Integreerige CentOS 7 käsurealt Samba4 AD-sse - osa 14


See juhend näitab teile, kuidas saate integreerida graafilise kasutajaliideseta CentOS 7 serveri Authconfigi tarkvara abil käsurealt Samba4 Active Directory domeenikontrollerisse.

Seda tüüpi seadistus pakub ühte tsentraliseeritud kontobaasi, mida haldab Samba, ja võimaldab AD-kasutajatel autentida kogu võrgu infrastruktuuris CentOS-i serveris.

  1. Looge Ubuntu Samba4 abil Active Directory infrastruktuur
  2. CentOS 7.3 installijuhend

1. samm: konfigureerige CentOS Samba4 AD DC jaoks

1. Enne CentOS 7 Serveriga liitumist Samba4 DC-ga peate veenduma, et võrguliides on DNS-teenuse kaudu domeeni päringutele õigesti konfigureeritud.

Käivitage ip-aadressi käsk oma arvutivõrgu liideste loendamiseks ja valige redigeeritav konkreetne NIC, väljastades liidese nimele käsu nmtui-edit, näiteks selles näites ens33, nagu allpool illustreeritud.

# ip address
# nmtui-edit ens33

2. Kui võrguliides on redigeerimiseks avatud, lisage oma kohtvõrgu jaoks kõige paremini sobivad staatilised IPv4 konfiguratsioonid ja seadistage kindlasti DNS-serverite jaoks Samba AD domeenikontrollerite IP-aadressid.

Lisaks lisage oma domeeni nimi esitatud domeenides ja liikuge muudatuste rakendamiseks nupule OK, kasutades klahvi [TAB].

Esitatud otsingudomeenid tagavad, et domeeni vaste lisatakse automaatselt DNS-i eraldusvõimega (FQDN), kui kasutate domeeni DNS-kirje jaoks ainult lühinime.

3. Lõpuks taaskäivitage võrgudemon de muudatuste rakendamiseks ja kontrollige, kas DNS-i eraldusvõime on õigesti konfigureeritud, väljastades domeeninime ja domeenikontrollerite lühinimede vastu pingikäske, nagu allpool näidatud.

# systemctl restart network.service
# ping -c2 tecmint.lan
# ping -c2 adc1
# ping -c2 adc2

4. Samuti konfigureerige oma masina hostinimi ja taaskäivitage seade seadete õigeks rakendamiseks, väljastades järgmised käsud.

# hostnamectl set-hostname your_hostname
# init 6

Järgmiste käskudega kontrollige, kas hosti nimi on õigesti rakendatud.

# cat /etc/hostname
# hostname

5. Lõpuks sünkroonige kohalik aeg Samba4 AD DC-ga, väljastades alltoodud käsud juurõigustega.

# yum install ntpdate
# ntpdate domain.tld

2. samm: ühendage CentOS 7 Server Samba4 AD DC-ga

6. CentOS 7 serveri ühendamiseks Samba4 Active Directoryga installige esmalt järgmised õigused oma arvutisse järgmised paketid.

# yum install authconfig samba-winbind samba-client samba-winbind-clients

7. CentOS 7 serveri integreerimiseks domeenikontrollerisse käivitage juurõigustega graafiline utiliit authconfig-tui ja kasutage allpool kirjeldatud konfiguratsioone.

# authconfig-tui

Valige esimesel kuvakuval:

  • Teave kasutaja kohta:
    • Kasutage Winbind

    • Valige vahekaardil Autentimine, vajutades klahvi [Tühik]:
      • Kasutage varjuparooli
      • Kasutage Winbindi autentimist
      • Piisab kohalikust autoriseerimisest

      8. Vajutage nuppu Next, et jätkata ekraanil Winbind Settings ja konfigureerida nagu allpool näidatud:

      • Turvamudel: reklaamid
      • Domeen = YOUR_DOMAIN (kasutage suurtähti)
      • Domeenikontrollerid = domeenimasinad FQDN (komaga eraldatud, kui neid on rohkem kui üks)
      • ADS Realm = YOUR_DOMAIN.TLD
      • malli kest =/bin/bash

      9. Domeeniga liitumiseks minge [tab] klahvi abil nupule Liitu domeeniga ja vajutage domeeniga liitumiseks klahvi [Enter].

      Järgmisel ekraaniviipil lisage kõrgendatud õigustega Samba4 AD-konto mandaadid, et viia läbi masinakonto AD-ga liitumine ja vajutage sätete rakendamiseks ning viiba sulgemiseks nuppu OK.

      Pange tähele, et kasutaja parooli sisestamisel ei kuvata mandaate parooliekraanil. CentOS 7 masina domeeni integreerimise lõpuleviimiseks vajutage ülejäänud ekraanil uuesti nuppu OK.

      Konkreetse Samba AD organisatsiooniüksuse masina lisamise sundimiseks hankige oma masina täpne nimi käsuga hostname ja looge selles OU-s uus arvutiobjekt oma masina nimega.

      Parim viis uue objekti lisamiseks Samba4 AD-sse on domeeni integreeritud Windowsi masina ADUC-tööriista kasutamine koos sinna installitud RSAT-tööriistadega.

      Tähtis: Domeeniga liitumise alternatiivne meetod on käsurea authconfig kasutamine, mis pakub ulatuslikku kontrolli integreerimisprotsessi üle.

      Kuid see meetod on altid vigadele, mida teevad selle arvukad parameetrid, nagu on illustreeritud allpool olevas käskude väljavõttes. Käsk tuleb tippida ühte pika rea sisse.

      # authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups
      

      10. Pärast seda, kui masin on domeeniga liidetud, kontrollige, kas winbind-teenus töötab ja töötab, väljastades alltoodud käsu.

      # systemctl status winbind.service
      

      11. Seejärel kontrollige, kas CentOS masinaobjekt on Samba4 AD-s edukalt loodud. Kasutage AD-kasutajate ja arvutite tööriista Windowsi masinast, kus on installitud RSAT-tööriistad, ja navigeerige oma domeeni Arvutite konteiner. Uus AD-arvutikonto objekt koos CentOS 7 serveri nimega peaks olema loetletud õiges tasapinnas.

      12. Lõpuks kohandage konfiguratsiooni, avades samba peamise konfiguratsioonifaili (/etc/samba/smb.conf) tekstiredaktoriga ja lisage [globaalse] konfiguratsiooniploki lõppu järgmised jooned, nagu allpool illustreeritud:

      winbind use default domain = true
      winbind offline logon = true
      

      13. AD-kontode masinas kohalike kodude loomiseks nende esimesel sisselogimisel käivitage järgmine käsk.

      # authconfig --enablemkhomedir --update
      

      14. Lõpuks taaskäivitage Samba deemon, et kajastada muudatusi ja kontrollida domeeni liitumist, sooritades AD-kontoga serveris sisselogimise. AD-konto kodukataloog tuleks automaatselt luua.

      # systemctl restart winbind
      # su - domain_account
      

      15. Loetlege domeeni kasutajad või domeenigrupid, väljastades ühe järgmistest käskudest.

      # wbinfo -u
      # wbinfo -g
      

      16. Domeeni kasutaja kohta teabe saamiseks käivitage järgmine käsk.

      # wbinfo -i domain_user
      

      17. Domeeniteabe kokkuvõtte kuvamiseks väljastage järgmine käsk.

      # net ads info
      

      3. samm: logige CentOS-i sisse Samba4 AD DC-kontoga

      18. Domeeni kasutajaga CentOS-is autentimiseks kasutage ühte järgmistest käsurea süntaksitest.

      # su - ‘domain\domain_user’
      # su - domain\\domain_user
      

      Või kasutage allpool olevat süntaksit juhul, kui winbind kasutab vaikimisi domeeni = true parameeter on seatud samba konfiguratsioonifailile.

      # su - domain_user
      # su - [email 
      

      19. Juhtõiguste lisamiseks domeeni kasutajale või rühmale muutke sudoersi faili visudo käsu abil ja lisage järgmised read, nagu on näidatud allpool oleval ekraanipildil.

      YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
      %YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups
      

      Või kasutage allolevat väljavõtet juhul, kui winbind kasutab vaikimisi domeeni = true parameeter on seatud samba konfiguratsioonifailile.

      domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
      %your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups
      

      20. Järgmised käsusarjad Samba4 AD DC vastu võivad olla kasulikud ka tõrkeotsinguks:

      # wbinfo -p #Ping domain
      # wbinfo -n domain_account #Get the SID of a domain account
      # wbinfo -t  #Check trust relationship
      

      21. Domeenist lahkumiseks käivitage järgmine käsk oma domeeninime vastu, kasutades kõrgendatud õigustega domeenikontot. Kui masinakonto on AD-st eemaldatud, taaskäivitage masin muudatuste ennistamiseks enne integreerimisprotsessi.

      # net ads leave -w DOMAIN -U domain_admin
      # init 6
      

      See on kõik! Kuigi see protseduur on keskendunud peamiselt CentOS 7 serveri ühendamisele Samba4 AD DC-ga, kehtivad samad siin kirjeldatud toimingud ka CentOS-serveri integreerimiseks Microsoft Windows Server 2012 Active Directory-sse.