Integrirajte Ubuntu u Samba4 AD DC sa SSSD-om i Realmom - 15. dio


Ovaj vodič će vas voditi kako pridružiti Ubuntu Desktop stroj domeni Samba4 Active Directory sa SSSD i Realmd > usluge za autentifikaciju korisnika u odnosu na Active Directory.

Zahtjevi:

  1. Stvorite Active Directory infrastrukturu sa Samba4 na Ubuntuu

Korak 1: Početne konfiguracije

1. Prije nego počnete pridruživati Ubuntu u Active Directory, provjerite je li ime glavnog računala ispravno konfigurirano. Upotrijebite naredbu hostnamectl za postavljanje naziva stroja ili ručno uredite datoteku /etc/hostname.

sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl

2. U sljedećem koraku uredite postavke mrežnog sučelja stroja i dodajte ispravne IP konfiguracije i ispravne adrese DNS IP poslužitelja za usmjeravanje na Samba AD kontroler domene kao što je prikazano na slici ispod.

Ako ste konfigurirali DHCP poslužitelj u svojim prostorijama da automatski dodjeljuje IP postavke za vaše LAN strojeve s odgovarajućim AD DNS IP adresama, tada možete preskočiti ovaj korak i krenuti naprijed.

Na gornjoj snimci zaslona, 192.168.1.254 i 192.168.1.253 predstavljaju IP adrese kontrolera domene Samba4.

3. Ponovno pokrenite mrežne usluge kako biste primijenili promjene koristeći GUI ili iz naredbenog retka i izdajte niz ping naredbi za naziv vaše domene kako biste testirali je li DNS razlučivost radeći prema očekivanjima. Također, upotrijebite naredbu host za testiranje razlučivosti DNS-a.

sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2

4. Konačno, provjerite je li strojno vrijeme sinkronizirano sa Samba4 AD. Instalirajte paket ntpdate i sinkronizirajte vrijeme s AD izdavanjem naredbi u nastavku.

sudo apt-get install ntpdate
sudo ntpdate your_domain_name

Korak 2: Instalirajte potrebne pakete

5. Na ovom koraku instalirajte potreban softver i potrebne ovisnosti kako biste pridružili Ubuntu u Samba4 AD DC: Realmd i SSSD usluge.

sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6. Unesite ime zadanog područja velikim slovima i pritisnite tipku Enter za nastavak instalacije.

7. Zatim izradite SSSD konfiguracijsku datoteku sa sljedećim sadržajem.

sudo nano /etc/sssd/sssd.conf

Dodajte sljedeće retke u datoteku sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Obavezno zamijenite naziv domene u sljedećim parametrima u skladu s tim:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Zatim dodajte odgovarajuća dopuštenja za SSSD datoteku izdavanjem naredbe u nastavku:

sudo chmod 700 /etc/sssd/sssd.conf

9. Sada otvorite i uredite Realmd konfiguracijsku datoteku i dodajte sljedeće retke.

sudo nano /etc/realmd.conf

Izvadak datoteke Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Zadnja datoteka koju trebate izmijeniti pripada Samba daemonu. Otvorite datoteku /etc/samba/smb.conf za uređivanje i dodajte sljedeći blok koda na početak datoteke, nakon odjeljka [global] kao što je ilustrirano na slika ispod.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Obavezno zamijenite vrijednost naziv domene, posebno vrijednost područja da odgovara vašem nazivu domene i pokrenite naredbu testparm kako biste provjerili je li konfiguracija datoteka ne sadrži pogreške.

sudo testparm

11. Nakon što napravite sve potrebne promjene, testirajte Kerberos autentifikaciju pomoću AD administrativnog računa i ispišite kartu izdavanjem naredbi u nastavku.

sudo kinit [email 
sudo klist

Korak 3: Pridružite se Ubuntuu Samba4 Realmu

12. Za spajanje Ubuntu stroja na Samba4 Active Directory izdajte niz naredbi kao što je ilustrirano u nastavku. Upotrijebite naziv AD DC računa s administratorskim ovlastima kako bi vezanje na područje radilo kako se očekuje i zamijenite vrijednost naziva domene u skladu s tim.

sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k

13. Nakon što se izvrši vezanje domene, pokrenite donju naredbu kako biste bili sigurni da je svim računima domene dopuštena autentifikacija na računalu.

sudo realm permit --all

Nakon toga možete dopustiti ili zabraniti pristup korisničkom računu domene ili grupi pomoću naredbe realm kao što je prikazano u primjerima u nastavku.

sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email 
realm permit DOMAIN\\User2

14. Sa Windows stroja s instaliranim RSAT alatima možete otvoriti AD UC i otići do spremnika Računala i provjeriti postoji li račun objekta s imenom vašeg stroja je stvoreno.

Korak 4: Konfigurirajte autentifikaciju AD računa

15. Kako biste se autentificirali na Ubuntu računalu s domenskim računima, trebate pokrenuti naredbu pam-auth-update s root privilegijama i omogućiti sve PAM profile uključujući opciju za automatsku izradu matične direktorije za svaki račun domene pri prvoj prijavi.

Provjerite sve unose pritiskom na tipku [space] i pritisnite ok za primjenu konfiguracije.

sudo pam-auth-update

16. Na sustavima ručno uredite datoteku /etc/pam.d/common-account i sljedeći redak kako biste automatski stvorili domove za autentificirane korisnike domene.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Ako korisnici Active Directoryja ne mogu promijeniti svoju lozinku iz naredbenog retka u Linuxu, otvorite datoteku /etc/pam.d/common-password i uklonite use_authtok iskaz iz retka zaporke da konačno izgleda kao na donjem izvatku.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Na kraju, ponovno pokrenite i omogućite Realmd i SSSD uslugu za primjenu promjena izdavanjem naredbi u nastavku:

sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd

19. Kako biste testirali je li Ubuntu stroj uspješno integriran u područje, pokrenite instalaciju winbind paketa i pokrenite naredbu wbinfo za popis domenskih računa i grupa kao što je prikazano u nastavku.

sudo apt-get install winbind
wbinfo -u
wbinfo -g

20. Također, provjerite Winbind nsswitch modul izdavanjem naredbe getent za određenog korisnika domene ili grupu.

sudo getent passwd your_domain_user
sudo getent group ‘domain admins’

21. Također možete koristiti Linux id naredbu da dobijete informacije o AD računu kao što je ilustrirano u donjoj naredbi.

id tecmint_user

22. Za provjeru autentičnosti na Ubuntu hostu sa Samba4 AD računom koristite parametar korisničkog imena domene nakon su – naredbe. Pokrenite naredbu id da dobijete dodatne informacije o AD računu.

su - your_ad_user

Upotrijebite naredbu pwd da vidite trenutni radni direktorij korisnika domene i naredbu passwd ako želite promijeniti lozinku.

23. Da biste koristili račun domene s root privilegijama na svom Ubuntu stroju, morate dodati AD korisničko ime u grupu sustava sudo izdavanjem naredbe ispod:

sudo usermod -aG sudo [email 

Prijavite se na Ubuntu s računom domene i ažurirajte svoj sustav pokretanjem naredbe apt update za provjeru root privilegija.

24. Da biste dodali root povlastice za grupu domena, otvorite datoteku za uređivanje /etc/sudoers koristeći naredbu visudo i dodajte sljedeći redak kao što je prikazano .

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Za korištenje provjere autentičnosti računa domene za Ubuntu Desktop promijenite LightDM upravitelj prikaza uređivanjem /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf, dodajte sljedeća dva retka i ponovno pokrenite uslugu lightdm ili ponovno pokrenite stroj primijenite promjene.

greeter-show-manual-login=true
greeter-hide-users=true

Prijavite se na Ubuntu Desktop s računom domene koristeći sintaksu vaša_domena_korisničko ime ili vaša_domena_korisničko ime@vaša_domena.tld.

26. Za korištenje kratkog formata imena za Samba AD račune, uredite /etc/sssd/sssd.conf datoteku, dodajte sljedeći redak u [sssd] blok kao što je prikazano u nastavku.

full_name_format = %1$s

i ponovno pokrenite SSSD demon za primjenu promjena.

sudo systemctl restart sssd

Primijetit ćete da će se bash prompt promijeniti u kratko ime AD korisnika bez dodavanja dvojnika naziva domene.

27. U slučaju da se ne možete prijaviti zbog enumerate=true argumenta postavljenog u sssd.conf morate očistiti sssd predmemoriranu bazu podataka izdavanjem donje naredbe :

rm /var/lib/sss/db/cache_tecmint.lan.ldb

To je sve! Iako je ovaj vodič uglavnom usmjeren na integraciju sa Samba4 Active Directory, isti se koraci mogu primijeniti za integraciju Ubuntua s Realmd i SSSD uslugama u Microsoft Windows Server Active Directory.