Integrirajte Ubuntu 16.04 u AD kao član domene sa Sambom i Winbindom - 8. dio
Ovaj vodič opisuje kako pridružiti Ubuntu stroj domeni Samba4 Active Directory kako bi se autentificirali AD računi s lokalnim ACL za datoteke i direktorije ili za stvaranje i mapiranje dijeljenja volumena za korisnike kontrolera domene (djelovati kao poslužitelj datoteka).
Zahtjevi:
- Stvorite Active Directory infrastrukturu sa Samba4 na Ubuntuu
Korak 1: Početne konfiguracije za spajanje Ubuntua na Samba4 AD
1. Prije početka pridruživanja Ubuntu hosta Active Directory DC morate se uvjeriti da su neke usluge ispravno konfigurirane na lokalnom računalu.
Važan aspekt vašeg stroja predstavlja naziv glavnog računala. Postavite ispravno ime stroja prije pridruživanja domeni uz pomoć naredbe hostnamectl ili ručnim uređivanjem datoteke /etc/hostname.
hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl
2. U sljedećem koraku otvorite i ručno uredite mrežne postavke vašeg uređaja s odgovarajućim IP konfiguracijama. Najvažnije postavke ovdje su DNS IP adrese koje upućuju na vaš kontroler domene.
Uredite datoteku /etc/network/interfaces i dodajte izjavu dns-nameservers s vašim ispravnim AD IP adresama i nazivom domene kao što je prikazano na slici ispod.
Također, provjerite jesu li iste DNS IP adrese i naziv domene dodani u datoteku /etc/resolv.conf.
Na gornjoj snimci zaslona, 192.168.1.254 i 192.168.1.253 su IP adrese Samba4 AD DC i Tecmint.lan< predstavlja naziv AD domene koja će biti upitana od strane svih strojeva integriranih u područje.
3. Ponovno pokrenite mrežne usluge ili ponovno pokrenite stroj kako biste primijenili nove mrežne konfiguracije. Izdajte naredbu ping za naziv vaše domene kako biste testirali radi li razlučivanje DNS-a prema očekivanjima.
AD DC trebao bi se reproducirati sa svojim FQDN-om. U slučaju da ste konfigurirali DHCP poslužitelj u svojoj mreži da automatski dodjeljuje IP postavke za vaše LAN hostove, svakako dodajte AD DC IP adrese DNS konfiguracijama DHCP poslužitelja.
systemctl restart networking.service
ping -c2 your_domain_name
4. Posljednja važna potrebna konfiguracija predstavljena je vremenskom sinkronizacijom. Instalirajte paket ntpdate, postavite upit i sinkronizirajte vrijeme s AD DC izdavanjem donjih naredbi.
sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name
5. U sljedećem koraku instalirajte softver potreban Ubuntu stroju za potpunu integraciju u domenu pokretanjem donje naredbe.
sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Dok se Kerberos paketi instaliraju, trebali biste biti zamoljeni da unesete naziv vašeg zadanog područja. Koristite naziv svoje domene velikim slovima i pritisnite tipku Enter za nastavak instalacije.
6. Nakon što svi paketi završe s instalacijom, testirajte Kerberos autentifikaciju na AD administrativnom računu i ispišite kartu izdavanjem donjih naredbi.
kinit ad_admin_user
klist
Korak 2: Pridružite Ubuntu u Samba4 AD DC
7. Prvi korak u integraciji Ubuntu stroja u domenu Samba4 Active Directory je uređivanje Samba konfiguracijske datoteke.
Izradite sigurnosnu kopiju zadane konfiguracijske datoteke Sambe, koju daje upravitelj paketa, kako biste započeli s čistom konfiguracijom pokretanjem sljedećih naredbi.
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf
U novu Samba konfiguracijsku datoteku dodajte sljedeće retke:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Zamijenite varijable workgroup, realm, netbios name i dns forwarder svojim vlastitim prilagođenim postavkama.
Parametar winbind use default domain uzrokuje da usluga winbind tretira sva nekvalificirana AD korisnička imena kao korisnike AD-a. Trebali biste izostaviti ovaj parametar ako imate nazive računa lokalnog sustava koji se preklapaju s računima AD.
8. Sada biste trebali ponovno pokrenuti sve samba demone i zaustaviti i ukloniti nepotrebne usluge i omogućiti samba usluge u cijelom sustavu izdavanjem donjih naredbi.
sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
9. Pridružite se Ubuntu stroju Samba4 AD DC izdavanjem sljedeće naredbe. Upotrijebite naziv AD DC računa s administratorskim ovlastima kako bi vezanje na područje radilo kako se očekuje.
sudo net ads join -U ad_admin_user
10. S Windows stroja s instaliranim RSAT alatima možete otvoriti AD UC i otići do spremnika Računala. Ovdje bi trebao biti naveden vaš Ubuntu pridruženi stroj.
Korak 3: Konfigurirajte autentifikaciju AD računa
11. Kako biste izvršili provjeru autentičnosti za AD račune na lokalnom računalu, morate modificirati neke usluge i datoteke na lokalnom računalu.
Prvo otvorite i uredite konfiguracijsku datoteku The Name Service Switch (NSS).
sudo nano /etc/nsswitch.conf
Zatim dodajte winbind vrijednost za passwd i grupne retke kao što je ilustrirano u donjem izvatku.
passwd: compat winbind
group: compat winbind
12. Kako biste testirali je li Ubuntu stroj uspješno integriran u područje, pokrenite naredbu wbinfo za popis domenskih računa i grupa.
wbinfo -u
wbinfo -g
13. Također, provjerite Winbind nsswitch modul izdavanjem naredbe getent i provedite rezultate kroz filtar kao što je grep da suzite izlaz samo za određene korisnike domene ili grupe.
sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'
14. Kako biste se autentificirali na Ubuntu računalu s domenskim računima, morate pokrenuti naredbu pam-auth-update s root privilegijama i dodati sve unose potrebne za winbind uslugu i automatski stvara matične direktorije za svaki račun domene pri prvoj prijavi.
Provjerite sve unose pritiskom na tipku [space] i pritisnite ok za primjenu konfiguracije.
sudo pam-auth-update
15. Na Debian sustavima trebate ručno urediti datoteku /etc/pam.d/common-account i sljedeći redak kako biste automatski stvorili domove za autentificirane korisnike domene.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Kako bi korisnici Active Directory mogli promijeniti lozinku iz naredbenog retka u Linuxu otvorite /etc/pam.d/common-password datoteku i uklonite naredbu use_authtok iz retka zaporke kako biste konačno izgledali kao na donjem izvatku.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Za autentifikaciju na Ubuntu hostu sa Samba4 AD računom koristite parametar korisničkog imena domene nakon su – naredbe. Pokrenite id naredbu da dobijete dodatne informacije o AD računu.
su - your_ad_user
Upotrijebite naredbu pwd da vidite trenutni imenik korisnika domene i naredbu passwd ako želite promijeniti lozinku.
18. Da biste koristili račun domene s root privilegijama na vašem Ubuntu stroju, morate dodati AD korisničko ime u grupu sustava sudo izdavanjem naredbe ispod:
sudo usermod -aG sudo your_domain_user
Prijavite se na Ubuntu s računom domene i ažurirajte svoj sustav pokretanjem naredbe apt-get update da provjerite ima li korisnik domene root privilegije.
19. Da biste dodali root povlastice za grupu domena, otvorite datoteku za uređivanje /etc/sudoers koristeći naredbu visudo i dodajte sljedeći redak kao što je prikazano na slici ispod.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Koristite obrnute kose crte za izbjegavanje razmaka sadržanih u nazivu vaše grupe domena ili za izbjegavanje prve obrnute kose crte. U gornjem primjeru grupa domena za područje TECMINT naziva se “administratori domene”.
Prethodni simbol postotka (%) označava da govorimo o grupi, a ne o korisničkom imenu.
20. U slučaju da koristite grafičku verziju Ubuntua i želite se prijaviti na sustav s korisnikom domene, morate modificirati LightDM upravitelj prikaza uređivanjem /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf, dodajte sljedeće retke i ponovno pokrenite stroj kako bi se prikazale promjene.
greeter-show-manual-login=true
greeter-hide-users=true
Sada bi trebao moći izvršavati prijave na Ubuntu Desktop s računom domene koristeći format vaša_domena_korisničko ime ili vaša_domena_korisničko ime@vaša_domena.tld ili vaša_domena\vaša_domena_korisničko ime .