Integroi Ubuntu Samba4 AD DC:hen SSSD:n ja Realmin kanssa - Osa 15

Tämä opetusohjelma opastaa sinua liittämään Ubuntu Desktop -koneen Samba4 Active Directory -verkkotunnukseen SSSD:llä ja Realmdilla. > palveluja käyttäjien todentamiseksi Active Directoryssa.

Vaatimukset:

1. Luo Active Directory -infrastruktuuri Samba4:llä Ubuntuun

Vaihe 1: Alkuasetukset

1. Varmista ennen Ubuntun liittämistä Active Directoryyn, että isäntänimi on määritetty oikein. Aseta koneen nimi hostnamectl-komennolla tai muokkaa /etc/hostname-tiedostoa manuaalisesti.

sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl

2. Muokkaa seuraavassa vaiheessa koneen verkkoliitäntäasetuksia ja lisää oikeat IP-määritykset ja oikeat DNS-IP-palvelinosoitteet osoittamaan Samba AD -toimialueen ohjaimeen alla olevan kuvakaappauksen mukaisesti.

Jos olet määrittänyt tiloissasi olevan DHCP-palvelimen määrittämään automaattisesti IP-asetukset LAN-koneillesi oikeilla AD DNS-IP-osoitteilla, voit ohittaa tämän vaiheen ja siirtyä eteenpäin.

Yllä olevassa kuvakaappauksessa 192.168.1.254 ja 192.168.1.253 edustavat Samba4-verkkotunnusohjainten IP-osoitteita.

3. Käynnistä verkkopalvelut uudelleen ottaaksesi muutokset käyttöön GUI:n tai komentoriviltä ja anna sarja ping-komento verkkotunnuksesi nimeä vasten testataksesi, onko DNS-resoluutio toimii odotetusti. Käytä myös host-komentoa DNS-tarkkuuden testaamiseen.

sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2

4. Varmista lopuksi, että koneen aika on synkronoitu Samba4 AD:n kanssa. Asenna ntpdate-paketti ja synkronoi aika AD:n kanssa antamalla alla olevat komennot.

sudo apt-get install ntpdate
sudo ntpdate your_domain_name

Vaihe 2: Asenna tarvittavat paketit

5. Asenna tässä vaiheessa tarvittavat ohjelmistot ja tarvittavat riippuvuudet, jotta voit liittää Ubuntun Samba4 AD DC:hen: Realmd- ja SSSD-palveluihin.

sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6. Kirjoita oletusalueen nimi isoilla kirjaimilla ja jatka asennusta painamalla Enter-näppäintä.

7. Luo seuraavaksi SSSD-määritystiedosto, jossa on seuraava sisältö.

sudo nano /etc/sssd/sssd.conf

Lisää seuraavat rivit sssd.conf-tiedostoon.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Varmista, että vaihdat verkkotunnuksen seuraavissa parametreissa vastaavasti:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Lisää seuraavaksi oikeat oikeudet SSSD-tiedostoon antamalla alla oleva komento:

sudo chmod 700 /etc/sssd/sssd.conf

9. Avaa ja muokkaa nyt Realmd-määritystiedostoa ja lisää seuraavat rivit.

sudo nano /etc/realmd.conf

Realmd.conf-tiedostoote:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Viimeinen muokattava tiedosto kuuluu Samba-daemonille. Avaa /etc/samba/smb.conf-tiedosto muokkausta varten ja lisää seuraava koodilohko tiedoston alkuun [global]-osion jälkeen, kuten kuva alla.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Varmista, että vaihdat domain name-arvon, erityisesti realm-arvon vastaamaan verkkotunnuksesi nimeä, ja suorita testparm-komento tarkistaaksesi, ovatko asetukset tiedosto ei sisällä virheitä.

sudo testparm

11. Kun olet tehnyt kaikki tarvittavat muutokset, testaa Kerberos-todennusta AD-järjestelmänvalvojan tilillä ja luettele lippu antamalla alla olevat komennot.

sudo kinit [email 
sudo klist

Vaihe 3: Liity Ubuntuun Samba4 Realmiin

12. Liity Ubuntu-koneeseen Samba4 Active Directory -hakemistoon seuraamalla alla kuvattua komentosarjaa. Käytä sellaisen AD DC -tilin nimeä, jolla on järjestelmänvalvojan oikeudet, jotta sidonta alueeseen toimii odotetulla tavalla, ja vaihda toimialueen nimen arvo vastaavasti.

sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k

13. Kun toimialueen sidonta on suoritettu, suorita alla oleva komento varmistaaksesi, että kaikki toimialueen tilit voivat todentaa koneessa.

sudo realm permit --all

Tämän jälkeen voit sallia tai estää pääsyn verkkotunnuksen käyttäjätilille tai ryhmälle realm-komennolla alla olevissa esimerkeissä esitetyllä tavalla.

sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email 
realm permit DOMAIN\\User2

14. Windows-koneella, johon on asennettu RSAT-työkalut, voit avata AD UC:n ja siirtyä Tietokoneet-säilöyn ja tarkistaa, onko objektitili, jolla on nimi. koneestasi on luotu.

Vaihe 4: Määritä AD-tilien todennus

15. Jotta voit todentaa Ubuntu-koneella verkkotunnuksen tileillä, sinun on suoritettava komento pam-auth-update pääkäyttäjän oikeuksilla ja otettava käyttöön kaikki PAM-profiilit, mukaan lukien mahdollisuus luoda automaattisesti kotihakemistot jokaiselle verkkotunnukselle ensimmäisellä kirjautumiskerralla.

Tarkista kaikki merkinnät painamalla [välilyönti]-näppäintä ja paina ok ottaaksesi asetukset käyttöön.

sudo pam-auth-update

16. Muokkaa järjestelmissä manuaalisesti /etc/pam.d/common-account-tiedostoa ja seuraavaa riviä luodaksesi kodit automaattisesti todetuille verkkotunnuksen käyttäjille.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Jos Active Directory -käyttäjät eivät voi vaihtaa salasanaansa komentoriviltä Linuxissa, avaa /etc/pam.d/common-password-tiedosto ja poista Use_authtok-lause salasanariviltä näyttää lopulta samalta kuin alla olevassa otteessa.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Lopuksi käynnistä Realmd ja SSSD-palvelu uudelleen ja ota muutokset käyttöön antamalla seuraavat komennot:

sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd

19. Testaaksesi, onko Ubuntu-kone integroitu onnistuneesti valtakunnalliseen suoritukseen, asenna winbind-paketti ja suorita wbinfo-komento, joka luettelee toimialuetilit ja -ryhmät alla olevan kuvan mukaisesti.

sudo apt-get install winbind
wbinfo -u
wbinfo -g

20. Tarkista myös Winbind nsswitch -moduuli antamalla getent-komento tiettyä verkkotunnuksen käyttäjää tai ryhmää vastaan.

sudo getent passwd your_domain_user
sudo getent group ‘domain admins’

21. Voit myös käyttää Linuxin id-komentoa saadaksesi tietoja AD-tilistä alla olevan komennon mukaisesti.

id tecmint_user

22. Voit todentaa Ubuntu-isännässä Samba4 AD -tilillä käyttämällä verkkotunnuksen käyttäjätunnusparametria su – komennon jälkeen. Suorita id-komento saadaksesi lisätietoja AD-tilistä.

su - your_ad_user

Käytä pwd-komentoa nähdäksesi verkkotunnuksesi käyttäjän nykyisen työhakemiston ja passwd-komennon, jos haluat vaihtaa salasanan.

23. Jos haluat käyttää verkkotunnustiliä pääkäyttäjän oikeuksilla Ubuntu-koneellasi, sinun on lisättävä AD-käyttäjänimi sudo-järjestelmäryhmään antamalla alla oleva komento:

sudo usermod -aG sudo [email 

Kirjaudu Ubuntuun verkkotunnuksen tilillä ja päivitä järjestelmäsi suorittamalla apt update -komento tarkistaaksesi pääkäyttäjän oikeudet.

24. Jos haluat lisätä pääkäyttäjän oikeudet verkkotunnusryhmään, avaa /etc/sudoers-tiedosto visudo-komennolla ja lisää seuraava rivi kuvan mukaisesti .

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Jos haluat käyttää verkkotunnuksen tilin todennusta Ubuntu Desktopissa, muokkaa LightDM-näytönhallintaa muokkaamalla tiedostoa /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf-tiedosto, liitä seuraavat kaksi riviä ja käynnistä lightdm-palvelu uudelleen tai käynnistä kone uudelleen ja ota muutokset käyttöön.

greeter-show-manual-login=true
greeter-hide-users=true

Kirjaudu Ubuntu Desktopiin verkkotunnustilillä käyttämällä syntaksia oma_verkkotunnuksesi_käyttäjänimi tai oma_verkkotunnuksesi_käyttäjänimi@oma_verkkotunnus.tld.

26. Jos haluat käyttää lyhyttä nimimuotoa Samba AD -tileissä, muokkaa /etc/sssd/sssd.conf-tiedostoa ja lisää seuraava rivi kohtaan [sssd] . lohko alla olevan kuvan mukaisesti.

full_name_format = %1$s

ja käynnistä SSSD-daemon uudelleen muutosten soveltamiseksi.

sudo systemctl restart sssd

Huomaat, että bash-kehote muuttuu AD-käyttäjän lyhyeksi nimeksi lisäämättä verkkotunnuksen nimeä.

27. Jos et voi kirjautua sisään sssd.conf-argumentin enumerate=true vuoksi, sinun on tyhjennettävä välimuistissa oleva sssd-tietokanta antamalla alla oleva komento :

rm /var/lib/sss/db/cache_tecmint.lan.ldb

Siinä kaikki! Vaikka tämä opas keskittyy pääasiassa integrointiin Samba4 Active Directoryn kanssa, samoja vaiheita voidaan soveltaa Ubuntun integroimiseen Realmd- ja SSSD-palvelujen kanssa Microsoft Windows Server Active Directory -hakemistoon.