Az Ubuntu integrálása a Samba4 AD DC-be SSSD-vel és a Realm-mal – 15. rész
Ez az oktatóanyag végigvezeti Önt, hogyan csatlakozhat egy Ubuntu Desktop géphez Samba4 Active Directory tartományhoz SSSD és Realmd segítségével. > szolgáltatások a felhasználók Active Directory alapján történő hitelesítése érdekében.
Követelmények:
- Hozzon létre egy Active Directory infrastruktúrát a Samba4 segítségével az Ubuntu rendszeren
1. lépés: Kezdeti konfigurációk
1. Mielőtt elkezdené az Ubuntu Active Directoryhoz való csatlakozását, győződjön meg arról, hogy a gazdagépnév megfelelően van beállítva. A hostnamectl paranccsal állítsa be a gép nevét, vagy szerkessze manuálisan az /etc/hostname fájlt.
sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl
2. A következő lépésben szerkessze a gép hálózati interfész beállításait, és adja hozzá a megfelelő IP-konfigurációkat és a megfelelő DNS IP-kiszolgáló címeket, hogy a Samba AD tartományvezérlőre mutasson az alábbi képernyőképen látható módon.
Ha beállított egy DHCP-kiszolgálót a telephelyén, hogy automatikusan hozzárendelje az IP-beállításokat a LAN-gépeihez a megfelelő AD DNS IP-címekkel, akkor kihagyhatja ezt a lépést, és továbbléphet.
A fenti képernyőképen a 192.168.1.254 és a 192.168.1.253 a Samba4 tartományvezérlők IP-címét jelenti.
3. Indítsa újra a hálózati szolgáltatásokat a változtatások alkalmazásához a grafikus felhasználói felület használatával vagy parancssorból, és adjon ki egy sor ping parancsot a domain nevéhez, hogy ellenőrizze, hogy a DNS-feloldás az elvárásoknak megfelelően működik. A DNS-feloldás teszteléséhez használja a host parancsot is.
sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2
4. Végül győződjön meg arról, hogy a gépi idő szinkronban van a Samba4 AD-vel. Telepítse az ntpdate csomagot, és szinkronizálja az időt az AD-vel az alábbi parancsok kiadásával.
sudo apt-get install ntpdate
sudo ntpdate your_domain_name
2. lépés: Telepítse a szükséges csomagokat
5. Ebben a lépésben telepítse a szükséges szoftvert és a szükséges függőségeket, hogy az Ubuntuhoz csatlakozhasson a Samba4 AD DC: Realmd és SSSD szolgáltatásokhoz.
sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Írja be az alapértelmezett tartomány nevét nagybetűkkel, és nyomja meg az Enter billentyűt a telepítés folytatásához.
7. Ezután hozza létre az SSSD konfigurációs fájlt a következő tartalommal.
sudo nano /etc/sssd/sssd.conf
Adja hozzá a következő sorokat az sssd.conf fájlhoz.
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
Ügyeljen arra, hogy ennek megfelelően cserélje ki a domain nevet a következő paraméterekben:
domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
8. Ezután adja hozzá a megfelelő engedélyeket az SSSD-fájlhoz az alábbi parancs kiadásával:
sudo chmod 700 /etc/sssd/sssd.conf
9. Most nyissa meg és szerkessze a Realmd konfigurációs fájlt, és adja hozzá a következő sorokat.
sudo nano /etc/realmd.conf
Realmd.conf fájl kivonat:
[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no
10. Az utolsó módosítandó fájl a Samba démonhoz tartozik. Nyissa meg az /etc/samba/smb.conf fájlt szerkesztéshez, és adja hozzá a következő kódblokkot a fájl elejéhez, a [global] rész után, ahogy az a kép lent.
workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads
Ügyeljen arra, hogy cserélje ki a domain name értéket, különösen a realm value értéket, hogy megfeleljen a domain nevének, és futtassa a testparm parancsot, hogy ellenőrizze, hogy a konfiguráció fájl nem tartalmaz hibát.
sudo testparm
11. Miután elvégezte az összes szükséges módosítást, tesztelje a Kerberos-hitelesítést egy AD-rendszergazdai fiókkal, és listázza ki a jegyet az alábbi parancsok kiadásával.
sudo kinit [email
sudo klist
3. lépés: Csatlakozzon az Ubuntuhoz a Samba4 Realmhoz
12. Az Ubuntu géphez való csatlakozáshoz a Samba4 Active Directoryhoz a következő parancsokat kell végrehajtania, amint az alább látható. Használja egy rendszergazdai jogosultságokkal rendelkező AD DC-fiók nevét, hogy a tartományhoz való kötés a várt módon működjön, és ennek megfelelően cserélje ki a tartománynév értékét.
sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k
13. Miután megtörtént a tartomány-összerendelés, futtassa az alábbi parancsot, hogy megbizonyosodjon arról, hogy minden tartományfiók hitelesíthető a gépen.
sudo realm permit --all
Ezt követően engedélyezheti vagy megtagadhatja a hozzáférést egy tartományi felhasználói fiókhoz vagy csoporthoz a realm paranccsal, az alábbi példákban bemutatott módon.
sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email
realm permit DOMAIN\\User2
14. Egy telepített RSAT-eszközökkel rendelkező Windows-gépen megnyithatja az AD UC alkalmazást, navigálhat a Számítógépek tárolóhoz, és ellenőrizheti, hogy van-e ilyen nevű objektumfiók. a gépedből létrejött.
4. lépés: Az AD-fiókok hitelesítésének konfigurálása
15. Az Ubuntu gépen való hitelesítéshez tartományfiókokkal kell futtatnia a pam-auth-update parancsot root jogosultságokkal, és engedélyeznie kell az összes PAM-profilt, beleértve az automatikus létrehozás lehetőségét is. kezdőkönyvtárak minden tartományfiókhoz az első bejelentkezéskor.
Ellenőrizze az összes bejegyzést a [szóköz] billentyű lenyomásával, majd nyomja meg az ok gombot a konfiguráció alkalmazásához.
sudo pam-auth-update
16. Rendszereken manuálisan szerkessze az /etc/pam.d/common-account fájlt és a következő sort annak érdekében, hogy automatikusan hozzon létre otthonokat a hitelesített domain felhasználók számára.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Ha az Active Directory-felhasználók nem tudják megváltoztatni jelszavukat a Linux parancssorából, nyissa meg az /etc/pam.d/common-password fájlt, és távolítsa el a use_authtok utasítást a jelszó sorból, hogy végre úgy nézzen ki, mint az alábbi kivonatban.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Végül indítsa újra, és engedélyezze a Realmd és az SSSD szolgáltatást a változtatások alkalmazásához az alábbi parancsok kiadásával:
sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd
19. Annak teszteléséhez, hogy az Ubuntu gép sikeresen integrálva volt-e a tartomány futtatásához, telepítse a winbind csomagot, és futtassa a wbinfo parancsot a tartományfiókok és csoportok listázásához az alábbiak szerint.
sudo apt-get install winbind
wbinfo -u
wbinfo -g
20. Ezenkívül ellenőrizze a Winbind nsswitch modult a getent paranccsal egy adott tartományfelhasználóhoz vagy csoporthoz.
sudo getent passwd your_domain_user
sudo getent group ‘domain admins’
21. Használhatja a Linux id parancsát is, hogy információkat kapjon egy AD-fiókról, ahogy az alábbi parancsban látható.
id tecmint_user
22. Az Ubuntu gazdagépen történő hitelesítéshez Samba4 AD-fiókkal használja a tartományi felhasználónév paramétert a su parancs után. Futtassa az id parancsot, hogy további információkat kapjon az AD-fiókról.
su - your_ad_user
A pwd paranccsal megtekintheti a tartományfelhasználó aktuális munkakönyvtárát és a passwd parancsot, ha meg szeretné változtatni a jelszavát.
23. Ha root jogosultságokkal rendelkező tartományfiókot szeretne használni Ubuntu gépén, hozzá kell adnia az AD felhasználónevet a sudo rendszercsoporthoz az alábbi parancs kiadásával:
sudo usermod -aG sudo [email
Jelentkezzen be az Ubuntuba a domain fiókkal, és frissítse rendszerét az apt update parancs futtatásával a root jogosultságok ellenőrzéséhez.
24. Ha root jogosultságokat szeretne hozzáadni egy tartománycsoporthoz, nyissa meg az /etc/sudoers fájlt a visudo paranccsal, és adja hozzá a következő sort az ábra szerint .
%domain\ [email ALL=(ALL:ALL) ALL
25. Az Ubuntu Desktop tartományfiók-hitelesítésének használatához módosítsa a LightDM képernyőkezelőt a /usr/share/lightdm/lightdm.conf.d/50-ubuntu szerkesztésével. conf fájlt, fűzze hozzá a következő két sort, és indítsa újra a lightdm szolgáltatást, vagy indítsa újra a gépet, alkalmazza a változtatásokat.
greeter-show-manual-login=true
greeter-hide-users=true
Jelentkezzen be az Ubuntu Desktopba egy domain fiókkal a sajat_domain_felhasznaloneve vagy a sajat_domain_felhasznalonev@sajat_domain.tld szintaxis használatával.
26. A Samba AD-fiókok rövid névformátumának használatához szerkessze az /etc/sssd/sssd.conf fájlt, és adja hozzá a következő sort az [sssd] fájlhoz. blokkot az alábbi ábra szerint.
full_name_format = %1$s
és indítsa újra az SSSD démont a változtatások alkalmazásához.
sudo systemctl restart sssd
Észre fogja venni, hogy a bash prompt az AD-felhasználó rövid nevére változik anélkül, hogy hozzáfűzné a tartománynév megfelelőjét.
27. Ha nem tud bejelentkezni az sssd.conf fájlban beállított enumerate=true argumentum miatt, törölnie kell az sssd gyorsítótárazott adatbázist az alábbi parancs kiadásával. :
rm /var/lib/sss/db/cache_tecmint.lan.ldb
Ez minden! Bár ez az útmutató főként a Samba4 Active Directory-val való integrációra összpontosít, ugyanezek a lépések alkalmazhatók az Ubuntu Realmd és SSSD szolgáltatások Microsoft Windows Server Active Directoryba való integrálására.