Integreerige Ubuntu 16.04 AD-i domeeniliikmena Samba ja Winbindiga - 8. osa
Selles õpetuses kirjeldatakse, kuidas ühendada Ubuntu masin Samba4 Active Directory domeeniga, et autentida failide ja kataloogide jaoks AD-kontosid kohaliku ACL-iga või luua ja kaardistada domeenikontrolleri kasutajate hulgiosakondi (toimige failiserverina).
- Looge Ubuntu Samba4 abil Active Directory infrastruktuur
1. samm: esialgsed konfiguratsioonid Ubuntu ühendamiseks Samba4 AD-ga
1. Enne Ubuntu hostiga liitumist Active Directory DC-ga peate veenduma, et mõned teenused on kohalikus masinas õigesti konfigureeritud.
Teie masina oluline aspekt tähistab hostinime. Enne domeeniga liitumist käsu hostnamectl abil või faili/etc/hostname käsitsi redigeerimise abil seadistage õige masina nimi.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Järgmisel etapil avage ja muutke oma arvuti võrgusätteid õigete IP-konfiguratsioonidega käsitsi. Siin on kõige olulisemad seaded DNS-i IP-aadressid, mis osutavad teie domeenikontrollerile.
Redigeerige faili/etc/network/interfaces ja lisage dns-nameservers avaldus oma õigete AD IP-aadresside ja domeeninimega, nagu on näidatud alloleval ekraanipildil.
Samuti veenduge, et faili /etc/resolv.conf lisatakse samad DNS-i IP-aadressid ja domeeninimi.
Ülaltoodud ekraanipildil on 192.168.1.254 ja 192.168.1.253 Samba4 AD DC IP-aadressid ja Tecmint.lan tähistab AD-domeeni nime, millele päringuid esitavad kõik sfääri integreeritud masinad.
3. Uute võrgukonfiguratsioonide rakendamiseks taaskäivitage võrguteenused või taaskäivitage seade. Esitage oma domeeninime vastu ping-käsk, et kontrollida, kas DNS-i lahutus töötab ootuspäraselt.
AD DC peaks oma FQDN-iga taasesitama. Kui olete oma võrgus konfigureerinud DHCP-serveri oma LAN-hostide IP-sätete automaatseks määramiseks, lisage DHCP-serveri DNS-konfiguratsioonidele kindlasti AD DC IP-aadressid.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Viimast vajalikku olulist konfiguratsiooni tähistab aja sünkroniseerimine. Installige ntpdate pakett, päring ja sünkroonimisaeg AD DC-ga, väljastades järgmised käsud.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Järgmisel etapil installige tarkvara, mida Ubuntu masin vajab domeeni täielikuks integreerimiseks, käivitades alltoodud käsu.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Kui Kerberose paketid installivad, tuleb teil paluda sisestada oma vaikevaldkonna nimi. Kasutage oma suurtähtedega domeeni nime ja installimise jätkamiseks vajutage sisestusklahvi.
6. Kui kõik paketid on installimise lõpetanud, testige Kerberose autentimist AD halduskontoga ja loetlege pilet, väljastades järgmised käsud.
# kinit ad_admin_user # klist
2. samm: liituge Ubuntu Samba4 AD DC-ga
7. Ubuntu masina Samba4 Active Directory domeeni integreerimise esimene samm on Samba konfiguratsioonifaili muutmine.
Varundage pakettihalduri pakutav Samba vaikekonfiguratsioonifail, et alustada puhta seadistusega järgmiste käskude käivitamisega.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Uuel Samba konfiguratsioonifailil lisage järgmised read:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Asendage töörühma, ala, netbiose nimi ja DNS-ekspediitori muutujad omaenda kohandatud sätetega.
Domeeni winbind use vaikeparameeter sunnib winbind-teenust kõiki kvalifitseerimata AD-i kasutajanimesid kasutama AD-i kasutajatena. Selle parameetri peaksite välja jätma, kui teil on kohalike süsteemikontode nimed, mis kattuvad AD-kontodega.
8. Nüüd peaksite taaskäivitama kõik samba deemonid ja peatama ja eemaldama mittevajalikud teenused ning lubama samba teenused üle kogu süsteemi, väljastades järgmised käsud.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Ühendage Ubuntu masin Samba4 AD DC-ga, väljastades järgmise käsu. Kasutage administraatoriõigustega AD DC-konto nime, et sidumine reaalsusega toimiks ootuspäraselt.
$ sudo net ads join -U ad_admin_user
10. Windowsi masinast, kuhu on installitud RSAT-i tööriistad, saate avada AD UC ja navigeerida jaotisse Arvutid. Siin peaks olema loetletud teie Ubuntu ühendatud masin.
3. samm: konfigureerige AD-kontode autentimine
11. Kohalikus masinas AD-kontode autentimise teostamiseks peate muutma mõnda kohalikus masinas olevat teenust ja faili.
Esmalt avage ja muutke konfiguratsioonifaili The Name Service Switch (NSS).
$ sudo nano /etc/nsswitch.conf
Järgmisena lisage passwd ja rühmade ridade winbind väärtus, nagu on näidatud allpool väljavõttes.
passwd: compat winbind group: compat winbind
12. Selleks, et testida, kas Ubuntu masin on edukalt integreeritud sfääri, käivitage käsk wbinfo, et loetleda domeenikontod ja -grupid.
$ wbinfo -u $ wbinfo -g
13. Kontrollige ka Winbind nsswitch moodulit, andes käsu getent ja viige tulemused läbi filtri, näiteks grep, et väljundit kitsendada ainult konkreetsete domeeni kasutajate või rühmade jaoks.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Domeenikontodega Ubuntu masinas autentimiseks peate käivitama käsu pam-auth-update juurõigustega ja lisama kõik winbind-teenuse jaoks vajalikud kirjed ning looma esimesel sisselogimisel automaatselt iga domeenikonto jaoks kodukataloogid.
Kontrollige kõiki sisestusi, vajutades klahvi [tühik] ja vajutage konfiguratsiooni rakendamiseks nuppu OK.
$ sudo pam-auth-update
15. Debiani süsteemides peate autentsete domeenikasutajate kodude loomiseks automaatselt muutma faili /etc/pam.d/common-account ja järgmist rida.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Selleks, et Active Directory kasutajad saaksid Linuxis parooli käsurealt muuta, avage /etc/pam.d/common-password fail ja eemaldage paroolirealt lause use_authtok, et lõpuks välja näha nagu allpool olevas katkendis.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Ubuntu hostis Samba4 AD kontoga autentimiseks kasutage domeeni kasutajanime parameetrit pärast su-käsku. Käivitage käsk id, et saada lisateavet AD-konto kohta.
$ su - your_ad_user
Parooli muutmiseks kasutage käsku pwd, et näha oma domeeni kasutaja praegust kataloogi ja käsku passwd.
18. Oma Ubuntu masinas rootõigustega domeenikonto kasutamiseks peate lisama AD kasutajanime sudo süsteemirühma, väljastades järgmise käsu:
$ sudo usermod -aG sudo your_domain_user
Logige domeenikontoga sisse Ubuntu ja värskendage oma süsteemi, käivitades käsu apt-get update, et kontrollida, kas domeeni kasutajal on juurõigused.
19. Domeenirühma juurõiguste lisamiseks avage käsu edit/etc/sudoers käsk visudo abil ja lisage järgmine rida, nagu on näidatud allpool oleval ekraanipildil.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Domeenirühma nimes sisalduvate tühikute eemaldamiseks või esimesest tagasilöögist pääsemiseks kasutage tagasilööke. Ülaltoodud näites nimetatakse TECMINT-i domeeni domeenirühma\"domeeni administraatoriteks".
Eelnev protsentmärk (%) sümbol näitab, et me peame silmas rühma, mitte kasutajanime.
20. Juhul, kui kasutate Ubuntu graafilist versiooni ja soovite süsteemi sisse logida domeeni kasutajaga, peate LightDM-i kuvahaldurit muutma redigeerides /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf fail, lisage järgmised read ja taaskäivitage masin muudatuste kajastamiseks.
greeter-show-manual-login=true greeter-hide-users=true
Nüüd peaks see olema võimeline Ubuntu Desktopil domeenikontoga sisse logima, kasutades teie_domeeni_kasutajanimi või [e-posti aadressiga kaitstud] _domain.tld või teie_domeen\teie_domeeni_kasutajanimi vormingut.