Zintegruj Ubuntu 16.04 AD jako członek domeny w Sambie i Winbind - część 8

Ten samouczek opisuje, jak dołączyć do maszyny Ubuntu w Active Directory Samba4 domena w celu uwierzytelnienia OGŁOSZENIE Konta z lokalnym ACL dla plików i katalogów lub utworzenia i mapowania udziałów woluminów dla użytkowników kontrolera domeny (działaj jako serwer plików).

Wymagania:

1. Utwórz infrastrukturę Active Directory z Samba4 na Ubuntu

Krok 1: Wstępne konfiguracje do dołączenia do Ubuntu do Samba4 AD

1. Przed rozpoczęciem dołączenia Ubuntu host w Active Directory DC Musisz zapewnić, że niektóre usługi są prawidłowo skonfigurowane na komputerze lokalnym.

Ważny aspekt twojego maszyny reprezentuje Nazwa hosta. Skonfiguruj odpowiednią nazwę maszyny przed dołączeniem do domeny za pomocą hostnamektl polecenie lub ręczne edycja /etc/hostName plik.

# hostNamEctl set-hostname your_machine_short_name # cat /etc /hostName # hostnamectl 

Ustaw nazwę hosta systemu

2. W następnym kroku otwórz i ręcznie edytuj ustawienia sieci maszynowej za pomocą odpowiednich konfiguracji IP. Najważniejsze ustawienia tutaj to adresy IP DNS, które wskazują na kontroler domeny.

Edytować /etc/sieci/interfejsy Plik i dodaj DNS-Nameservers Instrukcja z odpowiednimi adresami IP reklamy i nazwy domeny, jak pokazano na poniższym zrzucie ekranu.

Upewnij się również, że do dodania tych samych adresów IP DNS i nazwy domeny /etc/resolv.conf plik.

Skonfiguruj ustawienia sieciowe dla AD

Na powyższym zrzucie ekranu, 192.168.1.254 I 192.168.1.253 Czy adresy IP Samba4 AD DC I Tecmint.Lan reprezentuje nazwę domeny AD, która zostanie zapytana przez wszystkie maszyny zintegrowane z królestwem.

3. Uruchom ponownie usługi sieciowe lub ponownie uruchom komputer w celu zastosowania nowych konfiguracji sieciowych. Problem a świst polecenie na nazwie domeny, aby sprawdzić, czy rozdzielczość DNS działa zgodnie z oczekiwaniami.

Ad DC powinien powtórzyć za pomocą FQDN. Jeśli skonfigurowałeś serwer DHCP w sieci do automatycznego przypisywania ustawień IP dla hostów LAN, upewnij się, że dodajesz adresy IP DC do konfiguracji DNS serwera DHCP.

# SystemCtl restart sieć.usługa # ping -c2 your_domain_name 

4. Ostatnia wymagana ważna konfiguracja jest reprezentowana przez synchronizację czasu. zainstalować ntpdate pakiet, zapytanie i czas synchronizacji z Ad DC Wydając poniższe polecenia.

$ sudo apt -get instaluj ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name 

Synchronizacja czasu z AD

5. W następnym kroku zainstaluj oprogramowanie wymagane przez urządzenie Ubuntu, które ma być w pełni zintegrowane z domeną, uruchamiając poniższe polecenie.

$ sudo apt-get instaluj samba Krb5-config KRB5-User WinBind Libpam-Winbind Libnss-Winbind 

Zainstaluj Samba4 w kliencie Ubuntu

Podczas instalacji pakietów Kerberos należy poprosić o wprowadzenie nazwy definii domyślnej. Użyj nazwy swojej domeny z górami i naciśnij Wchodzić klucz do kontynuowania instalacji.

Dodaj nazwę domeny reklamowej

6. Po wszystkich pakietach zakończ instalację, testuj Kerberos Uwierzytelnianie w stosunku do konta administracyjnego AD i wymień bilet, wydając poniższe polecenia.

# Kinit AD_ADMIN_USER # KLIST 

Sprawdź uwierzytelnianie Kerberos za pomocą AD

Krok 2: Dołącz do Ubuntu do Samba4 AD DC

7. Pierwszy krok w integracji maszyny Ubuntu z Active Directory Samba4 Domena to edycja pliku konfiguracyjnego samba.

Skontaktuj się z domyślnym plikiem konfiguracyjnym Samby, dostarczonego przez menedżera pakietów, aby rozpocząć od czystej konfiguracji, uruchamiając następujące polecenia.

# mv/etc/samba/smb.conf/etc/samba/smb.conf.Początkowy # nano/etc/samba/smb.conf  

W nowym pliku konfiguracyjnym Samby Dodaj poniższe wiersze:

[światowy] WorkGroup = Tecmint Realm = Tecmint.Nazwa LAN Netbios = Ubuntu Security = Ads DNS Forwarder = 192.168.1.1 idmap konfiguracja *: backend = tdb idmap konfiguracja *: Zakres = 50000-1000000 szablon homedir =/home/%d/%szablon u powłoka =/bin/bash WinBind Użyj domain domain = prawdziwa Winbind Offline Logon = False WinBind NSS Informacje = RFC2307 WinBind Usum Użytkownicy = Tak WinBind Grupy enum = Tak VFS Objects = ACL_XATTR MAP ACL NARZYSZENIE = TAK STORE DOS Atrybuty = Tak 

Skonfiguruj Samba dla AD

Zastępować Grupa robocza, królestwo, Nazwa netbios I DNS Forwarder zmienne z własnymi niestandardowymi ustawieniami.

WinBind Użyj domeny domyślnej przyczyny parametru Winbind usługa traktowania dowolnych niewykwalifikowanych nazwy użytkowników jako użytkowników reklamy. Powinieneś pominąć ten parametr, jeśli masz nazwy konta systemu lokalnego, które nakładają się na konta reklamowe.

8. Teraz powinieneś ponownie uruchomić wszystkie demony samby i zatrzymać i usunąć niepotrzebne usługi i włączyć system usług samba, wydając poniższe polecenia.

$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl włącz SMBD nmbd WinBind 

9. Dołącz do maszyny Ubuntu Samba4 AD DC Wydając następujące polecenie. Użyj nazwy konta AD DC z uprawnieniami administratora, aby powiązanie z dziedziną działało zgodnie z oczekiwaniami.

$ sudo net reklamy dołącz -U ad_admin_user 

Dołącz do Ubuntu do samba4 ad DC

10. Z urządzenia z systemem Windows z zainstalowanymi narzędziami RSAT, które można otworzyć AD uc i przejdź do Komputery pojemnik. Tutaj należy wymienić twoją maszynę dołączoną do Ubuntu.

Potwierdź klienta Ubuntu w systemie Windows AD DC

Krok 3: Skonfiguruj uwierzytelnianie kont AD

11. Aby wykonać uwierzytelnianie kont AD na komputerze lokalnym, musisz zmodyfikować niektóre usługi i pliki na komputerze lokalnym.

Najpierw otwórz i edytuj Przełącznik usługi nazwy (NSS) plik konfiguracyjny.

$ sudo nano/etc/nsswitch.conf 

Następny dołącz wartość WinBind dla linii PASSWD i grupy, jak pokazano na poniższym fragmencie.

PASSWD: Compat WinBind Group: Compat Winbind 

Skonfiguruj uwierzytelnianie kont AD

12. Aby sprawdzić, czy maszyna Ubuntu została pomyślnie zintegrowana z REALM RUN Wbinfo polecenie do wymienienia kont i grup domeny.

$ wbinfo -u $ wbinfo -g 

Wymień konta i grupy domeny reklam

13. Sprawdź także moduł WinBind NSSwitch, wydając Get polecenie i potokuj wyniki przez filtr, taki jak Grep Aby zawęzić dane wyjściowe tylko dla określonych użytkowników lub grup domeny.

$ sudo getent passwd | grep your_domain_user $ sudo getent grupa | grep „administrator domeny” 

Sprawdź użytkowników i grupy domeny AD

14. Aby uwierzytelnić się na komputerze Ubuntu z kontami domen, musisz uruchomić PAM-Auth-update Polecenie z uprawnieniami root i dodaj wszystkie wpisy wymagane do usługi WinBind i automatycznie tworzyć katalogi domowe dla każdego konta domeny przy pierwszym logowaniu.

Sprawdź wszystkie wpisy, naciskając [przestrzeń] Klucz i uderzenie OK zastosować konfigurację.

$ sudo pam-autout-update 

Uwierzytelnij Ubuntu z kontami domenowymi

15. W systemach Debian musisz ręcznie edytować /etc/pam.D/Common-Concount Plik i następujący wiersz w celu automatycznego tworzenia domów dla uwierzytelnionych użytkowników domeny.

Wymagana sesja PAM_MKHOMEDIR.Więc skel =/etc/skel/umak = 0022 

Uwierzytelnij Debiana z kontami domenowymi

16. W celu Active Directory Użytkownicy, aby móc zmienić hasło z wiersza poleceń w Linux otwierają /etc/pam.D/Common-Password złożyć i usuń użyj_authtok Instrukcja z linii hasła, aby wreszcie wyglądać jak na poniższym fragmencie.

hasło [sukces = 1 domyślne = ignor] pam_winbind.Więc try_first_pass 

Użytkownicy mogą zmienić hasło

17. Aby uwierzytelnić się na hoście Ubuntu za pomocą konta reklamowego Samba4, użyj parametru nazwy użytkownika domeny po komendzie SU -. Polecenie uruchom identyfikator, aby uzyskać dodatkowe informacje o koncie reklamowym.

$ su - your_ad_user 

Znajdź informacje o użytkowniku reklamy

Użyj polecenia PWD, aby zobaczyć aktualny katalog użytkownika domeny i polecenie PASSWD, jeśli chcesz zmienić hasło.

18. Aby użyć konta domeny z uprawnieniami root na maszynie Ubuntu, musisz dodać nazwę użytkownika AD do grupy systemowej Sudo, wydając poniższe polecenie:

$ sudo usermod -ag sudo your_domain_user 

Zaloguj się do Ubuntu za pomocą konta domeny i zaktualizuj system, uruchamiając aktualizacja apt-get polecenie, aby sprawdzić, czy użytkownik domeny ma uprawnienia root.

Dodaj grupę korzeniową użytkownika Sudo

19. Aby dodać uprawnienia korzeni dla grupy domeny, Edytuj Otward End /etc/sudoers plik za pomocą Visudo polecenie i dodaj następujący wiersz, jak pokazano na poniższym zrzucie ekranu.

%Your_domain \\ your_domain \ grupa all = (all: all) 

Dodaj uprawnienia korzeni do grupy domeny

Użyj zapałek wstecznych, aby uciec od przestrzeni zawartych w nazwie grupy domeny lub, aby uciec przed pierwszym odwrotnością. W powyższym przykładzie grupa domeny dla Tecmint Realm nosi nazwę „administrowie domeny".

Poprzedni znak procentowy (%) Symbol wskazuje, że mamy na myśli grupę, a nie nazwę użytkownika.

20. W przypadku uruchamiania graficznej wersji Ubuntu i chcesz zalogować się w systemie z użytkownikiem domeny, musisz zmodyfikować menedżera wyświetlania Lightdm, edytując /usr/share/lightdm/Lightdm.conf.D/50-UBUNTU.conf plik, dodaj następujące wiersze i ponownie uruchom maszynę, aby odzwierciedlić zmiany.

Pozdrów-show-manual-login = prawdziwe pozdrowienia-użytkowe = prawdziwe 

Powinien teraz być w stanie wykonywać loginy na pulpicie Ubuntu za pomocą konta domeny za pomocą jednego z nich twój_domain_username Lub [chroniony e -mail] _domain.tld Lub your_domain \ your_domain_username format.