Integréiert Ubuntu 16.04 op AD als Domain Member mat Samba a Winbind - Deel 8
Dësen Tutorial beschreift wéi Dir eng Ubuntu Maschinn an e Samba4 Active Directory Domain verbënnt fir AD Konten mat lokalen ACL fir Dateien an Verzeichnisser ze authentifizéieren oder Volumendeele fir Domain Controller Benotzer ze kreéieren an ze mapen (als Dateieserver handelen).
- Erstellt eng Active Directory Infrastruktur mat Samba4 op Ubuntu
Schrëtt 1: Initial Konfiguratiounen fir Ubuntu mat Samba4 AD ze verbannen
1. Ier Dir ufänkt mat engem Ubuntu-Host an en Active Directory DC matzemaachen, musst Dir sécher sinn datt verschidde Servicer op der lokaler Maschinn richteg konfiguréiert sinn.
E wichtegen Aspekt vun Ärer Maschinn representéiert den Hostnumm. Setzt e richtege Maschinnnumm ier Dir an d'Domain bäitrieden mat der Hëllef vum Hostnamectl Kommando oder andeems Dir /etc/hostname Datei manuell z'änneren.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Op den nächste Schrëtt, öffnen a manuell Är Maschinn Netzwierk Astellunge mat de passenden IP Konfiguratiounen änneren. Déi wichtegst Astellungen hei sinn d'DNS IP Adressen déi op Ären Domain Controller weisen.
Änneren /etc/network/interfaces Datei a füügt dns-Nameservers Ausso mat Äre richtege AD IP Adressen an Domain Numm un wéi op de Screenshot hei ënnen illustréiert.
Gitt och sécher datt déiselwecht DNS IP Adressen an den Domain Numm op /etc/resolv.conf Datei bäigefüügt ginn.
Am uewe genannte Screenshot, 192.168.1.254 an 192.168.1.253 sinn d'IP Adressen vum Samba4 AD DC an Tecmint.lan representéiert den Numm vum AD Domain, deen vun alle Maschinnen a Räich integréiert gëtt.
3. Restart d'Netzwierkservicer oder restart d'Maschinn fir déi nei Netzwierkkonfiguratiounen z'applizéieren. Gitt e Ping Kommando géint Ären Domain Numm fir ze testen ob DNS Resolutioun funktionnéiert wéi erwaart.
Den AD DC soll mat sengem FQDN widderhuelen. Am Fall wou Dir en DHCP-Server an Ärem Netz konfiguréiert hutt fir automatesch IP-Astellunge fir Är LAN-Hosts ze ginn, vergewëssert Iech datt Dir AD DC IP Adressen un d'DHCP-Server DNS-Konfiguratiounen bäidréit.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Déi lescht wichteg Configuratioun néideg ass duerch Zäit Synchroniséierung vertrueden. Installéiert ntpdate Package, Ufro a Synchroniséierungszäit mam AD DC andeems Dir déi folgend Kommandoen ausgëtt.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Op de nächste Schrëtt installéiert d'Software déi vun der Ubuntu Maschinn erfuerderlech ass fir voll an d'Domain integréiert ze ginn andeems Dir de Kommando hei ënnen leeft.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Wärend d'Kerberos Packagen installéieren, sollt Dir gefrot ginn den Numm vun Ärem Standardräich anzeginn. Benotzt den Numm vun Ärem Domain mat grousse Buschtawen an dréckt Enter Schlëssel fir d'Installatioun weiderzemaachen.
6. Nodeems all Packagen d'Installatioun fäerdeg sinn, testen d'Kerberos Authentifikatioun géint en AD Administrativ Kont a lëscht den Ticket andeems Dir déi folgend Kommandoen ausgëtt.
# kinit ad_admin_user # klist
Schrëtt 2: Maacht mat Ubuntu op Samba4 AD DC
7. Den éischte Schrëtt fir d'Ubuntu Maschinn an de Samba4 Active Directory Domain z'integréieren ass d'Samba Konfiguratiounsdatei z'änneren.
Backupéiert d'Standardkonfiguratiounsdatei vu Samba, geliwwert vum Package Manager, fir mat enger propperer Konfiguratioun unzefänken andeems Dir déi folgend Kommandoen ausféiert.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Op der neier Samba Konfiguratiounsdatei füügt déi folgend Zeilen derbäi:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Ersetzen Aarbechtsgrupp, Räich, Netbios Numm an dns Forwarder Variablen mat Ären eegene personaliséierten Astellungen.
De winbind benotzt Standard Domain Parameter verursaacht winbind Service fir all onqualifizéiert AD Benotzernimm als Benotzer vun der AD ze behandelen. Dir sollt dëse Parameter ausgoen wann Dir lokal Systemkontennimm hutt déi AD Konten iwwerlappen.
8. Elo sollt Dir all Samba-Dämonen nei starten an onnéideg Servicer stoppen an ewechhuelen an d'Samba-Servicer systemwäit aktivéieren andeems Dir déi folgend Kommandoen ausginn.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Maacht mat Ubuntu Maschinn op Samba4 AD DC andeems Dir de folgende Kommando ausginn. Benotzt den Numm vun engem AD DC Kont mat Administrator Privilegien fir datt d'Verbindung zum Räich funktionnéiert wéi erwaart.
$ sudo net ads join -U ad_admin_user
10. Vun enger Windows Maschinn mat RSAT Tools installéiert kënnt Dir AD UC opmaachen an op Computeren Container navigéieren. Hei sollt Är Ubuntu ugeschloss Maschinn opgelëscht sinn.
Schrëtt 3: AD Konten Authentifikatioun konfiguréieren
11. Fir d'Authentifikatioun fir AD Konten op der lokaler Maschinn ze maachen, musst Dir e puer Servicer an Dateien op der lokaler Maschinn änneren.
Als éischt, öffnen an änneren d'Name Service Switch (NSS) Konfiguratiounsdatei.
$ sudo nano /etc/nsswitch.conf
Nächst bäidréit de Winbind-Wäert fir passwd a Gruppelinnen wéi illustréiert am ënnen Auszuch.
passwd: compat winbind group: compat winbind
12. Fir ze testen ob d'Ubuntu Maschinn erfollegräich integréiert gouf fir Räich ze lafen wbinfo Kommando fir Domainkonten a Gruppen ze lëschten.
$ wbinfo -u $ wbinfo -g
13. Kontrolléiert och Winbind nsswitch Modul andeems Dir de Gegent Kommando ausginn an d'Resultater duerch e Filter wéi grep päifen fir d'Ausgab nëmme fir spezifesch Domain Benotzer oder Gruppen ze schmuel.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Fir op Ubuntu Maschinn mat Domain Konten ze authentifizéieren musst Dir pam-auth-update Kommando mat Root Privilegien ausféieren an all d'Entréen addéieren, déi fir Winbind Service erfuerderlech sinn an automatesch Heemverzeichnungen fir all Domainkonto beim éischte Login erstellen.
Iwwerpréift all Entréen andeems Dir [Space] Schlëssel dréckt a klickt op ok fir d'Konfiguratioun z'applizéieren.
$ sudo pam-auth-update
15. Op Debian Systemer musst Dir manuell /etc/pam.d/common-account Datei änneren an déi folgend Linn fir automatesch Haiser fir authentifizéiert Domain Benotzer ze kreéieren.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Fir datt Active Directory Benotzer fäeg sinn Passwuert vun der Kommandozeil an Linux z'änneren, oppen /etc/pam.d/common-password-Datei an d'Use_authtok Ausso vun der Passwuertlinn erofhuelen fir endlech ze kucken wéi um ënnen Auszuch.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Fir op Ubuntu Host ze authentifizéieren mat engem Samba4 AD Kont benotzt den Domain Benotzernumm Parameter no su - Kommando. Run ID Kommando fir extra Informatioun iwwer den AD Kont ze kréien.
$ su - your_ad_user
Benotzt pwd Kommando fir Ären Domain Benotzer aktuellen Verzeechnes an passwd Kommando ze gesinn wann Dir Passwuert änneren wëllt.
18. Fir e Domainkonto mat Root-Privilegien op Ärer Ubuntu-Maschinn ze benotzen, musst Dir den AD Benotzernumm an d'Sudo-Systemgrupp addéieren andeems Dir de folgende Kommando ausgitt:
$ sudo usermod -aG sudo your_domain_user
Login op Ubuntu mat dem Domainkonto an aktualiséieren Äre System andeems Dir den apt-get update Kommando ausféiert fir ze kontrolléieren ob den Domain Benotzer Root Privilegien huet.
19. Fir Root Privilegien fir eng Domaingrupp ze addéieren, öffnen d'Enn änneren /etc/sudoers Datei mat visudo Kommando a fügen d'folgend Zeil bäi wéi op de Screenshot hei ënnen illustréiert.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Benotzt Backslashes fir Plazen an Ärem Domain Group Numm ze flüchten oder fir den éischte Backslash ze entkommen. Am uewe genannte Beispill gëtt d'Domaingrupp fir TECMINT Räich Domain Admins genannt.
Dat viregt Prozent Zeechen (%) Symbol weist datt mir op eng Grupp schwätzen, net e Benotzernumm.
20. Am Fall wou Dir déi grafesch Versioun vun Ubuntu leeft an Dir wëllt op de System mat engem Domain Benotzer aloggen, musst Dir de LightDM Display Manager änneren andeems Dir /usr/share/lightdm/lightdm.conf.d/50-ubuntu ännert .conf Datei, fügen d'folgend Zeilen derbäi an d'Maschinn nei starten fir Ännerungen ze reflektéieren.
greeter-show-manual-login=true greeter-hide-users=true
Et soll elo fäeg sinn Login op Ubuntu Desktop mat engem Domainkonto auszeféieren andeems entweder your_domain_username oder [email _domain.tld oder your_domain\ your_domain_username Format benotzt.