Weboldal keresés

Az Ubuntu 16.04 integrálása az AD-be tartománytagként a Sambával és a Winbinddel – 8. rész

Ez az oktatóanyag leírja, hogyan csatlakozhat egy Ubuntu géphez egy Samba4 Active Directory tartományhoz az AD fiókok hitelesítése érdekében a helyi ACL segítségével fájlok és könyvtárak vagy könyvtárak számára. kötetmegosztások létrehozása és leképezése a tartományvezérlő felhasználók számára (fájlkiszolgálóként működik).

Követelmények:

  1. Hozzon létre egy Active Directory infrastruktúrát a Samba4 segítségével az Ubuntu rendszeren

1. lépés: Az Ubuntu Samba4 AD-hez való csatlakozásának kezdeti beállításai

1. Mielőtt elkezdené csatlakozni egy Ubuntu gazdagéphez egy Active Directory DC-hez, meg kell bizonyosodnia arról, hogy bizonyos szolgáltatások megfelelően vannak konfigurálva a helyi gépen.

A gép egyik fontos eleme a gazdanév. A hostnamectl paranccsal vagy az /etc/hostname fájl manuális szerkesztésével állítson be egy megfelelő gépnevet, mielőtt csatlakozna a tartományhoz.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. A következő lépésben nyissa meg és manuálisan szerkessze a gép hálózati beállításait a megfelelő IP-konfigurációkkal. A legfontosabb beállítások itt a DNS IP-címek, amelyek a tartományvezérlőre mutatnak vissza.

Szerkessze az /etc/network/interfaces fájlt, és adja hozzá a dns-nameservers utasítást a megfelelő AD IP-címekkel és tartománynévvel, az alábbi képernyőképen látható módon.

Győződjön meg arról is, hogy ugyanazok a DNS IP-címek és a domain név vannak hozzáadva az /etc/resolv.conf fájlhoz.

A fenti képernyőképen a 192.168.1.254 és a 192.168.1.253 a Samba4 AD DC és a Tecmint.lan< IP-címei. Az az AD tartomány nevét jelenti, amelyet a tartományba integrált összes gép lekérdez.

3. Indítsa újra a hálózati szolgáltatásokat, vagy indítsa újra a gépet az új hálózati konfigurációk alkalmazásához. Adjon ki egy ping parancsot a domainnévhez, hogy tesztelje, a DNS-feloldás a várt módon működik-e.

Az AD DC-nek újra kell játszania az FQDN-jével. Abban az esetben, ha a hálózatában egy DHCP-kiszolgálót konfigurált úgy, hogy automatikusan hozzárendelje az IP-beállításokat a LAN-állomásokhoz, ügyeljen arra, hogy AD DC IP-címeket adjon hozzá a DHCP-kiszolgáló DNS-konfigurációihoz.


systemctl restart networking.service
ping -c2 your_domain_name

4. Az utolsó fontos konfigurációt az időszinkronizálás jelenti. Telepítse az ntpdate csomagot, kérje le és szinkronizálja az időt az AD DC-vel az alábbi parancsok kiadásával.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. A következő lépésben telepítse az Ubuntu gép által a tartományba való teljes integrációhoz szükséges szoftvert az alábbi parancs futtatásával.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

A Kerberos csomagok telepítése közben meg kell adnia az alapértelmezett tartomány nevét. Használja a domain nevét nagybetűkkel, és nyomja meg az Enter billentyűt a telepítés folytatásához.

6. Miután az összes csomag telepítése befejeződött, tesztelje a Kerberos hitelesítést egy AD adminisztrátori fiókkal, és listázza ki a jegyet az alábbi parancsok kiadásával.


kinit ad_admin_user
klist

2. lépés: Csatlakozzon az Ubuntuhoz a Samba4 AD DC-hez

7. Az Ubuntu gép Samba4 Active Directory tartományba való integrálásának első lépése a Samba konfigurációs fájl szerkesztése.

Készítsen biztonsági másolatot a Samba alapértelmezett konfigurációs fájljáról, amelyet a csomagkezelő biztosít, hogy a következő parancsok futtatásával kezdje meg a tiszta konfigurációt.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Adja hozzá az alábbi sorokat az új Samba konfigurációs fájlhoz:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Cserélje ki a workgroup, realm, netbios name és dns forwarder változókat saját egyéni beállításaival.

A winbind use default domain paraméter hatására a winbind szolgáltatás minden minősítetlen AD-felhasználónevet az AD felhasználójaként kezel. Ezt a paramétert ki kell hagynia, ha olyan helyi rendszerfiókok nevei vannak, amelyek átfedik az AD-fiókokat.

8. Most indítsa újra az összes samba démont, állítsa le és távolítsa el a szükségtelen szolgáltatásokat, és engedélyezze a samba szolgáltatásokat az egész rendszerben az alábbi parancsok kiadásával.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Csatlakoztassa az Ubuntu gépet a Samba4 AD DC-hez a következő parancs kiadásával. Használja egy rendszergazdai jogosultságokkal rendelkező AD DC-fiók nevét, hogy a tartományhoz való kötés a várt módon működjön.


sudo net ads join -U ad_admin_user

10. Egy telepített RSAT-eszközökkel rendelkező Windows-gépen megnyithatja az AD UC alkalmazást, és navigálhat a Számítógépek tárolóhoz. Itt kell megjelennie az Ubuntuhoz csatlakoztatott gépének.

3. lépés: Az AD-fiókok hitelesítésének konfigurálása

11. Az AD-fiókok hitelesítésének végrehajtásához a helyi gépen módosítania kell néhány szolgáltatást és fájlt a helyi gépen.

Először nyissa meg és szerkessze a The Name Service Switch (NSS) konfigurációs fájlt.


sudo nano /etc/nsswitch.conf

Következő fűzze hozzá a winbind értéket a passwd és a group sorokhoz, az alábbi kivonat szerint.


passwd:         compat winbind
group:          compat winbind

12. Annak teszteléséhez, hogy az Ubuntu gépet sikeresen integrálták-e a tartományba, futtassa a wbinfo parancsot a tartományfiókok és -csoportok listázásához.


wbinfo -u
wbinfo -g

13. Ezenkívül ellenőrizze a Winbind nsswitch modult is a getent parancs kiadásával, és az eredményeket egy szűrőn (például grep) keresztül vezesse át, hogy szűkítse a kimenetet adott domain felhasználók vagy csoportok.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. A domain fiókokkal rendelkező Ubuntu gépen történő hitelesítéshez futtassa a pam-auth-update parancsot root jogosultságokkal, és hozzá kell adnia a winbind szolgáltatáshoz és a az első bejelentkezéskor automatikusan hozzon létre saját könyvtárakat minden tartományfiókhoz.

Ellenőrizze az összes bejegyzést a [szóköz] billentyű lenyomásával, majd nyomja meg az ok gombot a konfiguráció alkalmazásához.


sudo pam-auth-update

15. Debian rendszereken manuálisan kell szerkesztenie az /etc/pam.d/common-account fájlt és a következő sort annak érdekében, hogy automatikusan hozzon létre otthonokat a hitelesített tartományi felhasználók számára.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Annak érdekében, hogy az Active Directory felhasználók parancssorból módosíthassák jelszavát Linuxon, nyissa meg az /etc/pam.d/common-password fájlt. > fájlt, és távolítsa el a use_authtok utasítást a jelszó sorból, hogy végre úgy nézzen ki, mint az alábbi kivonatban.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Az Ubuntu gazdagépen történő hitelesítéshez Samba4 AD-fiókkal használja a tartományi felhasználónév paramétert a su – parancs után. Futtassa az id parancsot, hogy további információkat kapjon az AD-fiókról.


su - your_ad_user

A pwd paranccsal megtekintheti a tartományfelhasználó aktuális könyvtárát és a passwd parancsot, ha meg szeretné változtatni a jelszavát.

18. Ha root jogosultságokkal rendelkező tartományfiókot szeretne használni Ubuntu gépén, hozzá kell adnia az AD felhasználónevet a sudo rendszercsoporthoz az alábbi parancs kiadásával:


sudo usermod -aG sudo your_domain_user

Jelentkezzen be az Ubuntuba a tartományfiókkal, és frissítse rendszerét az apt-get update parancs futtatásával, hogy ellenőrizze, hogy a tartományfelhasználó rendelkezik-e root jogosultságokkal.

19. Ha root jogosultságokat szeretne hozzáadni egy tartománycsoporthoz, nyissa meg az /etc/sudoers fájl végét a visudo paranccsal, és adja hozzá a következő sort az ábra szerint az alábbi képernyőképen.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Használjon fordított törtvonalat a tartománycsoport nevében lévő szóközök vagy az első fordított perjel elkerülésére. A fenti példában a TECMINT tartomány tartománycsoportjának neve „domain adminisztrátorok”.

Az előző százalékjel (%) szimbólum azt jelzi, hogy csoportra utalunk, nem felhasználónévre.

20. Abban az esetben, ha az Ubuntu grafikus verzióját használja, és egy tartományi felhasználóval szeretne bejelentkezni a rendszerbe, módosítania kell a LightDM képernyőkezelőt a /usr/share/lightdm szerkesztésével. /lightdm.conf.d/50-ubuntu.conf fájlt, adja hozzá a következő sorokat, és indítsa újra a gépet, hogy tükrözze a változásokat.


greeter-show-manual-login=true
greeter-hide-users=true

Mostantól képesnek kell lennie bejelentkezni az Ubuntu Desktopra a saját_domain_felhasználóneve vagy sajat_domain_felhasznaloneve@sajat_domain.tld vagy sajat_domain\domain_felhasznaloneve formátumban. .