Integra Ubuntu ma' Samba4 AD DC ma' SSSD u Realm - Parti 15

Dan it-tutorja jiggwidak dwar kif tingħaqad ma' magna Ubuntu Desktop f'dominju Samba4 Active Directory b'servizzi SSSD u Realmd sabiex tivverifika l-utenti kontra Active Directory.

1. Oħloq Infrastruttura ta' Active Directory b'Samba4 fuq Ubuntu

Pass 1: Konfigurazzjonijiet Inizjali

1. Qabel ma tibda tingħaqad ma' Ubuntu f'Active Directory kun żgur li l-isem tal-host huwa kkonfigurat sew. Uża l-kmand hostnamectl biex tissettja l-isem tal-magna jew teditja manwalment il-fajl /etc/hostname.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Fil-pass li jmiss, editja s-settings tal-interface tan-netwerk tal-magni u żid il-konfigurazzjonijiet tal-IP xierqa u l-indirizzi korretti tas-server tal-IP DNS biex jindikaw il-kontrollur tad-dominju Samba AD kif muri fil-screenshot ta 'hawn taħt.

Jekk ikkonfigurajt server DHCP fil-bini tiegħek biex jassenja awtomatikament is-settings tal-IP għall-magni LAN tiegħek bl-indirizzi IP AD DNS xierqa allura tista' taqbeż dan il-pass u timxi 'l quddiem.

Fuq l-iskrin ta 'hawn fuq, 192.168.1.254 u 192.168.1.253 jirrappreżentaw l-indirizzi IP tal-Kontrolluri tad-Dominju Samba4.

3. Ibda mill-ġdid is-servizzi tan-netwerk biex tapplika l-bidliet bl-użu tal-GUI jew mil-linja tal-kmand u toħroġ serje ta 'kmand ping kontra l-isem tad-dominju tiegħek sabiex tittestja jekk ir-riżoluzzjoni tad-DNS tkunx qed taħdem kif mistenni. Ukoll, uża l-kmand tal-host biex tittestja r-riżoluzzjoni tad-DNS.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Fl-aħħarnett, kun żgur li l-ħin tal-magna huwa sinkronizzat ma 'Samba4 AD. Installa l-pakkett ntpdate u ssinkronizza l-ħin mal-AD billi toħroġ il-kmandi hawn taħt.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Pass 2: Installa Pakketti Meħtieġa

5. Fuq dan il-pass installa s-softwer meħtieġ u d-dipendenzi meħtieġa sabiex tingħaqad ma 'Ubuntu fis-servizzi Samba4 AD DC: Realmd u SSSD.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6. Daħħal l-isem tal-isfera default b'ittri kbar u agħfas Ikteb ċavetta biex tkompli l-installazzjoni.

7. Sussegwentement, oħloq il-fajl tal-konfigurazzjoni SSSD bil-kontenut li ġej.

$ sudo nano /etc/sssd/sssd.conf

Żid il-linji li ġejjin mal-fajl sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Kun żgur li tissostitwixxi l-isem tad-dominju fil-parametri li ġejjin kif xieraq:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Sussegwentement, żid il-permessi xierqa għall-fajl SSSD billi toħroġ il-kmand hawn taħt:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Issa, iftaħ u editja l-fajl tal-konfigurazzjoni Realmd u żid il-linji li ġejjin.

$ sudo nano /etc/realmd.conf

Silta tal-fajl Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. L-aħħar fajl li għandek bżonn timmodifika jappartjeni għal Samba daemon. Iftaħ il-fajl /etc/samba/smb.conf għall-editjar u żid il-blokk ta' kodiċi li ġej fil-bidu tal-fajl, wara t-taqsima [globali] kif muri fuq l-immaġni hawn taħt.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Kun żgur li tissostitwixxi l-valur tal-isem tad-dominju, speċjalment il-valur tal-isfera biex jaqbel mal-isem tad-dominju tiegħek u mexxi testparm kmand sabiex tivverifika jekk il-fajl tal-konfigurazzjoni ma fihx żbalji.

$ sudo testparm

11. Wara li tkun għamilt il-bidliet kollha meħtieġa, ittestja l-awtentikazzjoni Kerberos billi tuża kont amministrattiv AD u elenka l-biljett billi toħroġ il-kmandi hawn taħt.

$ sudo kinit [email 
$ sudo klist

Pass 3: Ingħaqad ma' Ubuntu ma' Samba4 Realm

12. Biex tgħaqqad il-magna Ubuntu ma' Samba4 Active Directory toħroġ serje ta' kmandi kif muri hawn taħt. Uża l-isem ta' kont AD DC bi privileġġi ta' amministratur sabiex ir-rabta mal-isfera taħdem kif mistenni u tissostitwixxi l-valur tal-isem tad-dominju kif xieraq.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Wara li seħħ l-irbit tad-dominju, mexxi l-kmand hawn taħt biex tiżgura li l-kontijiet tad-dominju kollha jitħallew jawtentikaw fuq il-magna.

$ sudo realm permit --all

Sussegwentement, tista 'tippermetti jew tiċħad aċċess għal kont ta' utent ta 'dominju jew grupp bl-użu tal-kmand tal-isfera kif ippreżentat fl-eżempji ta' hawn taħt.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Minn magna tal-Windows b'għodod RSAT installati tista' tiftaħ AD UC u tinnaviga lejn il-kontenitur tal-Kompjuters u tivverifika jekk inħoloqx kont tal-oġġett bl-isem tal-magna tiegħek.

Pass 4: Ikkonfigura l-Awtentikazzjoni tal-Kontijiet AD

15. Sabiex tivverifika fuq il-magna Ubuntu b'kontijiet ta 'dominju għandek bżonn tmexxi kmand pam-auth-update bi privileġġi ta' għerq u tippermetti l-profili PAM kollha inkluża l-għażla li awtomatikament toħloq direttorji tad-dar għal kull kont ta 'dominju fl-ewwel login.

Iċċekkja l-entrati kollha billi tagħfas il-buttuna [spazju] u agħfas ok biex tapplika l-konfigurazzjoni.

$ sudo pam-auth-update

16. Fuq sistemi manwalment editja /etc/pam.d/common-account file u l-linja li ġejja sabiex awtomatikament jinħolqu djar għall-utenti tad-dominju awtentikati.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Jekk l-utenti ta 'Active Directory ma jistgħux ibiddlu l-password tagħhom mil-linja tal-kmand fil-Linux, iftaħ il-fajl /etc/pam.d/common-password u neħħi l-istqarrija use_authtok mil-linja tal-password biex finalment tidher kif fuq is-silta t'hawn taħt.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Fl-aħħarnett, ibda mill-ġdid u ppermetti li s-servizz Realmd u SSSD japplikaw bidliet billi toħroġ il-kmandi hawn taħt:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Sabiex tittestja jekk il-magna Ubuntu ġietx integrata b'suċċess għall-realm run, installa l-pakkett winbind u tħaddem il-kmand wbinfo biex telenka l-kontijiet u l-gruppi tad-dominju kif muri hawn taħt.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Ukoll, iċċekkja l-modulu Winbind nsswitch billi toħroġ il-kmand getent kontra utent jew grupp ta 'dominju speċifiku.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Tista 'wkoll tuża l-kmand tal-Linux id biex tikseb informazzjoni dwar kont AD kif muri fuq il-kmand ta' hawn taħt.

$ id tecmint_user

22. Biex tawtentika fuq Ubuntu host b'kont Samba4 AD uża l-parametru tal-isem tal-utent tad-dominju wara su – kmand. Mexxi kmand id biex tikseb informazzjoni żejda dwar il-kont AD.

$ su - your_ad_user

Uża l-kmand pwd biex tara d-direttorju tax-xogħol kurrenti tal-utent tad-dominju tiegħek u l-kmand tal-passwd jekk trid tibdel il-password.

23. Biex tuża kont ta 'dominju bi privileġġi ta' għerq fuq il-magna Ubuntu tiegħek, għandek bżonn iżżid l-isem tal-utent AD mal-grupp tas-sistema sudo billi toħroġ il-kmand hawn taħt:

$ sudo usermod -aG sudo [email 

Idħol f'Ubuntu bil-kont tad-dominju u aġġorna s-sistema tiegħek billi tħaddem kmand tal-aġġornament apt biex tivverifika l-privileġġi tal-għeruq.

24. Biex iżżid il-privileġġi ta 'l-għeruq għal grupp ta' dominju, editja l-fajl /etc/sudoers b'tarf miftuħ billi tuża kmand visudo u żid il-linja li ġejja kif illustrat.

%domain\ [email n       		 ALL=(ALL:ALL) ALL

25. Biex tuża l-awtentikazzjoni tal-kont tad-dominju għal Ubuntu Desktop timmodifika l-maniġer tad-displej LightDM billi teditja l-fajl /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, ehmeż iż-żewġ linji li ġejjin u terġa 'tibda s-servizz lightdm jew reboot il-magna tapplika bidliet.

greeter-show-manual-login=true
greeter-hide-users=true

Idħol f'Ubuntu Desktop b'kont ta' dominju billi tuża jew is-sintassi tad-dominju_tiegħek jew [email _domain.tld.

26. Biex tuża format ta 'isem qasir għall-kontijiet Samba AD, editja l-fajl /etc/sssd/sssd.conf, żid il-linja li ġejja fil-blokk [sssd] kif muri hawn taħt.

full_name_format = %1$s

u terġa 'tibda daemon SSSD biex tapplika l-bidliet.

$ sudo systemctl restart sssd

Tinduna li l-bash prompt se jinbidel għall-isem qasir tal-utent AD mingħajr ma tehmeż il-kontroparti tal-isem tad-dominju.

27. Fil-każ li ma tistax tilloggja minħabba enumerate=argument veru stabbilit f'sssd.conf trid tneħħi d-database sssd cached billi toħroġ il-kmand hawn taħt:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Dak kollox! Għalkemm din il-gwida hija ffukata prinċipalment fuq l-integrazzjoni ma 'Samba4 Active Directory, l-istess passi jistgħu jiġu applikati sabiex jiġu integrati Ubuntu mas-servizzi Realmd u SSSD f'Microsoft Windows Server Active Directory.