Integroi CentOS 7 Samba4 AD:hen komentoriviltä – Osa 14

Tämä opas näyttää, kuinka voit integroida CentOS 7 -palvelimen ilman graafista käyttöliittymää Samba4 Active Directory Domain Controlleriin komentoriviltä Authconfig-ohjelmiston avulla.

Tämän tyyppinen asennus tarjoaa yhden Samban ylläpitämän keskitetyn tilitietokannan, ja sen avulla AD-käyttäjät voivat todentaa CentOS-palvelimen verkkoinfrastruktuurin kautta.

Vaatimukset

  1. Luo Active Directory -infrastruktuuri Samba4:llä Ubuntuun
  2. CentOS 7.3 -asennusopas

Vaihe 1: Määritä CentOS Samba4 AD DC:lle

1. Ennen kuin aloitat liittymisen CentOS 7 -palvelimeen Samba4 DC:ksi, sinun on varmistettava, että verkkoliitäntä on määritetty oikein kyselyä varten DNS:n kautta. palvelua.

Suorita ip address -komento listataksesi koneesi verkkoliitännät ja valitse muokattava verkkokortti antamalla nmtui-edit-komento liitännän nimen kohdalla, kuten ens33 tässä esimerkissä. kuvattu alla.

ip address
nmtui-edit ens33

2. Kun verkkoliitäntä on avattu muokkausta varten, lisää lähiverkkoosi parhaiten sopivat staattiset IPv4-määritykset ja varmista, että määrität Samba AD Domain Controllersin IP-osoitteet DNS-palvelimille.

Liitä myös verkkotunnuksesi nimi hakuverkkotunnuksiin ja ota muutokset käyttöön siirtymällä OK-painikkeeseen [TAB]-näppäimellä.

Arkistoidut hakualueet takaavat, että DNS-resoluutio (FQDN) lisää toimialueen vastineen automaattisesti, kun käytät vain lyhyttä nimeä toimialueen DNS-tietueelle.

3. Lopuksi käynnistä verkkodaemon uudelleen, jotta muutokset otetaan käyttöön ja testataan, onko DNS-resoluutio määritetty oikein antamalla sarjan ping-komentoja verkkotunnuksen nimeä ja toimialueen ohjaimien lyhyitä nimiä vastaan kuvan osoittamalla tavalla. alla.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Määritä myös koneen isäntänimi ja käynnistä kone uudelleen, jotta asetukset otetaan käyttöön oikein, antamalla seuraavat komennot.

hostnamectl set-hostname your_hostname
init 6

Tarkista, onko isäntänimi käytetty oikein alla olevilla komennoilla.

cat /etc/hostname
hostname

5. Lopuksi synkronoi paikallinen aika Samba4 AD DC:n kanssa antamalla alla olevat komennot pääkäyttäjän oikeuksin.

yum install ntpdate
ntpdate domain.tld

Vaihe 2: Liity CentOS 7 Serveriin Samba4 AD DC:hen

6. Liity CentOS 7 -palvelimeen Samba4 Active Directoryyn asentamalla ensin seuraavat paketit koneellesi pääkäyttäjätililtä.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. CentOS 7 -palvelimen integroimiseksi toimialueen ohjaimeen suorita authconfig-tui-graafinen apuohjelma pääkäyttäjän oikeuksin ja käytä alla olevia määrityksiä alla kuvatulla tavalla.

authconfig-tui

Valitse ensimmäisestä kehotenäytöstä:

  • Kohdassa Käyttäjätiedot:

    • Käytä Winbindia

  • Valitse Todennus-välilehdellä painamalla [Välilyönti]-näppäintä:

    • Käytä Varjosalasanaa
    • Käytä Winbind-todennusta
    • Paikallinen lupa riittää

8. Paina Seuraava jatkaaksesi Winbind Settings -näyttöön ja määritä asetukset alla olevan kuvan mukaisesti:

  • Suojausmalli: mainokset
  • Verkkotunnus = YOUR_DOMAIN (käytä isoja kirjaimia)
  • Domain Controllers=domain machines FQDN (pilkuilla erotettu, jos useampi kuin yksi)
  • ADS Realm = OMA_DOMAIN.TLD
  • Mallin kuori = /bin/bash

9. Suorita verkkotunnuksen yhdistäminen siirtymällä Join Domain-painikkeeseen [sarkain]-näppäimellä ja painamalla [Enter]-näppäintä liittyäksesi verkkotunnukseen.

Lisää seuraavassa näyttökehotteessa Samba4 AD -tilin tunnistetiedot, jolla on korotetut oikeudet, jotta konetili liitetään AD:hen, ja ota asetukset käyttöön ja sulje kehote painamalla OK.

Huomaa, että kun kirjoitat käyttäjän salasanan, kirjautumistiedot eivät näy salasananäytössä. Viimeistele CentOS 7 -koneen verkkotunnuksen integrointi valitsemalla jäljellä olevalla näytöllä uudelleen OK.

Jos haluat pakottaa koneen lisäämisen tiettyyn Samba AD -organisaatioyksikköön, hanki koneen tarkka nimi käyttämällä hostname-komentoa ja luo uusi Computer-objekti kyseiseen organisaatioyksikköön koneen nimellä.

Paras tapa lisätä uusi objekti Samba4 AD:hen on käyttää ADUC-työkalua Windows-koneesta, joka on integroitu toimialueeseen, johon on asennettu RSAT-työkalut.

Tärkeää: Vaihtoehtoinen tapa liittyä verkkotunnukseen on käyttää authconfig-komentoriviä, joka tarjoaa laajan hallinnan integrointiprosessiin.

Tämä menetelmä on kuitenkin altis virheille, jotka liittyvät sen lukuisiin parametreihin, kuten alla olevassa komentootteessa on kuvattu. Komento on kirjoitettava yhdelle pitkälle riville.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Kun kone on liitetty toimialueeseen, varmista, että winbind-palvelu on käynnissä antamalla alla oleva komento.

systemctl status winbind.service

11. Tarkista sitten, onko CentOS-koneobjektin luominen onnistunut Samba4 AD:ssa. Käytä AD-käyttäjät ja tietokoneet -työkalua Windows-koneelta, johon on asennettu RSAT-työkalut, ja siirry verkkotunnuksesi Tietokoneet-säilöön. Uusi AD-tietokonetiliobjekti, jonka nimi on CentOS 7 -palvelimesi, pitäisi olla luettelossa oikealla tasolla.

12. Säädä lopuksi määritystä avaamalla samba-päämääritystiedosto (/etc/samba/smb.conf) tekstieditorilla ja liitä alla olevat rivit tiedoston loppuun. [global] -määrityslohko alla olevan kuvan mukaisesti:

winbind use default domain = true
winbind offline logon = true

13. Luo alla oleva komento luodaksesi koneelle paikalliset kodit AD-tileille heidän ensimmäisen kirjautumisen yhteydessä.

authconfig --enablemkhomedir --update

14. Lopuksi käynnistä Samba-daemon uudelleen muutosten huomioimiseksi ja varmista verkkotunnuksen liittyminen kirjautumalla palvelimelle AD-tilillä. AD-tilin kotihakemisto tulee luoda automaattisesti.

systemctl restart winbind
su - domain_account

15. Lista verkkotunnuksen käyttäjät tai toimialueryhmät antamalla jokin seuraavista komennoista.

wbinfo -u
wbinfo -g

16. Saat tietoja verkkotunnuksen käyttäjästä suorittamalla alla oleva komento.

wbinfo -i domain_user

17. Näytä yhteenveto verkkotunnuksen tiedoista antamalla seuraava komento.

net ads info

Vaihe 3: Kirjaudu CentOS:ään Samba4 AD DC -tilillä

18. Todentaaksesi verkkotunnuksen käyttäjän kanssa CentOS:ssä, käytä jotakin seuraavista komentorivisyntakseista.

su - ‘domain\domain_user’
su - domain\\domain_user

Tai käytä alla olevaa syntaksia, jos winbind use default domain=true -parametriksi on asetettu samba-määritystiedosto.

su - domain_user
su - [email 

19. Jos haluat lisätä pääkäyttäjän oikeudet verkkotunnuksen käyttäjälle tai ryhmälle, muokkaa sudoers-tiedostoa visudo-komennolla ja lisää seuraavat rivit kuvan mukaisesti alla olevasta kuvakaappauksesta.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Tai käytä alla olevaa otetta, jos winbind use default domain=true -parametriksi on asetettu samba-määritystiedosto.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. Seuraavat komentosarjat Samba4 AD DC:tä vastaan voivat myös olla hyödyllisiä vianetsinnässä:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Jos haluat poistua verkkotunnuksesta, suorita seuraava komento verkkotunnuksesi nimeä vastaan käyttämällä verkkotunnustiliä, jolla on korotetut oikeudet. Kun konetili on poistettu AD:sta, käynnistä kone uudelleen integrointiprosessia edeltäneiden muutosten palauttamiseksi.

net ads leave -w DOMAIN -U domain_admin
init 6

Siinä kaikki! Vaikka tämä toimenpide keskittyy pääasiassa CentOS 7 -palvelimen liittämiseen Samba4 AD DC:hen, samat tässä kuvatut vaiheet pätevät myös CentOS-palvelimen integroimiseen Microsoft Windows Server 2012 Active Directoryyn.