Integréiert Ubuntu op Samba4 AD DC mat SSSD a Räich - Deel 15

Dësen Tutorial wäert Iech guidéieren wéi Dir eng Ubuntu Desktop Maschinn an e Samba4 Active Directory Domain mat SSSD a Realmd Servicer verbënnt fir d'Benotzer géint en Active Directory ze authentifizéieren.

  1. Erstellt eng Active Directory Infrastruktur mat Samba4 op Ubuntu

Schrëtt 1: Éischt Konfiguratiounen

1. Ier Dir ufänkt Ubuntu an en Active Directory matzemaachen, gitt sécher datt den Hostnumm richteg konfiguréiert ass. Benotzt den Hostnamectl Kommando fir de Maschinnnumm ze setzen oder manuell /etc/hostname Datei z'änneren.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Op de nächste Schrëtt, änneren Maschinn Netzwierk Interface Astellungen a fügen déi richteg IP Konfiguratiounen an déi richteg DNS IP Server Adressen un fir op de Samba AD Domain Controller ze weisen wéi am Screenshot hei ënnen illustréiert.

Wann Dir en DHCP-Server bei Äre Raimlechkeeten konfiguréiert hutt fir automatesch IP-Astellunge fir Är LAN-Maschinnen mat de passenden AD DNS IP Adressen ze ginn, da kënnt Dir dëse Schrëtt iwwersprangen a weidergoen.

Am uewe genannte Screenshot representéieren 192.168.1.254 an 192.168.1.253 d'IP Adresse vun de Samba4 Domain Controller.

3. Restart d'Netzwierkservicer fir d'Ännerunge mat der GUI oder vun der Kommandozeil z'applizéieren an eng Serie vu Ping-Kommando géint Ären Domain Numm auszeginn fir ze testen ob DNS-Resolutioun funktionnéiert wéi erwaart. Benotzt och Host Kommando fir DNS Resolutioun ze testen.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Endlech, sécherstellen, datt Maschinn Zäit synchroniséiert mat Samba4 AD ass. Installéiert ntpdate Package a synchroniséiert Zäit mat der AD andeems Dir déi folgend Kommandoen ausginn.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Schrëtt 2: Installéiert erfuerderlech Packagen

5. Op dësem Schrëtt installéiert déi néideg Software an erfuerderlech Ofhängegkeeten fir Ubuntu an Samba4 AD DC ze verbannen: Realmd an SSSD Servicer.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Gitt den Numm vum Standardräich mat grousse Buschtawen an dréckt Enter Schlëssel fir d'Installatioun weiderzemaachen.

7. Als nächst erstellt d'SSSD Konfiguratiounsdatei mat dem folgenden Inhalt.

$ sudo nano /etc/sssd/sssd.conf

Füügt folgend Zeilen op d'sssd.conf Datei.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Vergewëssert Iech datt Dir den Domain Numm an de folgende Parameteren ersetzt:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Als nächst füügt déi entspriechend Permissiounen fir SSSD-Datei un andeems Dir de folgende Kommando ausgitt:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Elo, oppen an änneren Realmd Konfiguratiounsdatei a fügen déi folgend Zeilen derbäi.

$ sudo nano /etc/realmd.conf

Realmd.conf Datei Extrait:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Déi lescht Datei déi Dir musst änneren gehéiert zum Samba Daemon. Öffnen /etc/samba/smb.conf Datei fir z'änneren a füügt de folgende Codeblock am Ufank vun der Datei, no der [global] Sektioun wéi op der Bild hei ënnen illustréiert.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Vergewëssert Iech datt Dir den Domain Numm Wäert ersetzt, besonnesch de Räichwäert fir Ären Domain Numm ze passen an Testparm Kommando auszeféieren fir ze kontrolléieren ob d'Konfiguratiounsdatei keng Feeler enthält.

$ sudo testparm

11. Nodeems Dir all déi erfuerderlech Ännerungen gemaach hutt, testen d'Kerberos Authentifikatioun mat engem AD-Administratiounskonto a lëscht den Ticket andeems Dir déi folgend Kommandoen ausgëtt.

$ sudo kinit [email 
$ sudo klist

Schrëtt 3: Maacht mat Ubuntu op Samba4 Realm

12. Fir Ubuntu Maschinn ze Samba4 Active Directory Ausgabe folgend Serie vu Kommandoen ze verbannen wéi hei ënnen illustréiert. Benotzt den Numm vun engem AD DC Kont mat Administrator Privilegien fir datt d'Verbindung zum Räich funktionnéiert wéi erwaart an den Domain Numm Wäert deementspriechend ersat.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Nodeems d'Domainverbindung stattfonnt huet, fuert de Kommando hei ënnen fir sécherzestellen datt all Domainkonten erlaabt sinn op der Maschinn ze authentifizéieren.

$ sudo realm permit --all

Duerno kënnt Dir Zougang fir en Domain Benotzerkont oder e Grupp erlaben oder verweigeren, dee Räich Kommando benotzt wéi op de Beispiller hei ënnen presentéiert.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Vun enger Windows-Maschinn mat installéierten RSAT-Tools kënnt Dir AD UC opmaachen an op Computerbehälter navigéieren a kucken ob en Objektkonto mam Numm vun Ärer Maschinn erstallt gouf.

Schrëtt 4: AD Konten Authentifikatioun konfiguréieren

15. Fir op Ubuntu Maschinn mat Domain Konten ze authentifizéieren, musst Dir pam-auth-update Kommando mat Root Privilegien ausféieren an all PAM Profiler aktivéieren inklusiv d'Optioun fir automatesch Heemverzeichnungen fir all Domainkonto beim éischte Login ze erstellen.

Kontrolléiert all Entréen andeems Dir op [Space] Schlëssel dréckt a klickt op ok fir d'Konfiguratioun z'applizéieren.

$ sudo pam-auth-update

16. Op Systemer manuell änneren /etc/pam.d/common-account Datei an déi folgend Linn fir automatesch Haiser fir authentifizéiert Domain Benotzer ze kreéieren.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Wann Active Directory Benotzer hir Passwuert net vun der Kommandozeil an Linux änneren kënnen, öffnen /etc/pam.d/common-password Datei an läscht d'use_authtok Ausso vun der Passwuertlinn fir endlech wéi op der ënnen Auszuch ze kucken.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Endlech, restart an aktivéiert Realmd an SSSD Service fir Ännerungen z'applizéieren andeems Dir déi folgend Kommandoen ausgitt:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Fir ze testen ob d'Ubuntu Maschinn erfollegräich integréiert gouf fir Räich ze lafen installéieren Winbind Package a lafen wbinfo Kommando fir Domainkonten a Gruppen ze lëschten wéi hei ënnen illustréiert.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Kontrolléiert och Winbind nsswitch Modul andeems Dir de gegent Kommando géint e spezifesche Domain Benotzer oder Grupp ausginn.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Dir kënnt och Linux ID Kommando benotzen fir Infoen iwwer en AD Kont ze kréien wéi op de Kommando ënnen illustréiert.

$ id tecmint_user

22. Fir op Ubuntu Host ze authentifizéieren mat engem Samba4 AD Kont benotzt den Domain Benotzernumm Parameter no su - Kommando. Run ID Kommando fir extra Informatioun iwwer den AD Kont ze kréien.

$ su - your_ad_user

Benotzt pwd Kommando fir Ären Domain Benotzer aktuellen Aarbechtsverzeechnes an passwd Kommando ze gesinn wann Dir Passwuert änneren wëllt.

23. Fir e Domainkonto mat Root-Privilegien op Ärer Ubuntu-Maschinn ze benotzen, musst Dir den AD Benotzernumm an d'Sudo Systemgrupp addéieren andeems Dir de folgende Kommando ausgitt:

$ sudo usermod -aG sudo [email 

Login op Ubuntu mat dem Domainkonto an aktualiséieren Äre System andeems Dir apt Update Kommando ausféiert fir d'Root Privilegien ze kontrolléieren.

24. Fir Root Privilegien fir eng Domain Grupp ze addéieren, oppen Enn änneren /etc/sudoers Datei mat visudo Kommando a füügt déi folgend Zeil wéi illustréiert.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Fir d'Domain Kont Authentifikatioun fir Ubuntu Desktop ze benotzen änneren LightDM Display Manager andeems Dir /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf Datei ännert, fügen déi folgend zwou Zeilen un an de lightdm Service nei starten oder d'Maschinn nei starten. Ännerungen.

greeter-show-manual-login=true
greeter-hide-users=true

Mellt Iech un Ubuntu Desktop mat engem Domainkonto mat entweder your_domain_username oder [email _domain.tld Syntax.

26. Fir e benotzen kuerz Numm Format fir Samba AD Konte, änneren /etc/sssd/sssd.conf Fichier, füügt déi folgend Zeil an [sssd] Block wéi hei ënnen illustréiert.

full_name_format = %1$s

an Restart SSSD Daemon fir Ännerungen z'applizéieren.

$ sudo systemctl restart sssd

Dir wäert bemierken datt d'Bash Prompt op de kuerzen Numm vum AD Benotzer ännert ouni den Domain Numm Géigespiller ze addéieren.

27. Am Fall wou Dir net aloggen kënnt wéinst enumerate=true Argument an sssd.conf gesat, musst Dir d'sssd cached Datebank läschen andeems Dir de folgende Kommando ausgitt:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Dat ass alles! Och wann dëse Guide haaptsächlech op Integratioun mat engem Samba4 Active Directory konzentréiert ass, kënnen déiselwecht Schrëtt applizéiert ginn fir Ubuntu mat Realmd an SSSD Servicer an e Microsoft Windows Server Active Directory z'integréieren.