Weboldal keresés

Az Ubuntu integrálása a Samba4 AD DC-be SSSD-vel és a Realm-mal – 15. rész


Ez az oktatóanyag végigvezeti Önt, hogyan csatlakozhat egy Ubuntu Desktop géphez Samba4 Active Directory tartományhoz SSSD és Realmd segítségével. > szolgáltatások a felhasználók Active Directory alapján történő hitelesítése érdekében.

Követelmények:

  1. Hozzon létre egy Active Directory infrastruktúrát a Samba4 segítségével az Ubuntu rendszeren

1. lépés: Kezdeti konfigurációk

1. Mielőtt elkezdené az Ubuntu Active Directoryhoz való csatlakozását, győződjön meg arról, hogy a gazdagépnév megfelelően van beállítva. A hostnamectl paranccsal állítsa be a gép nevét, vagy szerkessze manuálisan az /etc/hostname fájlt.

sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl

2. A következő lépésben szerkessze a gép hálózati interfész beállításait, és adja hozzá a megfelelő IP-konfigurációkat és a megfelelő DNS IP-kiszolgáló címeket, hogy a Samba AD tartományvezérlőre mutasson az alábbi képernyőképen látható módon.

Ha beállított egy DHCP-kiszolgálót a telephelyén, hogy automatikusan hozzárendelje az IP-beállításokat a LAN-gépeihez a megfelelő AD DNS IP-címekkel, akkor kihagyhatja ezt a lépést, és továbbléphet.

A fenti képernyőképen a 192.168.1.254 és a 192.168.1.253 a Samba4 tartományvezérlők IP-címét jelenti.

3. Indítsa újra a hálózati szolgáltatásokat a változtatások alkalmazásához a grafikus felhasználói felület használatával vagy parancssorból, és adjon ki egy sor ping parancsot a domain nevéhez, hogy ellenőrizze, hogy a DNS-feloldás az elvárásoknak megfelelően működik. A DNS-feloldás teszteléséhez használja a host parancsot is.

sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2

4. Végül győződjön meg arról, hogy a gépi idő szinkronban van a Samba4 AD-vel. Telepítse az ntpdate csomagot, és szinkronizálja az időt az AD-vel az alábbi parancsok kiadásával.

sudo apt-get install ntpdate
sudo ntpdate your_domain_name

2. lépés: Telepítse a szükséges csomagokat

5. Ebben a lépésben telepítse a szükséges szoftvert és a szükséges függőségeket, hogy az Ubuntuhoz csatlakozhasson a Samba4 AD DC: Realmd és SSSD szolgáltatásokhoz.

sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6. Írja be az alapértelmezett tartomány nevét nagybetűkkel, és nyomja meg az Enter billentyűt a telepítés folytatásához.

7. Ezután hozza létre az SSSD konfigurációs fájlt a következő tartalommal.

sudo nano /etc/sssd/sssd.conf

Adja hozzá a következő sorokat az sssd.conf fájlhoz.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Ügyeljen arra, hogy ennek megfelelően cserélje ki a domain nevet a következő paraméterekben:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Ezután adja hozzá a megfelelő engedélyeket az SSSD-fájlhoz az alábbi parancs kiadásával:

sudo chmod 700 /etc/sssd/sssd.conf

9. Most nyissa meg és szerkessze a Realmd konfigurációs fájlt, és adja hozzá a következő sorokat.

sudo nano /etc/realmd.conf

Realmd.conf fájl kivonat:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Az utolsó módosítandó fájl a Samba démonhoz tartozik. Nyissa meg az /etc/samba/smb.conf fájlt szerkesztéshez, és adja hozzá a következő kódblokkot a fájl elejéhez, a [global] rész után, ahogy az a kép lent.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Ügyeljen arra, hogy cserélje ki a domain name értéket, különösen a realm value értéket, hogy megfeleljen a domain nevének, és futtassa a testparm parancsot, hogy ellenőrizze, hogy a konfiguráció fájl nem tartalmaz hibát.

sudo testparm

11. Miután elvégezte az összes szükséges módosítást, tesztelje a Kerberos-hitelesítést egy AD-rendszergazdai fiókkal, és listázza ki a jegyet az alábbi parancsok kiadásával.

sudo kinit [email 
sudo klist

3. lépés: Csatlakozzon az Ubuntuhoz a Samba4 Realmhoz

12. Az Ubuntu géphez való csatlakozáshoz a Samba4 Active Directoryhoz a következő parancsokat kell végrehajtania, amint az alább látható. Használja egy rendszergazdai jogosultságokkal rendelkező AD DC-fiók nevét, hogy a tartományhoz való kötés a várt módon működjön, és ennek megfelelően cserélje ki a tartománynév értékét.

sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k

13. Miután megtörtént a tartomány-összerendelés, futtassa az alábbi parancsot, hogy megbizonyosodjon arról, hogy minden tartományfiók hitelesíthető a gépen.

sudo realm permit --all

Ezt követően engedélyezheti vagy megtagadhatja a hozzáférést egy tartományi felhasználói fiókhoz vagy csoporthoz a realm paranccsal, az alábbi példákban bemutatott módon.

sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email 
realm permit DOMAIN\\User2

14. Egy telepített RSAT-eszközökkel rendelkező Windows-gépen megnyithatja az AD UC alkalmazást, navigálhat a Számítógépek tárolóhoz, és ellenőrizheti, hogy van-e ilyen nevű objektumfiók. a gépedből létrejött.

4. lépés: Az AD-fiókok hitelesítésének konfigurálása

15. Az Ubuntu gépen való hitelesítéshez tartományfiókokkal kell futtatnia a pam-auth-update parancsot root jogosultságokkal, és engedélyeznie kell az összes PAM-profilt, beleértve az automatikus létrehozás lehetőségét is. kezdőkönyvtárak minden tartományfiókhoz az első bejelentkezéskor.

Ellenőrizze az összes bejegyzést a [szóköz] billentyű lenyomásával, majd nyomja meg az ok gombot a konfiguráció alkalmazásához.

sudo pam-auth-update

16. Rendszereken manuálisan szerkessze az /etc/pam.d/common-account fájlt és a következő sort annak érdekében, hogy automatikusan hozzon létre otthonokat a hitelesített domain felhasználók számára.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Ha az Active Directory-felhasználók nem tudják megváltoztatni jelszavukat a Linux parancssorából, nyissa meg az /etc/pam.d/common-password fájlt, és távolítsa el a use_authtok utasítást a jelszó sorból, hogy végre úgy nézzen ki, mint az alábbi kivonatban.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Végül indítsa újra, és engedélyezze a Realmd és az SSSD szolgáltatást a változtatások alkalmazásához az alábbi parancsok kiadásával:

sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd

19. Annak teszteléséhez, hogy az Ubuntu gép sikeresen integrálva volt-e a tartomány futtatásához, telepítse a winbind csomagot, és futtassa a wbinfo parancsot a tartományfiókok és csoportok listázásához az alábbiak szerint.

sudo apt-get install winbind
wbinfo -u
wbinfo -g

20. Ezenkívül ellenőrizze a Winbind nsswitch modult a getent paranccsal egy adott tartományfelhasználóhoz vagy csoporthoz.

sudo getent passwd your_domain_user
sudo getent group ‘domain admins’

21. Használhatja a Linux id parancsát is, hogy információkat kapjon egy AD-fiókról, ahogy az alábbi parancsban látható.

id tecmint_user

22. Az Ubuntu gazdagépen történő hitelesítéshez Samba4 AD-fiókkal használja a tartományi felhasználónév paramétert a su parancs után. Futtassa az id parancsot, hogy további információkat kapjon az AD-fiókról.

su - your_ad_user

A pwd paranccsal megtekintheti a tartományfelhasználó aktuális munkakönyvtárát és a passwd parancsot, ha meg szeretné változtatni a jelszavát.

23. Ha root jogosultságokkal rendelkező tartományfiókot szeretne használni Ubuntu gépén, hozzá kell adnia az AD felhasználónevet a sudo rendszercsoporthoz az alábbi parancs kiadásával:

sudo usermod -aG sudo [email 

Jelentkezzen be az Ubuntuba a domain fiókkal, és frissítse rendszerét az apt update parancs futtatásával a root jogosultságok ellenőrzéséhez.

24. Ha root jogosultságokat szeretne hozzáadni egy tartománycsoporthoz, nyissa meg az /etc/sudoers fájlt a visudo paranccsal, és adja hozzá a következő sort az ábra szerint .

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Az Ubuntu Desktop tartományfiók-hitelesítésének használatához módosítsa a LightDM képernyőkezelőt a /usr/share/lightdm/lightdm.conf.d/50-ubuntu szerkesztésével. conf fájlt, fűzze hozzá a következő két sort, és indítsa újra a lightdm szolgáltatást, vagy indítsa újra a gépet, alkalmazza a változtatásokat.

greeter-show-manual-login=true
greeter-hide-users=true

Jelentkezzen be az Ubuntu Desktopba egy domain fiókkal a sajat_domain_felhasznaloneve vagy a sajat_domain_felhasznalonev@sajat_domain.tld szintaxis használatával.

26. A Samba AD-fiókok rövid névformátumának használatához szerkessze az /etc/sssd/sssd.conf fájlt, és adja hozzá a következő sort az [sssd] fájlhoz. blokkot az alábbi ábra szerint.

full_name_format = %1$s

és indítsa újra az SSSD démont a változtatások alkalmazásához.

sudo systemctl restart sssd

Észre fogja venni, hogy a bash prompt az AD-felhasználó rövid nevére változik anélkül, hogy hozzáfűzné a tartománynév megfelelőjét.

27. Ha nem tud bejelentkezni az sssd.conf fájlban beállított enumerate=true argumentum miatt, törölnie kell az sssd gyorsítótárazott adatbázist az alábbi parancs kiadásával. :

rm /var/lib/sss/db/cache_tecmint.lan.ldb

Ez minden! Bár ez az útmutató főként a Samba4 Active Directory-val való integrációra összpontosít, ugyanezek a lépések alkalmazhatók az Ubuntu Realmd és SSSD szolgáltatások Microsoft Windows Server Active Directoryba való integrálására.