Wyszukiwanie w witrynie

Zintegruj CentOS 7 z Samba4 AD z wiersza poleceń — część 14


W tym przewodniku dowiesz się, jak zintegrować serwer CentOS 7 bez graficznego interfejsu użytkownika z kontrolerem domeny Active Directory Samba4 z wiersza poleceń przy użyciu oprogramowania Authconfig.

Ten typ konfiguracji zapewnia pojedynczą scentralizowaną bazę danych kont przechowywaną przez Sambę i umożliwia użytkownikom usługi AD uwierzytelnianie na serwerze CentOS w infrastrukturze sieciowej.

Wymagania

  1. Utwórz infrastrukturę Active Directory za pomocą Samby4 na Ubuntu
  2. Przewodnik instalacji CentOS 7.3

Krok 1: Skonfiguruj CentOS dla Samba4 AD DC

1. Przed rozpoczęciem dołączania serwera CentOS 7 do Samba4 DC musisz upewnić się, że interfejs sieciowy jest poprawnie skonfigurowany do wysyłania zapytań o domenę przez DNS praca.

Uruchom polecenie adresu IP, aby wyświetlić listę interfejsów sieciowych komputera i wybierz konkretną kartę sieciową do edycji, wydając polecenie nmtui-edit przeciwko nazwie interfejsu, np. ens33 w tym przykładzie, jak zilustrowano poniżej.

ip address
nmtui-edit ens33

2. Po otwarciu interfejsu sieciowego do edycji dodaj statyczne konfiguracje IPv4 najlepiej dopasowane do Twojej sieci LAN i upewnij się, że skonfigurowałeś adresy IP kontrolerów domeny AD Samba dla serwerów DNS.

Dodaj także nazwę swojej domeny w polu wyszukiwania domen i przejdź do przycisku OK, używając klawisza [TAB], aby zastosować zmiany.

Pole wyszukiwania domen gwarantuje, że odpowiednik domeny zostanie automatycznie dodany przez rozpoznawanie nazw DNS (FQDN), jeśli używasz tylko krótkiej nazwy w rekordzie DNS domeny.

3. Na koniec zrestartuj demona sieci, aby zastosować zmiany i sprawdź, czy rozpoznawanie DNS jest prawidłowo skonfigurowane, wydając serię poleceń ping w odniesieniu do nazwy domeny i krótkich nazw kontrolerów domeny, jak pokazano poniżej.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Skonfiguruj także nazwę hosta swojego komputera i uruchom ponownie komputer, aby prawidłowo zastosować ustawienia, wydając poniższe polecenia.

hostnamectl set-hostname your_hostname
init 6

Sprawdź, czy nazwa hosta została poprawnie zastosowana za pomocą poniższych poleceń.

cat /etc/hostname
hostname

5. Na koniec zsynchronizuj czas lokalny z Samba4 AD DC, wydając poniższe polecenia z uprawnieniami roota.

yum install ntpdate
ntpdate domain.tld

Krok 2: Dołącz do serwera CentOS 7 do Samba4 AD DC

6. Aby dołączyć serwer CentOS 7 do Samba4 Active Directory, najpierw zainstaluj na swoim komputerze następujące pakiety z konta z uprawnieniami roota.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Aby zintegrować serwer CentOS 7 z kontrolerem domeny, uruchom narzędzie graficzne authconfig-tui z uprawnieniami roota i użyj poniższych konfiguracji zgodnie z opisem poniżej.

authconfig-tui

Na pierwszym ekranie zachęty wybierz:

  • W Informacjach o użytkowniku:

    • Użyj Winbinda
  • Na karcie Uwierzytelnianie wybierz naciskając klawisz [Spacja]:

    • Użyj Hasła Shadow
    • Użyj uwierzytelniania Winbind
    • Lokalne zezwolenie jest wystarczające

8. Kliknij Dalej, aby przejść do ekranu Ustawienia Winbind i skonfigurować zgodnie z ilustracją poniżej:

  • Model zabezpieczeń: reklamy
  • Domena = TWOJA_DOMENA (użyj wielkich liter)
  • Kontrolery domeny=nazwa FQDN komputerów domeny (oddzielone przecinkami, jeśli jest więcej niż jeden)
  • Dziedzina ADS = TWOJA_DOMENA.TLD
  • Powłoka szablonu = /bin/bash

9. Aby dołączyć do domeny, przejdź do przycisku Dołącz do domeny za pomocą klawisza [tab] i naciśnij klawisz [Enter] aby dołączyć do domeny.

Na następnym ekranie dodaj poświadczenia dla konta Samba4 AD z podwyższonymi uprawnieniami, aby konto komputera mogło dołączyć do AD, a następnie naciśnij OK, aby zastosować ustawienia i zamknąć monit.

Pamiętaj, że po wpisaniu hasła użytkownika dane uwierzytelniające nie zostaną wyświetlone na ekranie hasła. Na pozostałym ekranie ponownie naciśnij OK, aby zakończyć integrację domeny dla komputera CentOS 7.

Aby wymusić dodanie maszyny do określonej jednostki organizacyjnej Samba AD, uzyskaj dokładną nazwę swojej maszyny za pomocą polecenia hostname i utwórz nowy obiekt Komputer w tej jednostce organizacyjnej z nazwą swojej maszyny.

Najlepszym sposobem na dodanie nowego obiektu do usługi Samba4 AD jest użycie narzędzia ADUC z komputera Windows zintegrowanego z domeną z zainstalowanymi narzędziami RSAT.

Ważne: alternatywną metodą dołączenia do domeny jest użycie wiersza poleceń authconfig, który zapewnia szeroką kontrolę nad procesem integracji.

Jednakże metoda ta jest podatna na błędy związane z licznymi parametrami, jak pokazano w poniższym fragmencie polecenia. Polecenie należy wpisać w jednej długiej linii.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Po przyłączeniu komputera do domeny sprawdź, czy usługa winbind działa i działa, wydając poniższe polecenie.

systemctl status winbind.service

11. Następnie sprawdź, czy obiekt maszyny CentOS został pomyślnie utworzony w Samba4 AD. Użyj narzędzia Użytkownicy i komputery usługi AD na komputerze z systemem Windows z zainstalowanymi narzędziami RSAT i przejdź do kontenera Komputery swojej domeny. Nowy obiekt konta komputera AD z nazwą serwera CentOS 7 powinien zostać wyświetlony na prawej płaszczyźnie.

12. Na koniec dostosuj konfigurację, otwierając główny plik konfiguracyjny Samby (/etc/samba/smb.conf) za pomocą edytora tekstu i dołącz poniższe linie na końcu blok konfiguracyjny [global] jak pokazano poniżej:

winbind use default domain = true
winbind offline logon = true

13. Aby utworzyć na komputerze lokalne domy dla kont AD przy pierwszym logowaniu, uruchom poniższe polecenie.

authconfig --enablemkhomedir --update

14. Na koniec zrestartuj demona Samby, aby odzwierciedlić zmiany i zweryfikować przyłączenie do domeny, logując się na serwerze za pomocą konta AD. Katalog domowy dla konta AD powinien zostać utworzony automatycznie.

systemctl restart winbind
su - domain_account

15. Wyświetl listę użytkowników domeny lub grup domen, wydając jedno z poniższych poleceń.

wbinfo -u
wbinfo -g

16. Aby uzyskać informacje o użytkowniku domeny, uruchom poniższe polecenie.

wbinfo -i domain_user

17. Aby wyświetlić podsumowanie informacji o domenie, wydaj następujące polecenie.

net ads info

Krok 3: Zaloguj się do CentOS za pomocą konta Samba4 AD DC

18. Aby uwierzytelnić się za pomocą użytkownika domeny w CentOS, użyj jednej z następujących składni wiersza poleceń.

su - ‘domain\domain_user’
su - domain\\domain_user

Lub użyj poniższej składni w przypadku, gdy winbind używa domyślnego parametru domain=true i jest ustawiony na plik konfiguracyjny Samby.

su - domain_user
su - [email 

19. Aby dodać uprawnienia roota dla użytkownika domeny lub grupy, edytuj plik sudoers za pomocą polecenia visudo i dodaj następujące linie, jak pokazano na poniższy zrzut ekranu.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Lub użyj poniższego fragmentu w przypadku, gdy winbind używa domyślnego parametru domain=true i jest ustawiony na plik konfiguracyjny Samby.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. Poniższa seria poleceń dotyczących kontrolera domeny AD Samba4 może być również przydatna do rozwiązywania problemów:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Aby opuścić domenę, uruchom następujące polecenie w odniesieniu do nazwy swojej domeny, korzystając z konta domeny z podwyższonymi uprawnieniami. Po usunięciu konta komputera z usługi AD uruchom ponownie komputer, aby cofnąć zmiany wprowadzone przed procesem integracji.

net ads leave -w DOMAIN -U domain_admin
init 6

To wszystko! Chociaż ta procedura koncentruje się głównie na dołączaniu serwera CentOS 7 do kontrolera domeny Samba4 AD DC, te same kroki opisane tutaj dotyczą również integracji serwera CentOS z Active Directory Microsoft Windows Server 2012.