Integreerige Ubuntu SSD ja Realmiga Samba4 AD DC-sse - 15. osa

See õpetus aitab teil ühendada Ubuntu töölaua masin SSD ja Realmd teenustega Samba4 Active Directory domeeniga, et autentida kasutajaid Active Directory abil.

  1. Looge Ubuntu Samba4 abil Active Directory infrastruktuur

1. samm: esialgsed konfiguratsioonid

1. Enne Ubuntu liitumist Active Directoryga veenduge, et hosti nimi on õigesti konfigureeritud. Kasutage masina nime määramiseks käsku hostnamectl või faili/etc/hostname käsitsi muutmiseks.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Järgmisel sammul muutke masina võrguliidese seadeid ja lisage õiged IP-konfiguratsioonid ja õiged DNS-i IP-serveri aadressid, et osutada Samba AD domeenikontrollerile, nagu on näidatud alloleval ekraanipildil.

Kui olete oma ruumides konfigureerinud DHCP-serveri, et määrata õigete AD DNS-i IP-aadressidega oma LAN-masinate IP-seaded automaatselt, võite selle sammu vahele jätta ja edasi liikuda.

Ülaltoodud ekraanipildil tähistavad 192.168.1.254 ja 192.168.1.253 Samba4 domeenikontrollerite IP-aadresse.

3. Taaskäivitage võrguteenused muudatuste rakendamiseks graafilise kasutajaliidese abil või käsurealt ja väljastage oma domeeninime vastu seeria pingikäske, et kontrollida, kas DNS-i lahutus töötab ootuspäraselt. Samuti kasutage DNS-i eraldusvõime testimiseks käsku host.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Lõpuks veenduge, et masina aeg oleks sünkroonis Samba4 AD-ga. Installige ntpdate pakett ja sünkroonige aeg AD-ga, väljastades järgmised käsud.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

2. samm: installige vajalikud paketid

5. Selles etapis installige Ubuntu ühendamiseks Samba4 AD DC: Realmd ja SSSD teenustega vajalik tarkvara ja vajalikud sõltuvused.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Sisestage suurte tähtedega vaikeriigi nimi ja installimise jätkamiseks vajutage sisestusklahvi.

7. Seejärel looge järgmise sisuga SSSD konfiguratsioonifail.

$ sudo nano /etc/sssd/sssd.conf

Lisage failile sssd.conf järgmised read.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Kindlasti asendage domeeninimi vastavalt järgmistes parameetrites:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Seejärel lisage SSSD-faili õigused, väljastades järgmise käsu:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Nüüd avage ja muutke Realmdi konfiguratsioonifaili ning lisage järgmised read.

$ sudo nano /etc/realmd.conf

Realmd.conf faili väljavõte:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Viimane fail, mida peate muutma, kuulub Samba deemonile. Avage redigeerimiseks fail /etc/samba/smb.conf ja lisage järgmine koodiplokk faili algusesse pärast [globaalset] jaotist, nagu on näidatud alloleval pildil.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Veenduge, et asendate domeeninime väärtuse, eriti domeeni nimega vastava reaala väärtuse, ja käivitage käsk testparm, et kontrollida, kas konfiguratsioonifailis pole vigu.

$ sudo testparm

11. Kui olete kõik vajalikud muudatused teinud, testige Kerberose autentimist AD halduskonto abil ja loetlege pilet, väljastades järgmised käsud.

$ sudo kinit [email 
$ sudo klist

3. samm: liituge Ubuntu Samba4 Realmiga

12. Ubuntu masina ühendamiseks Samba4 Active Directory väljaandega järgige alltoodud käskude seeriat. Kasutage administraatoriõigustega AD DC-konto nime, et sidumine reaalsusega toimiks ootuspäraselt ja asendaks vastavalt domeeninime väärtus.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Pärast domeeni sidumist käivitage järgmine käsk veendumaks, et kõigil domeenikontodel on lubatud masinas autentida.

$ sudo realm permit --all

Seejärel saate lubada või keelata juurdepääsu domeeni kasutajakontole või rühmale, kasutades realm käsku, nagu on näidatud allpool toodud näidetes.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Windowsi masinast, kuhu on installitud RSAT-tööriistad, saate avada AD UC ja navigeerida konteinerisse Arvutid ning kontrollida, kas teie arvuti nimega objektikonto on loodud.

4. samm: konfigureerige AD-kontode autentimine

15. Domeenikontodega Ubuntu masinas autentimiseks peate käivitama käsu pam-auth-update juurõigustega ja lubama kõik PAM-profiilid, sealhulgas võimaluse luua automaatselt iga domeenikonto jaoks kodukataloogid esimesel sisselogimisel.

Kontrollige kõiki sisestusi, vajutades klahvi [tühik] ja vajutage konfiguratsiooni rakendamiseks nuppu OK.

$ sudo pam-auth-update

16. Redigeerige süsteemides /etc/pam.d/common-account faili ja järgmist rida käsitsi, et luua autentitud domeenikasutajatele kodud.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Kui Active Directory kasutajad ei saa Linuxi käsurealt oma parooli muuta, avage fail /etc/pam.d/common-password ja eemaldage paroolirealt lause use_authtok, et lõpuks välja näha nagu allpool olevas katkendis.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Lõpuks taaskäivitage ja lubage Realmd ja SSSD-teenusel muudatused rakendada, väljastades järgmised käsud:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Selleks, et testida, kas Ubuntu masin on edukalt integreeritud sfääri, käivitage install winbind pakett ja käivitage käsk wbinfo domeenikontode ja rühmade loetlemiseks, nagu allpool illustreeritud.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Samuti kontrollige moodulit Winbind nsswitch, väljastades käsu getent konkreetse domeeni kasutaja või rühma vastu.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. AD-konto kohta teabe saamiseks võite kasutada ka käsku Linux id, nagu on illustreeritud allolevas käsus.

$ id tecmint_user

22. Ubuntu hostis Samba4 AD kontoga autentimiseks kasutage domeeni kasutajanime parameetrit pärast su-käsku. Käivitage käsk id, et saada lisateavet AD-konto kohta.

$ su - your_ad_user

Parooli muutmiseks kasutage käsku pwd, et näha oma domeeni kasutaja praegust töökataloogi ja käsku passwd.

23. Juurõigustega domeenikonto kasutamiseks oma Ubuntu masinas peate lisama AD kasutajanime sudo süsteemirühma, väljastades järgmise käsu:

$ sudo usermod -aG sudo [email 

Logige domeenikontoga sisse Ubuntu ja värskendage oma süsteemi, käivitades juurõiguste kontrollimiseks käsu apt update.

24. Domeenigrupi juurõiguste lisamiseks avage visudo käsu abil fail end/etc/sudoers ja lisage järgmine rida nagu illustreeritud.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Domeenikonto autentimise kasutamiseks Ubuntu töölaual muutke LightDM-i kuvahaldurit faili /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf redigeerimisega, lisage järgmised kaks rida ja taaskäivitage lightdm-teenus või taaskäivitage masin muudatused.

greeter-show-manual-login=true
greeter-hide-users=true

Logige Ubuntu töölauale sisse domeenikontoga, kasutades süntaksit teie_domeeni_kasutajanimi või [meiliga kaitstud] _domain.tld.

26. Samba AD-kontode lühinime vormingu kasutamiseks muutke faili /etc/sssd/sssd.conf, lisage järgmine rida plokis [sssd], nagu allpool illustreeritud.

full_name_format = %1$s

ja taaskäivitage SSSD deemon muudatuste rakendamiseks.

$ sudo systemctl restart sssd

Märkate, et bashi viip muutub AD-kasutaja lühinimeks ilma domeeninime vastet lisamata.

27. Juhul kui te ei saa sisse logida sssd.conf-i määratud argumendi enumerate = true tõttu, peate sssd vahemälu andmebaasi tühjendama, väljastades järgmise käsu:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

See on kõik! Kuigi see juhend on keskendunud peamiselt Samba4 Active Directoryga integreerimisele, saab samu samme rakendada ka Ubuntu Realmd ja SSSD teenustega integreerimiseks Microsoft Windows Serveri Active Directory.