Integrējiet Ubuntu Samba4 AD DC ar SSSD un Realm - 15. daļa

Šī apmācība palīdzēs jums pievienoties Ubuntu darbvirsmas mašīnai Samba4 Active Directory domēnā ar SSSD un Realmd pakalpojumiem, lai autentificētu lietotājus, izmantojot Active Directory.

  1. Izveidojiet Active Directory infrastruktūru, izmantojot Ubuntu Samba4

1. darbība: sākotnējās konfigurācijas

1. Pirms sākat pievienoties Ubuntu Active Directory, pārliecinieties, vai resursdatora nosaukums ir pareizi konfigurēts. Izmantojiet komandu hostnamectl, lai iestatītu iekārtas nosaukumu vai manuāli rediģētu failu/etc/hostname.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Nākamajā solī rediģējiet mašīnas tīkla saskarnes iestatījumus un pievienojiet pareizās IP konfigurācijas un pareizās DNS IP servera adreses, lai norādītu uz Samba AD domēna kontrolleri, kā parādīts zemāk redzamajā ekrānuzņēmumā.

Ja savās telpās esat konfigurējis DHCP serveri, lai automātiski piešķirtu LAN iestatījumu IP iestatījumus ar atbilstošām AD DNS IP adresēm, varat izlaist šo darbību un virzīties uz priekšu.

Iepriekš redzamajā ekrānuzņēmumā 192.168.1.254 un 192.168.1.253 apzīmē Samba4 domēna kontrolleru IP adreses.

3. Restartējiet tīkla pakalpojumus, lai izmaiņas lietotu, izmantojot GUI vai no komandrindas, un izdodiet virkni ping komandu savam domēna vārdam, lai pārbaudītu, vai DNS izšķirtspēja darbojas, kā paredzēts. Izmantojiet arī resursdatora komandu, lai pārbaudītu DNS izšķirtspēju.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Visbeidzot, pārliecinieties, vai mašīnas laiks ir sinhronizēts ar Samba4 AD. Instalējiet ntpdate pakotni un sinhronizējiet laiku ar AD, izsniedzot tālāk norādītās komandas.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

2. darbība: instalējiet nepieciešamās paketes

5. Šajā solī instalējiet nepieciešamo programmatūru un nepieciešamās atkarības, lai pievienotos Ubuntu Samba4 AD DC: Realmd un SSSD pakalpojumiem.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Ievadiet noklusējuma valstības nosaukumu ar lielajiem burtiem un nospiediet taustiņu Enter, lai turpinātu instalēšanu.

7. Pēc tam izveidojiet SSSD konfigurācijas failu ar šādu saturu.

$ sudo nano /etc/sssd/sssd.conf

Pievienojiet sssd.conf failam šādas rindas.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Noteikti nomainiet domēna nosaukumu šādos parametros:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Pēc tam pievienojiet atbilstošās SSSD faila atļaujas, izsniedzot šādu komandu:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Tagad atveriet un rediģējiet Realmd konfigurācijas failu un pievienojiet šādas rindas.

$ sudo nano /etc/realmd.conf

Realmd.conf faila fragments:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Pēdējais fails, kas jums jāpārveido, pieder Samba dēmonam. Rediģēšanai atveriet failu /etc/samba/smb.conf un faila sākumā aiz sadaļas [globālā] pievienojiet šādu koda bloku, kā parādīts zemāk esošajā attēlā.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Pārliecinieties, vai esat nomainījis domēna nosaukuma vērtību, it īpaši valstības vērtību, lai tā atbilstu jūsu domēna nosaukumam, un palaidiet komandu testparm, lai pārbaudītu, vai konfigurācijas failā nav kļūdu.

$ sudo testparm

11. Kad esat veicis visas nepieciešamās izmaiņas, pārbaudiet Kerberos autentifikāciju, izmantojot AD administratīvo kontu, un uzskaitiet biļeti, izsniedzot tālāk norādītās komandas.

$ sudo kinit [email 
$ sudo klist

3. solis: Pievienojieties Ubuntu Samba4 valstībai

12. Lai pievienotos Ubuntu mašīnai Samba4 Active Directory jautājumam, sekojiet komandu sērijām, kā parādīts zemāk. Izmantojiet AD DC konta nosaukumu ar administratora tiesībām, lai saistīšana ar valstību darbotos kā paredzēts, un attiecīgi aizstājiet domēna vārda vērtību.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Pēc domēna saistīšanas izpildiet zemāk esošo komandu, lai pārliecinātos, ka mašīnā ir atļauts autentificēt visus domēna kontus.

$ sudo realm permit --all

Pēc tam jūs varat atļaut vai atteikt piekļuvi domēna lietotāja kontam vai grupai, izmantojot komandu valstība, kā parādīts tālāk sniegtajos piemēros.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. No Windows mašīnas, kurā ir instalēti RSAT rīki, varat atvērt AD UC un doties uz Datoru konteineru un pārbaudīt, vai ir izveidots objekta konts ar jūsu mašīnas nosaukumu.

4. darbība: konfigurējiet AD kontu autentifikāciju

15. Lai autentificētos Ubuntu mašīnā ar domēna kontiem, jums jāpalaiž pam-auth-update komanda ar root tiesībām un jāiespējo visi PAM profili, ieskaitot iespēju automātiski izveidot mājas direktorijus katram domēna kontam ar pirmo pieteikšanos.

Pārbaudiet visus ierakstus, nospiežot taustiņu [atstarpe] un nospiediet Labi, lai lietotu konfigurāciju.

$ sudo pam-auth-update

16. Sistēmās manuāli rediģējiet /etc/pam.d/common-account failu un nākamo rindiņu, lai automātiski izveidotu mājas autentificētiem domēna lietotājiem.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Ja Active Directory lietotāji nevar mainīt paroli no komandrindas Linux, atveriet failu /etc/pam.d/common-password un noņemiet no paroles rindas paziņojumu use_authtok, lai beidzot izskatītos kā parādīts zemāk.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Visbeidzot restartējiet un iespējojiet pakalpojumu Realmd un SSSD, lai veiktu izmaiņas, izsniedzot šādas komandas:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Lai pārbaudītu, vai Ubuntu mašīna ir veiksmīgi integrēta valstībā, palaidiet instalēt paketi winbind un palaidiet komandu wbinfo, lai uzskaitītu domēna kontus un grupas, kā parādīts zemāk.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Pārbaudiet arī Winbind nsswitch moduli, izsniedzot komandu getent pret noteiktu domēna lietotāju vai grupu.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Varat arī izmantot komandu Linux id, lai iegūtu informāciju par AD kontu, kā parādīts zemāk esošajā komandā.

$ id tecmint_user

22. Lai autentificētos Ubuntu resursdatorā ar Samba4 AD kontu, pēc su komandas izmantojiet domēna lietotājvārda parametru. Palaidiet komandu id, lai iegūtu papildu informāciju par AD kontu.

$ su - your_ad_user

Izmantojiet komandu pwd, lai redzētu sava domēna lietotāja pašreizējo darba direktoriju, un komandu passwd, ja vēlaties mainīt paroli.

23. Lai Ubuntu mašīnā izmantotu domēna kontu ar root tiesībām, sudo sistēmas grupai jāpievieno AD lietotājvārds, izsniedzot šādu komandu:

$ sudo usermod -aG sudo [email 

Piesakieties Ubuntu ar domēna kontu un atjauniniet sistēmu, palaižot komandu apt update, lai pārbaudītu root tiesības.

24. Lai pievienotu domēna grupas saknes privilēģijas, atveriet faila rediģēšanas/etc/sudoers failu, izmantojot komandu visudo, un pievienojiet šādu rindu, kā parādīts.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Lai izmantotu domēna konta autentifikāciju Ubuntu Desktop, modificējiet LightDM displeja pārvaldnieku, rediģējot /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf failu, pievienojiet šīs divas rindiņas un restartējiet lightdm pakalpojumu vai restartējiet mašīnu izmaiņas.

greeter-show-manual-login=true
greeter-hide-users=true

Piesakieties Ubuntu darbvirsmā, izmantojot domēna kontu, izmantojot vai nu jūsu_domēna_lietotājvārds, vai [e-pasts aizsargāts] _domain.tld sintaksi.

26. Lai Samba AD kontiem izmantotu īso nosaukumu formātu, rediģējiet failu /etc/sssd/sssd.conf, blokā [sssd] pievienojiet šādu rindu, kā parādīts zemāk.

full_name_format = %1$s

un restartējiet SSSD dēmonu, lai lietotu izmaiņas.

$ sudo systemctl restart sssd

Jūs pamanīsit, ka bash uzvedne tiks mainīta uz AD lietotāja īso vārdu, nepievienojot domēna vārda kolēģi.

27. Ja nevarat pieteikties sssd.conf iestatītā argumenta enumerate = true dēļ, jāizdzēš sssd kešatmiņā saglabātā datu bāze, izsniedzot šādu komandu:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Tas ir viss! Lai gan šī rokasgrāmata galvenokārt ir vērsta uz integrāciju ar Samba4 Active Directory, tās pašas darbības var veikt, lai integrētu Ubuntu ar Realmd un SSSD pakalpojumiem Microsoft Windows Server Active Directory.