Mengintegrasikan Ubuntu ke Samba4 AD DC dengan SSSD dan Realm - Bahagian 15

Tutorial ini akan membimbing anda mengenai cara menyertai Ubuntu Desktop mesin menjadi a Direktori Aktif Samba4 domain dengan SSSD dan Realmd perkhidmatan untuk mengesahkan pengguna terhadap Direktori Aktif.

Keperluan:

1. Buat Infrastruktur Direktori Aktif dengan Samba4 di Ubuntu

Langkah 1: Konfigurasi awal

1. Sebelum mula menyertai Ubuntu ke dalam direktori aktif pastikan nama hos dikonfigurasikan dengan betul. Gunakan Hostnamectl perintah untuk menetapkan nama mesin atau mengedit secara manual /etc/hostname fail.

$ sudo hostnamect set-hostname your_machine_short_hostname $ Cat /etc /hostname $ hostnamectl 

2. Pada langkah seterusnya, edit tetapan antara muka rangkaian mesin dan tambahkan konfigurasi IP yang betul dan alamat pelayan IP DNS yang betul untuk menunjuk kepada pengawal domain AD Samba seperti yang digambarkan dalam tangkapan skrin di bawah.

Sekiranya anda telah mengkonfigurasi pelayan DHCP di premis anda untuk menetapkan tetapan IP secara automatik untuk mesin LAN anda dengan alamat IP DNS AD yang betul maka anda boleh melangkaui langkah ini dan bergerak ke hadapan.

Konfigurasikan antara muka rangkaian

Di tangkapan skrin di atas, 192.168.1.254 dan 192.168.1.253 mewakili alamat IP pengawal domain samba4.

3. Mulakan semula perkhidmatan rangkaian untuk menggunakan perubahan menggunakan GUI atau dari baris arahan dan mengeluarkan siri perintah ping terhadap nama domain anda untuk menguji jika resolusi DNS berfungsi seperti yang diharapkan. Juga, gunakan Tuan rumah Perintah untuk menguji resolusi DNS.

$ sudo Systemctl Restart Networking.perkhidmatan $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2 

4. Akhirnya, pastikan masa mesin disegerakkan dengan iklan samba4. Pasang ntpdate pakej dan masa penyegerakan dengan iklan dengan mengeluarkan arahan di bawah.

$ sudo apt-get pemasangan ntpdate $ sudo ntpdate your_domain_name 

Langkah 2: Pasang pakej yang diperlukan

5. Pada langkah ini pasang perisian yang diperlukan dan kebergantungan yang diperlukan untuk menyertai Ubuntu ke Samba4 AD DC: Realmd dan SSSD perkhidmatan.

$ sudo apt pemasangan adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss pakejKit policationKit-1 

6. Masukkan nama alam lalai dengan atas dan tekan Masukkan kunci untuk meneruskan pemasangan.

Tetapkan nama Realm

7. Seterusnya, buat SSSD fail konfigurasi dengan kandungan berikut.

$ sudo nano/etc/sssd/sssd.Conf 

Tambah baris berikut ke SSSD.Conf fail.

[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domain = tecmint.lan config_file_version = 2 perkhidmatan = nss, pam default_domain_suffix = tecmint.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.Lan realmd_tags = sistem pengurusan yang disambungkan-dengan-samba cache_credential = true id_provider = ad krb5_store_password_if_offline = true default_shell =/bin/bash ldap_id_mapping = true use_fuly_names = true AD ACCESS_PROVIDER = AD LDAP_SCHEMA = AD DYNDNS_UPDATE = BENAR DYNDNS_REFRESH_INTERVAL = 43200 DYNDNS_UPDATE_PTR = BENAR DYNDNS_TTL = 3600 

Pastikan anda menggantikan nama domain dalam parameter berikut dengan sewajarnya:

Domain = Tecmint.lan default_domain_suffix = tecmint.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.Lan 

8. Seterusnya, tambahkan keizinan yang tepat untuk fail SSSD dengan mengeluarkan arahan di bawah:

$ sudo chmod 700/etc/sssd/sssd.Conf 

9. Sekarang, buka dan edit Realmd fail konfigurasi dan tambahkan baris berikut.

$ sudo nano /etc /realmd.Conf 

Realmd.Conf Petikan fail:

[Aktif-direktori] OS-Name = Linux Ubuntu OS-Version = 17.04 [Service] Automatik-Install = Ya [Users] Default-Home =/Home/%D/%U Default-Shell =/Bin/Bash [Tecmint.lan] pengguna-principal = ya sepenuhnya-nama-nama = tidak 

10. Fail terakhir yang anda perlukan untuk mengubah suai milik daemon samba. Buka /etc/samba/smb.Conf fail untuk mengedit dan tambahkan blok kod berikut pada permulaan fail, selepas [Global] seksyen seperti digambarkan pada imej di bawah.

 Workgroup = TECMint Client Signing = Ya Klien Gunakan SPNEGO = Ya Kerberos Method = Rahsia dan Keytab Realm = Tecmint.Keselamatan LAN = Iklan 

Konfigurasikan pelayan Samba

Pastikan anda menggantikan nama domain nilai, terutamanya Nilai Realm untuk menyesuaikan nama domain anda dan lari testparm perintah untuk memeriksa sama ada fail konfigurasi tidak mengandungi kesilapan.

$ sudo testparm 

Ujian konfigurasi samba

11. Setelah anda membuat semua perubahan yang diperlukan, uji pengesahan Kerberos menggunakan akaun pentadbiran iklan dan senaraikan tiket dengan mengeluarkan arahan di bawah.

$ sudo kinit [dilindungi e -mel] $ sudo klist 

Semak pengesahan Kerberos

Langkah 3: Sertailah Ubuntu ke Samba4 Realm

12. Untuk menyertai mesin Ubuntu ke isu Direktori Aktif Samba4 berikut siri arahan seperti digambarkan di bawah. Gunakan nama akaun AD DC dengan keistimewaan pentadbir agar mengikat ke alam berfungsi seperti yang diharapkan dan menggantikan nilai nama domain dengan sewajarnya.

$ sudo realm discover -v domain.TLD $ SUDO REALM LIST $ SUDO Realm Sertai Tecmint.Lan -u ad_admin_user -v $ sudo iklan bersih gabungan -k 

Sertailah Ubuntu ke Samba4 Realm Senaraikan Maklumat Domain Realm Tambahkan Pengguna ke Domain Realm Tambah domain ke alam

13. Selepas mengikat domain berlaku, jalankan arahan di bawah untuk memastikan bahawa semua akaun domain dibenarkan untuk mengesahkan pada mesin.

Permit Realm $ sudo -semua 

Selanjutnya, anda boleh membenarkan atau menafikan akses untuk akaun pengguna domain atau kumpulan yang menggunakan arahan Realm seperti yang dibentangkan pada contoh di bawah.

$ sudo realm deny -a $ realm permit -kumpulan 'domain.TLD \ Linux Admins '$ Realm Permit [E -mel dilindungi] $ Realm Permit Domain \\ User2 

14. Dari mesin Windows dengan alat RSAT yang dipasang, anda boleh buka AD UC dan menavigasi ke Komputer bekas dan periksa sama ada akaun objek dengan nama mesin anda telah dibuat.

Sahkan domain ditambah ke AD DC

Langkah 4: Konfigurasikan pengesahan akaun iklan

15. Untuk mengesahkan mesin Ubuntu dengan akaun domain yang perlu anda jalankan Pam-auth-update Perintah dengan keistimewaan root dan membolehkan semua profil PAM termasuk pilihan untuk membuat direktori rumah secara automatik untuk setiap akaun domain pada log masuk pertama.

Periksa semua penyertaan dengan menekan [Ruang] Kunci dan tekan okey untuk memohon konfigurasi.

$ sudo Pam-auth-update 

Konfigurasi PAM

16. Pada sistem secara manual mengedit /etc/Pam.D/Akaun Biasa fail dan baris berikut untuk membuat rumah secara automatik untuk pengguna domain yang disahkan.

Sesi Diperlukan Pam_mkhomedir.jadi skel =/etc/skel/asmask = 0022 

17. Sekiranya pengguna direktori aktif tidak dapat menukar kata laluan mereka dari baris arahan di linux, buka /etc/Pam.D/Common-Password fail dan keluarkan use_authtok penyata dari talian kata laluan untuk akhirnya kelihatan seperti di bawah petikan.

kata laluan [kejayaan = 1 lalai = abaikan] PAM_WINBIND.Jadi cuba_first_pass 

18. Akhirnya, mulakan semula dan aktifkan perkhidmatan FEALMD dan SSSD untuk menggunakan perubahan dengan mengeluarkan arahan di bawah:

$ sudo Systemctl Restart Realmd SSSD $ SUDO Systemctl Dayakan SSSD 

19. Untuk menguji jika mesin Ubuntu berjaya diintegrasikan ke Pakej Winbind Run Run dan Run Realm Run dan Run wbinfo Perintah untuk menyenaraikan akaun dan kumpulan domain seperti yang digambarkan di bawah.

$ sudo apt -get pemasangan winbind $ wbinfo -u $ wbinfo -g 

Senaraikan akaun domain

20. Juga, periksa modul Winbind Nsswitch dengan mengeluarkan getent perintah terhadap pengguna atau kumpulan domain tertentu.

$ sudo getent passwd your_domain_user $ sudo getent Group 'Domain Admins' 

Semak Winbind nsswitch

21. Anda juga boleh menggunakan linux ID perintah untuk mendapatkan maklumat mengenai akaun iklan seperti yang digambarkan pada arahan di bawah.

$ id tecmint_user 

Periksa maklumat pengguna iklan

22. Untuk mengesahkan tuan rumah Ubuntu dengan akaun iklan Samba4 Gunakan parameter nama pengguna domain selepas su - perintah. Jalankan ID Perintah untuk mendapatkan maklumat tambahan mengenai akaun iklan.

$ su - your_ad_user 

Pengesahan Pengguna Iklan

Gunakan PWD Perintah untuk melihat direktori kerja pengguna domain anda semasa dan arahan passwd jika anda ingin menukar kata laluan.

23. Untuk menggunakan akaun domain dengan keistimewaan root pada mesin Ubuntu anda, anda perlu menambah nama pengguna iklan ke kumpulan sistem sudo dengan mengeluarkan arahan di bawah:

$ sudo usermod -ag sudo [dilindungi e -mel] 

Log masuk ke Ubuntu dengan akaun domain dan kemas kini sistem anda dengan menjalankan kemas kini apt perintah untuk memeriksa keistimewaan root.

24. Untuk menambah keistimewaan root untuk kumpulan domain, buka end edit /etc/sudoers fail menggunakan Visudo perintah dan tambahkan baris berikut seperti yang digambarkan.

%domain \ [dilindungi e -mel] semua = (semua: semua) semua 

25. Untuk menggunakan Pengesahan Akaun Domain untuk Ubuntu Desktop Ubah suai Lightdm Pengurus Paparan dengan mengedit /usr/share/lightdm/lightdm.Conf.D/50-Ubuntu.Conf fail, tambahkan dua baris berikut dan mulakan semula perkhidmatan LightDm atau reboot mesin menggunakan perubahan.

salam-show-manual-login = true salam-hide-users = true 

Log masuk ke desktop Ubuntu dengan akaun domain menggunakan sama ada anda_domain_username atau [dilindungi e -mel] _Domain.tld sintaks.

26. Untuk menggunakan format nama pendek untuk akaun iklan samba, edit /etc/sssd/sssd.Conf fail, tambahkan baris berikut di [SSSD] blok seperti yang digambarkan di bawah.

full_name_format = %1 $ s 

dan mulakan semula daemon SSSD untuk menggunakan perubahan.

$ sudo Systemctl Restart SSSD 

Anda akan melihat bahawa prompt bash akan berubah menjadi nama pendek pengguna iklan tanpa memasukkan rakan nama domain.

27. Sekiranya anda tidak dapat log masuk enumerate = benar Argumen yang ditetapkan SSSD.Conf Anda mesti membersihkan pangkalan data cache SSSD dengan mengeluarkan arahan di bawah:

$ rm/var/lib/sss/db/cache_tecmint.lan.LDB 

Itu sahaja! Walaupun panduan ini terutamanya tertumpu pada integrasi dengan direktori aktif samba4, langkah yang sama boleh digunakan untuk mengintegrasikan Ubuntu dengan perkhidmatan RealMD dan SSSD ke Microsoft Windows Server Active Directory.