Integrirajte Ubuntu 16.04 u AD kao člana domene sa Sambom i Winbindom - 8. dio
Ovaj vodič opisuje kako spojiti Ubuntu mašinu u Samba4 Active Directory domenu da bi se autentifikovali AD računi s lokalnim ACL za datoteke i direktorije ili za kreiranje i mapiranje dijeljenja volumena za korisnike kontrolera domene (djelovati kao server datoteka).
Zahtjevi:
- Kreirajte infrastrukturu Active Directory sa Samba4 na Ubuntu
Korak 1: Početne konfiguracije za pridruživanje Ubuntu-u na Samba4 AD
1. Prije nego počnete da se pridružite Ubuntu hostu u Active Directory DC morate osigurati da su neke usluge ispravno konfigurisane na lokalnom računaru.
Važan aspekt vaše mašine predstavlja ime hosta. Postavite odgovarajuće ime mašine prije pridruživanja domeni uz pomoć naredbe hostnamectl ili ručnim uređivanjem datoteke /etc/hostname.
hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl
2. U sljedećem koraku otvorite i ručno uredite mrežne postavke vašeg uređaja s odgovarajućim IP konfiguracijama. Najvažnije postavke ovdje su DNS IP adrese koje upućuju na vaš kontroler domene.
Uredite datoteku /etc/network/interfaces i dodajte izjavu dns-nameservers sa svojim odgovarajućim AD IP adresama i imenom domene kao što je ilustrovano na snimku ekrana ispod.
Također, uvjerite se da su iste DNS IP adrese i naziv domene dodati u datoteku /etc/resolv.conf.
Na gornjoj slici ekrana, 192.168.1.254 i 192.168.1.253 su IP adrese Samba4 AD DC i Tecmint.lan< predstavlja naziv AD domena koji će biti upitan od strane svih mašina integrisanih u domen.
3. Ponovo pokrenite mrežne usluge ili ponovo pokrenite mašinu da biste primijenili nove mrežne konfiguracije. Izdajte naredbu ping protiv imena vaše domene kako biste testirali da li DNS rezolucija radi kako se očekuje.
AD DC bi trebao reproducirati sa svojim FQDN. U slučaju da ste konfigurisali DHCP server u vašoj mreži da automatski dodeljuje IP postavke za vaše LAN hostove, obavezno dodajte AD DC IP adrese u DNS konfiguracije DHCP servera.
systemctl restart networking.service
ping -c2 your_domain_name
4. Posljednja potrebna konfiguracija je vremenska sinhronizacija. Instalirajte ntpdate paket, upiti i sinhronizirajte vrijeme sa AD DC izdavanjem naredbi ispod.
sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name
5. U sljedećem koraku instalirajte softver koji je potreban za Ubuntu mašinu da bude u potpunosti integrisan u domenu tako što ćete pokrenuti naredbu ispod.
sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Dok se Kerberos paketi instaliraju, trebalo bi da budete zamoljeni da unesete ime vašeg podrazumevanog domena. Koristite naziv svoje domene velikim slovima i pritisnite tipku Enter za nastavak instalacije.
6. Nakon što svi paketi završe instalaciju, testirajte Kerberos autentifikaciju na AD administrativnom računu i navedite tiket izdavanjem naredbi ispod.
kinit ad_admin_user
klist
Korak 2: Pridružite se Ubuntu-u na Samba4 AD DC
7. Prvi korak u integraciji Ubuntu mašine u Samba4 Active Directory domenu je uređivanje Samba konfiguracijskog fajla.
Napravite rezervnu kopiju podrazumevane konfiguracione datoteke Sambe, koju je obezbedio menadžer paketa, da biste započeli sa čistom konfiguracijom pokretanjem sledećih komandi.
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf
U novu Samba konfiguracijsku datoteku dodajte sljedeće redove:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Zamijenite varijable radna grupa, realm, netbios name i dns forwarder svojim vlastitim prilagođenim postavkama.
Parametar winbind use default domain uzrokuje da usluga winbind tretira sva nekvalifikovana AD korisnička imena kao korisnike AD. Trebali biste izostaviti ovaj parametar ako imate imena lokalnih sistemskih računa koja se preklapaju s AD računima.
8. Sada biste trebali ponovo pokrenuti sve samba demone i zaustaviti i ukloniti nepotrebne servise i omogućiti samba servise u cijelom sistemu izdavanjem naredbi ispod.
sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
9. Pridružite se Ubuntu mašini Samba4 AD DC tako što ćete izdati sljedeću naredbu. Koristite ime AD DC naloga sa administratorskim privilegijama da bi vezivanje za oblast funkcionisalo kako se očekuje.
sudo net ads join -U ad_admin_user
10. Sa Windows mašine sa instaliranim RSAT alatima možete otvoriti AD UC i navigirati do kontejnera Računari. Ovdje bi trebala biti navedena vaša Ubuntu pridružena mašina.
Korak 3: Konfigurirajte autentifikaciju AD naloga
11. Da biste izvršili autentifikaciju za AD račune na lokalnoj mašini, morate izmijeniti neke usluge i datoteke na lokalnom računalu.
Prvo otvorite i uredite Prekidač usluge imena (NSS) konfiguracijski fajl.
sudo nano /etc/nsswitch.conf
Zatim dodajte winbind vrijednost za passwd i grupne linije kao što je ilustrovano u donjem odlomku.
passwd: compat winbind
group: compat winbind
12. Da biste testirali da li je Ubuntu mašina uspješno integrisana u realm, pokrenite naredbu wbinfo za popis naloga i grupa domena.
wbinfo -u
wbinfo -g
13. Također, provjerite Winbind nsswitch modul izdavanjem naredbe getent i provedite rezultate kroz filter kao što je grep da biste suzili izlaz samo za određene korisnike ili grupe domena.
sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'
14. Da biste izvršili autentifikaciju na Ubuntu mašini sa računima domene, potrebno je da pokrenete naredbu pam-auth-update sa root privilegijama i dodate sve unose potrebne za winbind uslugu i automatski kreiraju matične direktorije za svaki račun domene pri prvoj prijavi.
Provjerite sve unose pritiskom na tipku [razmak] i pritisnite ok da primijenite konfiguraciju.
sudo pam-auth-update
15. Na Debian sustavima morate ručno urediti datoteku /etc/pam.d/common-account i sljedeći red kako biste automatski kreirali domove za autentificirane korisnike domene.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Da bi korisnici Active Directory-a mogli promijeniti lozinku iz komandne linije u Linuxu otvorite /etc/pam.d/common-password > datoteku i uklonite naredbu use_authtok iz linije lozinke kako biste konačno izgledali kao u izvodu ispod.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Za autentifikaciju na Ubuntu hostu sa Samba4 AD računom koristite parametar korisničkog imena domene nakon su – komande. Pokrenite naredbu id da dobijete dodatne informacije o AD računu.
su - your_ad_user
Koristite naredbu pwd da vidite trenutni direktorij korisnika vašeg domena i naredbu passwd ako želite promijeniti lozinku.
18. Da biste koristili račun domene sa root privilegijama na vašoj Ubuntu mašini, morate dodati AD korisničko ime u sudo sistemsku grupu izdavanjem donje naredbe:
sudo usermod -aG sudo your_domain_user
Prijavite se na Ubuntu pomoću naloga domene i ažurirajte svoj sistem pokretanjem naredbe apt-get update da provjerite da li korisnik domene ima root privilegije.
19. Da dodate root privilegije za grupu domena, otvorite i uredite datoteku /etc/sudoers koristeći naredbu visudo i dodajte sljedeći red kao što je prikazano na slici ispod.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Koristite obrnutu kosu crtu za izbjegavanje razmaka sadržanih u nazivu grupe vaše domene ili za izbjegavanje prve obrnute kose crte. U gornjem primjeru, grupa domena za TECMINT područje je nazvana “domain admins”.
Prethodni simbol postotka (%) označava da se odnosimo na grupu, a ne na korisničko ime.
20. U slučaju da koristite grafičku verziju Ubuntu-a i želite se prijaviti na sistem s korisnikom domene, morate modificirati LightDM display manager uređivanjem /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf, dodajte sledeće redove i ponovo pokrenite mašinu kako biste odrazili promene.
greeter-show-manual-login=true
greeter-hide-users=true
Sada bi trebao biti u mogućnosti da vrši prijave na Ubuntu Desktop s računom domene koristeći format vaše_korisničko_ime_domena ili vaše_domain_username@your_domain.tld ili vaša_domena\vaše_domain_username .