Az Ubuntu 16.04 integrálása az AD-be tartománytagként a Sambával és a Winbinddel – 8. rész
Ez az oktatóanyag leírja, hogyan csatlakozhat egy Ubuntu géphez egy Samba4 Active Directory tartományhoz az AD fiókok hitelesítése érdekében a helyi ACL segítségével fájlok és könyvtárak vagy könyvtárak számára. kötetmegosztások létrehozása és leképezése a tartományvezérlő felhasználók számára (fájlkiszolgálóként működik).
Követelmények:
- Hozzon létre egy Active Directory infrastruktúrát a Samba4 segítségével az Ubuntu rendszeren
1. lépés: Az Ubuntu Samba4 AD-hez való csatlakozásának kezdeti beállításai
1. Mielőtt elkezdené csatlakozni egy Ubuntu gazdagéphez egy Active Directory DC-hez, meg kell bizonyosodnia arról, hogy bizonyos szolgáltatások megfelelően vannak konfigurálva a helyi gépen.
A gép egyik fontos eleme a gazdanév. A hostnamectl paranccsal vagy az /etc/hostname fájl manuális szerkesztésével állítson be egy megfelelő gépnevet, mielőtt csatlakozna a tartományhoz.
hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl
2. A következő lépésben nyissa meg és manuálisan szerkessze a gép hálózati beállításait a megfelelő IP-konfigurációkkal. A legfontosabb beállítások itt a DNS IP-címek, amelyek a tartományvezérlőre mutatnak vissza.
Szerkessze az /etc/network/interfaces fájlt, és adja hozzá a dns-nameservers utasítást a megfelelő AD IP-címekkel és tartománynévvel, az alábbi képernyőképen látható módon.
Győződjön meg arról is, hogy ugyanazok a DNS IP-címek és a domain név vannak hozzáadva az /etc/resolv.conf fájlhoz.
A fenti képernyőképen a 192.168.1.254 és a 192.168.1.253 a Samba4 AD DC és a Tecmint.lan< IP-címei. Az az AD tartomány nevét jelenti, amelyet a tartományba integrált összes gép lekérdez.
3. Indítsa újra a hálózati szolgáltatásokat, vagy indítsa újra a gépet az új hálózati konfigurációk alkalmazásához. Adjon ki egy ping parancsot a domainnévhez, hogy tesztelje, a DNS-feloldás a várt módon működik-e.
Az AD DC-nek újra kell játszania az FQDN-jével. Abban az esetben, ha a hálózatában egy DHCP-kiszolgálót konfigurált úgy, hogy automatikusan hozzárendelje az IP-beállításokat a LAN-állomásokhoz, ügyeljen arra, hogy AD DC IP-címeket adjon hozzá a DHCP-kiszolgáló DNS-konfigurációihoz.
systemctl restart networking.service
ping -c2 your_domain_name
4. Az utolsó fontos konfigurációt az időszinkronizálás jelenti. Telepítse az ntpdate csomagot, kérje le és szinkronizálja az időt az AD DC-vel az alábbi parancsok kiadásával.
sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name
5. A következő lépésben telepítse az Ubuntu gép által a tartományba való teljes integrációhoz szükséges szoftvert az alábbi parancs futtatásával.
sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
A Kerberos csomagok telepítése közben meg kell adnia az alapértelmezett tartomány nevét. Használja a domain nevét nagybetűkkel, és nyomja meg az Enter billentyűt a telepítés folytatásához.
6. Miután az összes csomag telepítése befejeződött, tesztelje a Kerberos hitelesítést egy AD adminisztrátori fiókkal, és listázza ki a jegyet az alábbi parancsok kiadásával.
kinit ad_admin_user
klist
2. lépés: Csatlakozzon az Ubuntuhoz a Samba4 AD DC-hez
7. Az Ubuntu gép Samba4 Active Directory tartományba való integrálásának első lépése a Samba konfigurációs fájl szerkesztése.
Készítsen biztonsági másolatot a Samba alapértelmezett konfigurációs fájljáról, amelyet a csomagkezelő biztosít, hogy a következő parancsok futtatásával kezdje meg a tiszta konfigurációt.
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf
Adja hozzá az alábbi sorokat az új Samba konfigurációs fájlhoz:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Cserélje ki a workgroup, realm, netbios name és dns forwarder változókat saját egyéni beállításaival.
A winbind use default domain paraméter hatására a winbind szolgáltatás minden minősítetlen AD-felhasználónevet az AD felhasználójaként kezel. Ezt a paramétert ki kell hagynia, ha olyan helyi rendszerfiókok nevei vannak, amelyek átfedik az AD-fiókokat.
8. Most indítsa újra az összes samba démont, állítsa le és távolítsa el a szükségtelen szolgáltatásokat, és engedélyezze a samba szolgáltatásokat az egész rendszerben az alábbi parancsok kiadásával.
sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
9. Csatlakoztassa az Ubuntu gépet a Samba4 AD DC-hez a következő parancs kiadásával. Használja egy rendszergazdai jogosultságokkal rendelkező AD DC-fiók nevét, hogy a tartományhoz való kötés a várt módon működjön.
sudo net ads join -U ad_admin_user
10. Egy telepített RSAT-eszközökkel rendelkező Windows-gépen megnyithatja az AD UC alkalmazást, és navigálhat a Számítógépek tárolóhoz. Itt kell megjelennie az Ubuntuhoz csatlakoztatott gépének.
3. lépés: Az AD-fiókok hitelesítésének konfigurálása
11. Az AD-fiókok hitelesítésének végrehajtásához a helyi gépen módosítania kell néhány szolgáltatást és fájlt a helyi gépen.
Először nyissa meg és szerkessze a The Name Service Switch (NSS) konfigurációs fájlt.
sudo nano /etc/nsswitch.conf
Következő fűzze hozzá a winbind értéket a passwd és a group sorokhoz, az alábbi kivonat szerint.
passwd: compat winbind
group: compat winbind
12. Annak teszteléséhez, hogy az Ubuntu gépet sikeresen integrálták-e a tartományba, futtassa a wbinfo parancsot a tartományfiókok és -csoportok listázásához.
wbinfo -u
wbinfo -g
13. Ezenkívül ellenőrizze a Winbind nsswitch modult is a getent parancs kiadásával, és az eredményeket egy szűrőn (például grep) keresztül vezesse át, hogy szűkítse a kimenetet adott domain felhasználók vagy csoportok.
sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'
14. A domain fiókokkal rendelkező Ubuntu gépen történő hitelesítéshez futtassa a pam-auth-update parancsot root jogosultságokkal, és hozzá kell adnia a winbind szolgáltatáshoz és a az első bejelentkezéskor automatikusan hozzon létre saját könyvtárakat minden tartományfiókhoz.
Ellenőrizze az összes bejegyzést a [szóköz]
billentyű lenyomásával, majd nyomja meg az ok gombot a konfiguráció alkalmazásához.
sudo pam-auth-update
15. Debian rendszereken manuálisan kell szerkesztenie az /etc/pam.d/common-account fájlt és a következő sort annak érdekében, hogy automatikusan hozzon létre otthonokat a hitelesített tartományi felhasználók számára.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Annak érdekében, hogy az Active Directory felhasználók parancssorból módosíthassák jelszavát Linuxon, nyissa meg az /etc/pam.d/common-password fájlt. > fájlt, és távolítsa el a use_authtok utasítást a jelszó sorból, hogy végre úgy nézzen ki, mint az alábbi kivonatban.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Az Ubuntu gazdagépen történő hitelesítéshez Samba4 AD-fiókkal használja a tartományi felhasználónév paramétert a su – parancs után. Futtassa az id parancsot, hogy további információkat kapjon az AD-fiókról.
su - your_ad_user
A pwd paranccsal megtekintheti a tartományfelhasználó aktuális könyvtárát és a passwd parancsot, ha meg szeretné változtatni a jelszavát.
18. Ha root jogosultságokkal rendelkező tartományfiókot szeretne használni Ubuntu gépén, hozzá kell adnia az AD felhasználónevet a sudo rendszercsoporthoz az alábbi parancs kiadásával:
sudo usermod -aG sudo your_domain_user
Jelentkezzen be az Ubuntuba a tartományfiókkal, és frissítse rendszerét az apt-get update parancs futtatásával, hogy ellenőrizze, hogy a tartományfelhasználó rendelkezik-e root jogosultságokkal.
19. Ha root jogosultságokat szeretne hozzáadni egy tartománycsoporthoz, nyissa meg az /etc/sudoers fájl végét a visudo paranccsal, és adja hozzá a következő sort az ábra szerint az alábbi képernyőképen.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Használjon fordított törtvonalat a tartománycsoport nevében lévő szóközök vagy az első fordított perjel elkerülésére. A fenti példában a TECMINT tartomány tartománycsoportjának neve „domain adminisztrátorok”.
Az előző százalékjel (%)
szimbólum azt jelzi, hogy csoportra utalunk, nem felhasználónévre.
20. Abban az esetben, ha az Ubuntu grafikus verzióját használja, és egy tartományi felhasználóval szeretne bejelentkezni a rendszerbe, módosítania kell a LightDM képernyőkezelőt a /usr/share/lightdm szerkesztésével. /lightdm.conf.d/50-ubuntu.conf fájlt, adja hozzá a következő sorokat, és indítsa újra a gépet, hogy tükrözze a változásokat.
greeter-show-manual-login=true
greeter-hide-users=true
Mostantól képesnek kell lennie bejelentkezni az Ubuntu Desktopra a saját_domain_felhasználóneve vagy sajat_domain_felhasznaloneve@sajat_domain.tld vagy sajat_domain\domain_felhasznaloneve formátumban. .