Integrējiet Ubuntu Samba4 AD DC ar SSSD un Realm - 15. daļa
Šī apmācība palīdzēs jums pievienoties Ubuntu darbvirsmas mašīnai Samba4 Active Directory domēnā ar SSSD un Realmd pakalpojumiem, lai autentificētu lietotājus, izmantojot Active Directory.
- Izveidojiet Active Directory infrastruktūru, izmantojot Ubuntu Samba4
1. darbība: sākotnējās konfigurācijas
1. Pirms sākat pievienoties Ubuntu Active Directory, pārliecinieties, vai resursdatora nosaukums ir pareizi konfigurēts. Izmantojiet komandu hostnamectl, lai iestatītu iekārtas nosaukumu vai manuāli rediģētu failu/etc/hostname.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2. Nākamajā solī rediģējiet mašīnas tīkla saskarnes iestatījumus un pievienojiet pareizās IP konfigurācijas un pareizās DNS IP servera adreses, lai norādītu uz Samba AD domēna kontrolleri, kā parādīts zemāk redzamajā ekrānuzņēmumā.
Ja savās telpās esat konfigurējis DHCP serveri, lai automātiski piešķirtu LAN iestatījumu IP iestatījumus ar atbilstošām AD DNS IP adresēm, varat izlaist šo darbību un virzīties uz priekšu.
Iepriekš redzamajā ekrānuzņēmumā 192.168.1.254 un 192.168.1.253 apzīmē Samba4 domēna kontrolleru IP adreses.
3. Restartējiet tīkla pakalpojumus, lai izmaiņas lietotu, izmantojot GUI vai no komandrindas, un izdodiet virkni ping komandu savam domēna vārdam, lai pārbaudītu, vai DNS izšķirtspēja darbojas, kā paredzēts. Izmantojiet arī resursdatora komandu, lai pārbaudītu DNS izšķirtspēju.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. Visbeidzot, pārliecinieties, vai mašīnas laiks ir sinhronizēts ar Samba4 AD. Instalējiet ntpdate pakotni un sinhronizējiet laiku ar AD, izsniedzot tālāk norādītās komandas.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
2. darbība: instalējiet nepieciešamās paketes
5. Šajā solī instalējiet nepieciešamo programmatūru un nepieciešamās atkarības, lai pievienotos Ubuntu Samba4 AD DC: Realmd un SSSD pakalpojumiem.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Ievadiet noklusējuma valstības nosaukumu ar lielajiem burtiem un nospiediet taustiņu Enter, lai turpinātu instalēšanu.
7. Pēc tam izveidojiet SSSD konfigurācijas failu ar šādu saturu.
$ sudo nano /etc/sssd/sssd.conf
Pievienojiet sssd.conf failam šādas rindas.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
Noteikti nomainiet domēna nosaukumu šādos parametros:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. Pēc tam pievienojiet atbilstošās SSSD faila atļaujas, izsniedzot šādu komandu:
$ sudo chmod 700 /etc/sssd/sssd.conf
9. Tagad atveriet un rediģējiet Realmd konfigurācijas failu un pievienojiet šādas rindas.
$ sudo nano /etc/realmd.conf
Realmd.conf faila fragments:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10. Pēdējais fails, kas jums jāpārveido, pieder Samba dēmonam. Rediģēšanai atveriet failu /etc/samba/smb.conf un faila sākumā aiz sadaļas [globālā] pievienojiet šādu koda bloku, kā parādīts zemāk esošajā attēlā.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
Pārliecinieties, vai esat nomainījis domēna nosaukuma vērtību, it īpaši valstības vērtību, lai tā atbilstu jūsu domēna nosaukumam, un palaidiet komandu testparm, lai pārbaudītu, vai konfigurācijas failā nav kļūdu.
$ sudo testparm
11. Kad esat veicis visas nepieciešamās izmaiņas, pārbaudiet Kerberos autentifikāciju, izmantojot AD administratīvo kontu, un uzskaitiet biļeti, izsniedzot tālāk norādītās komandas.
$ sudo kinit [email $ sudo klist
3. solis: Pievienojieties Ubuntu Samba4 valstībai
12. Lai pievienotos Ubuntu mašīnai Samba4 Active Directory jautājumam, sekojiet komandu sērijām, kā parādīts zemāk. Izmantojiet AD DC konta nosaukumu ar administratora tiesībām, lai saistīšana ar valstību darbotos kā paredzēts, un attiecīgi aizstājiet domēna vārda vērtību.
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
13. Pēc domēna saistīšanas izpildiet zemāk esošo komandu, lai pārliecinātos, ka mašīnā ir atļauts autentificēt visus domēna kontus.
$ sudo realm permit --all
Pēc tam jūs varat atļaut vai atteikt piekļuvi domēna lietotāja kontam vai grupai, izmantojot komandu valstība, kā parādīts tālāk sniegtajos piemēros.
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit [email $ realm permit DOMAIN\\User2
14. No Windows mašīnas, kurā ir instalēti RSAT rīki, varat atvērt AD UC un doties uz Datoru konteineru un pārbaudīt, vai ir izveidots objekta konts ar jūsu mašīnas nosaukumu.
4. darbība: konfigurējiet AD kontu autentifikāciju
15. Lai autentificētos Ubuntu mašīnā ar domēna kontiem, jums jāpalaiž pam-auth-update komanda ar root tiesībām un jāiespējo visi PAM profili, ieskaitot iespēju automātiski izveidot mājas direktorijus katram domēna kontam ar pirmo pieteikšanos.
Pārbaudiet visus ierakstus, nospiežot taustiņu [atstarpe] un nospiediet Labi, lai lietotu konfigurāciju.
$ sudo pam-auth-update
16. Sistēmās manuāli rediģējiet /etc/pam.d/common-account failu un nākamo rindiņu, lai automātiski izveidotu mājas autentificētiem domēna lietotājiem.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Ja Active Directory lietotāji nevar mainīt paroli no komandrindas Linux, atveriet failu /etc/pam.d/common-password un noņemiet no paroles rindas paziņojumu use_authtok, lai beidzot izskatītos kā parādīts zemāk.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Visbeidzot restartējiet un iespējojiet pakalpojumu Realmd un SSSD, lai veiktu izmaiņas, izsniedzot šādas komandas:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19. Lai pārbaudītu, vai Ubuntu mašīna ir veiksmīgi integrēta valstībā, palaidiet instalēt paketi winbind un palaidiet komandu wbinfo, lai uzskaitītu domēna kontus un grupas, kā parādīts zemāk.
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
20. Pārbaudiet arī Winbind nsswitch moduli, izsniedzot komandu getent pret noteiktu domēna lietotāju vai grupu.
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
21. Varat arī izmantot komandu Linux id, lai iegūtu informāciju par AD kontu, kā parādīts zemāk esošajā komandā.
$ id tecmint_user
22. Lai autentificētos Ubuntu resursdatorā ar Samba4 AD kontu, pēc su komandas izmantojiet domēna lietotājvārda parametru. Palaidiet komandu id, lai iegūtu papildu informāciju par AD kontu.
$ su - your_ad_user
Izmantojiet komandu pwd, lai redzētu sava domēna lietotāja pašreizējo darba direktoriju, un komandu passwd, ja vēlaties mainīt paroli.
23. Lai Ubuntu mašīnā izmantotu domēna kontu ar root tiesībām, sudo sistēmas grupai jāpievieno AD lietotājvārds, izsniedzot šādu komandu:
$ sudo usermod -aG sudo [email
Piesakieties Ubuntu ar domēna kontu un atjauniniet sistēmu, palaižot komandu apt update, lai pārbaudītu root tiesības.
24. Lai pievienotu domēna grupas saknes privilēģijas, atveriet faila rediģēšanas/etc/sudoers failu, izmantojot komandu visudo, un pievienojiet šādu rindu, kā parādīts.
%domain\ [email ALL=(ALL:ALL) ALL
25. Lai izmantotu domēna konta autentifikāciju Ubuntu Desktop, modificējiet LightDM displeja pārvaldnieku, rediģējot /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf failu, pievienojiet šīs divas rindiņas un restartējiet lightdm pakalpojumu vai restartējiet mašīnu izmaiņas.
greeter-show-manual-login=true greeter-hide-users=true
Piesakieties Ubuntu darbvirsmā, izmantojot domēna kontu, izmantojot vai nu jūsu_domēna_lietotājvārds, vai [e-pasts aizsargāts] _domain.tld sintaksi.
26. Lai Samba AD kontiem izmantotu īso nosaukumu formātu, rediģējiet failu /etc/sssd/sssd.conf, blokā [sssd] pievienojiet šādu rindu, kā parādīts zemāk.
full_name_format = %1$s
un restartējiet SSSD dēmonu, lai lietotu izmaiņas.
$ sudo systemctl restart sssd
Jūs pamanīsit, ka bash uzvedne tiks mainīta uz AD lietotāja īso vārdu, nepievienojot domēna vārda kolēģi.
27. Ja nevarat pieteikties sssd.conf iestatītā argumenta enumerate = true dēļ, jāizdzēš sssd kešatmiņā saglabātā datu bāze, izsniedzot šādu komandu:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
Tas ir viss! Lai gan šī rokasgrāmata galvenokārt ir vērsta uz integrāciju ar Samba4 Active Directory, tās pašas darbības var veikt, lai integrētu Ubuntu ar Realmd un SSSD pakalpojumiem Microsoft Windows Server Active Directory.