Integrasi Ubuntu ke Samba4 AD DC dengan SSSD dan Realm - Bagian 15

Integrasi Ubuntu ke Samba4 AD DC dengan SSSD dan Realm - Bagian 15

Tutorial ini akan memandu Anda tentang cara bergabung dengan Desktop ubuntu mesin ke a Samba4 Active Directory domain dengan SSSD Dan Realmd Layanan untuk mengotentikasi pengguna terhadap Direktori Aktif.

Persyaratan:

  1. Buat infrastruktur Direktori Aktif dengan Samba4 di Ubuntu

Langkah 1: Konfigurasi Awal

1. Sebelum mulai bergabung dengan Ubuntu ke Direktori Aktif, pastikan nama host dikonfigurasi dengan benar. Menggunakan hostnamectl Perintah untuk mengatur nama mesin atau mengedit secara manual /etc/hostname mengajukan.

$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc /hostname $ hostnamectl 

2. Pada langkah berikutnya, edit pengaturan antarmuka jaringan mesin dan tambahkan konfigurasi IP yang tepat dan alamat server IP DNS yang benar untuk menunjuk ke pengontrol domain iklan SAMBA seperti yang diilustrasikan dalam tangkapan layar di bawah ini.

Jika Anda telah mengonfigurasi server DHCP di tempat Anda untuk secara otomatis menetapkan pengaturan IP untuk mesin LAN Anda dengan alamat IP DNS AD yang tepat maka Anda dapat melewatkan langkah ini dan bergerak maju.

Konfigurasikan Antarmuka Jaringan

Di tangkapan layar di atas, 192.168.1.254 Dan 192.168.1.253 mewakili alamat IP dari pengontrol domain SambA4.

3. Restart layanan jaringan untuk menerapkan perubahan menggunakan GUI atau dari baris perintah dan mengeluarkan serangkaian perintah ping Terhadap nama domain Anda untuk menguji apakah resolusi DNS berfungsi seperti yang diharapkan. Juga, gunakan tuan rumah Perintah untuk menguji resolusi DNS.

$ sudo systemctl restart networking.layanan $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2 

4. Akhirnya, pastikan bahwa waktu mesin selaras dengan iklan Samba4. Install ntpdate paket dan sinkronisasi waktu dengan iklan dengan mengeluarkan perintah di bawah ini.

$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name 

Langkah 2: Pasang paket yang diperlukan

5. Pada langkah ini instal perangkat lunak yang diperlukan dan dependensi yang diperlukan untuk bergabung dengan Ubuntu ke Samba4 Ad DC: Realmd Dan SSSD jasa.

$ sudo apt install adcli ranUT KRB5-Pengguna Samba-Common-Bin Samba-Libs Samba-DSDB-Modul SSSD SSSD-Tools Libnss-SSS Libpam-SSS Paketkit PolicyKit-1 

6. Masukkan nama ranah default dengan huruf besar dan tekan Memasuki kunci untuk melanjutkan instalasi.

Atur nama ranah

7. Selanjutnya, buat SSSD file konfigurasi dengan konten berikut.

$ sudo nano/etc/sssd/sssd.conf 

Tambahkan baris berikut ke SSSD.conf mengajukan.

[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domain = tecmint.LAN config_file_version = 2 layanan = NSS, PAM Default_domain_suffix = tecmint.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = AD access_provider = iklan ldap_schema = ad dyndns_update = dyndns_refresh_interval true = 43200 dyndns_update_ptr = dyndns_ttl true = 3600 

Pastikan Anda mengganti nama domain dalam parameter berikut sesuai:

domain = tecmint.LAN DEFAULT_DOMAIN_SUFFIX = tecmint.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.Lan 

8. Selanjutnya, tambahkan izin yang tepat untuk file SSSD dengan mengeluarkan perintah di bawah ini:

$ sudo chmod 700/etc/sssd/sssd.conf 

9. Sekarang, buka dan edit Realmd file konfigurasi dan tambahkan baris berikut.

$ sudo nano /etc /realmd.conf 

Realmd.conf Kutipan file:

[Active-Directory] OS-name = Linux Ubuntu OS-Versi = 17.04 [Layanan] Automatic-Install = Ya [pengguna] default-home =/home/%d/%u default-shell =/bin/bash [tecmint.LAN] pengguna-prinsip = Ya-Names sepenuhnya berkualitas = Tidak 

10. File terakhir yang perlu Anda modifikasi milik Samba Daemon. Membuka /etc/samba/smb.conf file untuk mengedit dan menambahkan blok kode berikut di awal file, setelah [global] Bagian seperti diilustrasikan pada gambar di bawah ini.

 workgroup = penandatanganan klien tecmint = ya klien menggunakan spnego = ya metode kerberos = rahasia dan keytab realm = tecmint.LAN Security = iklan 
Konfigurasikan server samba

Pastikan Anda mengganti nama domain nilai, terutama nilai ranah untuk mencocokkan nama domain Anda dan jalankan TestParm Perintah untuk memeriksa apakah file konfigurasi tidak mengandung kesalahan.

$ sudo testparm 
Uji konfigurasi samba

11. Setelah Anda membuat semua perubahan yang diperlukan, uji otentikasi Kerberos menggunakan akun administrasi iklan dan daftarkan tiket dengan menerbitkan perintah di bawah ini.

$ sudo kinit [email dilindungi] $ sudo klist 
Periksa otentikasi Kerberos

Langkah 3: Bergabunglah dengan Ubuntu ke Samba4 Realm

12. Untuk bergabung dengan mesin Ubuntu ke Samba4 Active Directory Issue berikut serangkaian perintah seperti yang diilustrasikan di bawah ini. Gunakan nama akun AD DC dengan hak istimewa administrator agar ikatan ke ranah berfungsi seperti yang diharapkan dan ganti nilai nama domain yang sesuai.

$ sudo realm Discover -V domain.Tld $ Sudo Realm List $ Sudo Realm bergabung dengan tecmint.Lan -u ad_admin_user -v $ $ sudo net iklan bergabung -k 
Bergabunglah dengan Ubuntu ke Samba4 Realm Daftar info domain ranah Tambahkan pengguna ke ranah domain Tambahkan domain ke ranah

13. Setelah pengikatan domain terjadi, jalankan perintah di bawah ini untuk memastikan bahwa semua akun domain diizinkan untuk mengotentikasi pada mesin.

$ Sudo Realm Izin -semua 

Selanjutnya, Anda dapat mengizinkan atau menolak akses untuk akun pengguna domain atau grup menggunakan perintah ranah seperti yang disajikan pada contoh di bawah ini.

$ sudo realm disangkal -domain $ ranah -domain -grup '.tld \ linux admin '$ realm izin [email dilindungi] $ ranah domain \\ user2 

14. Dari mesin windows dengan alat RSAT yang diinstal Anda dapat membuka AD UC dan navigasikan ke Komputer wadah dan periksa apakah akun objek dengan nama mesin Anda telah dibuat.

Konfirmasi domain yang ditambahkan ke iklan DC

Langkah 4: Mengkonfigurasi otentikasi akun iklan

15. Untuk mengotentikasi pada mesin Ubuntu dengan akun domain yang perlu Anda jalankan Pam-auth-update Perintah dengan hak istimewa root dan aktifkan semua profil PAM termasuk opsi untuk secara otomatis membuat direktori rumah untuk setiap akun domain pada login pertama.

Periksa semua entri dengan menekan [ruang angkasa] kunci dan tekan Oke untuk menerapkan konfigurasi.

$ sudo pam-auth-update 
Konfigurasi PAM

16. Pada sistem edit secara manual /etc/pam.D/Common-Account file dan baris berikut untuk secara otomatis membuat rumah untuk pengguna domain yang diautentikasi.

Sesi diperlukan Pam_Mkhomedir.jadi skel =/etc/skel/uask = 0022 

17. Jika pengguna Active Directory tidak dapat mengubah kata sandi mereka dari baris perintah di Linux, buka /etc/pam.D/Common-Password file dan hapus use_authtok Pernyataan dari baris kata sandi untuk akhirnya terlihat seperti pada kutipan di bawah ini.

kata sandi [Success = 1 default = abaikan] pam_winbind.Jadi coba_first_pass 

18. Akhirnya, restart dan aktifkan layanan RealMD dan SSSD untuk menerapkan perubahan dengan menerbitkan perintah di bawah ini:

$ sudo systemctl restart realmd sssd $ sudo systemctl aktifkan sssd 

19. Untuk menguji apakah mesin Ubuntu berhasil diintegrasikan ke Realm Run Install WinBind Pack dan Run wbinfo Perintah untuk daftar akun dan grup domain seperti yang diilustrasikan di bawah ini.

$ sudo apt -get menginstal winbind $ wbinfo -u $ wbinfo -g 
Daftar akun domain

20. Juga, periksa modul WinBind NSSwitch dengan menerbitkan Getent Perintah terhadap pengguna atau grup domain tertentu.

$ sudo getent passwd your_domain_user $ sudo getent grup 'admin domain' 
Periksa WinBind NSSwitch

21. Anda juga dapat menggunakan Linux pengenal Perintah untuk mendapatkan info tentang akun iklan seperti yang diilustrasikan pada perintah di bawah ini.

$ id tecmint_user 
Periksa info pengguna iklan

22. Untuk mengautentikasi pada host Ubuntu dengan akun iklan Samba4 Gunakan parameter nama pengguna domain setelahnya su - memerintah. Berlari pengenal Perintah untuk mendapatkan info tambahan tentang akun iklan.

$ su - your_ad_user 
Otentikasi Pengguna Iklan

Menggunakan PWD Perintah untuk melihat domain Anda direktori kerja saat ini dan perintah passwd jika Anda ingin mengubah kata sandi.

23. Untuk menggunakan akun domain dengan hak istimewa root pada mesin ubuntu Anda, Anda perlu menambahkan nama pengguna iklan ke grup sistem sudo dengan mengeluarkan perintah di bawah ini:

$ sudo usermod -ag sudo [email dilindungi] 

Masuk ke Ubuntu dengan akun domain dan perbarui sistem Anda dengan menjalankan Pembaruan yang tepat Perintah untuk memeriksa hak istimewa root.

24. Untuk menambahkan hak istimewa root untuk grup domain, buka edit ujung /etc/sudoers file menggunakan Visudo Perintah dan tambahkan baris berikut seperti yang diilustrasikan.

%domain \ [email dilindungi] all = (all: all) all 

25. Untuk menggunakan otentikasi akun domain untuk Ubuntu Desktop Modify Lightdm Tampilan Manajer dengan mengedit /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf file, tambahkan dua baris berikut dan restart layanan LightDm atau reboot mesin menerapkan perubahan.

penyapa-pertunjukan-manual-login = true sawerer-hide-users = true 

Masuk ke desktop Ubuntu dengan akun domain menggunakan salah satu your_domain_username atau [email dilindungi] _domain.tld sintaksis.

26. Untuk menggunakan format nama pendek untuk akun iklan samba, edit /etc/sssd/sssd.conf file, tambahkan baris berikut [SSSD] blok seperti yang diilustrasikan di bawah ini.

full_name_format = %1 $ s 

dan restart daemon sssd untuk menerapkan perubahan.

$ sudo systemctl restart sssd 

Anda akan melihat bahwa prompt bash akan berubah ke nama pendek pengguna iklan tanpa menambahkan mitra nama domain.

27. Jika Anda tidak dapat masuk karena penghitungan = true Argumen diatur SSSD.conf Anda harus menghapus database cache SSSD dengan menerbitkan perintah di bawah ini:

$ rm/var/lib/sss/db/cache_tecmint.lan.ldb 

Itu saja! Meskipun panduan ini terutama difokuskan pada integrasi dengan Direktori Aktif Samba4, langkah -langkah yang sama dapat diterapkan untuk mengintegrasikan Ubuntu dengan layanan REALMD dan SSSD ke dalam Direktori Aktif Microsoft Server Active.