Samþættu Ubuntu 16.04 við AD sem lénsmeðlimur með Samba og Winbind - Part 8
Þessi kennsla lýsir því hvernig á að tengja Ubuntu vél inn í Samba4 Active Directory lén til að sannvotta AD reikninga með staðbundnum ACL fyrir skrár og möppur eða til að búa til og kortleggja bindihluti fyrir notendur lénsstýringar (virka sem skráaþjónn).
- Búðu til Active Directory innviði með Samba4 á Ubuntu
Skref 1: Upphaflegar stillingar til að tengja Ubuntu við Samba4 AD
1. Áður en þú byrjar að tengja Ubuntu gestgjafa inn í Active Directory DC þarftu að tryggja að sumar þjónustur séu rétt stilltar á staðbundinni vél.
Mikilvægur þáttur í vélinni þinni táknar hýsingarheitið. Settu upp rétt vélarnafn áður en þú tengist léninu með hjálp hostnamectl skipunarinnar eða með því að breyta /etc/hostname skránni handvirkt.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Í næsta skrefi skaltu opna og breyta netstillingum vélarinnar handvirkt með réttum IP stillingum. Mikilvægustu stillingarnar hér eru DNS IP vistföngin sem vísa aftur á lénsstýringuna þína.
Breyttu /etc/network/interfaces skránni og bættu við dns-nameservers yfirlýsingu með réttum AD IP tölum þínum og lén eins og sýnt er á skjámyndinni hér að neðan.
Gakktu úr skugga um að sömu DNS IP tölum og léninu sé bætt við /etc/resolv.conf skrána.
Á ofangreindu skjámyndinni eru 192.168.1.254 og 192.168.1.253 IP tölur Samba4 AD DC og Tecmint.lan táknar nafn AD lénsins sem verður spurt af öllum vélum sem eru samþættar í ríki.
3. Endurræstu sérþjónustuna eða endurræstu vélina til að beita nýju netstillingunum. Gefðu út ping skipun gegn léninu þínu til að prófa hvort DNS upplausn virkar eins og búist var við.
AD DC ætti að spila aftur með FQDN þess. Ef þú hefur stillt DHCP netþjón á netinu þínu til að úthluta sjálfkrafa IP stillingum fyrir LAN gestgjafana þína, vertu viss um að þú bætir AD DC IP vistföngum við DNS stillingar DHCP netþjónsins.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Síðasta mikilvæga stillingin sem krafist er er táknuð með tímasamstillingu. Settu upp ntpdate pakka, fyrirspurn og samstillingartíma með AD DC með því að gefa út skipanirnar hér að neðan.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Í næsta skrefi skaltu setja upp hugbúnaðinn sem Ubuntu vélin krefst til að vera að fullu samþætt í lénið með því að keyra skipunina hér að neðan.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Á meðan Kerberos pakkarnir eru að setja upp ættirðu að vera beðinn um að slá inn nafn sjálfgefna svæðisins þíns. Notaðu nafn lénsins með hástöfum og ýttu á Enter takkann til að halda uppsetningunni áfram.
6. Eftir að allir pakkar hafa lokið uppsetningu, prófaðu Kerberos auðkenningu gegn AD stjórnunarreikningi og skráðu miðann með því að gefa út skipanirnar hér að neðan.
# kinit ad_admin_user # klist
Skref 2: Vertu með í Ubuntu við Samba4 AD DC
7. Fyrsta skrefið í að samþætta Ubuntu vélina í Samba4 Active Directory lénið er að breyta Samba stillingarskránni.
Taktu öryggisafrit af sjálfgefna stillingarskrá Samba, sem pakkastjórinn lætur í té, til að byrja með hreina stillingu með því að keyra eftirfarandi skipanir.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Bættu við eftirfarandi línum í nýju Samba stillingarskránni:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Skiptu um vinnuhóp, ríki, netbios nafn og dns framsendingarbreytur fyrir þínar eigin sérstillingar.
Winbind use default lénsfæribreytan veldur því að winbind þjónustan meðhöndlar öll óhæf AD notendanöfn sem notendur AD. Þú ættir að sleppa þessari færibreytu ef þú ert með staðbundin kerfisreikningsheiti sem skarast AD reikninga.
8. Nú ættir þú að endurræsa alla samba púka og stöðva og fjarlægja óþarfa þjónustu og virkja samba þjónustu um allt kerfið með því að gefa út skipanirnar hér að neðan.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Tengdu Ubuntu vél við Samba4 AD DC með því að gefa út eftirfarandi skipun. Notaðu nafn AD DC reiknings með stjórnandaréttindi til að bindingin við ríki virki eins og búist var við.
$ sudo net ads join -U ad_admin_user
10. Frá Windows vél með RSAT verkfæri uppsett er hægt að opna AD UC og fletta í Tölvur ílát. Hér ætti Ubuntu tengd vélin þín að vera skráð.
Skref 3: Stilltu auðkenningu AD reikninga
11. Til þess að framkvæma auðkenningu fyrir AD reikninga á staðbundinni vél þarftu að breyta einhverjum þjónustum og skrám á staðbundinni vél.
Fyrst skaltu opna og breyta Name Service Switch (NSS) stillingarskránni.
$ sudo nano /etc/nsswitch.conf
Næst skaltu bæta við winbind gildi fyrir passwd og hóplínur eins og sýnt er á útdrættinum hér að neðan.
passwd: compat winbind group: compat winbind
12. Til þess að prófa hvort Ubuntu vélin hafi tekist að samþætta við realm keyrðu wbinfo skipunina til að skrá lénsreikninga og hópa.
$ wbinfo -u $ wbinfo -g
13. Athugaðu einnig Winbind nsswitch einingu með því að gefa út getent skipunina og pípa niðurstöðurnar í gegnum síu eins og grep til að þrengja úttakið aðeins fyrir tiltekna lénsnotendur eða hópa.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Til þess að auðkenna á Ubuntu vél með lénsreikningum þarftu að keyra pam-auth-update skipunina með rótarréttindum og bæta við öllum færslum sem þarf til winbind þjónustu og til að búa sjálfkrafa til heimamöppur fyrir hvern lénsreikning við fyrstu innskráningu.
Athugaðu allar færslur með því að ýta á [bil] takkann og ýttu á OK til að beita stillingum.
$ sudo pam-auth-update
15. Í Debian kerfum þarftu að breyta /etc/pam.d/common-account skránni handvirkt og eftirfarandi línu til að búa sjálfkrafa til heimili fyrir staðfesta lénsnotendur.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Til þess að Active Directory notendur geti breytt lykilorði úr skipanalínunni í Linux opnaðu /etc/pam.d/common-password skrána og fjarlægðu use_authtok yfirlýsinguna úr lykilorðslínunni til að líta loksins út eins og á útdrættinum hér að neðan.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Til að auðkenna á Ubuntu gestgjafa með Samba4 AD reikningi, notaðu færibreytuna fyrir notandanafn léns á eftir su – skipun. Keyrðu id skipun til að fá auka upplýsingar um AD reikninginn.
$ su - your_ad_user
Notaðu pwd skipunina til að sjá núverandi möppu lénsnotanda og passwd skipun ef þú vilt breyta lykilorði.
18. Til að nota lénsreikning með rótarréttindum á Ubuntu vélinni þinni þarftu að bæta AD notandanafninu við sudo kerfishópinn með því að gefa út skipunina hér að neðan:
$ sudo usermod -aG sudo your_domain_user
Skráðu þig inn á Ubuntu með lénsreikningnum og uppfærðu kerfið þitt með því að keyra apt-get update skipunina til að athuga hvort lénsnotandinn hafi rótarréttindi.
19. Til að bæta við rótarréttindum fyrir lénshóp skaltu opna /etc/sudoers skrá með því að nota visudo skipunina og bæta við eftirfarandi línu eins og sýnt er á skjámyndinni hér að neðan.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Notaðu skástrik til að forðast rými sem eru í nafni lénshópsins þíns eða til að sleppa við fyrsta skástrikið. Í ofangreindu dæmi er lénshópurinn fyrir TECMINT ríki nefndur lénsstjórar.
Prósentatáknið á undan (%) gefur til kynna að við séum að vísa til hóps, ekki notendanafns.
20. Ef þú ert að keyra grafísku útgáfuna af Ubuntu og þú vilt skrá þig inn á kerfið með lénsnotanda þarftu að breyta LightDM skjástjóra með því að breyta /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf skrá, bættu við eftirfarandi línum og endurræstu vélina til að endurspegla breytingar.
greeter-show-manual-login=true greeter-hide-users=true
Það ætti nú að geta framkvæmt innskráningar á Ubuntu Desktop með lénsreikningi með því að nota annaðhvort your_domain_username eða [email _domain.tld eða your_domain\your_domain_username sniði.