Vyhledávání na webu

Integrujte Ubuntu 16.04 do AD jako člena domény se Sambou a Winbindem – část 8

Tento tutoriál popisuje, jak připojit počítač Ubuntu do domény Samba4 Active Directory za účelem ověření účtů AD pomocí místního ACL pro soubory a adresáře nebo k vytváření a mapování sdílených svazků pro uživatele řadiče domény (fungovat jako souborový server).

Požadavky:

  1. Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu

Krok 1: Počáteční konfigurace pro připojení Ubuntu k Samba4 AD

1. Před zahájením připojení k hostiteli Ubuntu do Active Directory DC se musíte ujistit, že některé služby jsou na místním počítači správně nakonfigurovány.

Důležitým aspektem vašeho počítače je název hostitele. Před připojením k doméně nastavte správný název počítače pomocí příkazu hostnamectl nebo ruční úpravou souboru /etc/hostname.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. V dalším kroku otevřete a ručně upravte síťová nastavení vašeho počítače se správnou konfigurací IP. Nejdůležitější nastavení zde jsou adresy IP DNS, které ukazují zpět na váš řadič domény.

Upravte soubor /etc/network/interfaces a přidejte příkaz dns-nameservers s vašimi správnými AD IP adresami a názvem domény, jak je znázorněno na níže uvedeném snímku obrazovky.

Také se ujistěte, že do souboru /etc/resolv.conf jsou přidány stejné IP adresy DNS a název domény.

Na výše uvedeném snímku obrazovky jsou 192.168.1.254 a 192.168.1.253 IP adresy zařízení Samba4 AD DC a Tecmint.lan< představuje název domény AD, na kterou se budou dotazovat všechny stroje integrované do realmu.

3. Restartujte síťové služby nebo restartujte počítač, abyste mohli použít nové konfigurace sítě. Zadáním příkazu ping proti názvu vaší domény otestujte, zda překlad DNS funguje podle očekávání.

AD DC by se měl přehrát se svým FQDN. V případě, že jste ve své síti nakonfigurovali server DHCP tak, aby automaticky přiřazoval nastavení IP hostitelům v síti LAN, nezapomeňte přidat adresy IP AD DC do konfigurací DNS serveru DHCP.


systemctl restart networking.service
ping -c2 your_domain_name

4. Poslední důležitá požadovaná konfigurace je synchronizace času. Nainstalujte balíček ntpdate, dotazujte se a synchronizujte čas s AD DC zadáním níže uvedených příkazů.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. V dalším kroku nainstalujte software požadovaný pro počítač Ubuntu, aby byl plně integrován do domény, spuštěním níže uvedeného příkazu.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Během instalace balíčků Kerberos byste měli být požádáni o zadání názvu vaší výchozí sféry. Použijte název své domény velkými písmeny a pokračujte v instalaci stisknutím klávesy Enter.

6. Po dokončení instalace všech balíčků otestujte autentizaci Kerberos proti účtu správce AD a uveďte lístek pomocí níže uvedených příkazů.


kinit ad_admin_user
klist

Krok 2: Připojte Ubuntu k Samba4 AD DC

7. Prvním krokem při integraci počítače Ubuntu do domény Samba4 Active Directory je úprava konfiguračního souboru Samba.

Zálohujte výchozí konfigurační soubor Samby, který poskytuje správce balíčků, abyste mohli začít s čistou konfigurací spuštěním následujících příkazů.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Do nového konfiguračního souboru Samba přidejte následující řádky:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Nahraďte proměnné workgroup, realm, název netbios a dns forwarder svým vlastním nastavením.

Parametr winbind use default domain způsobí, že služba winbind bude považovat všechna nekvalifikovaná uživatelská jména AD za uživatele AD. Tento parametr byste měli vynechat, pokud máte názvy lokálních systémových účtů, které se překrývají s účty AD.

8. Nyní byste měli restartovat všechny démony samby a zastavit a odstranit nepotřebné služby a povolit služby samba v celém systému vydáním níže uvedených příkazů.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Připojte se k počítači Ubuntu k Samba4 AD DC zadáním následujícího příkazu. Použijte název účtu AD DC s oprávněními správce, aby vazba na sféru fungovala podle očekávání.


sudo net ads join -U ad_admin_user

10. Na počítači se systémem Windows s nainstalovanými nástroji RSAT můžete otevřít AD UC a přejít do kontejneru Počítače. Zde by měl být uveden váš počítač připojený k Ubuntu.

Krok 3: Nakonfigurujte ověřování účtů AD

11. Chcete-li provést ověření pro účty AD na místním počítači, musíte upravit některé služby a soubory na místním počítači.

Nejprve otevřete a upravte konfigurační soubor The Name Service Switch (NSS).


sudo nano /etc/nsswitch.conf

Dále připojte hodnotu winbind pro řádky passwd a group, jak je znázorněno na níže uvedeném úryvku.


passwd:         compat winbind
group:          compat winbind

12. Chcete-li otestovat, zda byl počítač Ubuntu úspěšně integrován do sféry, spusťte příkaz wbinfo pro seznam doménových účtů a skupin.


wbinfo -u
wbinfo -g

13. Také zkontrolujte modul Winbind nsswitch zadáním příkazu getent a výsledky proveďte přes filtr, jako je grep, abyste zúžili výstup pouze na konkrétní uživatele nebo skupiny domény.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Abyste se mohli na počítači Ubuntu ověřit pomocí doménových účtů, musíte spustit příkaz pam-auth-update s právy root a přidat všechny položky požadované pro službu winbind a automaticky vytvoří domovské adresáře pro každý doménový účet při prvním přihlášení.

Zkontrolujte všechny položky stisknutím klávesy [mezera] a stisknutím ok použijte konfiguraci.


sudo pam-auth-update

15. Na systémech Debian musíte ručně upravit soubor /etc/pam.d/common-account a následující řádek, abyste automaticky vytvořili domovy pro ověřené uživatele domény.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Aby uživatelé Active Directory mohli změnit heslo z příkazového řádku v Linuxu, otevřete /etc/pam.d/common-password soubor a odstraňte příkaz use_authtok z řádku hesla, abyste nakonec vypadali jako na níže uvedeném úryvku.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. K ověření na hostiteli Ubuntu pomocí účtu Samba4 AD použijte parametr uživatelského jména domény po příkazu su –. Spusťte příkaz id a získejte další informace o účtu AD.


su - your_ad_user

Použijte příkaz pwd k zobrazení aktuálního adresáře uživatele domény a příkaz passwd, pokud chcete změnit heslo.

18. Chcete-li na svém počítači Ubuntu používat doménový účet s právy root, musíte přidat uživatelské jméno AD do systémové skupiny sudo zadáním níže uvedeného příkazu:


sudo usermod -aG sudo your_domain_user

Přihlaste se do Ubuntu pomocí účtu domény a aktualizujte svůj systém spuštěním příkazu apt-get update, abyste zkontrolovali, zda má uživatel domény oprávnění root.

19. Chcete-li přidat oprávnění uživatele root pro skupinu domén, otevřete soubor /etc/sudoers pomocí příkazu visudo a přidejte následující řádek podle obrázku na níže uvedeném snímku obrazovky.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Zpětná lomítka použijte k uniknutí mezer obsažených v názvu skupiny domén nebo k uniknutí prvního zpětného lomítka. Ve výše uvedeném příkladu je skupina domén pro sféru TECMINT pojmenována „administrátoři domény“.

Předchozí symbol znaku procenta (%) označuje, že se odkazujeme na skupinu, nikoli na uživatelské jméno.

20. V případě, že používáte grafickou verzi Ubuntu a chcete se přihlásit do systému s doménovým uživatelem, musíte upravit správce zobrazení LightDM úpravou /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf, přidejte následující řádky a restartujte počítač, aby se změny projevily.


greeter-show-manual-login=true
greeter-hide-users=true

Nyní by měl být schopen provádět přihlášení na Ubuntu Desktop pomocí účtu domény ve formátu vaše_uživatelské_jméno_domény nebo uživatelské_jméno_vaše_domény@vaše_doména.tld nebo vaše_doména\uživatelské_jméno_vaše_domény .