Vyhledávání na webu

Integrujte Ubuntu do Samba4 AD DC s SSSD a Realm – část 15

Tento výukový program vás provede připojením Ubuntu Desktop k doméně Samba4 Active Directory s SSSD a Realmd služby za účelem ověření uživatelů proti Active Directory.

Požadavky:

  1. Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu

Krok 1: Počáteční konfigurace

1. Před zahájením připojení Ubuntu do Active Directory se ujistěte, že je název hostitele správně nakonfigurován. Pomocí příkazu hostnamectl nastavte název počítače nebo ručně upravte soubor /etc/hostname.

sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl

2. V dalším kroku upravte nastavení síťového rozhraní stroje a přidejte správné konfigurace IP a správné adresy IP serveru DNS, aby ukazovaly na řadič domény Samba AD, jak je znázorněno na obrázku níže.

Pokud jste nakonfigurovali server DHCP ve svých prostorách tak, aby automaticky přiřazoval nastavení IP pro vaše počítače v síti LAN se správnými IP adresami AD DNS, můžete tento krok přeskočit a přejít vpřed.

Na výše uvedeném snímku obrazovky 192.168.1.254 a 192.168.1.253 představují IP adresy řadičů domény Samba4.

3. Restartujte síťové služby, abyste použili změny pomocí grafického uživatelského rozhraní nebo z příkazového řádku, a zadejte sérii příkazů ping proti názvu vaší domény, abyste otestovali, zda je rozlišení DNS pracuje podle očekávání. K otestování překladu DNS také použijte příkaz host.

sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2

4. Nakonec se ujistěte, že je strojový čas synchronizován se Samba4 AD. Nainstalujte balíček ntpdate a synchronizujte čas s AD pomocí níže uvedených příkazů.

sudo apt-get install ntpdate
sudo ntpdate your_domain_name

Krok 2: Nainstalujte požadované balíčky

5. V tomto kroku nainstalujte potřebný software a požadované závislosti, abyste se mohli připojit k Ubuntu ke službám Samba4 AD DC: Realmd a SSSD.

sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Zadejte název výchozí sféry velkými písmeny a pokračujte v instalaci stisknutím klávesy Enter.

7. Dále vytvořte konfigurační soubor SSSD s následujícím obsahem.

sudo nano /etc/sssd/sssd.conf

Přidejte následující řádky do souboru sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Ujistěte se, že jste odpovídajícím způsobem nahradili název domény v následujících parametrech:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Dále přidejte správná oprávnění pro soubor SSSD zadáním níže uvedeného příkazu:

sudo chmod 700 /etc/sssd/sssd.conf

9. Nyní otevřete a upravte konfigurační soubor Realmd a přidejte následující řádky.

sudo nano /etc/realmd.conf

Výňatek ze souboru Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Poslední soubor, který potřebujete upravit, patří démonu Samba. Otevřete soubor /etc/samba/smb.conf pro úpravy a přidejte následující blok kódu na začátek souboru za sekci [global], jak je znázorněno na obrázek níže.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Ujistěte se, že jste nahradili hodnotu název domény, zejména hodnotu realm, aby odpovídala názvu vaší domény, a spusťte příkaz testparm, abyste zkontrolovali, zda je konfigurace soubor neobsahuje žádné chyby.

sudo testparm

11. Po provedení všech požadovaných změn otestujte ověřování Kerberos pomocí účtu správce AD a uveďte lístek pomocí níže uvedených příkazů.

sudo kinit [email 
sudo klist

Krok 3: Připojte se k Ubuntu k Samba4 Realm

12. Chcete-li připojit počítač Ubuntu k Samba4 Active Directory, problém s následující řadou příkazů, jak je znázorněno níže. Použijte název účtu AD DC s oprávněními správce, aby vazba na sféru fungovala podle očekávání, a podle toho nahraďte hodnotu názvu domény.

sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k

13. Po provedení vazby domény spusťte níže uvedený příkaz, abyste se ujistili, že všechny účty domény se mohou na počítači ověřovat.

sudo realm permit --all

Následně můžete povolit nebo zakázat přístup pro uživatelský účet domény nebo skupinu pomocí příkazu realm, jak je uvedeno v níže uvedených příkladech.

sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email 
realm permit DOMAIN\\User2

14. Na počítači se systémem Windows s nainstalovanými nástroji RSAT můžete otevřít AD UC a přejít do kontejneru Počítače a zkontrolovat, zda účet objektu s názvem vašeho stroje byla vytvořena.

Krok 4: Nakonfigurujte ověřování účtů AD

15. Abyste se mohli na počítači Ubuntu ověřit pomocí doménových účtů, musíte spustit příkaz pam-auth-update s oprávněními root a povolit všechny profily PAM včetně možnosti automatického vytváření domovské adresáře pro každý doménový účet při prvním přihlášení.

Zkontrolujte všechny položky stisknutím klávesy [mezera] a stisknutím ok použijte konfiguraci.

sudo pam-auth-update

16. Na systémech ručně upravte soubor /etc/pam.d/common-account a následující řádek, abyste automaticky vytvořili domovy pro ověřené uživatele domény.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Pokud uživatelé služby Active Directory nemohou změnit své heslo z příkazového řádku v systému Linux, otevřete soubor /etc/pam.d/common-password a odeberte příkaz use_authtok z řádku hesla, aby nakonec vypadal jako na níže uvedeném úryvku.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Nakonec restartujte a povolte služby Realmd a SSSD pro použití změn zadáním následujících příkazů:

sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd

19. Chcete-li otestovat, zda byl počítač Ubuntu úspěšně integrován do sféry, spusťte instalaci balíčku winbind a spusťte příkaz wbinfo pro seznam doménových účtů a skupin, jak je znázorněno níže.

sudo apt-get install winbind
wbinfo -u
wbinfo -g

20. Zkontrolujte také modul Winbind nsswitch zadáním příkazu getent proti konkrétnímu uživateli nebo skupině domény.

sudo getent passwd your_domain_user
sudo getent group ‘domain admins’

21. Můžete také použít příkaz Linux id k získání informací o účtu AD, jak je znázorněno na níže uvedeném příkazu.

id tecmint_user

22. K ověření na hostiteli Ubuntu pomocí účtu Samba4 AD použijte parametr uživatelského jména domény po příkazu su –. Spusťte příkaz id a získejte další informace o účtu AD.

su - your_ad_user

Použijte příkaz pwd k zobrazení aktuálního pracovního adresáře uživatele vaší domény a příkaz passwd, pokud chcete změnit heslo.

23. Chcete-li na svém počítači Ubuntu používat doménový účet s právy root, musíte přidat uživatelské jméno AD do systémové skupiny sudo zadáním níže uvedeného příkazu:

sudo usermod -aG sudo [email 

Přihlaste se do Ubuntu pomocí účtu domény a aktualizujte svůj systém spuštěním příkazu apt update, abyste zkontrolovali oprávnění root.

24. Chcete-li přidat oprávnění uživatele root pro skupinu domén, otevřete soubor /etc/sudoers pomocí příkazu visudo a přidejte následující řádek podle obrázku .

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Chcete-li použít ověřování účtu domény pro Ubuntu Desktop, upravte správce zobrazení LightDM úpravou /usr/share/lightdm/lightdm.conf.d/50-ubuntu. confpřipojte následující dva řádky a restartujte službu lightdm nebo restartujte počítač aplikujte změny.

greeter-show-manual-login=true
greeter-hide-users=true

Přihlaste se k Ubuntu Desktop pomocí účtu domény pomocí syntaxe uživatelské_jméno_vaše_domény nebo uživatelské_jméno_vaše_domény@vaše_doména.tld.

26. Chcete-li použít formát krátkého názvu pro účty Samba AD, upravte soubor /etc/sssd/sssd.conf, přidejte následující řádek do [sssd] blokovat, jak je znázorněno níže.

full_name_format = %1$s

a restartujte démona SSSD, abyste použili změny.

sudo systemctl restart sssd

Všimnete si, že výzva bash se změní na krátké jméno uživatele AD bez připojení protějšku názvu domény.

27. V případě, že se nemůžete přihlásit kvůli argumentu enumerate=true nastavenému v sssd.conf, musíte vymazat mezipaměť sssd zadáním příkazu níže :

rm /var/lib/sss/db/cache_tecmint.lan.ldb

To je vše! Přestože je tato příručka zaměřena hlavně na integraci s Active Directory Samba4, stejné kroky lze použít k integraci Ubuntu se službami Realmd a SSSD do Microsoft Windows Server Active Directory.