Integrējiet Ubuntu 16.04 AD kā domēna locekli ar Samba un Winbind - 8. daļa


Šajā apmācībā ir aprakstīts, kā Ubuntu mašīnai pievienoties Samba4 Active Directory domēnā, lai autentificētu AD kontus ar vietējo ACL failiem un direktorijiem vai izveidotu un kartētu domēna kontrollera lietotāju sējumu koplietojumus (rīkojieties kā failu serveris).

  1. Izveidojiet Active Directory infrastruktūru, izmantojot Ubuntu Samba4

1. solis: Sākotnējās konfigurācijas, lai pievienotos Ubuntu Samba4 AD

1. Pirms sākat pievienoties Ubuntu resursdatoram Active Directory DC, jums jāpārliecinās, ka daži pakalpojumi ir pareizi konfigurēti vietējā mašīnā.

Svarīgs jūsu mašīnas aspekts ir resursdatora nosaukums. Pirms pievienošanās domēnam ar komandu hostnamectl vai manuāli rediģējot failu/etc/hostname, iestatiet pareizu mašīnas nosaukumu.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. Nākamajā solī atveriet un manuāli rediģējiet iekārtas tīkla iestatījumus, izmantojot atbilstošās IP konfigurācijas. Šeit vissvarīgākie iestatījumi ir DNS IP adreses, kas norāda uz jūsu domēna kontrolleri.

Rediģējiet/etc/network/interfaces failu un pievienojiet dns-nameservers paziņojumu ar savām pareizajām AD IP adresēm un domēna nosaukumu, kā parādīts zemāk esošajā ekrānuzņēmumā.

Pārliecinieties arī, vai failā /etc/resolv.conf ir pievienotas vienas un tās pašas DNS IP adreses un domēna nosaukums.

Iepriekš redzamajā ekrānuzņēmumā 192.168.1.254 un 192.168.1.253 ir Samba4 AD DC IP adreses, un Tecmint.lan apzīmē AD domēna nosaukumu, uz kuru pieprasīs visas valstībā integrētās mašīnas.

3. Lai lietotu jaunās tīkla konfigurācijas, restartējiet tīkla pakalpojumus vai restartējiet ierīci. Izdodiet ping domēnu pret savu domēna vārdu, lai pārbaudītu, vai DNS izšķirtspēja darbojas, kā paredzēts.

AD DC vajadzētu atkārtot savu FQDN. Gadījumā, ja tīklā esat konfigurējis DHCP serveri, lai automātiski piešķirtu LAN iestatījumu IP iestatījumus, noteikti pievienojiet AD DC IP adreses DHCP servera DNS konfigurācijām.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. Pēdējo svarīgo nepieciešamo konfigurāciju attēlo laika sinhronizācija. Instalējiet NTpdate pakotni, vaicājiet un sinhronizējiet laiku ar AD DC, izsniedzot tālāk norādītās komandas.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. Nākamajā solī instalējiet programmatūru, kas nepieciešama Ubuntu mašīnai, lai pilnībā integrētu domēnā, izpildot zemāk esošo komandu.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kamēr Kerberos pakotnes tiek instalētas, jums vajadzētu lūgt ievadīt noklusējuma valstības nosaukumu. Izmantojiet sava domēna nosaukumu ar lielajiem burtiem un nospiediet taustiņu Enter, lai turpinātu instalēšanu.

6. Pēc visu pakotņu instalēšanas pabeigšanas pārbaudiet Kerberos autentifikāciju ar AD administratīvo kontu un uzskaitiet biļeti, izsniedzot tālāk norādītās komandas.

# kinit ad_admin_user
# klist

2. solis: Pievienojieties Ubuntu sistēmai Samba4 AD DC

7. Pirmais solis, integrējot Ubuntu mašīnu Samba4 Active Directory domēnā, ir Samba konfigurācijas faila rediģēšana.

Dublējiet Samba noklusējuma konfigurācijas failu, ko nodrošina pakotņu pārvaldnieks, lai sāktu ar tīru konfigurāciju, izpildot šādas komandas.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

Jaunajā Samba konfigurācijas failā pievienojiet šādas rindas:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Nomainiet darba grupas, valstības, tīkla nosaukuma un DNS ekspeditora mainīgos ar saviem pielāgotajiem iestatījumiem.

Winbind use noklusējuma domēna parametrs liek winbind pakalpojumam visus nekvalificētos AD lietotājvārdus uzskatīt par AD lietotājiem. Šis parametrs ir jāizlaiž, ja jums ir vietējās sistēmas kontu nosaukumi, kas pārklājas ar AD kontiem.

8. Tagad jums vajadzētu restartēt visus samba dēmonus un apturēt un noņemt nevajadzīgos pakalpojumus, kā arī iespējot samba pakalpojumus visā sistēmā, izsniedzot tālāk norādītās komandas.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Pievienojiet Ubuntu mašīnu Samba4 AD DC, izsniedzot šādu komandu. Izmantojiet AD DC konta nosaukumu ar administratora tiesībām, lai saistīšana ar valstību darbotos kā paredzēts.

$ sudo net ads join -U ad_admin_user

10. No Windows mašīnas, kurā ir instalēti RSAT rīki, varat atvērt AD UC un doties uz konteineru Datori. Šeit ir jāuzskaita jūsu Ubuntu pievienotā mašīna.

3. darbība: konfigurējiet AD kontu autentifikāciju

11. Lai vietējā datorā veiktu AD kontu autentifikāciju, jums ir jāpārveido daži vietējā mašīnā esošie pakalpojumi un faili.

Vispirms atveriet un rediģējiet konfigurācijas failu The Name Service Switch (NSS).

$ sudo nano /etc/nsswitch.conf

Nākamais pievienojiet winwind vērtību passwd un grupas līnijām, kā parādīts zemāk esošajā fragmentā.

passwd:         compat winbind
group:          compat winbind

12. Lai pārbaudītu, vai Ubuntu mašīna ir veiksmīgi integrēta valstībā, palaidiet komandu wbinfo, lai uzskaitītu domēna kontus un grupas.

$ wbinfo -u
$ wbinfo -g

13. Pārbaudiet arī Winbind nsswitch moduli, izsniedzot komandu getent un izpūtiet rezultātus caur filtru, piemēram, grep, lai sašaurinātu izeju tikai konkrētiem domēna lietotājiem vai grupām.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. Lai autentificētos Ubuntu mašīnā ar domēna kontiem, jums ir jāpalaiž pam-auth-update komanda ar root tiesībām un jāpievieno visi Winbind pakalpojumam nepieciešamie ieraksti un automātiski jāizveido mājas direktoriji katram domēna kontam ar pirmo pieteikšanos.

Pārbaudiet visus ierakstus, nospiežot taustiņu [atstarpe] un nospiediet OK, lai lietotu konfigurāciju.

$ sudo pam-auth-update

15. Debian sistēmās, lai automātiski izveidotu mājas autentificētiem domēna lietotājiem, jums manuāli jārediģē /etc/pam.d/common-account fails un nākamā rinda.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Lai Active Directory lietotāji varētu mainīt paroli no komandrindas Linux, atveriet /etc/pam.d/common-password failu un noņemiet paroli use_authtok no paroles rindas, lai beidzot izskatās kā zemāk redzamajā fragmentā.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Lai autentificētos Ubuntu resursdatorā ar Samba4 AD kontu, pēc su komandas izmantojiet domēna lietotājvārda parametru. Palaidiet komandu id, lai iegūtu papildu informāciju par AD kontu.

$ su - your_ad_user

Izmantojiet komandu pwd, lai redzētu sava domēna lietotāja pašreizējo direktoriju, un komandu passwd, ja vēlaties mainīt paroli.

18. Lai Ubuntu mašīnā izmantotu domēna kontu ar root tiesībām, sudo sistēmas grupai jāpievieno AD lietotājvārds, izsniedzot šādu komandu:

$ sudo usermod -aG sudo your_domain_user

Piesakieties Ubuntu ar domēna kontu un atjauniniet sistēmu, palaižot komandu apt-get update, lai pārbaudītu, vai domēna lietotājam ir root tiesības.

19. Lai pievienotu domēna grupas saknes privilēģijas, atveriet faila rediģēšanas/etc/sudoers failu, izmantojot komandu visudo, un pievienojiet šādu rindu, kā parādīts zemāk esošajā ekrānuzņēmumā.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Izmantojiet atpakaļ slīpsvītras, lai izvairītos no atstarpēm jūsu domēna grupas nosaukumā, vai lai izvairītos no pirmās slīpsvītras. Iepriekš minētajā piemērā domēna grupa TECMINT valstībai tiek dēvēta par “domēna administratoriem”.

Iepriekšējais simbola simbols (%) norāda, ka mēs atsaucamies uz grupu, nevis uz lietotājvārdu.

20. Gadījumā, ja jūs izmantojat Ubuntu grafisko versiju un vēlaties sistēmā pieteikties ar domēna lietotāju, jums ir jāpārveido LightDM displeja pārvaldnieks, rediģējot /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf failu, pievienojiet šādas rindas un restartējiet mašīnu, lai atspoguļotu izmaiņas.

greeter-show-manual-login=true
greeter-hide-users=true

Tagad tai vajadzētu būt iespējai pieteikties Ubuntu darbvirsmā ar domēna kontu, izmantojot vai nu jūsu_domēna_lietotājvārds vai [aizsargāts ar e-pastu] _domain.tld vai jūsu_domēns\jūsu_domēna_lietotājvārds formātu.