Ubuntu 16 integrieren.04 bis AD als Domain -Mitglied mit Samba und Winbind - Teil 8
- 2923
- 551
- Marleen Weight
In diesem Tutorial wird beschrieben SAMBA4 Active Directory Domäne, um sich zu authentifizieren ANZEIGE Konten mit lokal ACL Für Dateien und Verzeichnisse oder zum Erstellen und Karten von Volumenfreigaben für Domänencontroller -Benutzer (Act A AS Dateiserver).
Anforderungen:
- Erstellen Sie eine Active Directory -Infrastruktur mit SAMBA4 auf Ubuntu
Schritt 1: Erste Konfigurationen, um Ubuntu mit SAMBA4 AD zu beitreten
1. Bevor Sie anfangen, sich einem anzuschließen Ubuntu Gastgeber in eine Active Directory DC Sie müssen sicherstellen, dass einige Dienste auf lokaler Maschine ordnungsgemäß konfiguriert sind.
Ein wichtiger Aspekt Ihrer Maschine repräsentiert die Hostname. Richten Sie einen richtigen Maschinennamen ein, bevor Sie die Domain mit Hilfe von der Domäne verbinden hostnamectl Befehl oder durch manuell bearbeiten /etc/hostname Datei.
# hostnamectl set-hostname your_maachine_short_name # cat /etc /hostname # hostnamectlSetzen Sie das System Hostname
2. Öffnen und manuell Ihre Maschinennetzwerkeinstellungen mit den richtigen IP -Konfigurationen öffnen und manuell bearbeiten. Die wichtigsten Einstellungen hier sind die DNS -IP -Adressen, die auf Ihren Domänencontroller zurückgeben.
Bearbeiten /etc/netzwerk/schnittstellen Datei und hinzufügen DNS-Nameservers Anweisung mit Ihren ordnungsgemäßen Anzeigen -IP -Adressen und Domainnamen, wie im folgenden Screenshot dargestellt.
Stellen Sie außerdem sicher, dass dieselben DNS -IP -Adressen und der Domänenname hinzugefügt werden /etc/resolv.Conf Datei.
Konfigurieren Sie die Netzwerkeinstellungen für die AnzeigeAuf dem obigen Screenshot, 192.168.1.254 Und 192.168.1.253 sind die IP -Adressen der SAMBA4 AD DC Und Tecmint.Lan repräsentiert den Namen der AD -Domäne, die von allen in den Bereich integrierten Maschinen abgefragt wird.
3. Starten Sie die Netzwerkdienste neu oder starten Sie den Computer neu, um die neuen Netzwerkkonfigurationen anzuwenden. Ausgabe a Klingeln Befehl gegen Ihren Domänennamen, um zu testen, ob die DNS -Auflösung wie erwartet funktioniert.
Der Ad dc sollte sich mit seinem FQDN wiederholen. Falls Sie einen DHCP -Server in Ihrem Netzwerk konfiguriert haben, um Ihren LAN -Hosts automatisch IP -Einstellungen zuzuweisen.
# SystemCtl Neustart der Networking.Service # ping -c2 your_domain_name
4. Die letzte wichtige Konfiguration wird durch die Zeitsynchronisation dargestellt. Installieren NTPDATE Paket, Abfrage und Synchronisation mit dem Ad dc durch Ausgabe der folgenden Befehle.
$ sudo apt -get install NTPDate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_nameZeitsynchronisation mit AD
5. Installieren Sie beim nächsten Schritt die von Ubuntu Machine benötigte Software, um vollständig in die Domäne integriert zu werden, indem Sie den folgenden Befehl ausführen.
$ sudo apt-get installieren Sie Samba KRB5-Config KRB5-Benutzer Winbind Libpam-Winbind Libnss-WinbindInstallieren Sie SAMBA4 im Ubuntu -Client
Während die Kerberos -Pakete installiert werden, sollten Sie aufgefordert werden, den Namen Ihres Standardbereichs einzugeben. Verwenden Sie den Namen Ihrer Domain mit Oberzügen und drücken Sie Eingeben Schlüssel, um die Installation fortzusetzen.
Addomainnamen hinzufügen6. Nachdem alle Pakete fertiggestellt wurden, testen Sie die Installation Kerberos Authentifizierung gegen ein AD -Verwaltungskonto und listet das Ticket durch Ausgabe der folgenden Befehle auf.
# Kinit ad_admin_user # KLILEÜberprüfen Sie die Kerberos -Authentifizierung mit AD
Schritt 2: Treten Sie Ubuntu zu Samba4 ad DC bei
7. Der erste Schritt bei der Integration der Ubuntu -Maschine in die SAMBA4 Active Directory Die Domäne besteht darin, die SAMBA -Konfigurationsdatei zu bearbeiten.
Sicherung der Standardkonfigurationsdatei von Samba, die vom Paketmanager bereitgestellt wird, um mit einer sauberen Konfiguration zu beginnen, indem Sie die folgenden Befehle ausführen.
# MV/etc/samba/smb.conf/etc/samba/smb.Conf.Erstes # Nano/etc/samba/smb.Conf
Fügen Sie in der neuen Samba -Konfigurationsdatei die folgenden Zeilen hinzu:
[global] WorkGroup = Tecmint Realm = Tecmint.Lan netbios name = ubuntu security = ads dns Forwarder = 192.168.1.1 IDMAP-Konfiguration *: Backend = TDB IDMAP-Konfiguration *: Bereich = 50000-1000000 Template Homedir =/home/%d/%u Vorlage Shell =/bin/bash winbind Verwenden Sie Standarddomain = True Winbind Offline Logon = False Winbind NSS Info = RFC2307 Winbind enum user = yes winbind enum gruppen = yes vfs objects = acl_xattr map acl inherit = yes speichern dos attribute = yesSAMBA für AD konfigurieren
Ersetzen Arbeitsgruppe, Reich, Netbios Name Und DNS -Spediteur Variablen mit Ihren eigenen benutzerdefinierten Einstellungen.
Der Winbind Verwenden Sie die Standarddomäne Parameter verursacht Winbind Service zur Behandlung von nicht qualifizierten Anzeigen -Benutzernamen als Benutzer der Anzeige. Sie sollten diesen Parameter weglassen, wenn Sie lokale Systemkonten Namen haben, die sich über Anzeigenkonten überlappen.
8. Jetzt sollten Sie alle Samba-Dämonen neu starten und unnötige Dienste anhalten und entfernen und die systemweite SAMBA-Dienste aktivieren, indem Sie die folgenden Befehle ausstellen.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemCTL STOP SAMBA-AD-DC $ sudo systemctl aktivieren smbd nmbd winbind
9. Schließen Sie sich Ubuntu Machine an SAMBA4 AD DC durch Ausgabe des folgenden Befehls. Verwenden Sie den Namen eines AD -DC -Kontos mit Administratorberechtigten, damit die Bindung an den Bereich wie erwartet funktioniert.
$ sudo net ads beitreten -u ad_admin_userTreten Sie Ubuntu zu Samba4 ad DC bei
10. Von einem Windows -Computer mit installierten RSAT -Tools können Sie geöffnet werden Ad uc und navigieren zu Computers Container. Hier sollte Ihr Ubuntu -Maschine aufgeführt sein.
Bestätigen Sie den Ubuntu -Client in Windows AD DCSchritt 3: Konfigurieren Sie die AD -Konten Authentifizierung
11. Um Authentifizierung für Anzeigenkonten auf dem lokalen Computer durchzuführen, müssen Sie einige Dienste und Dateien auf dem lokalen Computer ändern.
Erstens öffnen und bearbeiten Der Name Service Switch (NSS) Konfigurationsdatei.
$ sudo nano/etc/nsswitch.Conf
Als nächstes append Winbind Value für PassWD- und Gruppenlinien, wie im folgenden Auszug dargestellt.
Passwd: Compat Winbind Group: Compat WinbindKonfigurieren Sie die AD -Konten Authentifizierung
12. Um zu testen, ob die Ubuntu -Maschine erfolgreich in den RELM Run integriert wurde wbinfo Befehl zum Auflisten von Domänenkonten und Gruppen.
$ wbinfo -u $ wbinfo -gListen Sie die AD -Domain -Konten und -gruppen auf
13. Überprüfen Sie auch das Winbind NSSwitch -Modul, indem Sie die ausgeben Getent Befehl und leiten Sie die Ergebnisse durch einen Filter wie z Grep Um die Ausgabe nur für bestimmte Domänenbenutzer oder Gruppen einzugrenzen.
$ sudo Getent Passwd | grep your_domain_user $ sudo Getent Group | Grep 'Domain Admins' 'Überprüfen Sie die Benutzer und Gruppen der Anzeigendomänen und Gruppen
14. Um sich auf Ubuntu -Maschine mit Domänenkonten zu authentifizieren, müssen Sie ausgeführt werden Pam-Auth-Update Befehl mit Root -Privilegien und fügen Sie alle für den WinBind Service erforderlichen Einträge hinzu und erstellen Sie automatisch Heimverzeichnisse für jedes Domain -Konto beim ersten Anmeldung.
Überprüfen Sie alle Einträge, indem Sie drücken [Raum]
Schlüssel und Hit OK Konfiguration anwenden.
$ sudo pam-auth-updateUbuntu mit Domänenkonten authentifizieren
15. Auf Debian -Systemen müssen Sie manuell bearbeiten /etc/pam.D/Common-Account Datei und die folgende Zeile, um automatisch Häuser für authentifizierte Domänenbenutzer zu erstellen.
Sitzung erforderlich pam_mkhomedir.Also SKEL =/etc/skel/ümask = 0022Authentifizieren Debian mit Domänenkonten
16. Damit Active Directory Benutzer, um das Kennwort aus der Befehlszeile in Linux zu ändern, öffnen sich /etc/pam.D/Common-Password Datei und entfernen Sie die Use_authtok Anweisung aus der Passwortzeile, um endlich wie im folgenden Auszug zu schauen.
Passwort [Erfolg = 1 Standard = Ignore] PAM_WINBIND.Also try_first_passBenutzer dürfen das Passwort ändern
17. Um sich auf dem Ubuntu -Host mit einem SAMBA4 -AD -Konto zu authentifizieren. Führen Sie den ID -Befehl aus, um zusätzliche Informationen zum Anzeigenkonto zu erhalten.
$ su - your_ad_userFinden Sie Anzeigen Benutzerinformationen
Verwenden.
18. Um ein Domänenkonto mit Root -Berechtigungen auf Ihrem Ubuntu -Computer zu verwenden, müssen Sie den Ad -Benutzernamen der Sudo -Systemgruppe hinzufügen, indem Sie den folgenden Befehl ausgeben:
$ sudo usermod -Ag sudo your_domain_user
Melden Sie sich bei Ubuntu mit dem Domain -Konto an und aktualisieren Sie Ihr System, indem Sie ausführen APT-Get-Update Befehl, um zu überprüfen, ob der Domänenbenutzer Root -Berechtigungen verfügt.
Fügen Sie sudo User Root Group hinzu19. Um Root -Berechtigungen für eine Domänengruppe hinzuzufügen /etc/sudoers Datei mit Visudo Befehl und fügen Sie die folgende Zeile hinzu, wie im folgenden Screenshot dargestellt.
%Your_domain \\ your_domain \ gruppe alle = (alle: alle) alleFügen Sie der Domänengruppe Stammberechtigungen hinzu
Verwenden Sie Backslashes, um Flächen zu entkommen, die in Ihren Domänengruppennamen enthalten sind, oder um dem ersten Backslash zu entkommen. Im obigen Beispiel die Domänengruppe für Tecmint Reich heißt "Domain -Administratoren”.
Das vorhergehende Prozentzeichen (%)
Das Symbol zeigt an, dass wir uns auf eine Gruppe beziehen, nicht auf einen Benutzernamen.
20. Wenn Sie die grafische Version von Ubuntu ausführen und sich mit einem Domänenbenutzer im System anmelden möchten, müssen Sie den LightDM -Display -Manager durch Bearbeiten ändern /usr/share/lightDM/lightDM.Conf.D/50-UBUNTU.Conf Datei, fügen Sie die folgenden Zeilen hinzu und starten Sie die Maschine neu, um Änderungen widerzuspiegeln.
Begrüßer-Show-Manual-Login = True Greeter-Hide-Users = True
Es sollte nun in der Lage sein, Anmeldungen auf Ubuntu Desktop mit einem Domänenkonto mit beiden durchzuführen your_domain_username oder [E -Mail geschützt] _domain.tld oder your_domain \ your_domain_username Format.
- « 8 Beste PDF -Dokumentzuschauer für Linux -Systeme
- Machen Sie CentOS 7 Desktop an SAMBA4 AD als Domain -Mitglied - Teil 9 »