Wyszukiwanie w witrynie

Zintegruj Ubuntu 16.04 z AD jako członek domeny z Sambą i Winbind — część 8

W tym samouczku opisano, jak dołączyć komputer Ubuntu do domeny Samba4 Active Directory w celu uwierzytelnienia kont AD za pomocą lokalnych ACL dla plików i katalogów lub do tworzenia i mapowania udziałów wolumenowych dla użytkowników kontrolera domeny (działa jako serwer plików).

Wymagania:

  1. Utwórz infrastrukturę Active Directory za pomocą Samby4 na Ubuntu

Krok 1: Wstępne konfiguracje umożliwiające dołączenie Ubuntu do Samba4 AD

1. Przed rozpoczęciem dołączania hosta Ubuntu do Active Directory DC musisz upewnić się, że niektóre usługi są poprawnie skonfigurowane na komputerze lokalnym.

Ważnym aspektem Twojego komputera jest nazwa hosta. Ustaw prawidłową nazwę komputera przed dołączeniem do domeny za pomocą polecenia hostnamectl lub ręcznie edytując plik /etc/hostname.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. W następnym kroku otwórz i ręcznie edytuj ustawienia sieciowe swojego urządzenia, wprowadzając odpowiednie konfiguracje IP. Najważniejszymi ustawieniami są tutaj adresy IP DNS, które wskazują na kontroler domeny.

Edytuj plik /etc/network/interfaces i dodaj instrukcję dns-nameservers z właściwymi adresami IP usługi AD i nazwą domeny, jak pokazano na poniższym zrzucie ekranu.

Upewnij się także, że te same adresy IP DNS i nazwa domeny zostały dodane do pliku /etc/resolv.conf.

Na powyższym zrzucie ekranu 192.168.1.254 i 192.168.1.253 to adresy IP Samba4 AD DC i Tecmint.lan< reprezentuje nazwę domeny AD, do której będą odpytywane wszystkie maszyny zintegrowane z dziedziną.

3. Uruchom ponownie usługi sieciowe lub uruchom ponownie komputer, aby zastosować nową konfigurację sieci. Wydaj polecenie ping w stosunku do nazwy swojej domeny, aby sprawdzić, czy rozpoznawanie DNS działa zgodnie z oczekiwaniami.

Domen domeny AD powinien odtworzyć swoją nazwę FQDN. Jeśli skonfigurowałeś serwer DHCP w swojej sieci, aby automatycznie przypisywał ustawienia IP hostom w sieci LAN, pamiętaj o dodaniu adresów IP AD DC do konfiguracji DNS serwera DHCP.


systemctl restart networking.service
ping -c2 your_domain_name

4. Ostatnią ważną wymaganą konfiguracją jest synchronizacja czasu. Zainstaluj pakiet ntpdate, zapytaj i zsynchronizuj czas z AD DC, wydając poniższe polecenia.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. W następnym kroku zainstaluj oprogramowanie wymagane przez komputer Ubuntu do pełnej integracji z domeną, uruchamiając poniższe polecenie.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Podczas instalowania pakietów Kerberos powinieneś zostać poproszony o podanie nazwy domyślnej dziedziny. Użyj nazwy swojej domeny pisanej wielkimi literami i naciśnij klawisz Enter, aby kontynuować instalację.

6. Po zakończeniu instalacji wszystkich pakietów przetestuj uwierzytelnianie Kerberos na koncie administracyjnym AD i wyświetl zgłoszenie, wydając poniższe polecenia.


kinit ad_admin_user
klist

Krok 2: Dołącz do Ubuntu w Samba4 AD DC

7. Pierwszym krokiem w integracji komputera Ubuntu z domeną Samba4 Active Directory jest edycja pliku konfiguracyjnego Samby.

Utwórz kopię zapasową domyślnego pliku konfiguracyjnego Samby, dostarczonego przez menedżera pakietów, aby rozpocząć od czystej konfiguracji, uruchamiając następujące polecenia.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

W nowym pliku konfiguracyjnym Samby dodaj poniższe linie:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Zastąp zmienne workgroup, realm, netbios name i dns forwarder własnymi ustawieniami niestandardowymi.

Parametr winbind użyj domeny domyślnej powoduje, że usługa winbind traktuje wszelkie niekwalifikowane nazwy użytkowników AD jako użytkowników AD. Powinieneś pominąć ten parametr, jeśli masz nazwy kont w systemie lokalnym, które pokrywają się z kontami AD.

8. Teraz powinieneś zrestartować wszystkie demony samby, zatrzymać i usunąć niepotrzebne usługi oraz włączyć usługi samby w całym systemie, wydając poniższe polecenia.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Dołącz komputer Ubuntu do Samba4 AD DC, wydając następujące polecenie. Użyj nazwy konta AD DC z uprawnieniami administratora, aby powiązanie z dziedziną działało zgodnie z oczekiwaniami.


sudo net ads join -U ad_admin_user

10. Na komputerze z systemem Windows i zainstalowanymi narzędziami RSAT możesz otworzyć AD UC i przejść do kontenera Komputery. Tutaj powinna zostać wyświetlona Twoja maszyna dołączona do Ubuntu.

Krok 3: Skonfiguruj uwierzytelnianie kont AD

11. Aby przeprowadzić uwierzytelnianie kont AD na komputerze lokalnym, musisz zmodyfikować niektóre usługi i pliki na komputerze lokalnym.

Najpierw otwórz i edytuj plik konfiguracyjny The Name Service Switch (NSS).


sudo nano /etc/nsswitch.conf

Następnie dołącz wartość winbind do linii passwd i group, jak pokazano w poniższym fragmencie.


passwd:         compat winbind
group:          compat winbind

12. Aby sprawdzić, czy komputer Ubuntu został pomyślnie zintegrowany z dziedziną, uruchom polecenie wbinfo, aby wyświetlić listę kont i grup domen.


wbinfo -u
wbinfo -g

13. Sprawdź także moduł Winbind nsswitch, wydając polecenie getent i przesyłając wyniki przez filtr taki jak grep, aby zawęzić dane wyjściowe tylko dla określonych użytkowników domeny lub grup.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Aby uwierzytelnić się na komputerze Ubuntu z kontami domenowymi, musisz uruchomić komendę pam-auth-update z uprawnieniami roota i dodać wszystkie wpisy wymagane do usługi winbind i do automatycznie twórz katalogi domowe dla każdego konta domeny przy pierwszym logowaniu.

Sprawdź wszystkie wpisy, naciskając klawisz [space] i naciśnij ok, aby zastosować konfigurację.


sudo pam-auth-update

15. W systemach Debian musisz ręcznie edytować plik /etc/pam.d/common-account i następujący wiersz, aby automatycznie tworzyć domy dla uwierzytelnionych użytkowników domeny.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Aby użytkownicy Active Directory mogli zmienić hasło z wiersza poleceń w systemie Linux otwórz /etc/pam.d/common-password plik i usuń instrukcję use_authtok z linii hasła, aby ostatecznie wyglądać jak w poniższym fragmencie.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Aby uwierzytelnić się na hoście Ubuntu za pomocą konta Samba4 AD, użyj parametru nazwy użytkownika domeny po poleceniu su –. Uruchom polecenie id, aby uzyskać dodatkowe informacje o koncie AD.


su - your_ad_user

Użyj polecenia pwd, aby zobaczyć bieżący katalog użytkownika domeny i polecenia passwd, jeśli chcesz zmienić hasło.

18. Aby używać konta domeny z uprawnieniami roota na komputerze Ubuntu, musisz dodać nazwę użytkownika AD do grupy systemowej Sudo, wydając poniższe polecenie:


sudo usermod -aG sudo your_domain_user

Zaloguj się do Ubuntu przy użyciu konta domeny i zaktualizuj swój system, uruchamiając polecenie apt-get update, aby sprawdzić, czy użytkownik domeny ma uprawnienia roota.

19. Aby dodać uprawnienia roota dla grupy domeny, otwórz i edytuj plik /etc/sudoers za pomocą polecenia visudo i dodaj następujący wiersz, jak pokazano na ilustracji na poniższym zrzucie ekranu.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Użyj ukośników odwrotnych, aby uciec od spacji zawartych w nazwie grupy domeny lub aby uniknąć pierwszego odwrotnego ukośnika. W powyższym przykładzie grupa domeny dla dziedziny TECMINT nosi nazwę „administratorzy domeny”.

Poprzedzający znak procentu (%) wskazuje, że mówimy o grupie, a nie nazwie użytkownika.

20. Jeśli używasz graficznej wersji Ubuntu i chcesz zalogować się do systemu z użytkownikiem domeny, musisz zmodyfikować menedżera wyświetlania LightDM, edytując /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf dodaj następujące wiersze i uruchom ponownie komputer, aby odzwierciedlić zmiany.


greeter-show-manual-login=true
greeter-hide-users=true

Powinno być teraz możliwe logowanie się na Ubuntu Desktop przy użyciu konta domeny w formacie nazwa_użytkownika_twoja_domena, nazwa_użytkownika_twoja_domena@twoja_domena.tld lub nazwa_użytkownika_twoja_domena .