Integrirajte Ubuntu u Samba4 AD DC sa SSSD-om i Realmom - 15. dio
Ovaj vodič će vas uputiti kako da pridružite Ubuntu desktop mašinu u Samba4 Active Directory domenu sa SSSD i Realmdom > usluge u cilju provjere autentičnosti korisnika u aktivnom direktoriju.
Zahtjevi:
- Kreirajte infrastrukturu Active Directory sa Samba4 na Ubuntu
Korak 1: Početne konfiguracije
1. Prije nego počnete pridružiti Ubuntu u Active Directory, provjerite je li ime hosta ispravno konfigurirano. Koristite naredbu hostnamectl da postavite naziv mašine ili ručno uredite datoteku /etc/hostname.
sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl
2. U sljedećem koraku, uredite postavke mrežnog interfejsa mašine i dodajte ispravne IP konfiguracije i ispravne adrese DNS IP servera da upućuju na Samba AD kontroler domene kao što je ilustrovano na slici ispod.
Ako ste konfigurisali DHCP server u vašim prostorijama da automatski dodeljuje IP postavke vašim LAN mašinama sa odgovarajućim AD DNS IP adresama, onda možete preskočiti ovaj korak i nastaviti dalje.
Na gornjoj slici ekrana, 192.168.1.254 i 192.168.1.253 predstavljaju IP adrese Samba4 Domain Controllera.
3. Ponovo pokrenite mrežne usluge da primijenite promjene koristeći GUI ili iz komandne linije i izdajte seriju ping komandi protiv imena vaše domene kako biste testirali da li je DNS rezolucija radi prema očekivanjima. Također, koristite naredbu host za testiranje DNS rezolucije.
sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2
4. Konačno, uvjerite se da je vrijeme mašine sinhronizirano sa Samba4 AD. Instalirajte ntpdate paket i sinhronizujte vrijeme sa AD izdavanjem naredbi ispod.
sudo apt-get install ntpdate
sudo ntpdate your_domain_name
Korak 2: Instalirajte potrebne pakete
5. U ovom koraku instalirajte neophodan softver i potrebne zavisnosti da biste pridružili Ubuntu u Samba4 AD DC: Realmd i SSSD usluge.
sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Unesite naziv zadanog područja velikim slovima i pritisnite tipku Enter za nastavak instalacije.
7. Zatim kreirajte SSSD konfiguracijski fajl sa sljedećim sadržajem.
sudo nano /etc/sssd/sssd.conf
Dodajte sljedeće redove u datoteku sssd.conf.
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
Obavezno zamijenite naziv domene u sljedećim parametrima u skladu s tim:
domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
8. Zatim dodajte odgovarajuće dozvole za SSSD datoteku izdavanjem naredbe u nastavku:
sudo chmod 700 /etc/sssd/sssd.conf
9. Sada otvorite i uredite Realmd konfiguracijski fajl i dodajte sljedeće redove.
sudo nano /etc/realmd.conf
Izvod datoteke Realmd.conf:
[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no
10. Posljednja datoteka koju trebate izmijeniti pripada Samba demonu. Otvorite datoteku /etc/samba/smb.conf za uređivanje i dodajte sljedeći blok koda na početak datoteke, nakon odjeljka [global] kao što je ilustrovano na slika ispod.
workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads
Pobrinite se da zamijenite vrijednost ime domene, posebno vrijednost realm value da odgovara vašem imenu domene i pokrenite naredbu testparm kako biste provjerili je li konfiguracija fajl ne sadrži greške.
sudo testparm
11. Nakon što izvršite sve potrebne promjene, testirajte Kerberos autentifikaciju koristeći AD administrativni račun i navedite tiket izdavanjem naredbi ispod.
sudo kinit [email
sudo klist
Korak 3: Pridružite se Ubuntu-u u Samba4 Realm
12. Da biste spojili Ubuntu mašinu sa Samba4 Active Directory problemom slijedite niz naredbi kao što je ilustrovano ispod. Koristite ime AD DC naloga sa administratorskim privilegijama kako bi vezivanje za oblast funkcionisalo kako se očekuje i u skladu sa tim zamenite vrednost imena domena.
sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k
13. Nakon što je došlo do povezivanja domene, pokrenite naredbu ispod da biste se uvjerili da je svim nalozima domene dozvoljena autentifikacija na mašini.
sudo realm permit --all
Nakon toga, možete dozvoliti ili odbiti pristup korisničkom nalogu domene ili grupi koristeći naredbu realm kao što je prikazano u primjerima ispod.
sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email
realm permit DOMAIN\\User2
14. Sa Windows mašine sa instaliranim RSAT alatima možete otvoriti AD UC i ići na Računari kontejner i provjeriti da li postoji račun objekta s imenom vaše mašine je kreirana.
Korak 4: Konfigurirajte autentifikaciju AD naloga
15. Da biste izvršili autentifikaciju na Ubuntu mašini sa domenskim nalozima potrebno je da pokrenete naredbu pam-auth-update sa root privilegijama i omogućite sve PAM profile uključujući opciju automatskog kreiranja kućni direktoriji za svaki račun domene pri prvoj prijavi.
Provjerite sve unose pritiskom na tipku [razmak] i pritisnite ok da primijenite konfiguraciju.
sudo pam-auth-update
16. Na sistemima ručno uredite datoteku /etc/pam.d/common-account i sljedeći red kako biste automatski kreirali domove za autentificirane korisnike domene.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Ako korisnici Active Directory-a ne mogu promijeniti svoju lozinku iz komandne linije u Linuxu, otvorite datoteku /etc/pam.d/common-password i uklonite use_authtoknaredba iz linije lozinke da bi konačno izgledala kao u donjem izvodu.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Konačno, ponovo pokrenite i omogućite Realmd i SSSD servis za primjenu promjena izdavanjem sljedećih naredbi:
sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd
19. Da biste testirali da li je Ubuntu mašina uspešno integrisana u realm, pokrenite install winbind paket i pokrenite naredbu wbinfo da biste prikazali naloge i grupe domena kao što je ilustrovano ispod.
sudo apt-get install winbind
wbinfo -u
wbinfo -g
20. Također, provjerite Winbind nsswitch modul izdavanjem naredbe getent protiv određenog korisnika domene ili grupe.
sudo getent passwd your_domain_user
sudo getent group ‘domain admins’
21. Također možete koristiti Linux naredbu id da dobijete informacije o AD računu kao što je ilustrovano na donjoj naredbi.
id tecmint_user
22. Za autentifikaciju na Ubuntu hostu sa Samba4 AD računom koristite parametar korisničkog imena domene nakon su – komande. Pokrenite naredbu id da dobijete dodatne informacije o AD računu.
su - your_ad_user
Koristite naredbu pwd da vidite trenutni radni direktorij korisnika vašeg domena i naredbu passwd ako želite promijeniti lozinku.
23. Da biste koristili račun domene sa root privilegijama na vašoj Ubuntu mašini, morate dodati AD korisničko ime u sudo sistemsku grupu izdavanjem donje naredbe:
sudo usermod -aG sudo [email
Prijavite se na Ubuntu sa računom domene i ažurirajte svoj sistem pokretanjem naredbe apt update da provjerite root privilegije.
24. Da dodate root privilegije za grupu domena, otvorite i uredite datoteku /etc/sudoers koristeći naredbu visudo i dodajte sljedeći red kao što je prikazano .
%domain\ [email ALL=(ALL:ALL) ALL
25. Da biste koristili autentifikaciju računa domene za Ubuntu Desktop, modificirajte LightDM upravitelj prikaza tako što ćete urediti /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf, dodajte sljedeća dva reda i ponovo pokrenite lightdm servis ili ponovo pokrenite mašinu, a primjenite promjene.
greeter-show-manual-login=true
greeter-hide-users=true
Prijavite se na Ubuntu Desktop sa računom domene koristeći sintaksu vaše_korisničko_ime_domena ili vaše_domain_username@vaša_domena.tld.
26. Da biste koristili format kratkog imena za Samba AD račune, uredite datoteku /etc/sssd/sssd.conf, dodajte sljedeći red u [sssd] blok kao što je prikazano ispod.
full_name_format = %1$s
i ponovo pokrenite SSSD demon da biste primijenili promjene.
sudo systemctl restart sssd
Primijetit ćete da će se bash prompt promijeniti u kratko ime AD korisnika bez dodavanja parnjaka imena domene.
27. U slučaju da se ne možete prijaviti zbog enumerate=true argumenta postavljenog u sssd.conf morate obrisati sssd keširanu bazu podataka izdavanjem naredbe ispod :
rm /var/lib/sss/db/cache_tecmint.lan.ldb
To je sve! Iako je ovaj vodič uglavnom fokusiran na integraciju sa Samba4 Active Directory, isti koraci se mogu primijeniti kako bi se integrirao Ubuntu sa Realmd i SSSD uslugama u Microsoft Windows Server Active Directory.