Integra Ubuntu 16.04 għal AD bħala Membru tad-Dominju ma' Samba u Winbind - Parti 8


Dan it-tutorja jiddeskrivi kif tingħaqad ma' magna Ubuntu f'dominju ta' Samba4 Active Directory sabiex tawtentika kontijiet AD b'ACL lokali għal fajls u direttorji jew biex toħloq u timmappa ishma tal-volum għall-utenti tal-kontrolluri tad-dominju (jaġixxi bħala server tal-fajls).

  1. Oħloq Infrastruttura ta' Active Directory b'Samba4 fuq Ubuntu

Pass 1: Konfigurazzjonijiet Inizjali biex Ingħaqad ma' Ubuntu ma' Samba4 AD

1. Qabel ma tibda tingħaqad ma' host Ubuntu f'Active Directory DC għandek bżonn tiżgura li xi servizzi huma kkonfigurati sew fuq magna lokali.

Aspett importanti tal-magna tiegħek jirrappreżenta l-hostname. Issettja isem xieraq tal-magna qabel ma tingħaqad mad-dominju bl-għajnuna tal-kmand hostnamectl jew billi teditja manwalment il-fajl /etc/hostname.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. Fuq il-pass li jmiss, iftaħ u editja manwalment is-settings tan-netwerk tal-magni tiegħek bil-konfigurazzjonijiet IP xierqa. L-aktar settings importanti hawnhekk huma l-indirizzi IP tad-DNS li jindikaw lura lejn il-kontrollur tad-dominju tiegħek.

Editja l-fajl /etc/network/interfaces u żid id-dikjarazzjoni tad-dns-nameservers bl-indirizzi IP AD xierqa tiegħek u l-isem tad-dominju kif muri fuq il-screenshot hawn taħt.

Ukoll, kun żgur li l-istess indirizzi IP DNS u l-isem tad-dominju huma miżjuda mal-fajl /etc/resolv.conf.

Fuq l-iskrin ta 'hawn fuq, 192.168.1.254 u 192.168.1.253 huma l-indirizzi IP ta' Samba4 AD DC u Tecmint.lan jirrappreżenta l-isem tad-dominju AD li se jiġi mistoqsi mill-magni kollha integrati fl-isfera.

3. Ibda mill-ġdid is-servizzi tan-netwerk jew ibda mill-ġdid il-magna sabiex tapplika l-konfigurazzjonijiet tan-netwerk il-ġodda. Oħroġ kmand ping kontra l-isem tad-dominju tiegħek sabiex tittestja jekk ir-riżoluzzjoni tad-DNS tkunx qed taħdem kif mistenni.

L-AD DC għandu jerġa' jilgħab bl-FQDN tiegħu. Fil-każ li kkonfigurajt server DHCP fin-netwerk tiegħek biex jassenja awtomatikament is-settings tal-IP għall-hosts tal-LAN tiegħek, kun żgur li żżid indirizzi IP AD DC mal-konfigurazzjonijiet DNS tas-server DHCP.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. L-aħħar konfigurazzjoni importanti meħtieġa hija rappreżentata minn sinkronizzazzjoni tal-ħin. Installa pakkett ntpdate, mistoqsija u ħin tas-sinkronizzazzjoni mal-AD DC billi toħroġ il-kmandi hawn taħt.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. Fuq il-pass li jmiss tinstalla s-softwer meħtieġ mill-magna Ubuntu biex tkun integrata bis-sħiħ fid-dominju billi tħaddem il-kmand ta 'hawn taħt.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Filwaqt li l-pakketti Kerberos qed jinstallaw għandek tintalab iddaħħal l-isem tal-isfera default tiegħek. Uża l-isem tad-dominju tiegħek b'ittri kbar u agħfas il-buttuna Enter biex tkompli l-installazzjoni.

6. Wara li l-pakketti kollha jispiċċaw l-installazzjoni, ittestja l-awtentikazzjoni Kerberos kontra kont amministrattiv AD u elenka l-biljett billi toħroġ il-kmandi hawn taħt.

# kinit ad_admin_user
# klist

Pass 2: Ingħaqad ma' Ubuntu ma' Samba4 AD DC

7. L-ewwel pass fl-integrazzjoni tal-magna Ubuntu fid-dominju Samba4 Active Directory huwa li teditja il-fajl tal-konfigurazzjoni Samba.

Agħmel backup tal-fajl tal-konfigurazzjoni default ta' Samba, ipprovdut mill-maniġer tal-pakketti, sabiex tibda b'konfigurazzjoni nadifa billi tħaddem il-kmandi li ġejjin.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

Fuq il-fajl il-ġdid tal-konfigurazzjoni Samba żid il-linji hawn taħt:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Ibdel il-varjabbli tal-grupp tax-xogħol, isfera, isem netbios u dns forwarder b'settings tad-dwana tiegħek stess.

Il-parametru tad-dominju default tal-użu winbind jikkawża li s-servizz winbind jittratta kwalunkwe usernames AD mhux kwalifikati bħala utenti tal-AD. Għandek tħalli barra dan il-parametru jekk għandek ismijiet ta' kontijiet tas-sistema lokali li jikkoinċidu ma' kontijiet AD.

8. Issa għandek terġa 'tibda d-daemons kollha tas-samba u twaqqaf u tneħħi s-servizzi mhux meħtieġa u tippermetti s-servizzi tas-samba fis-sistema kollha billi toħroġ il-kmandi ta' hawn taħt.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Ingħaqad mal-magna Ubuntu ma' Samba4 AD DC billi toħroġ il-kmand li ġej. Uża l-isem ta' kont AD DC bi privileġġi ta' amministratur sabiex ir-rabta mal-isfera taħdem kif mistenni.

$ sudo net ads join -U ad_admin_user

10. Minn magna Windows b'għodod RSAT installati tista' tiftaħ AD UC u tinnaviga lejn il-kontenitur tal-Kompjuters. Hawnhekk, il-magna magħquda tiegħek Ubuntu għandha tkun elenkata.

Pass 3: Ikkonfigura l-Awtentikazzjoni tal-Kontijiet AD

11. Sabiex twettaq l-awtentikazzjoni għall-kontijiet AD fuq il-magna lokali, għandek bżonn timmodifika xi servizzi u fajls fuq il-magna lokali.

L-ewwel, iftaħ u editja l-fajl tal-konfigurazzjoni tal-Iswiċċ tas-Servizz tal-Isem (NSS).

$ sudo nano /etc/nsswitch.conf

Imbagħad waħħal il-valur tal-winbind għal passwd u linji tal-grupp kif muri fis-silta hawn taħt.

passwd:         compat winbind
group:          compat winbind

12. Sabiex jiġi ttestjat jekk il-magna Ubuntu kinitx integrata b'suċċess għall-isfera run wbinfo kmand biex telenka kontijiet u gruppi tad-dominju.

$ wbinfo -u
$ wbinfo -g

13. Ukoll, iċċekkja l-modulu Winbind nsswitch billi toħroġ il-kmand getent u pajp ir-riżultati permezz ta 'filtru bħal grep biex tnaqqas l-output biss għal utenti jew gruppi ta' dominju speċifiċi.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. Sabiex tivverifika fuq il-magna Ubuntu b'kontijiet ta 'dominju għandek bżonn tmexxi kmand pam-auth-update bi privileġġi ta' għerq u żid l-entrati kollha meħtieġa għas-servizz winbind u biex awtomatikament toħloq direttorji tad-dar għal kull kont ta 'dominju fl-ewwel login.

Iċċekkja l-entrati kollha billi tagħfas iċ-ċavetta [space] u agħfas ok biex tapplika l-konfigurazzjoni.

$ sudo pam-auth-update

15. Fuq is-sistemi Debian għandek bżonn teditja manwalment il-fajl /etc/pam.d/common-account u l-linja li ġejja sabiex toħloq awtomatikament djar għall-utenti tad-dominju awtentikati.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Sabiex l-utenti ta' l-Active Directory jkunu jistgħu jibdlu l-password mil-linja tal-kmand fil-Linux iftaħ il-fajl /etc/pam.d/common-password u neħħi d-dikjarazzjoni use_authtok mil-linja tal-password biex fl-aħħar tidher bħal fuq is-silta t'hawn taħt.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Biex tawtentika fuq Ubuntu host b'kont Samba4 AD uża l-parametru tal-isem tal-utent tad-dominju wara su – kmand. Mexxi kmand id biex tikseb informazzjoni żejda dwar il-kont AD.

$ su - your_ad_user

Uża l-kmand pwd biex tara d-direttorju kurrenti tal-utent tad-dominju tiegħek u l-kmand tal-passwd jekk trid tibdel il-password.

18. Biex tuża kont ta 'dominju bi privileġġi ta' għerq fuq il-magna Ubuntu tiegħek, għandek bżonn iżżid l-isem tal-utent AD mal-grupp tas-sistema sudo billi toħroġ il-kmand hawn taħt:

$ sudo usermod -aG sudo your_domain_user

Idħol f'Ubuntu bil-kont tad-dominju u aġġorna s-sistema tiegħek billi tħaddem il-kmand apt-get update biex tivverifika jekk l-utent tad-dominju għandux privileġġi tal-għeruq.

19. Biex iżżid il-privileġġi ta 'l-għeruq għal grupp ta' dominju, editja l-fajl /etc/sudoers bl-użu tal-kmand visudo u żid il-linja li ġejja kif muri fuq il-screenshot hawn taħt.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Uża backslashes biex taħrab l-ispazji li jinsabu fl-isem tal-grupp tad-dominju tiegħek jew biex taħrab l-ewwel backslash. Fl-eżempju ta 'hawn fuq il-grupp tad-dominju għall-isfera TECMINT jismu \admins tad-dominju.

Is-simbolu tas-sinjal tal-perċentwali preċedenti (%) jindika li qed nirreferu għal grupp, mhux għal username.

20. F'każ li tkun qed tħaddem il-verżjoni grafika ta' Ubuntu u trid tidħol fis-sistema ma' utent tad-dominju, trid timmodifika l-maniġer tad-displej LightDM billi teditja /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf fajl, żid il-linji li ġejjin u reboot il-magna biex tirrifletti l-bidliet.

greeter-show-manual-login=true
greeter-hide-users=true

Issa għandu jkun jista' jagħmel logins fuq Ubuntu Desktop b'kont ta' dominju billi juża jew il-format tiegħek_domain_username jew [email _domain.tld jew tiegħek_domain\your_domain_username.