Integroi Ubuntu 16.04 AD:hen verkkotunnuksen jäseneksi Samban ja Winbindin kanssa - Osa 8
Tässä opetusohjelmassa kuvataan, kuinka Ubuntu-kone liitetään Samba4 Active Directory -verkkotunnukseen AD-tilien todentamiseksi paikallisella ACL-tiedostoilla ja hakemistoilla tai luoda ja yhdistää volyymiosuuksia toimialueen ohjauskoneiden käyttäjille (toimia tiedostopalvelimena).
Vaatimukset:
- Luo Active Directory -infrastruktuuri Samba4:llä Ubuntuun
Vaihe 1: Ensimmäiset asetukset Ubuntun liittymiseksi Samba4 AD:hen
1. Ennen kuin alat liittyä Ubuntu-isäntään Active Directory DC:hen, sinun on varmistettava, että jotkin palvelut on määritetty oikein paikallisella koneella.
Tärkeä osa konettasi edustaa isäntänimeä. Määritä oikea koneen nimi ennen verkkotunnukseen liittymistä hostnamectl-komennon avulla tai muokkaamalla /etc/hostname-tiedostoa manuaalisesti.
hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl
2. Avaa seuraavassa vaiheessa ja muokkaa manuaalisesti koneen verkkoasetuksia oikeilla IP-määrityksillä. Tärkeimmät asetukset tässä ovat DNS-IP-osoitteet, jotka osoittavat takaisin toimialueen ohjaimeen.
Muokkaa /etc/network/interfaces-tiedostoa ja lisää dns-nameservers-lause, jossa on oikeat AD-IP-osoitteet ja verkkotunnuksen nimi alla olevan kuvakaappauksen mukaisesti.
Varmista myös, että samat DNS-IP-osoitteet ja verkkotunnuksen nimi on lisätty /etc/resolv.conf-tiedostoon.
Yllä olevassa kuvakaappauksessa 192.168.1.254 ja 192.168.1.253 ovat Samba4 AD DC ja Tecmint.lan< IP-osoitteet. edustaa AD-toimialueen nimeä, jota kaikki alueeseen integroidut koneet kysyvät.
3. Käynnistä verkkopalvelut uudelleen tai käynnistä kone uudelleen ottaaksesi käyttöön uudet verkkoasetukset. Anna verkkotunnuksesi nimeen ping-komento testataksesi, toimiiko DNS-selvitys odotetulla tavalla.
AD DC:n pitäisi toistaa FQDN:ään. Jos olet määrittänyt verkossasi DHCP-palvelimen määrittämään IP-asetukset automaattisesti LAN-isännille, varmista, että lisäät AD DC -IP-osoitteet DHCP-palvelimen DNS-kokoonpanoihin.
systemctl restart networking.service
ping -c2 your_domain_name
4. Viimeinen tärkeä tarvittava määritys on aikasynkronointi. Asenna ntpdate-paketti, tee kysely ja synkronoi aika AD DC:n kanssa antamalla alla olevat komennot.
sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name
5. Asenna seuraavassa vaiheessa ohjelmisto, jonka Ubuntu-kone tarvitsee integroidaksesi täysin toimialueeseen suorittamalla alla olevan komennon.
sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Kerberos-pakettien asennuksen aikana sinua tulee pyytää antamaan oletusalueesi nimi. Käytä verkkotunnuksesi nimeä isoilla kirjaimilla ja jatka asennusta painamalla Enter-näppäintä.
6. Kun kaikki paketit on asennettu, testaa Kerberos-todennusta AD-järjestelmänvalvojan tiliä vastaan ja luettele lippu antamalla alla olevat komennot.
kinit ad_admin_user
klist
Vaihe 2: Liity Ubuntuun Samba4 AD DC:hen
7. Ensimmäinen vaihe Ubuntu-koneen integroinnissa Samba4 Active Directory -verkkotunnukseen on muokata Samba-määritystiedostoa.
Varmuuskopioi paketinhallinnan toimittama Samban oletusasetustiedosto, jotta voit aloittaa puhtaan määrityksen suorittamalla seuraavat komennot.
mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf
Lisää uuteen Samba-määritystiedostoon seuraavat rivit:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Korvaa muuttujat workgroup, realm, netbios name ja dns forwarder omilla mukautetuilla asetuksillasi.
Parametri winbind use default domain saa winbind-palvelun käsittelemään mitä tahansa määrittelemättömiä AD-käyttäjätunnuksia AD:n käyttäjinä. Sinun tulee jättää tämä parametri pois, jos sinulla on paikallisten järjestelmätilien nimet, jotka ovat päällekkäisiä AD-tilien kanssa.
8. Nyt sinun tulee käynnistää uudelleen kaikki samba-daemonit ja pysäyttää ja poistaa tarpeettomat palvelut ja ottaa samba-palvelut käyttöön koko järjestelmässä antamalla alla olevat komennot.
sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
9. Liity Ubuntu-koneeseen Samba4 AD DC:hen antamalla seuraava komento. Käytä sellaisen AD DC -tilin nimeä, jolla on järjestelmänvalvojan oikeudet, jotta sidonta alueeseen toimii odotetulla tavalla.
sudo net ads join -U ad_admin_user
10. Windows-koneella, johon on asennettu RSAT-työkalut, voit avata AD UC ja siirtyä Computers-säilöyn. Tässä Ubuntuun liitetyn koneen pitäisi olla luettelossa.
Vaihe 3: Määritä AD-tilien todennus
11. Jotta voit suorittaa AD-tilien todentamisen paikallisella koneella, sinun on muokattava joitain paikallisen koneen palveluita ja tiedostoja.
Avaa ja muokkaa ensin The Name Service Switchin (NSS) -määritystiedostoa.
sudo nano /etc/nsswitch.conf
Liitä seuraavaksi winbind-arvo passwd- ja ryhmäriville alla olevan otteen mukaisesti.
passwd: compat winbind
group: compat winbind
12. Testaaksesi, onko Ubuntu-kone integroitu onnistuneesti alueeseen, suorita wbinfo-komento, joka luettelee verkkotunnuksen tilit ja ryhmät.
wbinfo -u
wbinfo -g
13. Tarkista myös Winbind nsswitch -moduuli antamalla getent-komento ja ohjaa tulokset suodattimen, kuten grep, läpi rajataksesi vain tietyt verkkotunnuksen käyttäjät tai ryhmät.
sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'
14. Jotta voit todentaa Ubuntu-koneella verkkotunnuksen tileillä, sinun on suoritettava komento pam-auth-update pääkäyttäjän oikeuksilla ja lisättävä kaikki winbind-palvelun ja Luo automaattisesti kotihakemistot kullekin verkkotunnuksen tilille ensimmäisellä kirjautumiskerralla.
Tarkista kaikki merkinnät painamalla [välilyönti]
-näppäintä ja paina ok ottaaksesi asetukset käyttöön.
sudo pam-auth-update
15. Debian-järjestelmissä sinun on muokattava manuaalisesti /etc/pam.d/common-account-tiedostoa ja seuraavaa riviä, jotta voit luoda automaattisesti koteja todennetuille toimialueen käyttäjille.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Jotta Active Directory -käyttäjät voivat vaihtaa salasanan komentoriviltä Linuxissa, avaa /etc/pam.d/common-password. > tiedosto ja poista use_authtok-lause salasanariviltä näyttääksesi lopulta samalta kuin alla olevassa otteessa.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Voit todentaa Ubuntu-isännässä Samba4 AD -tilillä käyttämällä verkkotunnuksen käyttäjätunnusparametria su – komennon jälkeen. Suorita id-komento saadaksesi lisätietoja AD-tilistä.
su - your_ad_user
Käytä pwd-komentoa nähdäksesi verkkotunnuksen käyttäjän nykyinen hakemisto ja passwd-komento, jos haluat vaihtaa salasanan.
18. Jos haluat käyttää verkkotunnustiliä pääkäyttäjän oikeuksilla Ubuntu-koneellasi, sinun on lisättävä AD-käyttäjänimi sudo-järjestelmäryhmään antamalla alla oleva komento:
sudo usermod -aG sudo your_domain_user
Kirjaudu Ubuntuun verkkotunnuksen tilillä ja päivitä järjestelmäsi suorittamalla apt-get update-komento tarkistaaksesi, onko verkkotunnuksen käyttäjällä pääkäyttäjän oikeudet.
19. Jos haluat lisätä pääkäyttäjän oikeudet verkkotunnusryhmään, avaa /etc/sudoers-tiedosto visudo-komennolla ja lisää seuraava rivi kuvan mukaisesti alla olevassa kuvakaappauksessa.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Käytä kenoviivaa välttääksesi välilyöntejä verkkotunnusryhmän nimessä tai ensimmäisen kenoviivan välttämiseksi. Yllä olevassa esimerkissä TECMINT-alueen verkkotunnusryhmä on nimeltään "verkkotunnuksen järjestelmänvalvojat".
Edellinen prosenttimerkki (%)
osoittaa, että viittaamme ryhmään, emme käyttäjänimeen.
20. Jos käytät Ubuntun graafista versiota ja haluat kirjautua järjestelmään verkkotunnuksen käyttäjällä, sinun on muokattava LightDM-näytönhallintaa muokkaamalla /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf-tiedosto, lisää seuraavat rivit ja käynnistä kone uudelleen muutosten mukaan.
greeter-show-manual-login=true
greeter-hide-users=true
Sen pitäisi nyt pystyä kirjautumaan Ubuntu Desktopiin verkkotunnuksen tilillä käyttämällä muotoa verkkotunnuksesi_käyttäjänimi tai verkkotunnuksesi_käyttäjänimi@verkkotunnus.tld tai oma_verkkotunnus\verkkotunnuksesi_käyttäjänimi. .