Integrirajte Ubuntu 16.04 v AD kot člana domene s programoma Samba in Winbind - 8. del
V tej vadnici je opisano, kako združiti računalnik Ubuntu v domeno Samba4 Active Directory, da preverite pristnost računov AD z lokalnim ACL za datoteke in imenike ali ustvarite in preslikate deleže nosilcev za uporabnike krmilnikov domen (deluje kot datotečni strežnik).
- Ustvarite infrastrukturo Active Directory s Samba4 v Ubuntu
1. korak: Začetne konfiguracije za pridružitev Ubuntuja Samba4 AD
1. Preden se začnete pridružiti gostitelju Ubuntu v Active Directory DC, morate zagotoviti, da so nekatere storitve pravilno konfigurirane na lokalnem računalniku.
Pomemben vidik vaše naprave predstavlja ime gostitelja. Pred pridružitvijo domeni s pomočjo ukaza hostnamectl ali z ročnim urejanjem datoteke/etc/hostname nastavite pravilno ime računalnika.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. V naslednjem koraku odprite in ročno uredite omrežne nastavitve naprave s pravilnimi konfiguracijami IP. Najpomembnejše nastavitve tukaj so naslovi IP DNS, ki kažejo nazaj na vaš krmilnik domene.
Uredite datoteko/etc/network/interfaces in dodajte izjavo dns-nameservers z ustreznimi naslovi IP IP in domenskim imenom, kot je prikazano na spodnjem posnetku zaslona.
Prepričajte se tudi, da sta enaka naslova IP DNS in ime domene dodana v datoteko /etc/resolv.conf.
Na zgornjem posnetku zaslona sta 192.168.1.254 in 192.168.1.253 naslova IP Samba4 AD DC in Tecmint.lan predstavlja ime domene AD, ki jo bodo zahtevali vsi stroji, integrirani v področje.
3. Znova zaženite omrežne storitve ali znova zaženite napravo, da uporabite nove konfiguracije omrežja. Za domensko ime izdajte ukaz ping, da preizkusite, ali ločljivost DNS deluje po pričakovanjih.
AD DC naj se ponovi s svojim FQDN. Če ste v svojem omrežju konfigurirali strežnik DHCP, da samodejno dodeli nastavitve IP za vaše gostitelje LAN, obvezno dodajte konfiguracije DNS strežnika DHCP.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Zadnjo potrebno konfiguracijo predstavlja časovna sinhronizacija. Namestite paket ntpdate, poizvedbe in čas sinhronizacije z AD DC tako, da izdate spodnje ukaze.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. V naslednjem koraku namestite programsko opremo, ki jo zahteva naprava Ubuntu, da je v celoti integrirana v domeno z zagonom spodnjega ukaza.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Med namestitvijo paketov Kerberos boste morali vnesti ime privzetega področja. Za nadaljevanje namestitve uporabite ime svoje domene z velikimi tiskanimi črkami in pritisnite tipko Enter.
6. Ko se vsi paketi končajo z namestitvijo, preizkusite preverjanje pristnosti Kerberos proti skrbniškemu računu AD in vnesite seznam z izdajo spodnjih ukazov.
# kinit ad_admin_user # klist
2. korak: Pridružite se Ubuntuju v Samba4 AD DC
7. Prvi korak pri integraciji naprave Ubuntu v domeno Samba4 Active Directory je urejanje konfiguracijske datoteke Samba.
Varnostno kopirajte privzeto konfiguracijsko datoteko Sambe, ki jo nudi upravitelj paketov, da začnete s čisto konfiguracijo z zagonom naslednjih ukazov.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
V novo konfiguracijsko datoteko Samba dodajte spodnje vrstice:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Zamenjajte spremenljivke delovne skupine, področja, imena netbios in posrednika dns s svojimi nastavitvami po meri.
Privzeti parameter domene uporabe winbind povzroči, da storitev winbind vsa nekvalificirana uporabniška imena AD obravnava kot uporabnike AD. Ta parameter bi morali izpustiti, če imate imena lokalnih sistemskih računov, ki se prekrivajo z računi AD.
8. Zdaj morate znova zagnati vse demone sambe ter ustaviti in odstraniti nepotrebne storitve ter omogočiti storitve sambe po celotnem sistemu z izdajo spodnjih ukazov.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Pridružite se napravi Ubuntu Samba4 AD DC, tako da izdate naslednji ukaz. Uporabite ime računa AD DC s skrbniškimi pravicami, da bo vezava na področje delovala po pričakovanjih.
$ sudo net ads join -U ad_admin_user
10. V računalniku z operacijskim sistemom Windows z nameščenimi orodji RSAT lahko odprete AD UC in se pomaknete do vsebnika Computers. Tu bi moral biti naveden vaš Ubuntu pridružen računalnik.
3. korak: Konfigurirajte preverjanje pristnosti računov AD
11. Če želite izvesti preverjanje pristnosti računov AD na lokalnem računalniku, morate spremeniti nekatere storitve in datoteke na lokalnem računalniku.
Najprej odprite in uredite konfiguracijsko datoteko Name Service Switch (NSS).
$ sudo nano /etc/nsswitch.conf
Naslednje dodajte vrednost winbind za passwd in skupinske vrstice, kot je prikazano na spodnjem odlomku.
passwd: compat winbind group: compat winbind
12. Da bi preizkusili, ali je bil stroj Ubuntu uspešno integriran v realm, zaženite ukaz wbinfo za seznam domenskih računov in skupin.
$ wbinfo -u $ wbinfo -g
13. Preverite tudi modul Winbind nsswitch, tako da izdate ukaz getent in rezultate usmerite skozi filter, kot je grep, da zožite izhod samo za določene uporabnike domene ali skupine.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Za preverjanje pristnosti na računalniku Ubuntu z domenskimi računi morate zagnati ukaz pam-auth-update s korenskimi pravicami in dodati vse vnose, potrebne za storitev winbind, ter samodejno ustvariti domače imenike za vsak domenski račun ob prvi prijavi.
Preverite vse vnose s pritiskom na tipko [presledek] in pritisnite OK, da uporabite konfiguracijo.
$ sudo pam-auth-update
15. V sistemih Debian morate ročno urediti datoteko /etc/pam.d/common-account in naslednjo vrstico, če želite samodejno ustvariti domove za overjene uporabnike domen.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Da bi lahko uporabniki Active Directory spremenili geslo iz ukazne vrstice v Linuxu, odprite datoteko /etc/pam.d/common-password in odstranite stavek use_authtok iz vrstice gesla, da končno izgleda kot v spodnjem odlomku.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Za preverjanje pristnosti gostitelja Ubuntu z računom Samba4 AD uporabite parameter uporabniškega imena domene po ukazu su. Zaženite ukaz id, da dobite dodatne informacije o računu AD.
$ su - your_ad_user
Z ukazom pwd si oglejte trenutni imenik uporabnika domene in ukaz passwd, če želite spremeniti geslo.
18. Če želite na svojem računalniku Ubuntu uporabljati domenski račun s korenskimi pravicami, morate dodati uporabniško ime AD v sistemsko skupino sudo, tako da izdate spodnji ukaz:
$ sudo usermod -aG sudo your_domain_user
Prijavite se v Ubuntu z računom domene in posodobite sistem, tako da zaženete ukaz apt-get update, da preverite, ali ima uporabnik domene korenske privilegije.
19. Če želite dodati korenske privilegije za domensko skupino, z ukazom visudo odprite datoteko edit/etc/sudoers in dodajte naslednjo vrstico, kot je prikazano na spodnjem posnetku zaslona.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Uporabite poševnice nazaj, da pobegnete s presledki, ki jih vsebuje ime vaše domene, ali za poševnico nazaj. V zgornjem primeru je skupina domen za področje TECMINT poimenovana\"skrbniki domene".
Prejšnji simbol za odstotek (%) označuje, da se sklicujemo na skupino in ne na uporabniško ime.
20. Če uporabljate grafično različico Ubuntuja in se želite v sistem prijaviti z uporabnikom domene, morate spremeniti upravitelja zaslona LightDM z urejanjem /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf, dodajte naslednje vrstice in znova zaženite računalnik, da odraža spremembe.
greeter-show-manual-login=true greeter-hide-users=true
Zdaj bi moral biti sposoben izvajati prijave na namizju Ubuntu z domenskim računom z uporabo bodisi vaše_domena_uporabniško ime ali [e-pošta zaščitena] _domena.tld bodisi vaša_domena\vaša_domena_uporabniško ime.