Samþættu Ubuntu við Samba4 AD DC með SSSD og Realm - Part 15

Þessi kennsla mun leiða þig um hvernig á að tengja Ubuntu Desktop vél inn á Samba4 Active Directory lén með SSSD og Realmd þjónustu til að auðkenna notendur gegn Active Directory.

1. Búðu til Active Directory innviði með Samba4 á Ubuntu

Skref 1: Upphaflegar stillingar

1. Áður en byrjað er að tengja Ubuntu inn í Active Directory skaltu ganga úr skugga um að hýsingarheitið sé rétt stillt. Notaðu hostnamectl skipunina til að stilla vélarnafnið eða breyta /etc/hostname skránni handvirkt.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Í næsta skrefi, breyttu stillingum fyrir netviðmót vélarinnar og bættu við réttum IP stillingum og réttum DNS IP miðlara vistföngum til að benda á Samba AD lénsstýringuna eins og sýnt er á skjámyndinni hér að neðan.

Ef þú hefur stillt DHCP miðlara heima hjá þér til að úthluta sjálfkrafa IP stillingum fyrir staðarnetsvélarnar þínar með réttum AD DNS IP tölum þá geturðu sleppt þessu skrefi og haldið áfram.

Á skjámyndinni hér að ofan tákna 192.168.1.254 og 192.168.1.253 IP tölur Samba4 lénsstýringanna.

3. Endurræstu netþjónustuna til að beita breytingunum með GUI eða frá skipanalínunni og gefðu út röð af ping skipunum á lénið þitt til að prófa hvort DNS upplausn virkar eins og búist var við. Notaðu einnig hýsingarskipun til að prófa DNS upplausn.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Að lokum skaltu ganga úr skugga um að vélatími sé samstilltur við Samba4 AD. Settu upp ntpdate pakkann og samstilltu tímann við AD með því að gefa út skipanirnar hér að neðan.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Skref 2: Settu upp nauðsynlega pakka

5. Á þessu skrefi skaltu setja upp nauðsynlegan hugbúnað og nauðsynlega ósjálfstæði til að ganga í Ubuntu í Samba4 AD DC: Realmd og SSSD þjónustu.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6. Sláðu inn nafn sjálfgefna svæðisins með hástöfum og ýttu á Enter takkann til að halda uppsetningunni áfram.

7. Næst skaltu búa til SSSD stillingarskrána með eftirfarandi efni.

$ sudo nano /etc/sssd/sssd.conf

Bættu eftirfarandi línum við sssd.conf skrána.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Gakktu úr skugga um að þú skiptir um lén í eftirfarandi breytum í samræmi við það:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Næst skaltu bæta við réttum heimildum fyrir SSSD skrá með því að gefa út skipunina hér að neðan:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Nú skaltu opna og breyta Realmd stillingarskránni og bæta við eftirfarandi línum.

$ sudo nano /etc/realmd.conf

Realmd.conf skráarútdráttur:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Síðasta skráin sem þú þarft að breyta tilheyrir Samba púknum. Opnaðu /etc/samba/smb.conf skrána til að breyta og bættu við eftirfarandi kóðablokk í upphafi skráarinnar, eftir [alþjóðlega] hlutanum eins og sýnt er á myndinni hér að neðan.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Gakktu úr skugga um að þú skiptir um gildi lénsins, sérstaklega ríkisgildinu til að passa við lénið þitt og keyrðu testparm skipunina til að athuga hvort stillingarskráin inniheldur engar villur.

$ sudo testparm

11. Eftir að þú hefur gert allar nauðsynlegar breytingar, prófaðu Kerberos auðkenningu með AD stjórnunarreikningi og skráðu miðann með því að gefa út skipanirnar hér að neðan.

$ sudo kinit [email 
$ sudo klist

Skref 3: Vertu með í Ubuntu í Samba4 Realm

12. Til að tengja Ubuntu vél við Samba4 Active Directory slepptu eftirfarandi röð skipana eins og sýnt er hér að neðan. Notaðu nafn AD DC reiknings með stjórnandaréttindi til þess að bindingin við ríki virki eins og búist er við og skiptu um gildi lénsins í samræmi við það.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Eftir að lénsbindingin átti sér stað skaltu keyra skipunina hér að neðan til að tryggja að öllum lénsreikningum sé heimilt að auðkenna á vélinni.

$ sudo realm permit --all

Í kjölfarið geturðu leyft eða hafnað aðgangi fyrir notendareikning léns eða hóps með því að nota sviðsskipun eins og fram kemur í dæmunum hér að neðan.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Frá Windows vél með RSAT verkfærum uppsettum geturðu opnað AD UC og farið í Tölvuílát og athugað hvort hlutareikningur með nafni vélarinnar þinnar hafi verið búinn til.

Skref 4: Stilltu auðkenningu AD reikninga

15. Til að auðkenna á Ubuntu vél með lénsreikningum þarftu að keyra pam-auth-update skipunina með rótarréttindum og virkja alla PAM snið, þar á meðal möguleika á að búa til heimaskrár sjálfkrafa fyrir hvern lénsreikning við fyrstu innskráningu.

Athugaðu allar færslur með því að ýta á [bil] takkann og ýttu á OK til að beita stillingum.

$ sudo pam-auth-update

16. Á kerfum breytirðu /etc/pam.d/common-account skránni handvirkt og eftirfarandi línu til að búa sjálfkrafa til heimili fyrir staðfesta lénsnotendur.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Ef Active Directory notendur geta ekki breytt lykilorðinu sínu úr skipanalínunni í Linux, opnaðu /etc/pam.d/common-password skrána og fjarlægðu use_authtok yfirlýsinguna úr lykilorðslínunni til að líta loksins út eins og á útdrættinum hér að neðan.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Að lokum skaltu endurræsa og virkja Realmd og SSSD þjónustu til að beita breytingum með því að gefa út eftirfarandi skipanir:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Til að prófa hvort Ubuntu vélin hafi tekist að samþætta Realm Run skaltu setja upp winbind pakka og keyra wbinfo skipunina til að skrá lénsreikninga og hópa eins og sýnt er hér að neðan.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Athugaðu einnig Winbind nsswitch einingu með því að gefa út getent skipunina gegn tilteknum lénsnotanda eða hópi.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Þú getur líka notað Linux id skipun til að fá upplýsingar um AD reikning eins og sýnt er í skipuninni hér að neðan.

$ id tecmint_user

22. Til að auðkenna á Ubuntu gestgjafa með Samba4 AD reikningi, notaðu færibreytuna fyrir notandanafn léns á eftir su – skipun. Keyrðu id skipun til að fá auka upplýsingar um AD reikninginn.

$ su - your_ad_user

Notaðu pwd skipunina til að sjá núverandi vinnuskrá lénsnotanda þíns og passwd skipun ef þú vilt breyta lykilorði.

23. Til að nota lénsreikning með rótarréttindum á Ubuntu vélinni þinni þarftu að bæta AD notandanafninu við sudo kerfishópinn með því að gefa út skipunina hér að neðan:

$ sudo usermod -aG sudo [email 

Skráðu þig inn á Ubuntu með lénsreikningnum og uppfærðu kerfið þitt með því að keyra viðeigandi uppfærsluskipun til að athuga rótarréttindi.

24. Til að bæta við rótarréttindum fyrir lénshóp skaltu opna /etc/sudoers skrá með því að nota visudo skipunina og bæta við eftirfarandi línu eins og sýnt er.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Til að nota auðkenningu lénsreiknings fyrir Ubuntu Desktop skaltu breyta LightDM skjástjóra með því að breyta /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf skránni, bæta við eftirfarandi tveimur línum og endurræsa lightdm þjónustuna eða endurræsa vélina. breytingar.

greeter-show-manual-login=true
greeter-hide-users=true

Skráðu þig inn á Ubuntu Desktop með lénsreikningi með því að nota annað hvort your_domain_username eða [email _domain.tld setningafræði.

26. Til að nota stuttnafnasnið fyrir Samba AD reikninga, breyttu /etc/sssd/sssd.conf skránni, bættu við eftirfarandi línu í [sssd] blokk eins og sýnt er hér að neðan.

full_name_format = %1$s

og endurræstu SSSD púkinn til að beita breytingum.

$ sudo systemctl restart sssd

Þú munt taka eftir því að bash hvetjan mun breytast í stutt nafn AD notandans án þess að bæta við hliðstæðu lénsins.

27. Ef þú getur ekki skráð þig inn vegna enumerate=true röksemda í sssd.conf verður þú að hreinsa sssd skyndiminni gagnagrunn með því að gefa út skipunina hér að neðan:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Það er allt og sumt! Þó að þessi handbók sé aðallega lögð áhersla á samþættingu við Samba4 Active Directory, er hægt að beita sömu skrefum til að samþætta Ubuntu við Realmd og SSSD þjónustu í Microsoft Windows Server Active Directory.