandą, kad įsitikintumėte, jog įrenginyje leidžiama autentifikuoti visas domeno paskyras.
sudo realm permit --all
Vėliau galite leisti arba uždrausti prieigą prie domeno vartotojo abonemento arba grupės naudodami srities komandą, kaip parodyta toliau pateiktuose pavyzdžiuose.
sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email
realm permit DOMAIN\\User2
14. „Windows“ įrenginyje su įdiegtais RSAT įrankiais galite atidaryti AD UC ir pereiti į konteinerį Kompiuteriai ir patikrinti, ar objekto paskyra su tokiu pavadinimu Jūsų aparatas buvo sukurtas.
4 veiksmas: sukonfigūruokite AD paskyrų autentifikavimą
15. Norėdami autentifikuoti Ubuntu įrenginį naudodami domeno paskyras, turite paleisti komandą pam-auth-update su root teisėmis ir įgalinti visus PAM profilius, įskaitant automatinio kūrimo parinktį kiekvienos domeno paskyros namų katalogus pirmą kartą prisijungus.
Patikrinkite visus įrašus paspausdami [tarpo] klavišą ir paspauskite ok, kad pritaikytumėte konfigūraciją.
sudo pam-auth-update
16. Sistemose rankiniu būdu redaguokite /etc/pam.d/common-account failą ir kitą eilutę, kad automatiškai sukurtumėte autentifikuotų domeno naudotojų namus.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Jei „Active Directory“ naudotojai negali pakeisti slaptažodžio iš komandinės eilutės sistemoje „Linux“, atidarykite failą /etc/pam.d/common-password ir pašalinkite use_authtok teiginys iš slaptažodžio eilutės, kad galiausiai atrodytų kaip toliau pateiktoje ištraukoje.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Galiausiai iš naujo paleiskite ir įgalinkite Realmd bei SSSD paslaugą, kad pritaikytumėte pakeitimus, išduodami toliau nurodytas komandas:
sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd
19. Norėdami patikrinti, ar Ubuntu įrenginys sėkmingai integruotas į paleidimo sritį, įdiekite paketą winbind ir paleiskite komandą wbinfo, kad pateiktumėte domenų paskyras ir grupes, kaip parodyta toliau.
sudo apt-get install winbind
wbinfo -u
wbinfo -g
20. Be to, patikrinkite „Winbind nsswitch“ modulį, išleisdami komandą getent prieš konkretų domeno vartotoją ar grupę.
sudo getent passwd your_domain_user
sudo getent group ‘domain admins’
21. Taip pat galite naudoti Linux komandą id, kad gautumėte informacijos apie AD paskyrą, kaip parodyta toliau pateiktoje komandoje.
id tecmint_user
22. Norėdami autentifikuoti Ubuntu pagrindinį kompiuterį naudodami Samba4 AD paskyrą, naudokite domeno vartotojo vardo parametrą po komandos su. Paleiskite komandą id, kad gautumėte papildomos informacijos apie AD paskyrą.
su - your_ad_user
Naudokite komandą pwd, kad pamatytumėte savo domeno naudotojo esamą darbo katalogą ir komandą passwd, jei norite pakeisti slaptažodį.
23. Norėdami Ubuntu įrenginyje naudoti domeno paskyrą su root teisėmis, turite pridėti AD naudotojo vardą prie sudo sistemos grupės, išleisdami toliau pateiktą komandą:
sudo usermod -aG sudo [email
Prisijunkite prie Ubuntu naudodami domeno paskyrą ir atnaujinkite sistemą paleisdami komandą apt update, kad patikrintumėte root teises.
24. Norėdami pridėti domenų grupės šaknines teises, atidarykite redagavimo /etc/sudoers failą naudodami komandą visudo ir pridėkite šią eilutę, kaip parodyta paveikslėlyje .
%domain\ [email ALL=(ALL:ALL) ALL
25. Norėdami naudoti domeno paskyros autentifikavimą Ubuntu Desktop, pakeiskite LightDM ekrano tvarkyklę redaguodami /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf failą, pridėkite šias dvi eilutes ir iš naujo paleiskite „lightdm“ paslaugą arba iš naujo paleiskite įrenginį, kad pritaikytumėte pakeitimus.
greeter-show-manual-login=true
greeter-hide-users=true
Prisijunkite prie „Ubuntu Desktop“ naudodami domeno paskyrą naudodami jūsų_domeno_naudotojovardas arba jūsų_domeno_naudotojovardas@jūsų_domenas.tld sintaksę.
26. Norėdami naudoti trumpojo pavadinimo formatą Samba AD paskyroms, redaguokite /etc/sssd/sssd.conf failą, pridėkite šią eilutę į [sssd] blokas, kaip parodyta toliau.
full_name_format = %1$s
ir iš naujo paleiskite SSSD demoną, kad pritaikytumėte pakeitimus.
sudo systemctl restart sssd
Pastebėsite, kad „bash“ raginimas pasikeis į trumpąjį AD vartotojo vardą, nepridedant domeno vardo atitikmens.
27. Jei negalite prisijungti dėl enumerate=true argumento, nustatyto sssd.conf, turite išvalyti sssd talpykloje esančią duomenų bazę, vykdydami toliau pateiktą komandą :
rm /var/lib/sss/db/cache_tecmint.lan.ldb
Tai viskas! Nors šiame vadove daugiausia dėmesio skiriama integracijai su Samba4 Active Directory, tuos pačius veiksmus galima atlikti norint integruoti Ubuntu su Realmd ir SSSD paslaugomis į Microsoft Windows Server Active Directory.