Integreerige Ubuntu SSD ja Realmiga Samba4 AD DC-sse - 15. osa
See õpetus aitab teil ühendada Ubuntu töölaua masin SSD ja Realmd teenustega Samba4 Active Directory domeeniga, et autentida kasutajaid Active Directory abil.
- Looge Ubuntu Samba4 abil Active Directory infrastruktuur
1. samm: esialgsed konfiguratsioonid
1. Enne Ubuntu liitumist Active Directoryga veenduge, et hosti nimi on õigesti konfigureeritud. Kasutage masina nime määramiseks käsku hostnamectl või faili/etc/hostname käsitsi muutmiseks.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2. Järgmisel sammul muutke masina võrguliidese seadeid ja lisage õiged IP-konfiguratsioonid ja õiged DNS-i IP-serveri aadressid, et osutada Samba AD domeenikontrollerile, nagu on näidatud alloleval ekraanipildil.
Kui olete oma ruumides konfigureerinud DHCP-serveri, et määrata õigete AD DNS-i IP-aadressidega oma LAN-masinate IP-seaded automaatselt, võite selle sammu vahele jätta ja edasi liikuda.
Ülaltoodud ekraanipildil tähistavad 192.168.1.254 ja 192.168.1.253 Samba4 domeenikontrollerite IP-aadresse.
3. Taaskäivitage võrguteenused muudatuste rakendamiseks graafilise kasutajaliidese abil või käsurealt ja väljastage oma domeeninime vastu seeria pingikäske, et kontrollida, kas DNS-i lahutus töötab ootuspäraselt. Samuti kasutage DNS-i eraldusvõime testimiseks käsku host.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. Lõpuks veenduge, et masina aeg oleks sünkroonis Samba4 AD-ga. Installige ntpdate pakett ja sünkroonige aeg AD-ga, väljastades järgmised käsud.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
2. samm: installige vajalikud paketid
5. Selles etapis installige Ubuntu ühendamiseks Samba4 AD DC: Realmd ja SSSD teenustega vajalik tarkvara ja vajalikud sõltuvused.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Sisestage suurte tähtedega vaikeriigi nimi ja installimise jätkamiseks vajutage sisestusklahvi.
7. Seejärel looge järgmise sisuga SSSD konfiguratsioonifail.
$ sudo nano /etc/sssd/sssd.conf
Lisage failile sssd.conf järgmised read.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
Kindlasti asendage domeeninimi vastavalt järgmistes parameetrites:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. Seejärel lisage SSSD-faili õigused, väljastades järgmise käsu:
$ sudo chmod 700 /etc/sssd/sssd.conf
9. Nüüd avage ja muutke Realmdi konfiguratsioonifaili ning lisage järgmised read.
$ sudo nano /etc/realmd.conf
Realmd.conf faili väljavõte:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10. Viimane fail, mida peate muutma, kuulub Samba deemonile. Avage redigeerimiseks fail /etc/samba/smb.conf ja lisage järgmine koodiplokk faili algusesse pärast [globaalset] jaotist, nagu on näidatud alloleval pildil.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
Veenduge, et asendate domeeninime väärtuse, eriti domeeni nimega vastava reaala väärtuse, ja käivitage käsk testparm, et kontrollida, kas konfiguratsioonifailis pole vigu.
$ sudo testparm
11. Kui olete kõik vajalikud muudatused teinud, testige Kerberose autentimist AD halduskonto abil ja loetlege pilet, väljastades järgmised käsud.
$ sudo kinit [email $ sudo klist
3. samm: liituge Ubuntu Samba4 Realmiga
12. Ubuntu masina ühendamiseks Samba4 Active Directory väljaandega järgige alltoodud käskude seeriat. Kasutage administraatoriõigustega AD DC-konto nime, et sidumine reaalsusega toimiks ootuspäraselt ja asendaks vastavalt domeeninime väärtus.
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
13. Pärast domeeni sidumist käivitage järgmine käsk veendumaks, et kõigil domeenikontodel on lubatud masinas autentida.
$ sudo realm permit --all
Seejärel saate lubada või keelata juurdepääsu domeeni kasutajakontole või rühmale, kasutades realm käsku, nagu on näidatud allpool toodud näidetes.
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit [email $ realm permit DOMAIN\\User2
14. Windowsi masinast, kuhu on installitud RSAT-tööriistad, saate avada AD UC ja navigeerida konteinerisse Arvutid ning kontrollida, kas teie arvuti nimega objektikonto on loodud.
4. samm: konfigureerige AD-kontode autentimine
15. Domeenikontodega Ubuntu masinas autentimiseks peate käivitama käsu pam-auth-update juurõigustega ja lubama kõik PAM-profiilid, sealhulgas võimaluse luua automaatselt iga domeenikonto jaoks kodukataloogid esimesel sisselogimisel.
Kontrollige kõiki sisestusi, vajutades klahvi [tühik] ja vajutage konfiguratsiooni rakendamiseks nuppu OK.
$ sudo pam-auth-update
16. Redigeerige süsteemides /etc/pam.d/common-account faili ja järgmist rida käsitsi, et luua autentitud domeenikasutajatele kodud.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Kui Active Directory kasutajad ei saa Linuxi käsurealt oma parooli muuta, avage fail /etc/pam.d/common-password ja eemaldage paroolirealt lause use_authtok, et lõpuks välja näha nagu allpool olevas katkendis.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Lõpuks taaskäivitage ja lubage Realmd ja SSSD-teenusel muudatused rakendada, väljastades järgmised käsud:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19. Selleks, et testida, kas Ubuntu masin on edukalt integreeritud sfääri, käivitage install winbind pakett ja käivitage käsk wbinfo domeenikontode ja rühmade loetlemiseks, nagu allpool illustreeritud.
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
20. Samuti kontrollige moodulit Winbind nsswitch, väljastades käsu getent konkreetse domeeni kasutaja või rühma vastu.
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
21. AD-konto kohta teabe saamiseks võite kasutada ka käsku Linux id, nagu on illustreeritud allolevas käsus.
$ id tecmint_user
22. Ubuntu hostis Samba4 AD kontoga autentimiseks kasutage domeeni kasutajanime parameetrit pärast su-käsku. Käivitage käsk id, et saada lisateavet AD-konto kohta.
$ su - your_ad_user
Parooli muutmiseks kasutage käsku pwd, et näha oma domeeni kasutaja praegust töökataloogi ja käsku passwd.
23. Juurõigustega domeenikonto kasutamiseks oma Ubuntu masinas peate lisama AD kasutajanime sudo süsteemirühma, väljastades järgmise käsu:
$ sudo usermod -aG sudo [email
Logige domeenikontoga sisse Ubuntu ja värskendage oma süsteemi, käivitades juurõiguste kontrollimiseks käsu apt update.
24. Domeenigrupi juurõiguste lisamiseks avage visudo käsu abil fail end/etc/sudoers ja lisage järgmine rida nagu illustreeritud.
%domain\ [email ALL=(ALL:ALL) ALL
25. Domeenikonto autentimise kasutamiseks Ubuntu töölaual muutke LightDM-i kuvahaldurit faili /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf redigeerimisega, lisage järgmised kaks rida ja taaskäivitage lightdm-teenus või taaskäivitage masin muudatused.
greeter-show-manual-login=true greeter-hide-users=true
Logige Ubuntu töölauale sisse domeenikontoga, kasutades süntaksit teie_domeeni_kasutajanimi või [meiliga kaitstud] _domain.tld.
26. Samba AD-kontode lühinime vormingu kasutamiseks muutke faili /etc/sssd/sssd.conf, lisage järgmine rida plokis [sssd], nagu allpool illustreeritud.
full_name_format = %1$s
ja taaskäivitage SSSD deemon muudatuste rakendamiseks.
$ sudo systemctl restart sssd
Märkate, et bashi viip muutub AD-kasutaja lühinimeks ilma domeeninime vastet lisamata.
27. Juhul kui te ei saa sisse logida sssd.conf-i määratud argumendi enumerate = true tõttu, peate sssd vahemälu andmebaasi tühjendama, väljastades järgmise käsu:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
See on kõik! Kuigi see juhend on keskendunud peamiselt Samba4 Active Directoryga integreerimisele, saab samu samme rakendada ka Ubuntu Realmd ja SSSD teenustega integreerimiseks Microsoft Windows Serveri Active Directory.