Vyhledávání na webu

Integrujte CentOS 7 do Samba4 AD z příkazového řádku – část 14

Tato příručka vám ukáže, jak můžete integrovat server CentOS 7 bez grafického uživatelského rozhraní do řadiče domény Samba4 Active Directory z příkazového řádku pomocí softwaru Authconfig.

Tento typ nastavení poskytuje jedinou centralizovanou databázi účtů drženou společností Samba a umožňuje uživatelům AD ověřovat se na serveru CentOS v rámci síťové infrastruktury.

Požadavky

  1. Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu
  2. Průvodce instalací CentOS 7.3

Krok 1: Nakonfigurujte CentOS pro Samba4 AD DC

1. Než začnete připojovat CentOS 7 Server k Samba4 DC, musíte se ujistit, že síťové rozhraní je správně nakonfigurováno pro dotazování domény přes DNS servis.

Spusťte příkaz ip address pro zobrazení seznamu síťových rozhraní vašeho počítače a vyberte konkrétní síťovou kartu, kterou chcete upravit, zadáním příkazu nmtui-edit proti názvu rozhraní, jako je v tomto příkladu ens33, např. znázorněno níže.

ip address
nmtui-edit ens33

2. Jakmile je síťové rozhraní otevřeno pro úpravy, přidejte statické konfigurace IPv4, které se nejlépe hodí pro vaši LAN, a ujistěte se, že jste nastavili IP adresy Samba AD Domain Controllers pro servery DNS.

Přidejte také název své domény do pole pro vyhledávání domén a přejděte na tlačítko OK pomocí klávesy [TAB] pro použití změn.

Vyhledané domény zaručují, že protějšek domény je automaticky připojen pomocí rozlišení DNS (FQDN), pokud pro záznam DNS domény použijete pouze krátký název.

3. Nakonec restartujte síťového démona, abyste aplikovali změny, a otestujte, zda je správně nakonfigurováno rozlišení DNS vydáním série příkazů ping proti názvu domény a krátkých názvů řadičů domény, jak je znázorněno níže.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Také nakonfigurujte název hostitele vašeho počítače a restartujte počítač, aby se nastavení správně uplatnilo, zadáním následujících příkazů.

hostnamectl set-hostname your_hostname
init 6

Pomocí níže uvedených příkazů ověřte, zda byl název hostitele správně použit.

cat /etc/hostname
hostname

5. Nakonec synchronizujte místní čas se Samba4 AD DC zadáním níže uvedených příkazů s právy root.

yum install ntpdate
ntpdate domain.tld

Krok 2: Připojte CentOS 7 Server k Samba4 AD DC

6. Chcete-li se připojit k serveru CentOS 7 k Samba4 Active Directory, nejprve nainstalujte na svůj počítač následující balíčky z účtu s právy root.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Chcete-li integrovat server CentOS 7 do řadiče domény, spusťte grafickou utilitu authconfig-tui s právy root a použijte níže uvedené konfigurace, jak je popsáno níže.

authconfig-tui

Na první obrazovce s výzvou vyberte:

  • Na stránce Informace o uživateli:

    • Použijte Winbind

  • Na kartě Authentication vyberte stisknutím klávesy [Mezerník]:

    • Použijte Stínové heslo
    • Použijte Winbind Authentication
    • Stačí místní povolení

8. Stisknutím Další pokračujte na obrazovku Winbind Settings a nakonfigurujte ji, jak je znázorněno níže:

  • Bezpečnostní model: reklamy
  • Doména = VAŠE_DOMÉNA (použijte velká písmena)
  • Domain Controllers=doménové stroje FQDN (pokud je více než jeden oddělený čárkou)
  • ADS Realm = VAŠE_DOMÉNA.TLD
  • Shell šablony = /bin/bash

9. Chcete-li provést připojení k doméně, přejděte na tlačítko Připojit se k doméně pomocí klávesy [tab] a stiskněte klávesu [Enter] připojit se k doméně.

Na další obrazovce přidejte přihlašovací údaje pro účet Samba4 AD se zvýšenými oprávněními k provedení připojení účtu počítače k AD a kliknutím na OK použijte nastavení a zavřete výzvu.

Uvědomte si, že když zadáte heslo uživatele, přihlašovací údaje se na obrazovce hesla nezobrazí. Na zbývající obrazovce stiskněte znovu OK a dokončete integraci domény pro počítač CentOS 7.

Chcete-li vynutit přidání počítače do konkrétní Organizační jednotky Samba AD, získejte přesný název počítače pomocí příkazu hostname a vytvořte v této organizační jednotce nový objekt Počítač s názvem vašeho počítače.

Nejlepší způsob, jak přidat nový objekt do Samba4 AD, je pomocí nástroje ADUC ze stroje Windows integrovaného do domény s nainstalovanými nástroji RSAT.

Důležité: Alternativní metodou připojení k doméně je použití příkazového řádku authconfig, který nabízí rozsáhlou kontrolu nad procesem integrace.

Tato metoda je však náchylná k chybám v mnoha parametrech, jak je znázorněno na níže uvedeném úryvku příkazu. Příkaz musí být napsán do jednoho dlouhého řádku.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Po připojení počítače k doméně ověřte, zda je služba winbind spuštěna a spuštěna zadáním níže uvedeného příkazu.

systemctl status winbind.service

11. Poté zkontrolujte, zda byl objekt stroje CentOS úspěšně vytvořen v Samba4 AD. Použijte nástroj Uživatelé a počítače služby AD z počítače se systémem Windows s nainstalovanými nástroji RSAT a přejděte do kontejneru Počítače vaší domény. Nový objekt účtu počítače AD s názvem vašeho serveru CentOS 7 by měl být uveden ve správné rovině.

12. Nakonec vylaďte konfiguraci otevřením hlavního konfiguračního souboru samby (/etc/samba/smb.conf) v textovém editoru a na konec souboru přidejte níže uvedené řádky konfigurační blok [global], jak je znázorněno níže:

winbind use default domain = true
winbind offline logon = true

13. Chcete-li na počítači vytvořit místní domovy pro účty AD při jejich prvním přihlášení, spusťte níže uvedený příkaz.

authconfig --enablemkhomedir --update

14. Nakonec restartujte démona Samba, aby se projevily změny, a ověřte připojení k doméně provedením přihlášení na server pomocí účtu AD. Domovský adresář pro účet AD by měl být vytvořen automaticky.

systemctl restart winbind
su - domain_account

15. Vypište uživatele nebo skupiny domén pomocí jednoho z následujících příkazů.

wbinfo -u
wbinfo -g

16. Chcete-li získat informace o uživateli domény, spusťte níže uvedený příkaz.

wbinfo -i domain_user

17. Chcete-li zobrazit souhrnné informace o doméně, zadejte následující příkaz.

net ads info

Krok 3: Přihlaste se do CentOS pomocí účtu Samba4 AD DC

18. K ověření uživatele domény v CentOS použijte jednu z následujících syntaxí příkazového řádku.

su - ‘domain\domain_user’
su - domain\\domain_user

Nebo použijte níže uvedenou syntaxi v případě, že winbind používá výchozí doménu=true parametr je nastaven na konfigurační soubor samba.

su - domain_user
su - [email 

19. Chcete-li přidat oprávnění uživatele root pro uživatele nebo skupinu domény, upravte soubor sudoers pomocí příkazu visudo a přidejte následující řádky, jak je znázorněno na níže uvedený snímek obrazovky.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Nebo použijte níže uvedený úryvek v případě, že winbind používá výchozí doménu=true parametr je nastaven na konfigurační soubor samba.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. Následující série příkazů proti Samba4 AD DC může být také užitečná pro účely odstraňování problémů:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Chcete-li doménu opustit, spusťte následující příkaz proti názvu vaší domény pomocí účtu domény se zvýšenými oprávněními. Po odstranění účtu počítače z AD restartujte počítač, aby se vrátily změny před procesem integrace.

net ads leave -w DOMAIN -U domain_admin
init 6

To je vše! Ačkoli je tento postup zaměřen hlavně na připojení serveru CentOS 7 k Samba4 AD DC, stejné kroky popsané zde platí také pro integraci serveru CentOS do Microsoft Windows Server 2012 Active Directory.