Integroi Ubuntu 16.04 AD:hen verkkotunnuksen jäseneksi Samban ja Winbindin kanssa - Osa 8


Tässä opetusohjelmassa kuvataan, kuinka Ubuntu-kone liitetään Samba4 Active Directory -verkkotunnukseen AD-tilien todentamiseksi paikallisella ACL-tiedostoilla ja hakemistoilla tai luoda ja yhdistää volyymiosuuksia toimialueen ohjauskoneiden käyttäjille (toimia tiedostopalvelimena).

Vaatimukset:

  1. Luo Active Directory -infrastruktuuri Samba4:llä Ubuntuun

Vaihe 1: Ensimmäiset asetukset Ubuntun liittymiseksi Samba4 AD:hen

1. Ennen kuin alat liittyä Ubuntu-isäntään Active Directory DC:hen, sinun on varmistettava, että jotkin palvelut on määritetty oikein paikallisella koneella.

Tärkeä osa konettasi edustaa isäntänimeä. Määritä oikea koneen nimi ennen verkkotunnukseen liittymistä hostnamectl-komennon avulla tai muokkaamalla /etc/hostname-tiedostoa manuaalisesti.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. Avaa seuraavassa vaiheessa ja muokkaa manuaalisesti koneen verkkoasetuksia oikeilla IP-määrityksillä. Tärkeimmät asetukset tässä ovat DNS-IP-osoitteet, jotka osoittavat takaisin toimialueen ohjaimeen.

Muokkaa /etc/network/interfaces-tiedostoa ja lisää dns-nameservers-lause, jossa on oikeat AD-IP-osoitteet ja verkkotunnuksen nimi alla olevan kuvakaappauksen mukaisesti.

Varmista myös, että samat DNS-IP-osoitteet ja verkkotunnuksen nimi on lisätty /etc/resolv.conf-tiedostoon.

Yllä olevassa kuvakaappauksessa 192.168.1.254 ja 192.168.1.253 ovat Samba4 AD DC ja Tecmint.lan< IP-osoitteet. edustaa AD-toimialueen nimeä, jota kaikki alueeseen integroidut koneet kysyvät.

3. Käynnistä verkkopalvelut uudelleen tai käynnistä kone uudelleen ottaaksesi käyttöön uudet verkkoasetukset. Anna verkkotunnuksesi nimeen ping-komento testataksesi, toimiiko DNS-selvitys odotetulla tavalla.

AD DC:n pitäisi toistaa FQDN:ään. Jos olet määrittänyt verkossasi DHCP-palvelimen määrittämään IP-asetukset automaattisesti LAN-isännille, varmista, että lisäät AD DC -IP-osoitteet DHCP-palvelimen DNS-kokoonpanoihin.


systemctl restart networking.service
ping -c2 your_domain_name

4. Viimeinen tärkeä tarvittava määritys on aikasynkronointi. Asenna ntpdate-paketti, tee kysely ja synkronoi aika AD DC:n kanssa antamalla alla olevat komennot.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. Asenna seuraavassa vaiheessa ohjelmisto, jonka Ubuntu-kone tarvitsee integroidaksesi täysin toimialueeseen suorittamalla alla olevan komennon.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kerberos-pakettien asennuksen aikana sinua tulee pyytää antamaan oletusalueesi nimi. Käytä verkkotunnuksesi nimeä isoilla kirjaimilla ja jatka asennusta painamalla Enter-näppäintä.

6. Kun kaikki paketit on asennettu, testaa Kerberos-todennusta AD-järjestelmänvalvojan tiliä vastaan ja luettele lippu antamalla alla olevat komennot.


kinit ad_admin_user
klist

Vaihe 2: Liity Ubuntuun Samba4 AD DC:hen

7. Ensimmäinen vaihe Ubuntu-koneen integroinnissa Samba4 Active Directory -verkkotunnukseen on muokata Samba-määritystiedostoa.

Varmuuskopioi paketinhallinnan toimittama Samban oletusasetustiedosto, jotta voit aloittaa puhtaan määrityksen suorittamalla seuraavat komennot.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Lisää uuteen Samba-määritystiedostoon seuraavat rivit:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Korvaa muuttujat workgroup, realm, netbios name ja dns forwarder omilla mukautetuilla asetuksillasi.

Parametri winbind use default domain saa winbind-palvelun käsittelemään mitä tahansa määrittelemättömiä AD-käyttäjätunnuksia AD:n käyttäjinä. Sinun tulee jättää tämä parametri pois, jos sinulla on paikallisten järjestelmätilien nimet, jotka ovat päällekkäisiä AD-tilien kanssa.

8. Nyt sinun tulee käynnistää uudelleen kaikki samba-daemonit ja pysäyttää ja poistaa tarpeettomat palvelut ja ottaa samba-palvelut käyttöön koko järjestelmässä antamalla alla olevat komennot.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Liity Ubuntu-koneeseen Samba4 AD DC:hen antamalla seuraava komento. Käytä sellaisen AD DC -tilin nimeä, jolla on järjestelmänvalvojan oikeudet, jotta sidonta alueeseen toimii odotetulla tavalla.


sudo net ads join -U ad_admin_user

10. Windows-koneella, johon on asennettu RSAT-työkalut, voit avata AD UC ja siirtyä Computers-säilöyn. Tässä Ubuntuun liitetyn koneen pitäisi olla luettelossa.

Vaihe 3: Määritä AD-tilien todennus

11. Jotta voit suorittaa AD-tilien todentamisen paikallisella koneella, sinun on muokattava joitain paikallisen koneen palveluita ja tiedostoja.

Avaa ja muokkaa ensin The Name Service Switchin (NSS) -määritystiedostoa.


sudo nano /etc/nsswitch.conf

Liitä seuraavaksi winbind-arvo passwd- ja ryhmäriville alla olevan otteen mukaisesti.


passwd:         compat winbind
group:          compat winbind

12. Testaaksesi, onko Ubuntu-kone integroitu onnistuneesti alueeseen, suorita wbinfo-komento, joka luettelee verkkotunnuksen tilit ja ryhmät.


wbinfo -u
wbinfo -g

13. Tarkista myös Winbind nsswitch -moduuli antamalla getent-komento ja ohjaa tulokset suodattimen, kuten grep, läpi rajataksesi vain tietyt verkkotunnuksen käyttäjät tai ryhmät.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Jotta voit todentaa Ubuntu-koneella verkkotunnuksen tileillä, sinun on suoritettava komento pam-auth-update pääkäyttäjän oikeuksilla ja lisättävä kaikki winbind-palvelun ja Luo automaattisesti kotihakemistot kullekin verkkotunnuksen tilille ensimmäisellä kirjautumiskerralla.

Tarkista kaikki merkinnät painamalla [välilyönti]-näppäintä ja paina ok ottaaksesi asetukset käyttöön.


sudo pam-auth-update

15. Debian-järjestelmissä sinun on muokattava manuaalisesti /etc/pam.d/common-account-tiedostoa ja seuraavaa riviä, jotta voit luoda automaattisesti koteja todennetuille toimialueen käyttäjille.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Jotta Active Directory -käyttäjät voivat vaihtaa salasanan komentoriviltä Linuxissa, avaa /etc/pam.d/common-password. > tiedosto ja poista use_authtok-lause salasanariviltä näyttääksesi lopulta samalta kuin alla olevassa otteessa.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Voit todentaa Ubuntu-isännässä Samba4 AD -tilillä käyttämällä verkkotunnuksen käyttäjätunnusparametria su – komennon jälkeen. Suorita id-komento saadaksesi lisätietoja AD-tilistä.


su - your_ad_user

Käytä pwd-komentoa nähdäksesi verkkotunnuksen käyttäjän nykyinen hakemisto ja passwd-komento, jos haluat vaihtaa salasanan.

18. Jos haluat käyttää verkkotunnustiliä pääkäyttäjän oikeuksilla Ubuntu-koneellasi, sinun on lisättävä AD-käyttäjänimi sudo-järjestelmäryhmään antamalla alla oleva komento:


sudo usermod -aG sudo your_domain_user

Kirjaudu Ubuntuun verkkotunnuksen tilillä ja päivitä järjestelmäsi suorittamalla apt-get update-komento tarkistaaksesi, onko verkkotunnuksen käyttäjällä pääkäyttäjän oikeudet.

19. Jos haluat lisätä pääkäyttäjän oikeudet verkkotunnusryhmään, avaa /etc/sudoers-tiedosto visudo-komennolla ja lisää seuraava rivi kuvan mukaisesti alla olevassa kuvakaappauksessa.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Käytä kenoviivaa välttääksesi välilyöntejä verkkotunnusryhmän nimessä tai ensimmäisen kenoviivan välttämiseksi. Yllä olevassa esimerkissä TECMINT-alueen verkkotunnusryhmä on nimeltään "verkkotunnuksen järjestelmänvalvojat".

Edellinen prosenttimerkki (%) osoittaa, että viittaamme ryhmään, emme käyttäjänimeen.

20. Jos käytät Ubuntun graafista versiota ja haluat kirjautua järjestelmään verkkotunnuksen käyttäjällä, sinun on muokattava LightDM-näytönhallintaa muokkaamalla /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf-tiedosto, lisää seuraavat rivit ja käynnistä kone uudelleen muutosten mukaan.


greeter-show-manual-login=true
greeter-hide-users=true

Sen pitäisi nyt pystyä kirjautumaan Ubuntu Desktopiin verkkotunnuksen tilillä käyttämällä muotoa verkkotunnuksesi_käyttäjänimi tai verkkotunnuksesi_käyttäjänimi@verkkotunnus.tld tai oma_verkkotunnus\verkkotunnuksesi_käyttäjänimi. .