Integra Ubuntu ma' Samba4 AD DC ma' SSSD u Realm - Parti 15
Dan it-tutorja jiggwidak dwar kif tingħaqad ma' magna Ubuntu Desktop f'dominju Samba4 Active Directory b'servizzi SSSD u Realmd sabiex tivverifika l-utenti kontra Active Directory.
- Oħloq Infrastruttura ta' Active Directory b'Samba4 fuq Ubuntu
Pass 1: Konfigurazzjonijiet Inizjali
1. Qabel ma tibda tingħaqad ma' Ubuntu f'Active Directory kun żgur li l-isem tal-host huwa kkonfigurat sew. Uża l-kmand hostnamectl biex tissettja l-isem tal-magna jew teditja manwalment il-fajl /etc/hostname.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2. Fil-pass li jmiss, editja s-settings tal-interface tan-netwerk tal-magni u żid il-konfigurazzjonijiet tal-IP xierqa u l-indirizzi korretti tas-server tal-IP DNS biex jindikaw il-kontrollur tad-dominju Samba AD kif muri fil-screenshot ta 'hawn taħt.
Jekk ikkonfigurajt server DHCP fil-bini tiegħek biex jassenja awtomatikament is-settings tal-IP għall-magni LAN tiegħek bl-indirizzi IP AD DNS xierqa allura tista' taqbeż dan il-pass u timxi 'l quddiem.
Fuq l-iskrin ta 'hawn fuq, 192.168.1.254 u 192.168.1.253 jirrappreżentaw l-indirizzi IP tal-Kontrolluri tad-Dominju Samba4.
3. Ibda mill-ġdid is-servizzi tan-netwerk biex tapplika l-bidliet bl-użu tal-GUI jew mil-linja tal-kmand u toħroġ serje ta 'kmand ping kontra l-isem tad-dominju tiegħek sabiex tittestja jekk ir-riżoluzzjoni tad-DNS tkunx qed taħdem kif mistenni. Ukoll, uża l-kmand tal-host biex tittestja r-riżoluzzjoni tad-DNS.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. Fl-aħħarnett, kun żgur li l-ħin tal-magna huwa sinkronizzat ma 'Samba4 AD. Installa l-pakkett ntpdate u ssinkronizza l-ħin mal-AD billi toħroġ il-kmandi hawn taħt.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
Pass 2: Installa Pakketti Meħtieġa
5. Fuq dan il-pass installa s-softwer meħtieġ u d-dipendenzi meħtieġa sabiex tingħaqad ma 'Ubuntu fis-servizzi Samba4 AD DC: Realmd u SSSD.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Daħħal l-isem tal-isfera default b'ittri kbar u agħfas Ikteb ċavetta biex tkompli l-installazzjoni.
7. Sussegwentement, oħloq il-fajl tal-konfigurazzjoni SSSD bil-kontenut li ġej.
$ sudo nano /etc/sssd/sssd.conf
Żid il-linji li ġejjin mal-fajl sssd.conf.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
Kun żgur li tissostitwixxi l-isem tad-dominju fil-parametri li ġejjin kif xieraq:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. Sussegwentement, żid il-permessi xierqa għall-fajl SSSD billi toħroġ il-kmand hawn taħt:
$ sudo chmod 700 /etc/sssd/sssd.conf
9. Issa, iftaħ u editja l-fajl tal-konfigurazzjoni Realmd u żid il-linji li ġejjin.
$ sudo nano /etc/realmd.conf
Silta tal-fajl Realmd.conf:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10. L-aħħar fajl li għandek bżonn timmodifika jappartjeni għal Samba daemon. Iftaħ il-fajl /etc/samba/smb.conf għall-editjar u żid il-blokk ta' kodiċi li ġej fil-bidu tal-fajl, wara t-taqsima [globali] kif muri fuq l-immaġni hawn taħt.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
Kun żgur li tissostitwixxi l-valur tal-isem tad-dominju, speċjalment il-valur tal-isfera biex jaqbel mal-isem tad-dominju tiegħek u mexxi testparm kmand sabiex tivverifika jekk il-fajl tal-konfigurazzjoni ma fihx żbalji.
$ sudo testparm
11. Wara li tkun għamilt il-bidliet kollha meħtieġa, ittestja l-awtentikazzjoni Kerberos billi tuża kont amministrattiv AD u elenka l-biljett billi toħroġ il-kmandi hawn taħt.
$ sudo kinit [email $ sudo klist
Pass 3: Ingħaqad ma' Ubuntu ma' Samba4 Realm
12. Biex tgħaqqad il-magna Ubuntu ma' Samba4 Active Directory toħroġ serje ta' kmandi kif muri hawn taħt. Uża l-isem ta' kont AD DC bi privileġġi ta' amministratur sabiex ir-rabta mal-isfera taħdem kif mistenni u tissostitwixxi l-valur tal-isem tad-dominju kif xieraq.
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
13. Wara li seħħ l-irbit tad-dominju, mexxi l-kmand hawn taħt biex tiżgura li l-kontijiet tad-dominju kollha jitħallew jawtentikaw fuq il-magna.
$ sudo realm permit --all
Sussegwentement, tista 'tippermetti jew tiċħad aċċess għal kont ta' utent ta 'dominju jew grupp bl-użu tal-kmand tal-isfera kif ippreżentat fl-eżempji ta' hawn taħt.
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit [email $ realm permit DOMAIN\\User2
14. Minn magna tal-Windows b'għodod RSAT installati tista' tiftaħ AD UC u tinnaviga lejn il-kontenitur tal-Kompjuters u tivverifika jekk inħoloqx kont tal-oġġett bl-isem tal-magna tiegħek.
Pass 4: Ikkonfigura l-Awtentikazzjoni tal-Kontijiet AD
15. Sabiex tivverifika fuq il-magna Ubuntu b'kontijiet ta 'dominju għandek bżonn tmexxi kmand pam-auth-update bi privileġġi ta' għerq u tippermetti l-profili PAM kollha inkluża l-għażla li awtomatikament toħloq direttorji tad-dar għal kull kont ta 'dominju fl-ewwel login.
Iċċekkja l-entrati kollha billi tagħfas il-buttuna [spazju] u agħfas ok biex tapplika l-konfigurazzjoni.
$ sudo pam-auth-update
16. Fuq sistemi manwalment editja /etc/pam.d/common-account file u l-linja li ġejja sabiex awtomatikament jinħolqu djar għall-utenti tad-dominju awtentikati.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Jekk l-utenti ta 'Active Directory ma jistgħux ibiddlu l-password tagħhom mil-linja tal-kmand fil-Linux, iftaħ il-fajl /etc/pam.d/common-password u neħħi l-istqarrija use_authtok mil-linja tal-password biex finalment tidher kif fuq is-silta t'hawn taħt.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Fl-aħħarnett, ibda mill-ġdid u ppermetti li s-servizz Realmd u SSSD japplikaw bidliet billi toħroġ il-kmandi hawn taħt:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19. Sabiex tittestja jekk il-magna Ubuntu ġietx integrata b'suċċess għall-realm run, installa l-pakkett winbind u tħaddem il-kmand wbinfo biex telenka l-kontijiet u l-gruppi tad-dominju kif muri hawn taħt.
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
20. Ukoll, iċċekkja l-modulu Winbind nsswitch billi toħroġ il-kmand getent kontra utent jew grupp ta 'dominju speċifiku.
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
21. Tista 'wkoll tuża l-kmand tal-Linux id biex tikseb informazzjoni dwar kont AD kif muri fuq il-kmand ta' hawn taħt.
$ id tecmint_user
22. Biex tawtentika fuq Ubuntu host b'kont Samba4 AD uża l-parametru tal-isem tal-utent tad-dominju wara su – kmand. Mexxi kmand id biex tikseb informazzjoni żejda dwar il-kont AD.
$ su - your_ad_user
Uża l-kmand pwd biex tara d-direttorju tax-xogħol kurrenti tal-utent tad-dominju tiegħek u l-kmand tal-passwd jekk trid tibdel il-password.
23. Biex tuża kont ta 'dominju bi privileġġi ta' għerq fuq il-magna Ubuntu tiegħek, għandek bżonn iżżid l-isem tal-utent AD mal-grupp tas-sistema sudo billi toħroġ il-kmand hawn taħt:
$ sudo usermod -aG sudo [email
Idħol f'Ubuntu bil-kont tad-dominju u aġġorna s-sistema tiegħek billi tħaddem kmand tal-aġġornament apt biex tivverifika l-privileġġi tal-għeruq.
24. Biex iżżid il-privileġġi ta 'l-għeruq għal grupp ta' dominju, editja l-fajl /etc/sudoers b'tarf miftuħ billi tuża kmand visudo u żid il-linja li ġejja kif illustrat.
%domain\ [email n ALL=(ALL:ALL) ALL
25. Biex tuża l-awtentikazzjoni tal-kont tad-dominju għal Ubuntu Desktop timmodifika l-maniġer tad-displej LightDM billi teditja l-fajl /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, ehmeż iż-żewġ linji li ġejjin u terġa 'tibda s-servizz lightdm jew reboot il-magna tapplika bidliet.
greeter-show-manual-login=true greeter-hide-users=true
Idħol f'Ubuntu Desktop b'kont ta' dominju billi tuża jew is-sintassi tad-dominju_tiegħek jew [email _domain.tld.
26. Biex tuża format ta 'isem qasir għall-kontijiet Samba AD, editja l-fajl /etc/sssd/sssd.conf, żid il-linja li ġejja fil-blokk [sssd] kif muri hawn taħt.
full_name_format = %1$s
u terġa 'tibda daemon SSSD biex tapplika l-bidliet.
$ sudo systemctl restart sssd
Tinduna li l-bash prompt se jinbidel għall-isem qasir tal-utent AD mingħajr ma tehmeż il-kontroparti tal-isem tad-dominju.
27. Fil-każ li ma tistax tilloggja minħabba enumerate=argument veru stabbilit f'sssd.conf trid tneħħi d-database sssd cached billi toħroġ il-kmand hawn taħt:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
Dak kollox! Għalkemm din il-gwida hija ffukata prinċipalment fuq l-integrazzjoni ma 'Samba4 Active Directory, l-istess passi jistgħu jiġu applikati sabiex jiġu integrati Ubuntu mas-servizzi Realmd u SSSD f'Microsoft Windows Server Active Directory.