Zintegruj Ubuntu z Samba4 AD DC z SSSD i Realm - Część 15
- 1149
- 77
- Pani Janina Cieśla
Ten samouczek poprowadzi Cię, jak dołączyć Ubuntu Desktop maszyna do Active Directory Samba4 domena z SSSD I Realmd usługi w celu uwierzytelnienia użytkowników w stosunku do Active Directory.
Wymagania:
- Utwórz infrastrukturę Active Directory z Samba4 na Ubuntu
Krok 1: Konfiguracje początkowe
1. Przed rozpoczęciem dołączania do Ubuntu w Active Directory upewnij się, że nazwa hosta jest odpowiednio skonfigurowana. Używać hostnamektl polecenie, aby ustawić nazwę komputera lub ręcznie edytować /etc/hostName plik.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc /hostName $ hostnamectl
2. W następnym kroku edytuj ustawienia interfejsu sieciowych i dodaj odpowiednie konfiguracje IP i poprawne adresy serwera IP, aby wskazać kontroler domeny AD Samba, jak pokazano na poniższym zrzucie ekranu.
Jeśli skonfigurowałeś serwer DHCP na swojej lokalu do automatycznego przypisywania ustawień adresu IP dla maszyn LAN z odpowiednimi adresami IP AD DNS, możesz pominąć ten krok i przejść do przodu.
Skonfiguruj interfejs sieciowy Na powyższym zrzucie ekranu, 192.168.1.254 I 192.168.1.253 reprezentuje adresy IP kontrolerów domeny samba4.
3. Uruchom ponownie usługi sieciowe, aby zastosować zmiany za pomocą GUI lub z wiersza poleceń i wydać serię polecenie ping w oparciu o nazwę domeny, aby sprawdzić, czy rozdzielczość DNS działa zgodnie z oczekiwaniami. Użyj również gospodarz polecenie testowania rozdzielczości DNS.
$ sudo systemCtl restartuj sieci sieciowe.serwis $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. Na koniec upewnij się, że czas maszyny jest zsynchronizowany z Samba4 AD. zainstalować ntpdate Pakiet i synchronizacja z reklamą, wydając poniższe polecenia.
$ sudo apt-get instaluj ntpdate $ sudo ntpdate your_domain_name
Krok 2: Zainstaluj wymagane pakiety
5. Na tym etapie zainstaluj niezbędne oprogramowanie i wymagane zależności, aby dołączyć do Ubuntu do Samba4 AD DC: Realmd I SSSD usługi.
$ sudo apt instal Adcli Realmd Krb5-User samba-common-bin samba-libs samba-dsdb-modules sssd-tools libnss-sss libpam-sss pakietKit PolicyKit-1
6. Wprowadź nazwę domyślnej dziedziny z górami i naciśnij Wchodzić klucz do kontynuowania instalacji.
Ustaw nazwę Realm 7. Następnie utwórz SSSD plik konfiguracyjny z następującą zawartością.
$ sudo nano/etc/sssd/sssd.conf
Dodaj następujące linie do SSSD.conf plik.
[NSS] Filter_groups = root Filter_Users = Recononction_Retries = 3 [PAM] RECONNECTION_RETRIES = 3 [SSSD] Domeny = Tecmint.LAN Config_file_version = 2 usługi = NSS, Pam default_domain_suffix = Tecminint.LAN [domena/tecmint.lan] ad_domain = tecmint.LAN KRB5_REALM = TECMINT.Lan realmd_tags = zarządzania-system dołączony-with-samba cache_credentials = true id_provider = ad krb5_store_password_if_offline = true default_shell =/bin/bash ldap_id_mapping = true_delfiled_qualified_names = true fallback = Ad Access_Provider = Ad ldap_schema = ad Dyndns_update = true dyndns_refresh_interval = 43200 Dyndns_update_ptr = true dyndns_ttl = 3600
Upewnij się, że odpowiednio zastąpiłeś nazwę domeny w następujących parametrach:
domeny = Tecmint.LAN Default_domain_suffix = Tecmint.LAN [domena/tecmint.lan] ad_domain = tecmint.LAN KRB5_REALM = TECMINT.Lan
8. Następnie dodaj odpowiednie uprawnienia do pliku SSSD, wydając poniższe polecenie:
$ sudo chmod 700/etc/sssd/sssd.conf
9. Teraz otwórz i edytuj Realmd plik konfiguracyjny i dodaj następujące wiersze.
$ sudo nano /etc /realmd.conf
Realmd.conf fragment pliku:
[Active-Directory] OS-NAME = Linux Ubuntu OS-Version = 17.04 [Service] Automatic-install = Tak [Użytkownicy] domyślny-home =/home/%d/%u Domyślny shell =/bin/bash [tecMint.LAN] użytkownik-principal = Tak w pełni kwalifikowane nazwy = nie
10. Ostatni plik, który musisz zmodyfikować, należy do demby samba. otwarty /etc/samba/smb.conf plik do edycji i dodaj następujący blok kodu na początku pliku, po [światowy] sekcja, jak pokazano na poniższym obrazku.
WorkGroup = TecMint Klient podpisanie = Tak Klient Użyj Spnego = Tak Kerberos Method = Secrets and KeyTab Realm = TecMint.LAN Security = Ads
Skonfiguruj serwer Samba Upewnij się, że wymieniłeś Nazwa domeny wartość, zwłaszcza wartość dziedziny Aby dopasować nazwę domeny i uruchomić TestParm polecenie, aby sprawdzić, czy plik konfiguracyjny nie zawiera błędów.
$ sudo testparm
Przetestuj konfigurację samby 11. Po dokonaniu wszystkich wymaganych zmian przetestuj uwierzytelnianie Kerberos za pomocą konta administracyjnego AD i wymień bilet, wydając poniższe polecenia.
$ sudo kinit [e -mail chroniony] $ sudo klist
Sprawdź uwierzytelnianie Kerberos Krok 3: Dołącz do Ubuntu do królestwa samba4
12. Aby dołączyć do maszyny Ubuntu do Active Directory Samamba4 Prezentowanie serii poleceń, jak pokazano poniżej. Użyj nazwy konta AD DC z uprawnieniami administratora, aby powiązanie z Realm działało zgodnie z oczekiwaniami i odpowiednio zastąpić wartość nazw domeny.
$ sudo realm odkryj -v domena.TLD $ sudo lista $ sudo realm dołącz do Tecmint.Lan -u ad_admin_user -v $ sudo netto
Dołącz do Ubuntu do królestwa samba4 
Lista Informacje o dziedzinie dziedziny 
Dodaj użytkownika do domeny Realm 
Dodaj domenę do Realm 13. Po powiązaniu domeny uruchom poniższe polecenie, aby upewnić się, że wszystkie konta domeny mogą uwierzytelnić się na komputerze.
$ sudo realm zezwolenie -wszystko
Następnie możesz pozwolić lub odmówić dostępu do konta użytkownika domeny lub grupy za pomocą polecenia Realm, jak przedstawiono w poniższych przykładach.
$ sudo realm odmów -a $ realm zezwolenie -domena Grupy.TLD \ Linux Administrins '$ realm zezwolenie [e -mail chronione] $ realm zezwolenie domena \\ user2
14. Z urządzenia z systemem Windows z zainstalowanymi narzędziami RSAT, które można otworzyć AD uc i przejdź do Komputery kontener i sprawdź, czy utworzono konto obiektowe o nazwie twojego komputera.
Potwierdź domenę dodaną do AD DC Krok 4: Skonfiguruj uwierzytelnianie kont AD
15. Aby uwierzytelnić się na komputerze Ubuntu z kontami domen, musisz uruchomić PAM-Auth-update Polecenie z uprawnieniami root i włącz wszystkie profile PAM, w tym opcję automatycznego tworzenia katalogów domowych dla każdego konta domeny przy pierwszym logowaniu.
Sprawdź wszystkie wpisy, naciskając [przestrzeń] Klucz i uderzenie OK zastosować konfigurację.
$ sudo pam-autout-update
Konfiguracja PAM 16. Na systemach ręcznie edytuj /etc/pam.D/Common-Concount Plik i następujący wiersz w celu automatycznego tworzenia domów dla uwierzytelnionych użytkowników domeny.
Wymagana sesja PAM_MKHOMEDIR.Więc skel =/etc/skel/umak = 0022
17. Jeśli użytkownicy Active Directory nie mogą zmienić hasła z wiersza poleceń w Linux, otwórz /etc/pam.D/Common-Password złożyć i usuń użyj_authtok Instrukcja z linii hasła, aby wreszcie wyglądać jak na poniższym fragmencie.
hasło [sukces = 1 domyślne = ignor] pam_winbind.Więc try_first_pass
18. Wreszcie, uruchom ponownie i włącz Usługę Realmd i SSSD zastosowanie zmian poprzez wydanie poniższych poleceń:
$ sudo systemctl restart realmd sssd $ sudo systemCtl Włącz realmd sssd
19. Aby sprawdzić, czy maszyna Ubuntu została pomyślnie zintegrowana z Realm Uruchom instaluj pakiet WinBind i uruchom Wbinfo polecenie do wymienienia kont i grup domeny, jak pokazano poniżej.
$ sudo apt -get instaluj winbind $ wbinfo -u $ wbinfo -g
Wypisz konta domeny 20. Sprawdź także moduł WinBind NSSwitch, wydając Get polecenie na określonym użytkowniku lub grupie domeny.
$ sudo getent passwd your_domain_user $ sudo getent grupa „domeny administratorów”
Sprawdź WinBind NSSwitch 21. Możesz także użyć Linux ID polecenie, aby uzyskać informacje o koncie reklamowym, jak pokazano na poniższym poleceniu.
$ id TecMint_user
Sprawdź informacje o użytkowniku reklamy 22. Aby uwierzytelnić się na hoście Ubuntu z kontem reklamowym Samba4, użyj parametru nazwy użytkownika domeny Su - Komenda. Uruchomić ID polecenie, aby uzyskać dodatkowe informacje o koncie AD.
$ su - your_ad_user
Uwierzytelnianie użytkownika AD Używać PWD polecenie, aby zobaczyć aktualny katalog roboczy użytkownika domeny i polecenie PASSWD, jeśli chcesz zmienić hasło.
23. Aby użyć konta domeny z uprawnieniami root na maszynie Ubuntu, musisz dodać nazwę użytkownika AD do grupy systemowej Sudo, wydając poniższe polecenie:
$ sudo usermod -ag sudo [e -mail chroniony]
Zaloguj się do Ubuntu za pomocą konta domeny i zaktualizuj system, uruchamiając aktualizacja apt Polecenie do sprawdzenia uprawnień root.
24. Aby dodać uprawnienia korzeni dla grupy domeny, Edytuj Otward End /etc/sudoers plik za pomocą Visudo polecenie i dodaj następujący wiersz, jak ilustrowano.
%domena \ [e -mail chroniony] all = (all: all) wszystko
25. Aby użyć uwierzytelniania konta domeny do modyfikacji pulpitu Ubuntu Lightdm Menedżer wyświetlania poprzez edycję /usr/share/lightdm/Lightdm.conf.D/50-UBUNTU.conf Plik, dołącz następujące dwa wiersze i ponownie uruchom usługę Lightdm lub ponownie uruchom maszynę, zastosuj zmiany.
Pozdrów-show-manual-login = prawdziwe pozdrowienia-użytkowe = prawdziwe
Zaloguj się na pulpit Ubuntu za pomocą konta domeny za pomocą jednego z nich twój_domain_username Lub [chroniony e -mail] _domain.tld składnia.
26. Aby użyć krótkiej nazwy formatu dla kont ADAMA, edytuj /etc/sssd/sssd.conf plik, dodaj następujący wiersz w [SSSD] blok, jak pokazano poniżej.
full_name_format = %1 $ s
i uruchom demon SSSD, aby zastosować zmiany.
$ sudo systemctl restart sssd
Zauważysz, że monit bash zmieni się na krótką nazwę użytkownika reklamy bez dołączania odpowiednika nazwy domeny.
27. Na wypadek, gdybyś nie mógł się zalogować z powodu wylicz = prawda Argument ustawiony SSSD.conf Musisz wyczyścić bazę danych buforowanej SSSD, wydając poniższe polecenie:
$ rm/var/lib/sss/db/cache_tecMint.Lan.LDB
To wszystko! Chociaż ten przewodnik koncentruje się głównie na integracji z aktywnym katalogiem Samba4, te same kroki można zastosować w celu zintegrowania Ubuntu z usługami Realmd i SSSD w Active Directory Microsoft Windows Server.
- « Jak skonfigurować niestandardowe formaty dziennika dostępu i błędów w Nginx
- Insecres - narzędzie do znalezienia niepewnych zasobów na stronach HTTPS »