Zintegruj Ubuntu z Samba4 AD DC z SSSD i Realm - Część 15

Ten samouczek poprowadzi Cię, jak dołączyć Ubuntu Desktop maszyna do Active Directory Samba4 domena z SSSD I Realmd usługi w celu uwierzytelnienia użytkowników w stosunku do Active Directory.

Wymagania:

1. Utwórz infrastrukturę Active Directory z Samba4 na Ubuntu

Krok 1: Konfiguracje początkowe

1. Przed rozpoczęciem dołączania do Ubuntu w Active Directory upewnij się, że nazwa hosta jest odpowiednio skonfigurowana. Używać hostnamektl polecenie, aby ustawić nazwę komputera lub ręcznie edytować /etc/hostName plik.

$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc /hostName $ hostnamectl 

2. W następnym kroku edytuj ustawienia interfejsu sieciowych i dodaj odpowiednie konfiguracje IP i poprawne adresy serwera IP, aby wskazać kontroler domeny AD Samba, jak pokazano na poniższym zrzucie ekranu.

Jeśli skonfigurowałeś serwer DHCP na swojej lokalu do automatycznego przypisywania ustawień adresu IP dla maszyn LAN z odpowiednimi adresami IP AD DNS, możesz pominąć ten krok i przejść do przodu.

Skonfiguruj interfejs sieciowy

Na powyższym zrzucie ekranu, 192.168.1.254 I 192.168.1.253 reprezentuje adresy IP kontrolerów domeny samba4.

3. Uruchom ponownie usługi sieciowe, aby zastosować zmiany za pomocą GUI lub z wiersza poleceń i wydać serię polecenie ping w oparciu o nazwę domeny, aby sprawdzić, czy rozdzielczość DNS działa zgodnie z oczekiwaniami. Użyj również gospodarz polecenie testowania rozdzielczości DNS.

$ sudo systemCtl restartuj sieci sieciowe.serwis $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2 

4. Na koniec upewnij się, że czas maszyny jest zsynchronizowany z Samba4 AD. zainstalować ntpdate Pakiet i synchronizacja z reklamą, wydając poniższe polecenia.

$ sudo apt-get instaluj ntpdate $ sudo ntpdate your_domain_name 

Krok 2: Zainstaluj wymagane pakiety

5. Na tym etapie zainstaluj niezbędne oprogramowanie i wymagane zależności, aby dołączyć do Ubuntu do Samba4 AD DC: Realmd I SSSD usługi.

$ sudo apt instal Adcli Realmd Krb5-User samba-common-bin samba-libs samba-dsdb-modules sssd-tools libnss-sss libpam-sss pakietKit PolicyKit-1 

6. Wprowadź nazwę domyślnej dziedziny z górami i naciśnij Wchodzić klucz do kontynuowania instalacji.

Ustaw nazwę Realm

7. Następnie utwórz SSSD plik konfiguracyjny z następującą zawartością.

$ sudo nano/etc/sssd/sssd.conf 

Dodaj następujące linie do SSSD.conf plik.

[NSS] Filter_groups = root Filter_Users = Recononction_Retries = 3 [PAM] RECONNECTION_RETRIES = 3 [SSSD] Domeny = Tecmint.LAN Config_file_version = 2 usługi = NSS, Pam default_domain_suffix = Tecminint.LAN [domena/tecmint.lan] ad_domain = tecmint.LAN KRB5_REALM = TECMINT.Lan realmd_tags = zarządzania-system dołączony-with-samba cache_credentials = true id_provider = ad krb5_store_password_if_offline = true default_shell =/bin/bash ldap_id_mapping = true_delfiled_qualified_names = true fallback = Ad Access_Provider = Ad ldap_schema = ad Dyndns_update = true dyndns_refresh_interval = 43200 Dyndns_update_ptr = true dyndns_ttl = 3600 

Upewnij się, że odpowiednio zastąpiłeś nazwę domeny w następujących parametrach:

domeny = Tecmint.LAN Default_domain_suffix = Tecmint.LAN [domena/tecmint.lan] ad_domain = tecmint.LAN KRB5_REALM = TECMINT.Lan 

8. Następnie dodaj odpowiednie uprawnienia do pliku SSSD, wydając poniższe polecenie:

$ sudo chmod 700/etc/sssd/sssd.conf 

9. Teraz otwórz i edytuj Realmd plik konfiguracyjny i dodaj następujące wiersze.

$ sudo nano /etc /realmd.conf 

Realmd.conf fragment pliku:

[Active-Directory] OS-NAME = Linux Ubuntu OS-Version = 17.04 [Service] Automatic-install = Tak [Użytkownicy] domyślny-home =/home/%d/%u Domyślny shell =/bin/bash [tecMint.LAN] użytkownik-principal = Tak w pełni kwalifikowane nazwy = nie 

10. Ostatni plik, który musisz zmodyfikować, należy do demby samba. otwarty /etc/samba/smb.conf plik do edycji i dodaj następujący blok kodu na początku pliku, po [światowy] sekcja, jak pokazano na poniższym obrazku.

 WorkGroup = TecMint Klient podpisanie = Tak Klient Użyj Spnego = Tak Kerberos Method = Secrets and KeyTab Realm = TecMint.LAN Security = Ads 

Skonfiguruj serwer Samba

Upewnij się, że wymieniłeś Nazwa domeny wartość, zwłaszcza wartość dziedziny Aby dopasować nazwę domeny i uruchomić TestParm polecenie, aby sprawdzić, czy plik konfiguracyjny nie zawiera błędów.

$ sudo testparm 

Przetestuj konfigurację samby

11. Po dokonaniu wszystkich wymaganych zmian przetestuj uwierzytelnianie Kerberos za pomocą konta administracyjnego AD i wymień bilet, wydając poniższe polecenia.

$ sudo kinit [e -mail chroniony] $ sudo klist 

Sprawdź uwierzytelnianie Kerberos

Krok 3: Dołącz do Ubuntu do królestwa samba4

12. Aby dołączyć do maszyny Ubuntu do Active Directory Samamba4 Prezentowanie serii poleceń, jak pokazano poniżej. Użyj nazwy konta AD DC z uprawnieniami administratora, aby powiązanie z Realm działało zgodnie z oczekiwaniami i odpowiednio zastąpić wartość nazw domeny.

$ sudo realm odkryj -v domena.TLD $ sudo lista $ sudo realm dołącz do Tecmint.Lan -u ad_admin_user -v $ sudo netto 

Dołącz do Ubuntu do królestwa samba4 Lista Informacje o dziedzinie dziedziny Dodaj użytkownika do domeny Realm Dodaj domenę do Realm

13. Po powiązaniu domeny uruchom poniższe polecenie, aby upewnić się, że wszystkie konta domeny mogą uwierzytelnić się na komputerze.

$ sudo realm zezwolenie -wszystko 

Następnie możesz pozwolić lub odmówić dostępu do konta użytkownika domeny lub grupy za pomocą polecenia Realm, jak przedstawiono w poniższych przykładach.

$ sudo realm odmów -a $ realm zezwolenie -domena Grupy.TLD \ Linux Administrins '$ realm zezwolenie [e -mail chronione] $ realm zezwolenie domena \\ user2 

14. Z urządzenia z systemem Windows z zainstalowanymi narzędziami RSAT, które można otworzyć AD uc i przejdź do Komputery kontener i sprawdź, czy utworzono konto obiektowe o nazwie twojego komputera.

Potwierdź domenę dodaną do AD DC

Krok 4: Skonfiguruj uwierzytelnianie kont AD

15. Aby uwierzytelnić się na komputerze Ubuntu z kontami domen, musisz uruchomić PAM-Auth-update Polecenie z uprawnieniami root i włącz wszystkie profile PAM, w tym opcję automatycznego tworzenia katalogów domowych dla każdego konta domeny przy pierwszym logowaniu.

Sprawdź wszystkie wpisy, naciskając [przestrzeń] Klucz i uderzenie OK zastosować konfigurację.

$ sudo pam-autout-update 

Konfiguracja PAM

16. Na systemach ręcznie edytuj /etc/pam.D/Common-Concount Plik i następujący wiersz w celu automatycznego tworzenia domów dla uwierzytelnionych użytkowników domeny.

Wymagana sesja PAM_MKHOMEDIR.Więc skel =/etc/skel/umak = 0022 

17. Jeśli użytkownicy Active Directory nie mogą zmienić hasła z wiersza poleceń w Linux, otwórz /etc/pam.D/Common-Password złożyć i usuń użyj_authtok Instrukcja z linii hasła, aby wreszcie wyglądać jak na poniższym fragmencie.

hasło [sukces = 1 domyślne = ignor] pam_winbind.Więc try_first_pass 

18. Wreszcie, uruchom ponownie i włącz Usługę Realmd i SSSD zastosowanie zmian poprzez wydanie poniższych poleceń:

$ sudo systemctl restart realmd sssd $ sudo systemCtl Włącz realmd sssd 

19. Aby sprawdzić, czy maszyna Ubuntu została pomyślnie zintegrowana z Realm Uruchom instaluj pakiet WinBind i uruchom Wbinfo polecenie do wymienienia kont i grup domeny, jak pokazano poniżej.

$ sudo apt -get instaluj winbind $ wbinfo -u $ wbinfo -g 

Wypisz konta domeny

20. Sprawdź także moduł WinBind NSSwitch, wydając Get polecenie na określonym użytkowniku lub grupie domeny.

$ sudo getent passwd your_domain_user $ sudo getent grupa „domeny administratorów” 

Sprawdź WinBind NSSwitch

21. Możesz także użyć Linux ID polecenie, aby uzyskać informacje o koncie reklamowym, jak pokazano na poniższym poleceniu.

$ id TecMint_user 

Sprawdź informacje o użytkowniku reklamy

22. Aby uwierzytelnić się na hoście Ubuntu z kontem reklamowym Samba4, użyj parametru nazwy użytkownika domeny Su - Komenda. Uruchomić ID polecenie, aby uzyskać dodatkowe informacje o koncie AD.

$ su - your_ad_user 

Uwierzytelnianie użytkownika AD

Używać PWD polecenie, aby zobaczyć aktualny katalog roboczy użytkownika domeny i polecenie PASSWD, jeśli chcesz zmienić hasło.

23. Aby użyć konta domeny z uprawnieniami root na maszynie Ubuntu, musisz dodać nazwę użytkownika AD do grupy systemowej Sudo, wydając poniższe polecenie:

$ sudo usermod -ag sudo [e -mail chroniony] 

Zaloguj się do Ubuntu za pomocą konta domeny i zaktualizuj system, uruchamiając aktualizacja apt Polecenie do sprawdzenia uprawnień root.

24. Aby dodać uprawnienia korzeni dla grupy domeny, Edytuj Otward End /etc/sudoers plik za pomocą Visudo polecenie i dodaj następujący wiersz, jak ilustrowano.

%domena \ [e -mail chroniony] all = (all: all) wszystko 

25. Aby użyć uwierzytelniania konta domeny do modyfikacji pulpitu Ubuntu Lightdm Menedżer wyświetlania poprzez edycję /usr/share/lightdm/Lightdm.conf.D/50-UBUNTU.conf Plik, dołącz następujące dwa wiersze i ponownie uruchom usługę Lightdm lub ponownie uruchom maszynę, zastosuj zmiany.

Pozdrów-show-manual-login = prawdziwe pozdrowienia-użytkowe = prawdziwe 

Zaloguj się na pulpit Ubuntu za pomocą konta domeny za pomocą jednego z nich twój_domain_username Lub [chroniony e -mail] _domain.tld składnia.

26. Aby użyć krótkiej nazwy formatu dla kont ADAMA, edytuj /etc/sssd/sssd.conf plik, dodaj następujący wiersz w [SSSD] blok, jak pokazano poniżej.

full_name_format = %1 $ s 

i uruchom demon SSSD, aby zastosować zmiany.

$ sudo systemctl restart sssd 

Zauważysz, że monit bash zmieni się na krótką nazwę użytkownika reklamy bez dołączania odpowiednika nazwy domeny.

27. Na wypadek, gdybyś nie mógł się zalogować z powodu wylicz = prawda Argument ustawiony SSSD.conf Musisz wyczyścić bazę danych buforowanej SSSD, wydając poniższe polecenie:

$ rm/var/lib/sss/db/cache_tecMint.Lan.LDB 

To wszystko! Chociaż ten przewodnik koncentruje się głównie na integracji z aktywnym katalogiem Samba4, te same kroki można zastosować w celu zintegrowania Ubuntu z usługami Realmd i SSSD w Active Directory Microsoft Windows Server.